Августовский рейтинг вредоносных программ

«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ. По итогам работы Kaspersky Security Network в августе 2009 года сформированы две вирусные двадцатки.

В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер (в скобках дается изменение позиции по сравнению с июльским рейтингом).

1. (0) Net-Worm.Win32.Kido.ih.
2. (0) Virus.Win32.Sality.aa.
3. (3) New not-a-virus:AdWare.Win32.Boran.z.
4. (-1) Trojan-Downloader.Win32.VB.eql.
5. (-1) Trojan.Win32.Autoit.ci.
6. (0) Virus.Win32.Virut.ce.
7. (-2) Worm.Win32.AutoRun.dui.
8. (0) Net-Worm.Win32.Kido.jq.
9. (-2) Virus.Win32.Sality.z.
10. (0) New Virus.Win32.Induc.a.
11. (-2) Worm.Win32.Mabezat.b.
12. (-2) Net-Worm.Win32.Kido.ix.
13. (-1) Packed.Win32.Klone.bj.
14. (New) Trojan.Win32.Swizzor.b.
15. (New) Packed.Win32.Katusha.b.
16. (-2) Worm.Win32.AutoIt.i.
17. (1) not-a-virus:AdWare.Win32.Shopper.v.
18. (New) Trojan-Dropper.Win32.Flystud.yo.
19. (-2) Email-Worm.Win32.Brontok.q.
20. (New) P2P-Worm.Win32.Palevo.jaj.

.

Постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции. Но в августе в первой двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.

Наиболее интересен Virus.Win32.Induc.a, о котором "Лаборатория Касперского" неоднократно писала в новостях и в блоге. Напомним, что для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы. Учитывая, что множество программных продуктов еще на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга.

Еще выше - сразу на третьей позиции - в рейтинге оказался другой новичок not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.

Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг. Причем оба эти новичка отличаются крайне вычурными и усовершенствованными по сравнению с прошлыми модификациями методами обфускации исполняемого кода.

Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник Palevo.jaj, занявший последнюю позицию в рейтинге. Надо признать, что это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.

В целом, наиболее ярким впечатлением месяца было появление Virus.Win32.Induc, который обозначил инновационный подход к заражению компьютеров пользователей.

В остальном "Лаборатория Касперского" наблюдает стабильность первой двадцатки, особенно по сравнению с второй. Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:

1. (New) not-a-virus:AdWare.Win32.Boran.z.
2. (1) Trojan-Downloader.HTML.IFrame.sz.
3. (New) Trojan.JS.Redirector.l.
4. (-3) Trojan-Downloader.JS.Gumblar.a.
5. (New) Trojan-Clicker.HTML.Agent.w.
6. (New) Exploit.JS.DirektShow.k.
7. (0) Trojan-GameThief.Win32.Magania.biht.
8. (-4) Trojan-Downloader.JS.LuckySploit.q.
9. (-7) Trojan-Clicker.HTML.IFrame.kr.
10. (-4) Trojan-Downloader.JS.Major.c.
11. (New) Exploit.JS.Sheat.c.
12. (New) Trojan-Downloader.JS.FraudLoad.d.
13. (-4) Trojan-Clicker.HTML.IFrame.mq.
14. (-3) Trojan.JS.Agent.aat.
15. (-3) Exploit.JS.DirektShow.j.
16. (New) Trojan-Downloader.JS.IstBar.bh.
17. (New) Trojan-Downloader.JS.Iframe.bmu. 
18. (New) Exploit.JS.DirektShow.l.
19. (New) Exploit.JS.DirektShow.q.
20. (New) Trojan-Downloader.Win32.Agent.ckwd.

Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте все тот же not-a-virus:AdWare.Win32.Boran.z, о котором мы писали выше.

Месяц назад "Лаборатория Касперского" писала об уязвимости в Internet Explorer, эксплойт для которой детектируется ее антивирусом как Exploit.JS.DirektShow. Тогда в двадцатку попало три модификации этого эксплойта – .a, .j и .o. Сейчас мы видим в составе рейтинга сразу четыре версии: использование этой уязвимости сохраняет популярность. Возможно, злоумышленники полагают, что многие пользователи еще не установили соответствующий патч, и продолжают попытки атаковать систему через эту лазейку.

Еще одна уязвимость – теперь уже в продукте Microsoft Office – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, который детектируются антивирусом "Лаборатории Касперского" как Exploit.JS.Sheat, заняла 11 место в рейтинге.

В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте рейтинга. "Антивирус Касперского" детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.

Функциональность троянца Redirector.l заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.

Тенденции июля сохраняются: злоумышленники так же активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Можно предположить, что ситуация сохранится, ведь эти схемы являются практически беспроигрышными для злоумышленников.

Источник: "Лаборатория Касперского"