ЛК: Вредоносное ПО в апреле 2009
По итогам работы Kaspersky Security Network (KSN) в апреле 2009 года были сформированы две вирусные двадцатки. Первая таблица рейтинга формировалась на основе данных, собранных в ходе работы антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
Этот рейтинг выглядит следующим образом:
2. Virus.Win32.Sality.aa
3. Trojan-Dropper.Win32.Flystud.ko
4. Trojan.Win32.Chifrax.a
5. Trojan.Win32.Autoit.ci
6. Trojan-Downloader.Win32.VB.eql
7. Packed.Win32.Krap.b
8. Worm.Win32.AutoRun.dui
9. Exploit.HTML.CodeBaseExec
10. Packed.Win32.Black.a
11. Virus.Win32.Sality.z
12. Virus.Win32.Virut.ce
13. Trojan.JS.Agent.xy
14. Worm.Win32.Mabezat.b
15. Virus.Win32.Alman.b
16. Packed.Win32.Krap.g
17. Packed.Win32.Klone.bj
18. Worm.Win32.AutoIt.ar
19. Exploit.JS.Agent.agc
20. Email-Worm.Win32.Brontok.q
Специалисты ЛК обратили внимание на новичков двадцатки — Virus.Win32.Virut.ce и Exploit.HTML.CodeBaseExec.
Первый еще в феврале появился вверху нашей второй двадцатки и нынче явно стремится к тому, в надежде покорить и первую. Новые версии данного вируса приходят к нам каждый день, что свидетельствует о том, что злоумышленники внимательно следят за детектированием вируса антивирусами и пробуют увеличить численность ботнета, состоящего из зараженных этим вирусом компьютеров. Эпидемия данного вируса только набирает обороты, и есть предположение, что в мае мы увидим Virut.ce поднявшимся на несколько позиций вверх. Подробнее об этой модификации Virut можно прочитать в нашем блоге www.viruslist.com/ru/weblog.
Второй новичок, является практически достоянием истории, потому как его первые версии были детектированы «Лабораторией Касперского» еще в 2004 году. Надо отметить, что в 2006 году он часто фигурировал в рейтингах вредоносных программ, однако ныне он имеет статус новичка, потому что наши двадцатки приобрели новый формат и методику подготовки. Зловред эксплуатирует простейшую уязвимость в Internet explorer версий 5.01, 5.5 и 6.0. Похоже, злоумышленники надеются, что еще не все установили обновление, устраняющее эту брешь, или пользуются старыми версиями Internet Explorer.
Trojan.Win32.Chifrax.a выбыл из рейтинга ЛК в октябре прошлого года и ныне вернулся сразу на 4 место. Троян представляет собой, подобно RaMag.a, модифицированный WinRAR-архив, в данном случае — самораспаковывающийся. В апрельском рейтинге скриптовых загрузчиков уже два — это Trojan.JS.Agent.xy и Exploit.JS.Agent.agc, которые являются отличным примером drive-by загрузок, о которых мы также писали в этом месяце www.viruslist.com/ru.
Все вредоносные, рекламные и потенциально-опасные программы, представленные в первом рейтинге, можно сгруппировать по главным классам детектируемых нами угроз. В последнее время их соотношения колеблются в пределах 5%.
Всего в апреле на компьютерах пользователей было зафиксировано 45190 уникальных вредоносных, рекламных и потенциально опасных программ. Эта цифра практически не отличается от показателя за предыдущий месяц.
Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают всякие вредоносные программы, способные заражать файлы.
1. Virus.Win32.Sality.aa
2. Worm.Win32.Mabezat.b
3. Virus.Win32.Virut.ce
4. Net-Worm.Win32.Nimda
5. Virus.Win32.Xorer.du
6. Virus.Win32.Sality.z
7. Virus.Win32.Parite.b
8. Virus.Win32.Virut.q
9. Virus.Win32.Alman.b
10. Virus.Win32.Small.l
11. Email-Worm.Win32.Runouce.b
12. Net-Worm.Win32.Kido.ih
13. Trojan-Downloader.HTML.Agent.ml
14. Virus.Win32.Virut.n
15. Virus.Win32.Parite.a
16. Virus.Win32.Hidrag.a
17. Worm.Win32.Fujack.k
18. p2p-Worm.Win32.Bacteraloh.h
19. Trojan-Clicker.HTML.IFrame.acy
20. Virus.Win32.Virut.av
Вторая двадцатка по-прежнему стабильна. Единственное существенное изменениев ее составе — это появление в рейтинге еще одной модификации вируса семейства Virut — Virus.Win32.Virut.av. Этот вирус был обнаружен «Лабораторией Касперского» еще в 2007 году и до сих пор активен.
Таким образом, семейство Virut завоевывает уже четыре места во второй двадцатке, а это 20% всех саморазмножающихся программ, представленных в ней.
www.securitylab.ru