Рейтинг вирусов в августе

«Лаборатория Касперского» опубликовала очередной рейтинг вредоносных программ, сформированный по итогам работы Kaspersky Security Network в августе 2009 года.
В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер.
1. Net-Worm.Win32.Kido.ih.
2. Virus.Win32.Sality.aa.
3. not-a-virus:AdWare.Win32.Boran.z.
4. Trojan-Downloader.Win32.VB.eql.
5. Trojan.Win32.Autoit.ci.
6. Virus.Win32.Virut.ce.
7. Worm.Win32.AutoRun.dui.
8. Net-Worm.Win32.Kido.jq.
9. Virus.Win32.Sality.z.
10. Virus.Win32.Induc.a.
11. Worm.Win32.Mabezat.b.
12. Net-Worm.Win32.Kido.ix.
13. Packed.Win32.Klone.bj.
14. Trojan.Win32.Swizzor.b.
15. Packed.Win32.Katusha.b.
16. Worm.Win32.AutoIt.i.
17. not-a-virus:AdWare.Win32.Shopper.v.
18. Trojan-Dropper.Win32.Flystud.yo.
19. Email-Worm.Win32.Brontok.q.
20. P2P-Worm.Win32.Palevo.jaj.

Лидеры рейтинга прошлых месяцев – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – и в августе сохранили свои позиции, зато в первой двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.
Наиболее интересен Virus.Win32.Induc.a. Для своего размножения он использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы (подробнее см. здесь). Учитывая, что множество программных продуктов ещё на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга.
Ещё выше — сразу на третьей позиции — в рейтинге оказался другой новичок ‑ not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нём используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.
Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих вирусов, ранее попадавших в наш рейтинг.
Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник ‑ Palevo.jaj, занявший последнюю позицию в рейтинге. Этот довольно опасный «зверёк», помимо распространения по файлообменным сетям, заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него есть backdoor-функционал, который позволяет злоумышленнику гибко управлять заражёнными компьютерами.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в Интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те вирусы, которые делали попытку загрузиться с веб-страниц.

1. not-a-virus:AdWare.Win32.Boran.z.
2. Trojan-Downloader.HTML.IFrame.sz.
3. Trojan.JS.Redirector.l.
4. Trojan-Downloader.JS.Gumblar.a.
5. Trojan-Clicker.HTML.Agent.w.
6. Exploit.JS.DirektShow.k.
7. Trojan-GameThief.Win32.Magania.biht.
8. Trojan-Downloader.JS.LuckySploit.q.
9. Trojan-Clicker.HTML.IFrame.kr.
10. Trojan-Downloader.JS.Major.c.
11. Exploit.JS.Sheat.c.
12. Trojan-Downloader.JS.FraudLoad.d.
13. Trojan-Clicker.HTML.IFrame.mq.
14. Trojan.JS.Agent.aat.
15. Exploit.JS.DirektShow.j.
16. Trojan-Downloader.JS.IstBar.bh.
17. Trojan-Downloader.JS.Iframe.bmu.
18. Exploit.JS.DirektShow.l.
19. Exploit.JS.DirektShow.q.
20. Trojan-Downloader.Win32.Agent.ckwd.

Вторая двадцатка в августе больше чем наполовину состоит из новых образцов. На первом месте ‑ уже упоминавшийся выше not-a-virus:AdWare.Win32.Boran.z. Также в рейтинг попали сразу четыре модификации вируса Exploit.JS.DirektShow, использующего уязвимость браузера Internet Explorer.
Использовалась вирусописателями и уязвимость в пакете Microsoft Office: одна из модификаций эксплойта для этой уязвимости, Exploit.JS.Sheat, заняла 11 место в рейтинге.
Поддельный антивирус Trojan-Downloader.JS.FraudLoad.d при посещении сайта, на котором он размещен, извещает пользователя о том, что его компьютер якобы заражён множеством вредных программ, и предлагает их удалить. Если пользователь соглашается, ему на компьютер загружается FraudTool.
Троян Redirector.l перенаправляет поисковые запросы пользователя на определённые серверы для накрутки числа посещений, а загрузчик Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.
В общем, злоумышленники по-прежнему активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры.
Будьте бдительные, уважаемые читатели!


Рекомендуем почитать: