5 Ноября, 2009

Рейтинг вредоносных программ, октябрь 2009

sergey Terentyev
Данный рейтинг я публикую используя рейтинги вредоносных программ таких известных разработчиков антивирусов как Kaspersky,Dr.Web,Eset.

«Лаборатория Касперского» представляет следующий список вредоносных программ которые были наиболее широко распространены в октябре.

Итак в первой списке отображены те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.
Позиции Вредоносная программа Количество зараженных компьютеров
1 Net-Worm.Win32.Kido.ir 344745
2 Net-Worm.Win32.Kido.ih 126645
3 not-a-virus:AdWare.Win32.Boran.z 114776
4 Virus.Win32.Sality.aa 87839
5 Worm.Win32.FlyStudio.cu 70163
6 Trojan-Downloader.Win32.VB.eql 52012
7 Virus.Win32.Induc.a 49251
8 Packed.Win32.Black.d 39666
9 Worm.Win32.AutoRun.awkp 35039
10 Virus.Win32.Virut.ce 33354
11 Packed.Win32.Black.a 31530
12 Worm.Win32.AutoRun.dui 25370
13 Trojan-Dropper.Win32.Flystud.yo 24038
14 Trojan-Dropper.Win32.Agent.bcyx 22471
15 Packed.Win32.Klone.bj 21919
16 Trojan.Win32.Swizzor.b 19496
17 Trojan-Downloader.WMA.GetCodec.s 18571
18 Worm.Win32.Mabezat.b 19708
19 Trojan-GameThief.Win32.Magania.cbrt 17610
20 Trojan-Dropper.Win32.Agent.ayqa 16909



Впервые заявивший о себе в сентябре Net-Worm.Win32.Kido.ir занял лидирующую позицию в TOP 20, вытеснив нашего постоянного чемпиона Kido.ih, что в очередной раз подтверждает тот факт, что зараженные переносные носители — один из главных источников вредоносных программ на компьютерах пользователей. Я и сам в одно время подхватил этого червя.Причем лечить зараженные файлы касперский напрочь отказался, в результате пришлось их удалить.

Ну а теперь перейдем к флешкам: к стабильному участнику — червю Autorun.dui присоединился аналогичный Autorun.awkp, выйдя сразу на 9 место. Под этими именами также скрываются вредоносные файлы, которые осуществляют автозапуск зловредов на съемных носителях.

В этом месяце мы видим возвращение старых участников первой двадцатки — Packed.Win32.Black.a, Packed.Win32.Klone.bj и Trojan.Win32.Swizzor.b. Кроме того, к Black.a добавилась новая версия — Black.d. Напомним, что к семейству Packed.Win32.Black принадлежат программы, которые были упакованы с использованием нелицензионных версий легальных утилит для защиты исполняемых файлов. В данном случае — это популярный у злоумышленников ASProtect.

Мультимедийный загрузчик GetCodec.s — это родной брат GetCodec.r, о котором мы писали еще в декабре прошлого года: он распространяется с помощью того же червя P2P-Worm.Win32.Nugg.

Некогда очень известное семейство Magania вновь активизировалось — в июле Trojan-GameThief.Win32.Magania.biht попал в TOP 20 наиболее распространенных в интернете вредоносных программ. В октябре новая версия — Magania.cbrt, — а также связанный с этим семейством Trojan-Dropper.Win32.Agent.ayqa попали в число 20 вредоносных программ, чаще всего обнаруживаемых на компьютерах пользователей.

По итогам месяца мы наблюдаем по-прежнему активное распространение вредоносных программ с помощью съемных цифровых носителей, а также пока незначительную, но уже заметную активизацию игровых троянцев.

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц на компьютеры пользователей.

Во этой двадцатке, как обычно, все пестро и свежо.
Позиция Вредоносная программа Количество попыток загрузки
1 Trojan-Downloader.JS.Gumblar.x 459779
2 Trojan-Downloader.JS.Gumblar.w 281057
3 Trojan-Downloader.HTML.IFrame.sz 192063
4 not-a-virus:AdWare.Win32.Boran.z 171278
5 Trojan.JS.Redirector.l 157494
6 Trojan-Clicker.HTML.Agent.aq 118361
7 Trojan-Downloader.JS.Zapchast.m 112710
8 Trojan.JS.Agent.aat 107132
9 Trojan-Downloader.JS.Small.oj 60425
10 Exploit.JS.Agent.apw 50939
11 Exploit.JS.Pdfka.ti 46303
12 Trojan.JS.Popupper.f 39204
13 Trojan-Downloader.JS.IstBar.bh 34944
14 Trojan.JS.Zapchast.an 30546
15 Trojan-Downloader.JS.LuckySploit.q 29105
16 Trojan-Downloader.JS.Agent.env 27405
17 Trojan-Dropper.Win32.Agent.ayqa 26994
18 Trojan-Clicker.HTML.IFrame.mq 26057
19 Trojan-GameThief.Win32.Magania.bwsr 26032
20 Exploit.JS.Agent.anr 25517


Первые два места по достоинству отхватили новые версии нашумевшего в мае этого года скриптового загрузчика Gumblar, которые появились под конец месяца и сразу же вышли на лидирующие позиции.

В новых версиях Gumblar технология заражения веб-сайтов стала более изощренной. В первой версии веб-страницы легальных сайтов заражались непосредственно телом скрипта, с помощью которого незаметно для посетителя зараженной страницы исполнялся скрипт, расположенный на сайте злоумышленников. Теперь же на взломанных ресурсах размещаются ссылки на зловредные скрипты, расположенные на других легальных зараженных ресурсах, что несколько усложняет процесс анализа и обезвреживания вредоносной сети. Сам скрипт пытается эксплуатировать несколько уязвимостей в Adobe Acrobat/Reader ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659 , http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992 , http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927) , Adobe Flash Player ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071) , Microsoft Office ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) для загрузки основной вредоносной программы — Trojan-PSW.Win32.Kates.j. Некоторые варианты скриптов содержат вышеупомянутого троянца в своем теле, а при исполнении пытаются загрузить Kates.j на компьютер пользователя и сразу прописать в автозапуск. Основной целью заражения является кража конфиденциальных пользовательских данных, в том числе данных для доступа к веб-сайтам пользователя — для их последующих заражений.

Надо сказать, что атака с использованием Gumblar была спланирована довольно тщательно, однако в первые же дни нашими специалистами было оперативно добавлено детектирование для всех частей преступного паззла.

Прием разбиения вредоносного скрипта на части становится все более популярным. В этом месяце из 20 попавших в ТOP зловредов четверть разработана по такому принципу: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, Trojan-Downloader.JS.Agent.env.

Также в двадцатку наиболее распространенных в интернете вредоносных программ попали Trojan-Dropper.Win32.Agent.ayqa, о котором мы говорили чуть выше, и еще один образец программ, нацеленных на кражу паролей к онлайн-играм, — Trojan-GameThief.Win32.Magania.bwsr.

Подводя итоги, событием месяца в интернете смело можно назвать массовое заражение легальных сайтов новыми версиями скриптового загрузчика Gumblar. Также наблюдается активное использование технологии разбиения вредоносных скриптов на несколько частей для усложнения их анализа и обнаружения.

Страны, в которых отмечено наибольшее количество попыток заражения через веб:[B]

Источник :kaspersky.ru

А вот свежие данные от drweb (данные от 5 ноября 2009 года)
Десятка самых популярных вирусов.

05.11.2009 00:00 - 05.11.2009 22:00
1 Trojan.DownLoad.47256 235030 (13.14%)
2 Trojan.MulDrop.40896 166088 (9.28%)
3 Trojan.Fakealert.5115 164350 (9.19%)
4 Trojan.Packed.683 134764 (7.53%)
5 Trojan.Fakealert.5238 123120 (6.88%)
6 Trojan.DownLoad.50246 94810 (5.30%)
7 Win32.HLLM.Netsky.35328 92717 (5.18%)
8 Trojan.Fakealert.5825 80560 (4.50%)
9 Trojan.DownLoad.37236 76200 (4.26%)
10 Trojan.Fakealert.5437 58900 (3.29%)

Что же касается ESET, то в сентябре 2009 года лидировали следующие вредоносные программы.


В мировом рейтинге зафиксировано увеличение вредоносного ПО, распространяющегося с помощью съемных носителей. На сегодняшний день угрозы INF/Autorun находятся на второй позиции рейтинга (7,53%). Высокий процент заражений autorun-угрозами отмечен в Объединенных Арабских Эмиратах (7,36%), в Израиле (4,99%), Латвии (4,97%) и Литве (5,45%).

Первое место по-прежнему сохраняет червь Conficker (8,76%). Сегодня это угроза номер один в России (17,95%), на Украине (27,03%), в Румынии (13,64%), Болгарии (13,63%), Сербии (8,82%), Италии (7,51%), Великобритании (5,5%) и Австрии (2,83%). Также в сентябре зафиксирован резкий скачок числа инфицированных червем Conficker компьютеров в ЮАР. Количество заражений увеличилось на 100% по сравнению с предыдущим месяцем и составило 18,51%. В российской вирусной двадцатке традиционно первое и второе место занимают версии червя Win32/Conficker.AA (7,68%) и Win32/Conficker.AE (4,68%) соответственно.

Другой мировой тенденцией, отмеченной в сентябре, стало сокращение вредоносного ПО для online-игр, например, для Second Life. Несмотря на это, процент заражений все еще достаточно высок - 6,36%. Трояны-кейлогеры семейства Win32/PSW.OnLineGames занимают третье место в мировом вирусном рейтинге.

В сентябре широкое распространение получили программы семейства Win32/Agent, используемые злоумышленниками для кражи информации с инфицированных компьютеров. Процент заражений составил 3,46%. Данное ПО стало угрозой номер один в Дании (3,32%), большое количество инфицированных компьютеров также было отмечено в Швеции (2,75%) и в России (3,74%).

Двадцать самых распространенных угроз в России в сентябре 2009:
Win32/Conficker.AA - 7,68%
Win32/Conficker.AE - 4,68%
INF/Autorun - 4,35%
Win32/Agent - 3,74%
Win32/Spy.Ursnif.A - 3,44%
INF/Conficker - 2,88%
INF/Autorun.gen - 2,81%
Win32/Conficker.Gen - 1,78%
Win32/Qhost - 1,59%
Win32/Conficker.X - 1,54%
Win32/Genetik - 1,31%
Win32/Tifaut.C - 1,31%
Win32/AutoRun.KS - 1,21%
Win32/Induc.A - 1,09%
Win32/AutoRun.FakeAlert.M - 0,98%
Win32/Conficker.AB - 0,96%
Win32/Conficker.AL - 0,90%
Win32/Conficker.Gen~alg - 0,87%
Win32/Sality~alg - 0,81%
Win32/IRCBot.AMC - 0,73%
Десять самых распространенных угроз в мире в сентябре 2009:
Win32/Conficker - 8,76%
INF/Autorun - 7,53%
Win32/PSW.OnLineGames - 6,36%
Win32/Agent - 3,46%
INF/Conficker - 1,99%
Win32/Qhost - 1,42%
Win32/Pacex - 1,34%
Win32/TrojanDownloader.Swizzor - 1,13%
Win32/Autorun - 0,78%
WMA/TrojanDownloader.GetCodec - 0,77%
или введите имя

CAPTCHA