ЛК: Вредоносное ПО в августе 2009 года

«Лаборатория Касперского» опубликовала рейтинг вредоносных программ, составленный по итогам работы Kaspersky Security Network в августе 2009 г. Компанией представлены две вирусные двадцатки.

В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер:

1. Net-Worm.Win32.Kido.ih 0 48281

2. Virus.Win32.Sality.aa 0 23156

3. not-a-virus:AdWare.Win32.Boran.z New 16872

4. Trojan-Downloader.Win32.VB.eql -1 8030

5. Trojan.Win32.Autoit.ci -1 7846

6. Virus.Win32.Virut.ce 0 6248

7. Worm.Win32.AutoRun.dui -2 5516

8. Net-Worm.Win32.Kido.jq 0 5446

9. Virus.Win32.Sality.z -2 5157

10. Virus.Win32.Induc.a New 4476

11. Worm.Win32.Mabezat.b -2 3982

12. Net-Worm.Win32.Kido.ix -2 3579

13. Packed.Win32.Klone.bj -1 3579

14. Trojan.Win32.Swizzor.b New 3327

15. Packed.Win32.Katusha.b New 3139

16. Worm.Win32.AutoIt.i -2 3076

17. not-a-virus:AdWare.Win32.Shopper.v 1 2947

18. Trojan-Dropper.Win32.Flystud.yo New 2745

19. Email-Worm.Win32.Brontok.q -2 2706

20. P2P-Worm.Win32.Palevo.jaj New 2664

Постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции. В первой августовской двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.

Наиболее интересен Virus.Win32.Induc.a, использвующий для своего размножения механизм двухшагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы.

Сразу на третьей позиции оказался другой новичок – not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.

Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14 и 15 места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг. Причем оба эти новичка отличаются усовершенствованными по сравнению с прошлыми модификациями методами обфускации (obfuscating – запутывание кода программы для затруднения анализа и шифрования) исполняемого кода.

Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник – Palevo.jaj, занявший последнюю позицию в рейтинге. По данным «Лаборатории Касперского», это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попали вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:

1. not-a-virus:AdWare.Win32.Boran.z New 16760

2. Trojan-Downloader.HTML.IFrame.sz 1 5228

3. Trojan.JS.Redirector.l New 4693

4. Trojan-Downloader.JS.Gumblar.a -3 4608

5. Trojan-Clicker.HTML.Agent.w New 4564

6. Exploit.JS.DirektShow.k New 4475

7. Trojan-GameThief.Win32.Magania.biht 0 4416

8. Trojan-Downloader.JS.LuckySploit.q -4 3416

9. Trojan-Clicker.HTML.IFrame.kr -7 3323

10. Trojan-Downloader.JS.Major.c -4 2688

11. Exploit.JS.Sheat.c New 2684

12. Trojan-Downloader.JS.FraudLoad.d New 2553

13. Trojan-Clicker.HTML.IFrame.mq -4 2367

14. Trojan.JS.Agent.aat -3 2246

15. Exploit.JS.DirektShow.j -3 2128

16. Trojan-Downloader.JS.IstBar.bh New 1973

17. Trojan-Downloader.JS.Iframe.bmu New 1933

18. Exploit.JS.DirektShow.l New 1838

19. Exploit.JS.DirektShow.q New 1753

20. Trojan-Downloader.Win32.Agent.ckwd New 1504

Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте – все тот же not-a-virus:AdWare.Win32.Boran.z, который упоминается выше.

Примечательно, что во вторую двадцатку августа попало сразу четыре модификации эксплойта, использующего уязвимость в Internet Explorer, тогда как месяц назад в составе рейтинга было всего три версии того же эксплойта. Таким образом, использование этой уязвимости сохраняет популярность, заключили эксперты «Лаборатории Касперского».

Еще одна уязвимость – теперь уже в продукте Microsoft Office – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, которая детектируется «Антивирусом Касперского» как Exploit.JS.Sheat, заняла 11 место в рейтинге.

В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте августовского рейтинга. «Антивирус Касперского» детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.

Функциональность трояна Redirector.l, расположившегося на третьем месте списка, заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu, занявший 17 позицию, является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.

Согласно выводам специалистов «Лаборатории Касперского», тенденции июля сохраняются – злоумышленники также активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Подобная ситуация, по предположениям специалистов компании, вполне может сохраниться на неопределённый период времени.

www.securitylab.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: