Поиск
Рейтинг вредоносных программ за сентябрь 2009 от Kaspersky Security Network
06.10.09, Москва
«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ.
Общие показатели обеих двадцаток несколько снизились – это связано с запуском новой линии продуктов KAV/KIS: многие пользователи перешли на новую версию. Как только статистика KSN в новых версиях стабилизируется, мы планируем включить и ее в ежемесячный рейтинг.
| Позиция | Изменение позиции | Вредоносная программа | Количество зараженных компьютеров |
| 1 | 0 | Net-Worm.Win32.Kido.ih | 41033 |
| 2 | 0 | Virus.Win32.Sality.aa | 18027 |
| 3 | 0 | not-a-virus:AdWare.Win32.Boran.z | 12470 |
| 4 | New | Net-Worm.Win32.Kido.ir | 11384 |
| 5 | -1 | Trojan-Downloader.Win32.VB.eql | 6433 |
| 6 | -1 | Trojan.Win32.Autoit.ci | 6168 |
| 7 | 3 | Virus.Win32.Induc.a | 5947 |
| 8 | -2 | Virus.Win32.Virut.ce | 5433 |
| 9 | New | P2P-Worm.Win32.Palevo.jdb | 5169 |
| 10 | -2 | Net-Worm.Win32.Kido.jq | 4288 |
| 11 | New | Worm.Win32.FlyStudio.cu | 4104 |
| 12 | -5 | Worm.Win32.AutoRun.dui | 4071 |
| 13 | -4 | Virus.Win32.Sality.z | 4056 |
| 14 | 6 | P2P-Worm.Win32.Palevo.jaj | 3564 |
| 15 | -4 | Worm.Win32.Mabezat.b | 2911 |
| 16 | New | Exploit.JS.Pdfka.ti | 2823 |
| 17 | New | Trojan-Downloader.WMA.Wimad.y | 2544 |
| 18 | 0 | Trojan-Dropper.Win32.Flystud.yo | 2513 |
| 19 | New | P2P-Worm.Win32.Palevo.jcn | 2480 |
| 20 | New | Trojan.Win32.Refroso.bpk | 2387 |
Kido все еще активен. Помимо лидера последних двадцаток Kido.ih мы видим новичка Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.
Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке мы видим еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска – Palevo.jaj – поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Надо заметить, что такие высокие позиции эти две вредоносные программы заняли в основном благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор.
Подтверждение этому мы находим и в том, что червь китайского происхождения – FlyStudio.cu – также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.
Среди новичков мы видим новую версию уже появлявшегося в рейтингах мультимедийного загрузчика Wimad – Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.
Еще об одном дебютанте – Exploit.JS.Pdfka.ti – расскажем чуть ниже, так как он попал и во вторую двадцатку.
Наиболее заметными в первой таблице являются самораспространяющиеся зловреды – тенденция к усилению их влияния сохраняется.
| Позиция | Изменение позиции | Вредоносная программа | Количество попыток загрузки |
| 1 | 0 | not-a-virus:AdWare.Win32.Boran.z | 17624 |
| 2 | 1 | Trojan.JS.Redirector.l | 16831 |
| 3 | -1 | Trojan-Downloader.HTML.IFrame.sz | 6586 |
| 4 | New | Exploit.JS.Pdfka.ti | 3834 |
| 5 | New | Trojan-Clicker.HTML.Agent.aq | 3424 |
| 6 | 4 | Trojan-Downloader.JS.Major.c | 2970 |
| 7 | -3 | Trojan-Downloader.JS.Gumblar.a | 2583 |
| 8 | New | Exploit.JS.ActiveX.as | 2434 |
| 9 | -1 | Trojan-Downloader.JS.LuckySploit.q | 2224 |
| 10 | -3 | Trojan-GameThief.Win32.Magania.biht | 1627 |
| 11 | New | Exploit.JS.Agent.ams | 1502 |
| 12 | 4 | Trojan-Downloader.JS.IstBar.bh | 1476 |
| 13 | New | Trojan-Downloader.JS.Psyme.gh | 1419 |
| 14 | New | Exploit.JS.Pdfka.vn | 1396 |
| 15 | Return | Exploit.JS.DirektShow.a | 1388 |
| 16 | -10 | Exploit.JS.DirektShow.k | 1286 |
| 17 | Return | not-a-virus:AdWare.Win32.Shopper.l | 1268 |
| 18 | Return | not-a-virus:AdWare.Win32.Shopper.v | 1247 |
| 19 | New | Trojan-Clicker.JS.Agent.jb | 1205 |
| 20 | New | Exploit.JS.Sheat.f | 1193 |
Во второй двадцатке по-прежнему много обновлений.
Здесь мы видим сразу двух представителей семейства Exploit.JS.Pdfka: под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае – в Adobe Reader).
Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. Pdfka.vn использует уязвимость уже поновее – в функции getIcon того же объекта Collab.
Все уязвимости в продуктах Adobe, которых было обнаружено довольно много за последние годы, злоумышленники пытаются массово эксплуатировать – вне зависимости от версии продукта, для большей вероятности загрузки на пользовательские компьютеры основного зловреда. Ведь всегда есть вероятность, что какое-то количество пользователей не обновили программные продукты. Поэтому в очередной раз рекомендуем своевременно обновлять крупные и популярные программные пакеты, в частном случае – производства компании Adobe.
Герои наших прошлых выпусков – Exploit.JS.DirektShow и Exploit.JS.Sheat – все еще активны: видим возвращение DirektShow.a и появление Sheat.f в рейтинге.
Прочие новички во второй таблице – это или тривиальные iframe-кликеры, или части одного зловредного скрипта.
Подытоживая вышесказанное, наблюдаем сохранение тенденций прошлых месяцев: количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах. А доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные. И здесь круг замыкается.
