Рейтинг вредоносных программ за сентябрь 2009 от Kaspersky Security Network

06 октября 2009

06.10.09, Москва

«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ.

Общие показатели обеих двадцаток несколько снизились – это связано с запуском новой линии продуктов KAV/KIS: многие пользователи перешли на новую версию. Как только статистика KSN в новых версиях стабилизируется, мы планируем включить и ее в ежемесячный рейтинг.


Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1 0 Net-Worm.Win32.Kido.ih 41033
2 0 Virus.Win32.Sality.aa 18027
3 0 not-a-virus:AdWare.Win32.Boran.z 12470
4 New Net-Worm.Win32.Kido.ir 11384
5 -1 Trojan-Downloader.Win32.VB.eql 6433
6 -1 Trojan.Win32.Autoit.ci 6168
7 3 Virus.Win32.Induc.a 5947
8 -2 Virus.Win32.Virut.ce 5433
9 New P2P-Worm.Win32.Palevo.jdb 5169
10 -2 Net-Worm.Win32.Kido.jq 4288
11 New Worm.Win32.FlyStudio.cu 4104
12 -5 Worm.Win32.AutoRun.dui 4071
13 -4 Virus.Win32.Sality.z 4056
14 6 P2P-Worm.Win32.Palevo.jaj 3564
15 -4 Worm.Win32.Mabezat.b 2911
16 New Exploit.JS.Pdfka.ti 2823
17 New Trojan-Downloader.WMA.Wimad.y 2544
18 0 Trojan-Dropper.Win32.Flystud.yo 2513
19 New P2P-Worm.Win32.Palevo.jcn 2480
20 New Trojan.Win32.Refroso.bpk 2387

Kido все еще активен. Помимо лидера последних двадцаток Kido.ih мы видим новичка Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.

Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке мы видим еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска – Palevo.jaj – поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Надо заметить, что такие высокие позиции эти две вредоносные программы заняли в основном благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор.

Подтверждение этому мы находим и в том, что червь китайского происхождения – FlyStudio.cu – также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.

Среди новичков мы видим новую версию уже появлявшегося в рейтингах мультимедийного загрузчика Wimad – Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.

Еще об одном дебютанте – Exploit.JS.Pdfka.ti – расскажем чуть ниже, так как он попал и во вторую двадцатку.

Наиболее заметными в первой таблице являются самораспространяющиеся зловреды – тенденция к усилению их влияния сохраняется.


Позиция Изменение позиции Вредоносная программа Количество попыток загрузки
1 0 not-a-virus:AdWare.Win32.Boran.z 17624
2 1 Trojan.JS.Redirector.l 16831
3 -1 Trojan-Downloader.HTML.IFrame.sz 6586
4 New Exploit.JS.Pdfka.ti 3834
5 New Trojan-Clicker.HTML.Agent.aq 3424
6 4 Trojan-Downloader.JS.Major.c 2970
7 -3 Trojan-Downloader.JS.Gumblar.a 2583
8 New Exploit.JS.ActiveX.as 2434
9 -1 Trojan-Downloader.JS.LuckySploit.q 2224
10 -3 Trojan-GameThief.Win32.Magania.biht 1627
11 New Exploit.JS.Agent.ams 1502
12 4 Trojan-Downloader.JS.IstBar.bh 1476
13 New Trojan-Downloader.JS.Psyme.gh 1419
14 New Exploit.JS.Pdfka.vn 1396
15 Return Exploit.JS.DirektShow.a 1388
16 -10 Exploit.JS.DirektShow.k 1286
17 Return not-a-virus:AdWare.Win32.Shopper.l 1268
18 Return not-a-virus:AdWare.Win32.Shopper.v 1247
19 New Trojan-Clicker.JS.Agent.jb 1205
20 New Exploit.JS.Sheat.f 1193

Во второй двадцатке по-прежнему много обновлений.

Здесь мы видим сразу двух представителей семейства Exploit.JS.Pdfka: под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае – в Adobe Reader).

Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. Pdfka.vn использует уязвимость уже поновее – в функции getIcon того же объекта Collab.

Все уязвимости в продуктах Adobe, которых было обнаружено довольно много за последние годы, злоумышленники пытаются массово эксплуатировать – вне зависимости от версии продукта, для большей вероятности загрузки на пользовательские компьютеры основного зловреда. Ведь всегда есть вероятность, что какое-то количество пользователей не обновили программные продукты. Поэтому в очередной раз рекомендуем своевременно обновлять крупные и популярные программные пакеты, в частном случае – производства компании Adobe.

Герои наших прошлых выпусков – Exploit.JS.DirektShow и Exploit.JS.Sheat – все еще активны: видим возвращение DirektShow.a и появление Sheat.f в рейтинге.

Прочие новички во второй таблице – это или тривиальные iframe-кликеры, или части одного зловредного скрипта.

Подытоживая вышесказанное, наблюдаем сохранение тенденций прошлых месяцев: количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах. А доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные. И здесь круг замыкается.

18
;