Subscribe feed

ЛК: Шкоднаснае ПА у верасні 2009 гады

8 кастрычніка 2009

«Лабараторыя Касперскага» апублікавала рэйтынг шкоднасных праграм за верасень 2009 г., а менавіта – дзве вірусныя дваццаткі.

Агульныя паказчыкі абедзвюх дваццатак некалькі знізіліся – па інфармацыі «Лабараторыі Касперскага», гэта звязана з запускам новай лініі прадуктаў KAV/KIS (Kaspersky Anti-Virus/Kaspersky Internet Security): шматлікія карыстачы перайшлі на новую версію. Як толькі статыстыка KSN (Kaspersky Security Network) у новых версіях стабілізуецца, яна будзе ўключаная ў штомесячны рэйтынг.

Першая ўяўляе сабой рэйтынг самых распаўсюджаных шкоднасных, рэкламных і патэнцыйна небяспечных праграм па ліку кампутараў, на якіх яны былі выяўленыя:

1. Net-Worm.Win32.Kido.ih

2. Virus.Win32.Sality.aa

3. not-a-virus:AdWare.Win32.Boran.z

4. Net-Worm.Win32.Kido.ir

5. Trojan-Downloader.Win32.VB.eql

6. Trojan.Win32.Autoit.ci

7. Virus.Win32.Induc.a

8. Virus.Win32.Virut.ce

9. P2P-Worm.Win32.Palevo.jdb

10. Net-Worm.Win32.Kido.jq

11. Worm.Win32.FlyStudio.cu

12. Worm.Win32.AutoRun.dui

13. Virus.Win32.Sality.z

14. P2P-Worm.Win32.Palevo.jaj

15. Worm.Win32.Mabezat.b

16. Exploit.JS.Pdfka.ti

17. Trojan-Downloader.WMA.Wimad.y

18. Trojan-Dropper.Win32.Flystud.yo

19. P2P-Worm.Win32.Palevo.jcn

20. Trojan.Win32.Refroso.bpk

Як відаць з табліцы, Kido усё яшчэ актыўны. Акрамя лідэра апошніх дваццатак Kido.ih, з'явіўся пачатковец – Kido.ir. Пад гэтым імем дэтэктуюцца ўсё autorun.inf-файлы, якія чарвяк стварае для распаўсюджвання з дапамогай пераносных носьбітаў.

Даволі хутка распаўсюджваецца чарвяк Palevo, у вераснёвай дваццатцы з'явіліся яшчэ дзве новых версіі гэтага зловреда: Palevo.jdb і Palevo.jcn. А пачатковец мінулага выпуску – Palevo.jaj – падняўся адразу на 6 пунктаў уверх, чаго не змог зрабіць ні адзін з астатніх удзельнікаў рэйтынгу. Такія высокія пазіцыі гэтыя дзве шкоднасныя праграмы занялі, у асноўным, дзякуючы распаўсюджванню праз зменныя носьбіты, што кажа аб тым, што такі спосаб распаўсюджвання з'яўляецца адным з найболей эфектыўных дагэтуль, адзначылі ў «Лабараторыі Касперскага». Чарвяк кітайскага паходжання – FlyStudio.cu – таксама распаўсюджваецца праз зменныя носьбіты. У астатнім жа дадзены зловред валодае самым папулярным на сённяшні дзень backdoor-функцыяналам.

Сярод пачаткоўцаў мы бачым новую версію ўжо які з'яўляўся ў рэйтынгах мультымедыйнага загрузніка Wimad – Trojan-Downloader.WMA.Wimad.y. Прынцыпова яна нічым не адрозніваецца ад сваіх папярэднікаў: пры запуску па-ранейшаму адбываецца запыт на загрузку шкоднаснага файла. У дадзеным выпадку гэта not-a-virus:AdWare.Win32.PlayMP3z.a.

Найболей прыкметнымі ў першай табліцы з'яўляюцца самораспространяющиеся зловреды – тэндэнцыя да ўзмацнення іх уплыву захоўваецца, адзначаецца ў справаздачы кампаніі.

Другая дваццатка падае дадзеныя аб тым, якімі шкоднаснымі праграмамі часцей за ўсё заражаныя выяўленыя на кампутарах карыстачоў інфікаваныя аб'екты:

1. not-a-virus:AdWare.Win32.Boran.z

2. Trojan.JS.Redirector.l

3. Trojan-Downloader.HTML.IFrame.sz

4. Exploit.JS.Pdfka.ti

5. Trojan-Clicker.HTML.Agent.aq

6. Trojan-Downloader.JS.Major.c

7. Trojan-Downloader.JS.Gumblar.a

8. Exploit.JS.ActiveX.as

9. Trojan-Downloader.JS.LuckySploit.q

10. Trojan-GameThief.Win32.Magania.biht

11. Exploit.JS.Agent.ams

12. Trojan-Downloader.JS.IstBar.bh

13. Trojan-Downloader.JS.Psyme.gh

14. Exploit.JS.Pdfka.vn

15. Exploit.JS.DirektShow.a

16. Exploit.JS.DirektShow.k

17. not-a-virus:AdWare.Win32.Shopper.l

18. not-a-virus:AdWare.Win32.Shopper.v

19. Trojan-Clicker.JS.Agent.jb

20. Exploit.JS.Sheat.f

У другой дваццатцы па-ранейшаму шмат абнаўленняў. Тут адразу два прадстаўніка сямейства Exploit.JS.Pdfka (Exploit.JS.Pdfka.ti прысутнічае таксама і ў першай дваццатцы): пад такім імем дэтэктуюцца JavaScript-файлы, якія ўтрымоўваюцца ўсярэдзіне PDF-дакументаў і выкарыстаюць розныя ўразлівасці ў прадуктах Adobe (у дадзеным выпадку – у Adobe Reader). Pdfka.ti выкарыстае папулярную ўразлівасць двухгадовай даўнасці ў функцыі Collab.collectEmailInfo. У сваю чаргу, Pdfka.vn выкарыстае ўразлівасць ужо навейшы – у функцыі getIcon таго жа аб'екта Collab.

«Героі» мінулых выпускаў – Exploit.JS.DirektShow і Exploit.JS.Sheat – усё яшчэ актыўныя: DirektShow.a вярнуўся ў рэйтынг і з'явіўся Sheat.f.

Іншыя пачаткоўцы ў другой табліцы – гэта або трывіяльныя iframe-кликеры, або часткі аднаго шкоднага скрыпту.

Паводле высноў аўтараў справаздачы, колькасць вэб-пакетаў шкодных праграм, выкарыстоўвалых разнастайныя ўразлівасці ў буйных прадуктах, працягвае расці, адчыняючы зламыснікам шырокае поле для наступнай дзейнасці. Іх распаўсюджванню спрыяюць найпростыя iframe-кликеры, размешчаныя на заражаных легальных сайтах, а доступам да гэтых сайтаў кіберзлачынцы валодаюць у выніку ўжо вырабленых заражэнняў з дапамогай шкоднасных праграм, похищающих канфідэнцыйныя дадзеныя.

Найбольшая колькасць спроб заражэння праз вэб у верасні 2009 г. «Лабараторыяй Касперскага» зафіксавана ў: Кітаі (31,3%), ЗША (15,7%), Расеі (8,3%), Індыі (5,3%), В'етнаме (3,2%). На астатнія краіны прыйшлося 36,2% ад агульнага ліку спроб заражэння.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100