«Лаборатория Касперского»: вирусная активность декабря

06 января 2010, 02:25

«Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ в декабре.

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним. Число после названия вируса – количество зараженных компьютеров.

1. Net-Worm.Win32.Kido.ir. 265622
2. Net-Worm.Win32.Kido.iq. 211101
3. Net-Worm.Win32.Kido.ih. 145364
4. Virus.Win32.Sality.aa. 143166
5. Worm.Win32.FlyStudio.cu. 101743
6. not-a-virus:AdWare.Win32.GamezTar.a. 63898
7. not-a-virus:AdWare.Win32.Boran.z. 61156
8. Trojan-Downloader.Win32.VB.eql. 61022
9. Trojan-Downloader.WMA.GetCodec.s. 56364
10. Trojan.Win32.Swizzor.c. 54811
11. Trojan-GameThief.Win32.Magania.cpct. 42676
12. Virus.Win32.Virut.ce. 45127
13. Virus.Win32.Induc.a. 37132
14. Trojan-Dropper.Win32.Flystud.yo. 33614
15. Packed.Win32.Krap.ag. 31544
16. Packed.Win32.Black.a. 31340
17. Worm.Win32.Mabezat.b. 31020
18. Packed.Win32.Klone.bj. 28814
19. Packed.Win32.Black.d. 28560
20. Worm.Win32.AutoRun.dui. 28551

Первая двадцатка традиционно стабильна. Напомним, что Krap.ag, как и другие представители Packed, является детектированием упаковщика вредоносных программ, в данном случае – фальшивых антивирусов. Абсолютные показатели этого зловреда также несколько возросли, что говорит об актуальности псевдоантивирусов и неутомимости использующих их в своих преступных схемах злоумышленников, которым эффективное распространение таких программ приносит существенный доход.

Заметным новичком в декабре является рекламная программа GamezTar.a, занявшая 6-е место в рейтинге. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливает несколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента.

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей. Число после названия вируса – количество уникальных попыток загрузки данной модификации зловреда.

1. Trojan-Downloader.JS.Gumblar.x. 445881
2. Trojan.JS.Redirector.l. 178902
3. not-a-virus:AdWare.Win32.GamezTar.a. 165678
4. Trojan-Downloader.HTML.IFrame.sz. 134215
5. Trojan-Clicker.JS.Iframe.db. 128093
6. not-a-virus:AdWare.Win32.Boran.z. 109256
7. Trojan.JS.Iframe.ez. 91737
8. Trojan.JS.Zapchast.bn. 64756
9. Packed.JS.Agent.bn. 60361
10. Packed.Win32.Krap.ai. 43042
11. Packed.Win32.Krap.ag. 41731
12. Exploit.JS.Pdfka.asd. 36044
13. Trojan.JS.Agent.axe. 35309
14. Trojan-Downloader.JS.Shadraem.a. 35187
15. Trojan.JS.Popupper.f. 33745
16. not-a-virus:AdWare.Win32.GamezTar.b. 33266
17. Trojan-Downloader.JS.Twetti.a. 30368
18. Trojan-Downloader.Win32.Lipler.iml. 28634
19. Trojan-Downloader.JS.Kazmet.d. 28374
20. Trojan.JS.Agent.axc. 26198

Во второй двадцатке, в отличие от достаточно стабильной первой, всего лишь четверть участников удержали свои позиции, один вернулся, а в остальном рейтинг коренным образом изменился. Лидером по-прежнему является Gumblar.x. Зараженные им сайты постепенно очищаются вебмастерами – число уникальных попыток загрузки в декабре более чем в 3 раза меньше, чем в ноябре.

Наиболее интересным образцом творчества злоумышленников оказался Trojan-Downloader.JS.Twetti.a (17-е место), которым было заражено множество легитимных сайтов. Алгоритм работы этого загрузчика достоин внимания. После расшифровки в нем не оказалось ни ссылки на основной исполняемый файл, ни эксплойтов или ссылок на них! В процессе анализа выяснилось, что скрипт использует API (интерфейс программирования приложения) популярной, в том числе и у злоумышленников, социальной сети Twitter.

Схема работы троянца следующая: формируется запрос к API, результатом которого являются данные по так называемым «трендам» – наиболее обсуждаемым темам в Twitter. Из полученных данных впоследствии формируется псевдослучайное доменное имя, которое злоумышленники регистрируют заранее, получив его по аналогичному алгоритму, и выполняется скрытый переход на него. На этом домене и располагается основная вредоносная часть, будь то PDF-эксплойт или исполняемый файл. Таким образом, формирование вредоносной ссылки и переход на нее осуществляется “на лету” через посредника, которым как раз и является Twitter.

Интересно отметить, что зловреды Packed.JS.Agent.bn и Trojan-Downloader.JS.Twetti.a для заражения компьютера пользователя используют специально сформированный PDF-файл, который детектируется как Exploit.JS.Pdfka.asd и который также попал в рейтинг (12-е место). То есть, по мнению экспертов «Лаборатории Касперского», можно легко предположить, что по меньшей мере три популярных зловреда декабря – дело рук одной киберпреступной группировки. Более того, среди исполняемых файлов, которые в итоге drive-by атаки загружаются на компьютеры-жертвы, были замечены представители семейств TDSS, Sinowal и Zbot, которые являются одними из наиболее серьезных из существующих сейчас угроз, что тоже наводит на определенные размышления.

С полной версией отчета можно ознакомиться на сайте разработчика.

Ранее редакция THG рассказывала о Kaspersky Open Space Security R2 – новой линейке продуктов, обеспечивающих безопасность корпоративных информационных инфраструктур. Этот программный комплекс обладает широким функционалом, расширяемым за счёт модульной структуры. При этом управление максимально упрощено, ну а в надёжности продуктов «Лаборатории Касперского» сомневаться не приходится. Подробнее о Kaspersky Open Space Security читайте в нашем обзоре.