Лаборатория Касперского обнародовала собственную версию рейтинга активности вредоносного ПО в Сети за июнь. На первом месте по-прежнему остается червь Net-Worm.Win32.Kido.ih. В двадцатке также присутствуют две модификации этой вредоносной программы – Kido.jq и Kido.ix. Столь массовое присутствие Kido в рейтинге специалисты связывают с тем, что одним из главных путей их попадания в компьютеры являются сменные носители. Это же стало причиной присутствия в двадцатке представителей семейства Autorun-червей – AutoRun.dui и AutoRun.rxx. Ну, а замыкает Top-20 рекламная программа Shopper.v, разработанная компанией Zango. (С ней, к слову, Лаборатория Касперского недавно выясняла отношения в американском суде.) Приложение устанавливает различные панели в браузеры и почтовые клиенты и с их помощью показывает пользователю рекламные баннеры. Самостоятельно удалить эти панели из системы достаточно непросто.
Рейтинг вирусной активности за июнь:
1. Net-Worm.Win32.Kido.ih
2. Virus.Win32.Sality.aa
3. Trojan-Dropper.Win32.Flystud.ko
4. Trojan-Downloader.Win32.VB.eql
5. Worm.Win32.AutoRun.dui
6. Trojan.Win32.Autoit.ci
7. Virus.Win32.Virut.ce
8. Worm.Win32.Mabezat.b
9. Net-Worm.Win32.Kido.jq
10. Virus.Win32.Sality.z
11. Trojan-Downloader.JS.LuckySploit.q
12. Virus.Win32.Alman.b
13. Packed.Win32.Black.a
14. Net-Worm.Win32.Kido.ix
15. Worm.Win32.AutoIt.i
16. Trojan-Downloader.WMA.GetCodec.u
17. Packed.Win32.Klone.bj
18. Email-Worm.Win32.Brontok.q
19. Worm.Win32.AutoRun.rxx
20. not-a-virus:AdWare.Win32.Shopper.v.
Отдельно от предыдущего Лаборатория Касперского опубликовала рейтинг вредоносного ПО, которое было обнаружено на web-страницах в июне. На первом месте тут оказался троянский загрузчик Gumblar.a, являющий собой классический пример drive-by-загрузки. Gumblar.a – это небольшого размера зашифрованный скрипт, который перенаправляет пользователя на сайт, специально созданный злоумышленниками. Используя набор уязвимостей браузера, с этого сайта скачивается и устанавливается вредоносный исполняемый файл, который берет под контроль на web-трафик пользователя, изменяя результаты поиска в поисковой системе Google. Также это вредоносное ПО ищет на компьютере пользователя пароли от FTP-серверов для дальнейшего их заражения.
Если это удается, злоумышленники получают в распоряжение ботнет-сеть из зараженных серверов. С их помощью они могут загружать на ПК пользователей любые типы вредоносных программ. В Лаборатории Касперского утверждают, что количество зараженных серверов уже огромно, и, более того, распространение происходит по незащищенным компьютерам до сих пор.
Еще один образец drive-by-загрузок – троянский загрузчик LuckySploit.q, который занял в рейтинге третье место. Этот скрипт сперва собирает информацию о конфигурации браузера пользователя, а затем отсылает эти сведения на сайт злоумышленников, зашифровывая их с помощью открытого RSA-ключа. На сервере эта информация расшифровывается с помощью закрытого RSA-ключа, и, в соответствии с обнаруженной конфигурацией браузера, на ПК пользователя направляется целый набор скриптов, которые эксплуатируют уязвимости, найденные на этом компьютере, и загружают вредоносное ПО. Такая многоходовая комбинация сильно затрудняет анализ экземпляров исходного скрипта, собирающего информацию о браузере.
Ряд вредоносных программ, попавших в рейтинг, эксплуатируют уязвимости ПО известных разработчиков. В частности, присутствие в рейтинге эксплойтов Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr и Exploit.SWF.Agent.az свидетельствует о популярности (и уязвимости) продуктов Adobe Flash Player и Adobe Reader. Ну и, само собой, активно используются всевозможные уязвимости в приложениях Microsoft. Например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах Windows, а также в компонентах Microsoft Office. Как говорят в Лаборатории Касперского, в последнее время стала очевидной тенденция перехода злоумышленников на использование различных все более хитроумных drive-by-загрузок на компьютеры пользователей.
