5 Ноября, 2009

Рейтинг вредоносных программ, октябрь 2009

sergey Terentyev
Данный рейтинг я публикую используя рейтинги вредоносных программ таких известных разработчиков антивирусов как Kaspersky,Dr.Web,Eset.

«Лаборатория Касперского» представляет следующий список вредоносных программ которые были наиболее широко распространены в октябре.

Итак в первой списке отображены те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.
Позиции  Вредоносная программа Количество зараженных компьютеров
1   Net-Worm.Win32.Kido.ir          344745  
2   Net-Worm.Win32.Kido.ih          126645  
3   not-a-virus:AdWare.Win32.Boran.z   114776  
4   Virus.Win32.Sality.aa          87839  
5   Worm.Win32.FlyStudio.cu          70163  
6   Trojan-Downloader.Win32.VB.eql   52012  
7   Virus.Win32.Induc.a                  49251  
8   Packed.Win32.Black.d          39666  
9   Worm.Win32.AutoRun.awkp          35039  
10   Virus.Win32.Virut.ce          33354  
11   Packed.Win32.Black.a          31530  
12   Worm.Win32.AutoRun.dui          25370  
13   Trojan-Dropper.Win32.Flystud.yo   24038  
14   Trojan-Dropper.Win32.Agent.bcyx   22471  
15   Packed.Win32.Klone.bj          21919  
16   Trojan.Win32.Swizzor.b          19496  
17   Trojan-Downloader.WMA.GetCodec.s   18571  
18   Worm.Win32.Mabezat.b          19708  
19   Trojan-GameThief.Win32.Magania.cbrt   17610  
20   Trojan-Dropper.Win32.Agent.ayqa   16909  



Впервые заявивший о себе в сентябре Net-Worm.Win32.Kido.ir занял лидирующую позицию в TOP 20, вытеснив нашего постоянного чемпиона Kido.ih, что в очередной раз подтверждает тот факт, что зараженные переносные носители — один из главных источников вредоносных программ на компьютерах пользователей. Я и сам в одно время подхватил этого червя.Причем лечить зараженные файлы касперский напрочь отказался, в результате пришлось их удалить.

Ну а теперь перейдем к флешкам: к стабильному участнику — червю Autorun.dui присоединился аналогичный Autorun.awkp, выйдя сразу на 9 место. Под этими именами также скрываются вредоносные файлы, которые осуществляют автозапуск зловредов на съемных носителях.

В этом месяце мы видим возвращение старых участников первой двадцатки — Packed.Win32.Black.a, Packed.Win32.Klone.bj и Trojan.Win32.Swizzor.b. Кроме того, к Black.a добавилась новая версия — Black.d. Напомним, что к семейству Packed.Win32.Black принадлежат программы, которые были упакованы с использованием нелицензионных версий легальных утилит для защиты исполняемых файлов. В данном случае — это популярный у злоумышленников ASProtect.

Мультимедийный загрузчик GetCodec.s — это родной брат GetCodec.r, о котором мы писали еще в декабре прошлого года: он распространяется с помощью того же червя P2P-Worm.Win32.Nugg.

Некогда очень известное семейство Magania вновь активизировалось — в июле Trojan-GameThief.Win32.Magania.biht попал в TOP 20 наиболее распространенных в интернете вредоносных программ. В октябре новая версия — Magania.cbrt, — а также связанный с этим семейством Trojan-Dropper.Win32.Agent.ayqa попали в число 20 вредоносных программ, чаще всего обнаруживаемых на компьютерах пользователей.

По итогам месяца мы наблюдаем по-прежнему активное распространение вредоносных программ с помощью съемных цифровых носителей, а также пока незначительную, но уже заметную активизацию игровых троянцев.

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц на компьютеры пользователей.

Во этой двадцатке, как обычно, все пестро и свежо.
Позиция Вредоносная программа      Количество попыток загрузки
1   Trojan-Downloader.JS.Gumblar.x   459779  
2   Trojan-Downloader.JS.Gumblar.w   281057  
3   Trojan-Downloader.HTML.IFrame.sz   192063  
4   not-a-virus:AdWare.Win32.Boran.z   171278  
5   Trojan.JS.Redirector.l          157494  
6   Trojan-Clicker.HTML.Agent.aq          118361  
7   Trojan-Downloader.JS.Zapchast.m   112710  
8   Trojan.JS.Agent.aat                  107132  
9   Trojan-Downloader.JS.Small.oj   60425  
10   Exploit.JS.Agent.apw                  50939  
11   Exploit.JS.Pdfka.ti                  46303  
12   Trojan.JS.Popupper.f                  39204  
13   Trojan-Downloader.JS.IstBar.bh   34944  
14   Trojan.JS.Zapchast.an          30546  
15   Trojan-Downloader.JS.LuckySploit.q   29105  
16   Trojan-Downloader.JS.Agent.env   27405  
17   Trojan-Dropper.Win32.Agent.ayqa   26994  
18   Trojan-Clicker.HTML.IFrame.mq   26057  
19   Trojan-GameThief.Win32.Magania.bwsr   26032  
20   Exploit.JS.Agent.anr                  25517  


Первые два места по достоинству отхватили новые версии нашумевшего в мае этого года скриптового загрузчика Gumblar, которые появились под конец месяца и сразу же вышли на лидирующие позиции.

В новых версиях Gumblar технология заражения веб-сайтов стала более изощренной. В первой версии веб-страницы легальных сайтов заражались непосредственно телом скрипта, с помощью которого незаметно для посетителя зараженной страницы исполнялся скрипт, расположенный на сайте злоумышленников. Теперь же на взломанных ресурсах размещаются ссылки на зловредные скрипты, расположенные на других легальных зараженных ресурсах, что несколько усложняет процесс анализа и обезвреживания вредоносной сети. Сам скрипт пытается эксплуатировать несколько уязвимостей в Adobe Acrobat/Reader ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927 ), Adobe Flash Player ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071 ), Microsoft Office ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496 ) для загрузки основной вредоносной программы — Trojan-PSW.Win32.Kates.j. Некоторые варианты скриптов содержат вышеупомянутого троянца в своем теле, а при исполнении пытаются загрузить Kates.j на компьютер пользователя и сразу прописать в автозапуск. Основной целью заражения является кража конфиденциальных пользовательских данных, в том числе данных для доступа к веб-сайтам пользователя — для их последующих заражений.

Надо сказать, что атака с использованием Gumblar была спланирована довольно тщательно, однако в первые же дни нашими специалистами было оперативно добавлено детектирование для всех частей преступного паззла.

Прием разбиения вредоносного скрипта на части становится все более популярным. В этом месяце из 20 попавших в ТOP зловредов четверть разработана по такому принципу: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, Trojan-Downloader.JS.Agent.env.

Также в двадцатку наиболее распространенных в интернете вредоносных программ попали Trojan-Dropper.Win32.Agent.ayqa, о котором мы говорили чуть выше, и еще один образец программ, нацеленных на кражу паролей к онлайн-играм, — Trojan-GameThief.Win32.Magania.bwsr.

Подводя итоги, событием месяца в интернете смело можно назвать массовое заражение легальных сайтов новыми версиями скриптового загрузчика Gumblar. Также наблюдается активное использование технологии разбиения вредоносных скриптов на несколько частей для усложнения их анализа и обнаружения.

Страны, в которых отмечено наибольшее количество попыток заражения через веб:[B]

Источник :kaspersky.ru

А вот свежие данные от drweb (данные от 5 ноября 2009 года)
Десятка самых популярных вирусов.

05.11.2009 00:00 - 05.11.2009 22:00
1 Trojan.DownLoad.47256 235030 (13.14%)
2 Trojan.MulDrop.40896 166088 (9.28%)
3 Trojan.Fakealert.5115 164350 (9.19%)
4 Trojan.Packed.683 134764 (7.53%)
5 Trojan.Fakealert.5238 123120 (6.88%)
6 Trojan.DownLoad.50246 94810 (5.30%)
7 Win32.HLLM.Netsky.35328 92717 (5.18%)
8 Trojan.Fakealert.5825 80560 (4.50%)
9 Trojan.DownLoad.37236 76200 (4.26%)
10 Trojan.Fakealert.5437 58900 (3.29%)

Что же касается ESET, то в сентябре 2009 года лидировали следующие вредоносные программы.


В мировом рейтинге зафиксировано увеличение вредоносного ПО, распространяющегося с помощью съемных носителей. На сегодняшний день угрозы INF/Autorun находятся на второй позиции рейтинга (7,53%). Высокий процент заражений autorun-угрозами отмечен в Объединенных Арабских Эмиратах (7,36%), в Израиле (4,99%), Латвии (4,97%) и Литве (5,45%).

Первое место по-прежнему сохраняет червь Conficker (8,76%). Сегодня это угроза номер один в России (17,95%), на Украине (27,03%), в Румынии (13,64%), Болгарии (13,63%), Сербии (8,82%), Италии (7,51%), Великобритании (5,5%) и Австрии (2,83%). Также в сентябре зафиксирован резкий скачок числа инфицированных червем Conficker компьютеров в ЮАР. Количество заражений увеличилось на 100% по сравнению с предыдущим месяцем и составило 18,51%. В российской вирусной двадцатке традиционно первое и второе место занимают версии червя Win32/Conficker.AA (7,68%) и Win32/Conficker.AE (4,68%) соответственно.

Другой мировой тенденцией, отмеченной в сентябре, стало сокращение вредоносного ПО для online-игр, например, для Second Life. Несмотря на это, процент заражений все еще достаточно высок - 6,36%. Трояны-кейлогеры семейства Win32/PSW.OnLineGames занимают третье место в мировом вирусном рейтинге.

В сентябре широкое распространение получили программы семейства Win32/Agent, используемые злоумышленниками для кражи информации с инфицированных компьютеров. Процент заражений составил 3,46%. Данное ПО стало угрозой номер один в Дании (3,32%), большое количество инфицированных компьютеров также было отмечено в Швеции (2,75%) и в России (3,74%).

Двадцать самых распространенных угроз в России в сентябре 2009:
Win32/Conficker.AA - 7,68%
Win32/Conficker.AE - 4,68%
INF/Autorun - 4,35%
Win32/Agent - 3,74%
Win32/Spy.Ursnif.A - 3,44%
INF/Conficker - 2,88%
INF/Autorun.gen - 2,81%
Win32/Conficker.Gen - 1,78%
Win32/Qhost - 1,59%
Win32/Conficker.X - 1,54%
Win32/Genetik - 1,31%
Win32/Tifaut.C - 1,31%
Win32/AutoRun.KS - 1,21%
Win32/Induc.A - 1,09%
Win32/AutoRun.FakeAlert.M - 0,98%
Win32/Conficker.AB - 0,96%
Win32/Conficker.AL - 0,90%
Win32/Conficker.Gen~alg - 0,87%
Win32/Sality~alg - 0,81%
Win32/IRCBot.AMC - 0,73%
Десять самых распространенных угроз в мире в сентябре 2009:
Win32/Conficker - 8,76%
INF/Autorun - 7,53%
Win32/PSW.OnLineGames - 6,36%
Win32/Agent - 3,46%
INF/Conficker - 1,99%
Win32/Qhost - 1,42%
Win32/Pacex - 1,34%
Win32/TrojanDownloader.Swizzor - 1,13%
Win32/Autorun - 0,78%
WMA/TrojanDownloader.GetCodec - 0,77%
comments powered by Disqus