Вирусный рейтинг сентября

«Лаборатория Касперского» опубликовала очередной рейтинг вредоносных программ, показывающий вирусную обстановку картину в сентябре 2009 года.

1. Net-Worm.Win32.Kido.ih.
2. Virus.Win32.Sality.aa.
3. not-a-virus:AdWare.Win32.Boran.z.
4. Net-Worm.Win32.Kido.ir.
5. Trojan-Downloader.Win32.VB.eql.
6. Trojan.Win32.Autoit.ci.
7. Virus.Win32.Induc.a.
8. Virus.Win32.Virut.ce.
9. P2P-Worm.Win32.Palevo.jdb.
10. Net-Worm.Win32.Kido.jq.
11. Worm.Win32.FlyStudio.cu.
12. Worm.Win32.AutoRun.dui.
13. Virus.Win32.Sality.z.
14. P2P-Worm.Win32.Palevo.jaj.
15. Worm.Win32.Mabezat.b.
16. Exploit.JS.Pdfka.ti.
17. Trojan-Downloader.WMA.Wimad.y.
18. Trojan-Dropper.Win32.Flystud.yo.
19. P2P-Worm.Win32.Palevo.jcn.
20. Trojan.Win32.Refroso.bpk.

Как видно из рейтинга, Kido всё ещё активен: помимо лидера последних двадцаток Kido.ih в список попал новичок Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.
Довольно быстро распространяется червь Palevo — в сентябрьскую двадцатку попали ещё две новых версии этого вирусы: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска – Palevo.jaj – поднялся сразу на 6 пунктов вверх. Такие высокие позиции эти две вредоносные программы заняли в основном благодаря распространению через сменные носители, что говорит о том, что такой способ распространения до сих пор является одним из наиболее эффективных.
Подтверждает это и червь китайского происхождения – FlyStudio.cu, который также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.
Среди новичков этого месяца — новая версия уже появлявшегося в рейтингах мультимедийного загрузчика Wimad – Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.
Ещё один дебютант – Exploit.JS.Pdfka.ti – ухитрился попасть сразу в два рейтинга, поэтому — о нём чуть ниже.

1. not-a-virus:AdWare.Win32.Boran.z.
2. Trojan.JS.Redirector.l.
3. Trojan-Downloader.HTML.IFrame.sz.
4. Exploit.JS.Pdfka.ti.
5. Trojan-Clicker.HTML.Agent.aq.
6. Trojan-Downloader.JS.Major.c.
7. Trojan-Downloader.JS.Gumblar.a.
8. Exploit.JS.ActiveX.as.
9. Trojan-Downloader.JS.LuckySploit.q.
10. Trojan-GameThief.Win32.Magania.biht.
11. Exploit.JS.Agent.ams.
12. Trojan-Downloader.JS.IstBar.bh.
13. Trojan-Downloader.JS.Psyme.gh.
14. Exploit.JS.Pdfka.vn.
15. Exploit.JS.DirektShow.a.
16. Exploit.JS.DirektShow.k.
17. not-a-virus:AdWare.Win32.Shopper.l.
18. not-a-virus:AdWare.Win32.Shopper.v.
19. Trojan-Clicker.JS.Agent.jb.
20. Exploit.JS.Sheat.f.

Во второй двадцатке традиционно много обновлений. так, в неё попали сразу два представителя семейства Exploit.JS.Pdfka: под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае – в Adobe Reader).
Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. А Pdfka.vn использует уязвимость посвежее – в функции getIcon того же объекта Collab.
Все уязвимости в продуктах Adobe, которых за последние годы было обнаружено довольно много, злоумышленники пытаются массово эксплуатировать – вне зависимости от версии продукта, для большей вероятности загрузки на пользовательские компьютеры основного зловреда. Ведь всегда есть вероятность, что какое-то количество пользователей не обновили программные продукты. Поэтому в очередной раз рекомендуем своевременно обновлять крупные и популярные программные пакеты, в частном случае – производства компании Adobe.
«Герои» прошлых месяцев – Exploit.JS.DirektShow и Exploit.JS.Sheat – всё ещё активны: в рейтинг вернулся DirektShow.a и вошёл Sheat.f.
Прочие новички во второй таблице – это или тривиальные iframe-кликеры, или части одного зловредного скрипта.

В целом ситуация на вирусном фронте не изменилась. Количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах. А доступом к этим сайтам киберпреступники обладают в результате уже произведённых заражений с помощью вредоносных программ, похищающих конфиденциальные данные. И здесь круг замыкается.
Страны, в которых отмечено наибольшее количество попыток заражения через веб:

image001


Рекомендуем почитать: