Рейтинг вредоносных программ по версии "Касперского"

«Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ. По итогам работы Kaspersky Security Network в декабре 2009 года сформированы две вирусные двадцатки. В первой зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.
Заметным новичком в декабре является рекламная программа GamezTar.a. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливаетнесколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента. К слову, все эти компоненты описаны в правилах пользования (www.gameztar.com/terms.do), но пользователя обычно больше привлекает большая мигающая кнопка “click here, get free games”, чем неприметная надпись “terms ofservice” внизу экрана. Перед тем как скачивать ПО, рекомендуется читать подобные документы, если они присутствуют.
Вторая двадцатка характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц на компьютеры пользователей.
Наиболее интересным образцом творчества злоумышленников этого рейтинга оказался Trojan-Downloader.JS.Twetti.a (17-е место), которым было заражено множество легитимных сайтов. Алгоритм работы этого загрузчика достоин внимания. После расшифровки в нем не оказалось ни ссылки на основной исполняемый файл, ни эксплойтов или ссылок на них! В процессе анализа выяснилось, что скрипт использует API (интерфейс программирования приложения) популярной, в том числе и у злоумышленников, социальной сети Twitter.
Схема работы троянца следующая: формируется запрос к API, результатом которого являются данные по так называемым “трендам” — наиболее обсуждаемым темам в Twitter. Из полученных данных впоследствии формируется псевдослучайное доменное имя, которое злоумышленники регистрируют заранее, получив его по аналогичному алгоритму, и выполняется скрытый переход на него. На этом домене и располагается основная вредоносная часть, будь то PDF-эксплойт или исполняемый файл. Таким образом, формирование вредоносной ссылки ипереход на нее осуществляется “на лету” через посредника, которым как раз и является Twitter.

Полная версия отчета

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезвреженына компьютерах пользователей при первом обращении к ним.

ПозицияИзменение позицииВредоносная программаКоличество зараженных компьютеров
1  0Net-Worm.Win32.Kido.ir 265622  
2  0Net-Worm.Win32.Kido.iq 211101  
3  0Net-Worm.Win32.Kido.ih 145364  
4  0Virus.Win32.Sality.aa 143166  
5  0Worm.Win32.FlyStudio.cu 101743  
6  Newnot-a-virus:AdWare.Win32.GamezTar.a 63898  
7  -1not-a-virus:AdWare.Win32.Boran.z 61156  
8  -1Trojan-Downloader.Win32.VB.eql 61022  
9  -1Trojan-Downloader.WMA.GetCodec.s 56364  
10  NewTrojan.Win32.Swizzor.c 54811  
11  NewTrojan-GameThief.Win32.Magania.cpct 42676  
12  -3Virus.Win32.Virut.ce 45127  
13  -3Virus.Win32.Induc.a 37132  
14  0Trojan-Dropper.Win32.Flystud.yo 33614  
15  3Packed.Win32.Krap.ag 31544  
16  -3Packed.Win32.Black.a  31340  
17  0Worm.Win32.Mabezat.b  31020  
18  -2Packed.Win32.Klone.bj  28814  
19  -7Packed.Win32.Black.d 28560  
20  -5Worm.Win32.AutoRun.dui 28551  

Первая двадцатка традиционно стабильна.
Появление трех новичков на 6, 10 и 11 позиции привело к незначительному сдвигу части программ, представленных в таблице, вниз. Исключением стал появившийся месяц назад Packed.Win32.Krap.ag, который поднялся на 3 пункта вверх. Напомним, что Krap.ag, как и другие представители Packed, является детектированием упаковщика вредоносных программ, в данном случае — фальшивых антивирусов. Абсолютные показатели этого зловреда также несколько возросли, что говорит об актуальности псевдоантивирусов и неутомимости использующих их в своих преступных схемах злоумышленников, которым эффективное распространение таких программ приносит существенный доход.
Заметным новичком в декабре является рекламная программа GamezTar.a, занявшая 6-е место в рейтинге. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливает несколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента. К слову, все эти компоненты описаны в правилах пользования (www.gameztar.com/terms.do), но пользователя обычно больше привлекает большая мигающая кнопка “click here, get free games”, чем неприметная надпись “termsof service” внизу экрана. Перед тем как скачивать ПО, рекомендуется читать подобные документы, если они присутствуют.
На десятом месте мы видим Trojan.Win32.Swizzor.c — родственника Swizzor.b, который уже побывал вдцадцаткев августе, а также Swizzor.a, который былзамеченнами в мае. Разработчики этого искусно обфусцированного зловреда не стоят на месте и регулярно работают над новыми версиями. Истинный же функционал этого троянца очень простой — он загружает другие зловредные файлы из интернета.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

ПозицияИзменение позицииВредоносная программаЧисло уникальных попыток загрузки
1  0Trojan-Downloader.JS.Gumblar.x 445881  
2  3Trojan.JS.Redirector.l 178902  
3  Newnot-a-virus:AdWare.Win32.GamezTar.a 165678  
4  -2Trojan-Downloader.HTML.IFrame.sz 134215  
5  NewTrojan-Clicker.JS.Iframe.db 128093  
6  -2not-a-virus:AdWare.Win32.Boran.z 109256  
7  NewTrojan.JS.Iframe.ez 91737  
8  NewTrojan.JS.Zapchast.bn 64756  
9  NewPacked.JS.Agent.bn 60361  
10  NewPacked.Win32.Krap.ai 43042  
11  8Packed.Win32.Krap.ag 41731  
12  NewExploit.JS.Pdfka.asd 36044  
13  NewTrojan.JS.Agent.axe 35309  
14  NewTrojan-Downloader.JS.Shadraem.a 35187  
15  ReturnTrojan.JS.Popupper.f 33745  
16  Newnot-a-virus:AdWare.Win32.GamezTar.b 33266  
17  NewTrojan-Downloader.JS.Twetti.a 30368  
18  NewTrojan-Downloader.Win32.Lipler.iml 28634  
19  NewTrojan-Downloader.JS.Kazmet.d 28374  
20  NewTrojan.JS.Agent.axc 26198  

Во второй двадцатке, в отличие от достаточно стабильной первой, всего лишь четверть участников удержали свои позиции, один вернулся, а в остальном рейтинг коренным образом изменился.
Лидером по-прежнему является Gumblar.x. Зараженные им сайты постепенно очищаются вебмастерами — число уникальных попыток загрузки в декабре более чем в 3 раза меньше, чем в ноябре.
Упомянутый в первом рейтинге Krap.ag также поднялся и во втором — на 8 позиций. Его пытались загружать в полтора раза чаще, чем в прошлом месяце. На ступень выше его расположился Krap.ai, который также является детектированием специального упаковщика псевдоантивирусов.
GamezTar.a появился и во втором рейтинге, что закономерно, учитывая ориентированность этой программы на онлайн-игры и ее общий веб-функционал. Более того, на 16 место попала и другая модификация этого зловреда — GamezTar.b.
Trojan-Clicker.JS.Iframe.db является обычным, нехитро обфусцированным iframe-загрузчиком.
Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, Trojan-Downloader.JS.Kazmet.d — это скрипты различной степени логической сложности и обфусцированности, которые используют уязвимости в продуктах Adobe и Microsoft для последующей загрузки основных исполняемых файлов.
И, наконец, наиболее интересным образцом творчества злоумышленников оказался Trojan-Downloader.JS.Twetti.a (17-е место), которымбыло заражено множество легитимных сайтов. Алгоритм работы этого загрузчика достоин внимания. После расшифровки в нем не оказалось ни ссылки на основной исполняемый файл, ни эксплойтов или ссылок на них! В процессе анализа выяснилось, что скрипт использует API (интерфейс программирования приложения) популярной, в том числе и у злоумышленников, социальной сети Twitter.
Схема работы троянца следующая: формируется запрос к API, результатом которого являются данные по так называемым “трендам” — наиболее обсуждаемым темам в Twitter. Из полученных данных впоследствии формируется псевдослучайное доменное имя, которое злоумышленники регистрируют заранее, получив его по аналогичному алгоритму, и выполняется скрытый переход на него. На этом домене и располагается основная вредоносная часть, будь то PDF-эксплойт или исполняемый файл. Таким образом, формирование вредоносной ссылки ипереход на нее осуществляется “на лету” через посредника, которым как раз и является Twitter.
Интересно отметить, что зловреды Packed.JS.Agent.bn и Trojan-Downloader.JS.Twetti.a для заражения компьютера пользователя используют специально сформированный PDF-файл, который детектируется как Exploit.JS.Pdfka.asd и который также попал в рейтинг (12-е место). То есть, можно легко предположить, что по меньшей мере три популярных зловреда декабря — дело рук одной киберпреступной группировки. Более того, среди исполняемых файлов, которые в итоге drive-by атаки загружаются на компьютеры-жертвы, были замечены представители семейств TDSS, Sinowal и Zbot, которые являются одними из наиболее серьезных из существующих сейчас угроз, что тоже наводит на определенные размышления.

---

Источник новости: www.3dnews.ru