Рейтинг вредоносного ПО, обнаруженного на web-страницах в июне:
1. Trojan-Downloader.JS.Gumblar.a
2. Trojan-Downloader.JS.Iframe.ayt
3. Trojan-Downloader.JS.LuckySploit.q
4. Trojan-Clicker.HTML.IFrame.kr
5. Trojan-Downloader.HTML.IFrame.sz
6. Trojan-Downloader.JS.Major.c
7. Trojan-Downloader.Win32.Agent.cdam
8. Trojan-Clicker.HTML.IFrame.mq
9. Trojan.JS.Agent.aat
10. Trojan.Win32.RaMag.a
11. Trojan-Clicker.SWF.Small.b
12. Packed.JS.Agent.ab
13. Trojan-Downloader.JS.Agent.czm
14. Exploit.JS.Pdfka.gu
15. Trojan-Clicker.JS.Agent.fp
16. Trojan-Dropper.Win32.Agent.aiuf
17. Exploit.JS.Pdfka.lr
18. not-a-virus:AdWare.Win32.Shopper.l
19. not-a-virus:AdWare.Win32.Shopper.v
20. Exploit.SWF.Agent.az.
Июньский отчет по вирусам от ESET
Разработчик антивирусного ПО, компания ESET, сообщает о самых распространенных Интернет-угрозах, зафиксированных в июне 2009 года. С помощью технологии ESET ThreatSense.Net было установлено, что наиболее распространенной угрозой стал червь Win32/Conficker с общим процентом заражения – 11, 08%. Вторую позицию в рейтинге вредоносного ПО занимает семейство INF/Autorun – 8.33%.
Сравнивая с предыдущим отчетом, значительных изменений в первой пятерке не произошло. Третье место занимает Win32/PSW.OnLineGames (8,24%), четвертое - Win32/Agent (2,55%), пятое - INF/Conficker (2,10%).
Win32/TrojanDownloader.Bredolab.AA – новая угроза, попавшая в список вредоносного ПО. Общий процент заражения программы в июне небольшой и составляет 0,70%. Особенность вредоносной программы – это способность проникновения в процесс управления системы для повреждения или отключения антивирусной программы. Программа способна размножаться через системные файлы и наносить вредоносные действия во время запуска системы. Кроме того, имеет возможность устанавливать связь с удаленным сервером по протоколу HTTP с целью загрузки другого вредоносного кода на компьютер.
Высокий уровень распространения вредоносных программ семейства Win32/PSW.OnLineGames зафиксировано в Польше (13.39%). Этот класс угроз включает также троянские программы и занимает первое место во Франции (12,07%). Вредоносное ПО INF/Autorun продолжает доминировать в Ирландии (8,88%), Великобритании(7,04%), Латвии (5,75%) и Израиле (5,68%).
В прошлом месяце в Словакии и Чешской Республике самой распространенной угрозой стал вирус Win32/TrojanDownloader.Bredolab.AA. Он достиг 7,22% обнаружений в Словакии (3,68% в мае) и 6,43% в Чехии (3,60% в мае). Исследования показали, что в других странах региона ЕМЕА вредоносная программа Win32/Conficker заняла лидирующие позиции в: Украине (27,16%), России (20,43%), Южной Африке (16,60%), Болгарии (12,02), Румынии (11,36%), Италии (6,83%), Венгрии (4,79%) и Германии (4,16%).
В Словении самым распространенным вирусом стал Win32/Qhost (3,78%). Это класс троянских программ, способных выполнять MITM (man-in-the-middle) атаки с помощью маршрутизации DNS запросов на сервер мошенника. Таким образом, злоумышленник имеет возможность перехватывать часть информации, которая находится на компьютере жертвы. Процент заражения WMA/TrojanDownloader.GetCodec в Эстонии составляет 8,83%, Бельгии - 15,06% и Голландии – 15,31%.