Главная / Пресс-релизы


RSS-лента

  
Новости
Пресс-релизы




"Лаборатории Касперского"] Рейтинг вредоносных программ в августе 2009

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама представляет вниманию пользователей рейтинг вредоносных программ.

По итогам работы Kaspersky Security Network в августе 2009 года сформированы две вирусные двадцатки.

В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер.

1 Net-Worm.Win32.Kido.ih 0 48281

2 Virus.Win32.Sality.aa 0 23156

3 not-a-virus:AdWare.Win32.Boran.z New 16872

4 Trojan-Downloader.Win32.VB.eql -1 8030

5 Trojan.Win32.Autoit.ci -1 7846

6 Virus.Win32.Virut.ce 0 6248

7 Worm.Win32.AutoRun.dui -2 5516

8 Net-Worm.Win32.Kido.jq 0 5446

9 Virus.Win32.Sality.z -2 5157

10 Virus.Win32.Induc.a New 4476

11 Worm.Win32.Mabezat.b -2 3982

12 Net-Worm.Win32.Kido.ix -2 3579

13 Packed.Win32.Klone.bj -1 3579

14 Trojan.Win32.Swizzor.b New 3327

15 Packed.Win32.Katusha.b New 3139

16 Worm.Win32.AutoIt.i -2 3076

17 not-a-virus:AdWare.Win32.Shopper.v 1 2947

18 Trojan-Dropper.Win32.Flystud.yo New 2745

19 Email-Worm.Win32.Brontok.q -2 2706

20 P2P-Worm.Win32.Palevo.jaj New 2664

Наши постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции.

В августе в первой двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.

Наиболее интересен Virus.Win32.Induc.a, о котором мы неоднократно писали в новостях и в блоге (http://www.kaspersky.ru/news?id=207733037 и http://www.securelist.com/ru/weblog/39134/Istoriya_Indyuka). Напомним, что для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы. Учитывая, что множество программных продуктов еще на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга.

Еще выше - сразу на третьей позиции - в рейтинге оказался другой новичок ‑ not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.

Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих зловредов, ранее попадавших в наш рейтинг. Причем оба эти новичка отличаются крайне вычурными и усовершенствованными по сравнению с прошлыми модификациями методами обфускации исполняемого кода.

Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник ‑ Palevo.jaj, занявший последнюю позицию в рейтинге. Надо признать, что это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.

В целом, наиболее ярким впечатлением месяца было появление Virus.Win32.Induc, который обозначил инновационный подход к заражению компьютеров пользователей.

В остальном мы наблюдаем стабильность первой двадцатки, особенно по сравнению с второй.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц.

1 not-a-virus:AdWare.Win32.Boran.z New 16760

2 Trojan-Downloader.HTML.IFrame.sz1 5228

3 Trojan.JS.Redirector.l New 4693

4 Trojan-Downloader.JS.Gumblar.a -3 4608

5 Trojan-Clicker.HTML.Agent.w New 4564

6 Exploit.JS.DirektShow.k New 4475

7

Trojan-GameThief.Win32.Magania.biht 0 4416

8 Trojan-Downloader.JS.LuckySploit.q -4 3416

9 Trojan-Clicker.HTML.IFrame.kr -7 3323

10 Trojan-Downloader.JS.Major.c -4 2688

11 Exploit.JS.Sheat.c New 2684

12

Trojan-Downloader.JS.FraudLoad.d New 2553

13 Trojan-Clicker.HTML.IFrame.mq -4 2367

14 Trojan.JS.Agent.aat -3 2246

15 Exploit.JS.DirektShow.j -3 2128

16 Trojan-Downloader.JS.IstBar.bh New 1973

17 Trojan-Downloader.JS.Iframe.bmu New 1933

18 Exploit.JS.DirektShow.l New 1838

19 Exploit.JS.DirektShow.q New 1753

20 Trojan-Downloader.Win32.Agent.ckwd New 1504

Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников.

На первом месте ‑ все тот же not-a-virus:AdWare.Win32.Boran.z, о котором мы писали выше.

Месяц назад мы писали (http://www.kaspersky.ru/news?id=207733030) об уязвимости в Internet Explorer (http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx), эксплойт для которой детектируется нашим антивирусом как Exploit.JS.DirektShow. Тогда в двадцатку попало три модификации этого эксплойта – .a, .j и .o. Сейчас мы видим в составе рейтинга сразу четыре версии: использование этой уязвимости сохраняет популярность. Возможно, злоумышленники полагают, что многие пользователи еще не установили соответствующий патч, и продолжают попытки атаковать систему через эту лазейку.

Еще одна уязвимость – теперь уже в продукте Microsoft Office (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx) – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, который детектируются нашим антивирусом как Exploit.JS.Sheat, заняла 11 место в рейтинге.

В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте нашего рейтинга. Антивирус Касперского детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.

Функциональность троянца Redirector.l заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.

Тенденции июля сохраняются: злоумышленники так же активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Можно предположить, что ситуация сохранится, ведь эти схемы являются практически беспроигрышными для злоумышленников.

События, мнения, комментарии

Смотрите также

Компания Axis укрепляет свои позиции на мировом рынке систем обеспечения безопасности
«1С-Битрикс» и ForOffice.ru: Новые возможности электронной торговли
Nokia расширяет возможности экосистемы и представляет схему работы с партнерами, издателями и разработчиками
МТС обеспечила Интернетом сельскую школу в Закарпатской области
Пульт Logitech Harmony 700 упрощает домашние развлечения
Настольный компьютер Acer Aspire M3800 в модификации, построенной на базе графического процессора NVIDIA GeForce GT230, уже в продаже в России
Телефония от Vega становится мобильной
H3C устанавливает новые стандарты производительности дата-центров по результатам независимого тестирования
Компания «1С-Рарус» объявляет о начале продаж программного продукта «Альфа-Авто:Автосервис для Бухгалтерии 8»
МегаФон и Huawei открывают Центр мобильных инноваций

© ITware 2000-2016