Вирусная двадцатка за февраль от "Лаборатории Касперского"

По итогам работы Kaspersky Security Network (KSN) в феврале 2009 года "Лаборатория Касперского" сформировала две вирусные двадцатки.

Напомним, что первая таблица рейтинга вредоносных программ формируется на основе данных, собранных в ходе работы антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

Позиция (изменение позиции) вредоносная программа

1. (0) Virus.Win32.Sality.aa
2. (14) Net-Worm.Win32.Kido.ih
3. (-1) Packed.Win32.Krap.b
4. (3) Packed.Win32.Black.a
5. (0) Trojan.Win32.Autoit.ci
6. (-3) Worm.Win32.AutoRun.dui
7. (New) Packed.Win32.Krap.g
8. (-4) Trojan-Downloader.Win32.VB.eql
9. (New) Packed.Win32.Klone.bj
10. (-2) Virus.Win32.Alman.b
11. (-5) Trojan-Downloader.WMA.GetCodec.c
12. (0) Worm.Win32.Mabezat.b
13. (New) Trojan-Downloader.JS.SWFlash.ak
14. (-1) Worm.Win32.AutoIt.ar
15. (0) Virus.Win32.Sality.z
16. (New) Trojan-Downloader.JS.SWFlash.aj
17. (-3) Email-Worm.Win32.Brontok.q
18. (New) Packed.Win32.Tdss.c
19. (New) Worm.Win32.AutoIt.i
20. (New) Trojan-Downloader.WMA.GetCodec.u

Можно выделить несколько важных изменений, произошедших с первой двадцаткой в феврале. Во-первых, это резкий рост показателей сетевого червя Kido, эпидемия которого началась в январе и продолжается до сих пор. Так как детектирование всех версий этого зловреда было добавлено только в середине января, основная масса обнаруженных инфицированных файлов пришлась на февраль. Во-вторых, мы видим трех интересных новичков: Packed.Win32.Krap.g, Packed.Win32.Klone.bj и Packed.Win32.Tdss.c, каждый из которых является соответственно детектированием:

• одной из версий упаковщика троянцев очень популярного семейства Magania - похитителей паролей к онлайн-играм;
• определенного типа обфускации AutoIt-скриптов, причем функционал исходных скриптов ограничивается только рамками самого скриптового языка;
• целого класса программ, зашифрованных с помощью нового вредоносного упаковщика TDSS;

Последний зловред примечателен тем, что функционал исходных незашифрованных программ - произвольный: это может быть как троянец, так и червь, или, к примеру, руткит.

Стремительно набравший 10 позиций в январе Trojan-Downloader.WMA.GetCodec.r в феврале сменился аналогичным мультимедийным загрузчиком GetCodec.u, а новичок прошлого рейтинга Exploit.JS.Agent.aak – двумя скриптовыми загрузчиками, использующими разнообразные уязвимости в Flash Player: SWFlash.aj и SWFlash.ak.

Все вредоносные, рекламные и потенциально-опасные программы, представленные в первом рейтинге, можно сгруппировать по основным классам детектируемых нами угроз. С января их соотношение почти не изменилось. Исходя из статистических данных последних месяцев, стоит заметить, что число саморазмножающихся программ остается стабильно высоким. Всего в феврале на компьютерах пользователей было зафиксировано 45396 уникальных вредоносных, рекламных и потенциально опасных программ. Эта цифра практически не отличается от показателя предыдущего месяца.

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

Позиция (изменение позиции) Вредоносная программа 

1. (0) Virus.Win32.Sality.aa
2. (0) Worm.Win32.Mabezat.b
3. (2) Net-Worm.Win32.Nimda
4. (New) Virus.Win32.Virut.ce
5. (-1) Virus.Win32.Xorer.du
6. (0) Virus.Win32.Sality.z
7. (-2) Virus.Win32.Alman.b
8. (-1) Virus.Win32.Parite.b
9. (New) Trojan-Clicker.HTML.IFrame.acy
10. (-1) Trojan-Downloader.HTML.Agent.ml
11. (-1) Virus.Win32.Virut.n
12. (-4) Virus.Win32.Virut.q
13. (3) Virus.Win32.Parite.a
14. (-3) Email-Worm.Win32.Runouce.b
15. (-2) P2P-Worm.Win32.Bacteraloh.h
16. (-2) Virus.Win32.Hidrag.a
17. (Return) Worm.Win32.Fujack.k
18. (Return) Virus.Win32.Neshta.a
19. (-4) Virus.Win32.Small.l
20. (-2) P2P-Worm.Win32.Deecee.a

Во второй двадцатке есть важный новичок: это новая версия сложного полиморфного вируса Virut – Virus.Win32.Virut.ce. В функционал этой модификации входит в том числе и заражение HTML-файлов, обнаруженных на компьютере пользователя, зловредным iframe-блоком. Такие страницы обнаруживаются нашим антивирусом как Trojan-Clicker.HTML.IFrame.acy, и число зараженных таким образом файлов в феврале весьма велико. В результате своего симбиоза пара Virus.Win32.Virut.ce и Trojan-Clicker.HTML.IFrame.acy занимает соответственно четвертое и девятое места.

Следует отметить также, что несмотря на по-прежнему высокие позиции семейства Sality, новых версий этого опасного зловреда не было обнаружено, чего не скажешь о вышеупомянутом семействе Virut.

Новости партнеров: