Subscribe feed

ЛК: Шкоднаснае ПА у жніўні 2009 гады

4 верасня 2009

«Лабараторыя Касперскага» апублікавала рэйтынг шкоднасных праграм, складзены па выніках працы Kaspersky Security Network у жніўні 2009 г. Кампаніяй прадстаўленыя дзве вірусныя дваццаткі.

У першай табліцы зафіксаваныя тыя шкоднасныя, рэкламныя і патэнцыйна небяспечныя праграмы, якія былі детектированы і абясшкоджаныя пры першым звароце да іх — гэта значыць у рамках працы праграмнага кампанента on-access-сканар:

1. Net-Worm.Win32.Kido.ih 0 48281

2. Virus.Win32.Sality.aa 0 23156

3. not-a-virus:AdWare.Win32.Boran.z New 16872

4. Trojan-Downloader.Win32.VB.eql -1 8030

5. Trojan.Win32.Autoit.ci -1 7846

6. Virus.Win32.Virut.ce 0 6248

7. Worm.Win32.AutoRun.dui -2 5516

8. Net-Worm.Win32.Kido.jq 0 5446

9. Virus.Win32.Sality.z -2 5157

10. Virus.Win32.Induc.a New 4476

11. Worm.Win32.Mabezat.b -2 3982

12. Net-Worm.Win32.Kido.ix -2 3579

13. Packed.Win32.Klone.bj -1 3579

14. Trojan.Win32.Swizzor.b New 3327

15. Packed.Win32.Katusha.b New 3139

16. Worm.Win32.AutoIt.i -2 3076

17. not-a-virus:AdWare.Win32.Shopper.v 1 2947

18. Trojan-Dropper.Win32.Flystud.yo New 2745

19. Email-Worm.Win32.Brontok.q -2 2706

20. P2P-Worm.Win32.Palevo.jaj New 2664

Сталыя лідэры – Net-Worm.Win32.Kido.ih і Virus.Win32.Sality.aa – захавалі свае пазіцыі. У першай жнівеньскай дваццатцы з'явіліся адразу шэсць пачаткоўцаў, сярод якіх ёсць даволі характэрныя.

Найболей цікавы Virus.Win32.Induc.a, использвующий для свайго размнажэння механізм двухшагового стварэнні выкананых файлаў, рэалізаваны ў асяроддзі Delphi: зыходны код распрацоўваных прыкладанняў спачатку кампілюецца ў прамежкавыя .dcu-модулі, з якіх затым збіраюцца выкананыя ў Windows-файлы.

Адразу на трэцяй пазіцыі апынуўся іншы пачатковец – not-a-virus:AdWare.Win32.Boran.z – кампанент папулярнай у Кітаі панэлі прылад Baidu Toolbar для Internet Explorer. У ім выкарыстоўваюцца розныя руткит-тэхналогіі для цяжкасці выдалення гэтай панэлі карыстачом з дапамогай стандартных метадаў.

Trojan.Win32.Swizzor.b і Packed.Win32.Katusha.b, якія занялі адпаведна 14 і 15 месцы, – паслядоўнікі першых версій гэтых зловредов, раней што траплялі ў рэйтынг. Прычым абодва гэтыя пачаткоўца адрозніваюцца ўдасканаленымі ў параўнанні з мінулымі мадыфікацыямі метадамі абфускацыі (obfuscating – заблытванне кода праграмы для цяжкасці аналізу і шыфраванні) выкананага кода.

Які з'явіўся ў траўні чарвяка P2P-Worm.Win32.Palevo.ddm змяніў яго сваяк – Palevo.jaj, які заняў апошнюю пазіцыю ў рэйтынгу. Па дадзеных «Лабараторыі Касперскага», гэта даволі небяспечны зловред: акрамя распаўсюджвання па файлаабменных сетках, ён заражае зменныя носьбіты і рассылаецца па службах імгненных паведамленняў. Больш таго, у яго таксама ёсць вялікі backdoor-функцыянал, які дазваляе зламысніку гнутка кіраваць заражанымі кампутарамі.

Другая табліца складзеная на аснове дадзеных, атрыманых у выніку працы вэб-антывіруса, і характарызуе становішча ў інтэрнэце. У гэты рэйтынг патрапілі шкоднасныя праграмы, выяўленыя на вэб-старонках, а таксама тыя зловреды, якія рабілі спробу загрузіцца з вэб-старонак:

1. not-a-virus:AdWare.Win32.Boran.z New 16760

2. Trojan-Downloader.HTML.IFrame.sz 1 5228

3. Trojan.JS.Redirector.l New 4693

4. Trojan-Downloader.JS.Gumblar.a -3 4608

5. Trojan-Clicker.HTML.Agent.w New 4564

6. Exploit.JS.DirektShow.k New 4475

7. Trojan-GameThief.Win32.Magania.biht 0 4416

8. Trojan-Downloader.JS.LuckySploit.q -4 3416

9. Trojan-Clicker.HTML.IFrame.kr -7 3323

10. Trojan-Downloader.JS.Major.c -4 2688

11. Exploit.JS.Sheat.c New 2684

12. Trojan-Downloader.JS.FraudLoad.d New 2553

13. Trojan-Clicker.HTML.IFrame.mq -4 2367

14. Trojan.JS.Agent.aat -3 2246

15. Exploit.JS.DirektShow.j -3 2128

16. Trojan-Downloader.JS.IstBar.bh New 1973

17. Trojan-Downloader.JS.Iframe.bmu New 1933

18. Exploit.JS.DirektShow.l New 1838

19. Exploit.JS.DirektShow.q New 1753

20. Trojan-Downloader.Win32.Agent.ckwd New 1504

Другая дваццатка ў жніўні больш чым напалову складаецца з новых узораў творчасці зламыснікаў. На першым месцы – усё той жа not-a-virus:AdWare.Win32.Boran.z, які згадваецца вышэй.

Характэрна, што ў другую дваццатку жніўня патрапіла адразу чатыры мадыфікацыі эксплойта, выкарыстоўвалага ўразлівасць у Internet Explorer, тады як месяц назад у складзе рэйтынгу было ўсяго тры версіі таго жа эксплойта. Такім чынам, выкарыстанне гэтай уразлівасці захоўвае папулярнасць, склалі эксперты «Лабараторыі Касперскага».

Яшчэ адна ўразлівасць – зараз ужо ў прадукце Microsoft Office – у жніўні таксама актыўна выкарыстоўвалася зламыснікамі: адна з мадыфікацый эксплойта для гэтай уразлівасці, якая дэтэктуецца «Антывірусам Касперскага» як Exploit.JS.Sheat, заняла 11 месца ў рэйтынгу.

У інтэрнэце існуе мноства старонак, з якіх распаўсюджваюцца падробленыя антывірусы. Адзін з скрыптоў, з дапамогай якіх гэта робіцца, апынуўся на 12 месцы жнівеньскага рэйтынгу. «Антывірус Касперскага» дэтэктуе яго як Trojan-Downloader.JS.FraudLoad.d. Пры наведванні сайта, на якім размешчаны такі скрыпт, карыстача апавяшчаюць аб тым, што яго кампутар нібы заражаны мноствам шкодных праграм, і прапаноўваюць іх выдаліць. Калі карыстач згаджаецца, яму на кампутар загружаецца падроблены антывірус – FraudTool.

Функцыянальнасць траяна Redirector.l, які размясціўся на трэцім месцы спісу, складаецца ў перанакіраванні пошукавых запытаў карыстача на вызначаныя серверы для накруткі ліку наведванняў, загрузнік жа Iframe.bmu, які заняў 17 пазіцыю, з'яўляецца тыповым кантэйнерам, утрымоўвальным усярэдзіне сябе набор розных эксплойтаў, у дадзеным выпадку для прадуктаў Adobe.

Паводле высноў адмыслоўцаў «Лабараторыі Касперскага», тэндэнцыі ліпеня захоўваюцца – зламыснікі таксама актыўна выкарыстаюць уразлівасці да папулярных праграмных прадуктаў. Таксама вельмі дынамічна распаўсюджваюцца падробленыя антывірусы і трывіяльныя iframe-кликеры. Падобная сітуацыя, па здагадках адмыслоўцаў кампаніі, суцэль можа захавацца на нявызначаны перыяд часу.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100