«Лаборатория Касперского» опубликовала рейтинг вредоносных программ, составленный по итогам работы Kaspersky Security Network в августе 2009 г. Компанией представлены две вирусные двадцатки.

В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер:

1. Net-Worm.Win32.Kido.ih 0 48281
2. Virus.Win32.Sality.aa 0 23156
3. not-a-virus:AdWare.Win32.Boran.z New 16872
4. Trojan-Downloader.Win32.VB.eql -1 8030
5. Trojan.Win32.Autoit.ci -1 7846
6. Virus.Win32.Virut.ce 0 6248
7. Worm.Win32.AutoRun.dui -2 5516
8. Net-Worm.Win32.Kido.jq 0 5446
9. Virus.Win32.Sality.z -2 5157
10. Virus.Win32.Induc.a New 4476
11. Worm.Win32.Mabezat.b -2 3982
12. Net-Worm.Win32.Kido.ix -2 3579
13. Packed.Win32.Klone.bj -1 3579
14. Trojan.Win32.Swizzor.b New 3327
15. Packed.Win32.Katusha.b New 3139
16. Worm.Win32.AutoIt.i -2 3076
17. not-a-virus:AdWare.Win32.Shopper.v 1 2947
18. Trojan-Dropper.Win32.Flystud.yo New 2745
19. Email-Worm.Win32.Brontok.q -2 2706
20. P2P-Worm.Win32.Palevo.jaj New 2664

Постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции. В первой августовской двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.

Наиболее интересен Virus.Win32.Induc.a, использвующий для своего размножения механизм двухшагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы.

Сразу на третьей позиции оказался другой новичок – not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.

Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14 и 15 места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг. Причем оба эти новичка отличаются усовершенствованными по сравнению с прошлыми модификациями методами обфускации (obfuscating – запутывание кода программы для затруднения анализа и шифрования) исполняемого кода.

Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник – Palevo.jaj, занявший последнюю позицию в рейтинге. По данным «Лаборатории Касперского», это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попали вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:

1. not-a-virus:AdWare.Win32.Boran.z New 16760
2. Trojan-Downloader.HTML.IFrame.sz 1 5228
3. Trojan.JS.Redirector.l New 4693
4. Trojan-Downloader.JS.Gumblar.a -3 4608
5. Trojan-Clicker.HTML.Agent.w New 4564
6. Exploit.JS.DirektShow.k New 4475
7. Trojan-GameThief.Win32.Magania.biht 0 4416
8. Trojan-Downloader.JS.LuckySploit.q -4 3416
9. Trojan-Clicker.HTML.IFrame.kr -7 3323
10. Trojan-Downloader.JS.Major.c -4 2688
11. Exploit.JS.Sheat.c New 2684
12. Trojan-Downloader.JS.FraudLoad.d New 2553
13. Trojan-Clicker.HTML.IFrame.mq -4 2367
14. Trojan.JS.Agent.aat -3 2246
15. Exploit.JS.DirektShow.j -3 2128
16. Trojan-Downloader.JS.IstBar.bh New 1973
17. Trojan-Downloader.JS.Iframe.bmu New 1933
18. Exploit.JS.DirektShow.l New 1838
19. Exploit.JS.DirektShow.q New 1753
20. Trojan-Downloader.Win32.Agent.ckwd New 1504

Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте – все тот же not-a-virus:AdWare.Win32.Boran.z, который упоминается выше.

Примечательно, что во вторую двадцатку августа попало сразу четыре модификации эксплойта, использующего уязвимость в Internet Explorer, тогда как месяц назад в составе рейтинга было всего три версии того же эксплойта. Таким образом, использование этой уязвимости сохраняет популярность, заключили эксперты «Лаборатории Касперского».

Еще одна уязвимость – теперь уже в продукте Microsoft Office – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, которая детектируется «Антивирусом Касперского» как Exploit.JS.Sheat, заняла 11 место в рейтинге.

В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте августовского рейтинга. «Антивирус Касперского» детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.

Функциональность трояна Redirector.l, расположившегося на третьем месте списка, заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu, занявший 17 позицию, является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.

Согласно выводам специалистов «Лаборатории Касперского», тенденции июля сохраняются – злоумышленники также активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Подобная ситуация, по предположениям специалистов компании, вполне может сохраниться на неопределённый период времени.[/cut]

[cut=Статистика вредоносного ПО от ESET]

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о самых распространенных интернет-угрозах, выявленных специалистами вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в августе 2009 года.

В августе в мировом и российском рейтинге интернет-угроз отмечается снижение числа компьютеров, инфицированных червем Conficker. Несмотря на то, что программа по-прежнему является самым распространенным вредоносным ПО в мире, общий процент заражений упал на 2% по сравнению с июлем 2009 и составил 8,56%. Похожая картина наблюдается и в России. Число заражений Conficker снизилось на 5,64% до 17,38%. Это самый низкий показатель с начала года. На первом и втором месте российской вирусной двадцатки, как и раньше, остаются версии червя Win32/Conficker.AA (7,87 %); и Win32/Conficker.AE (4,76 %). Помимо России, Conficker также получил широкое распространение на Украине (25,59%), в Болгарии (13.48%) и Румынии (12.77%).

Противоположная ситуация наблюдается с троянскими программами семейства Win32/PSW.OnLineGames, предназначенными для кражи учетных данных и доступа к аккаунтам игроков многопользовательских ролевых online-игр. В августе число заражений данным вредоносным ПО в мировом рейтинге угроз практически достигло уровня Conficker и составило 8,28%. Самое большое распространение угроза получила в Польше (13,59%), в Турции (13,70%) и во Франции (10,07%). В России на Win32/PSW.OnLinegames пришелся всего 1% от общего числа вредоносных программ.

Намного более распространены в России угрозы, использующие файл Autorun.inf. Они занимают второе место (9,16%) в российском вирусном рейтинге и третье (7,80%) – в мировом.

В августе в мировой рейтинг угроз также вошли трояны Win32/TrojanDownloader.Swizzor (1.39%) и Win32/TrojanDownloader.Bredolab (0.89%). Обе программы используются злоумышленниками для загрузки дополнительного вредоносного ПО на инфицированный компьютер пользователя.

Двадцать самых распространенных угроз в России в августе 2009

Win32/Conficker AA – 7,87%
Win32/Conficker.AE – 4,76%
Win32/Agent – 4,27%
INF/ Autorun – 4,23%
Win32/Spy.Ursnif.A – 3,37%
INF/Conficker – 2,83%
INF/Autorun.gen – 2,22%
Win32/Conficker.Gen – 1,85%
Win32/Genetik – 1,69%
Win32/Conficker.X – 1,51%
Win32/Tifaut.C – 1,43%
Win32/Conficker.AB – 0,94%
Win32/IRCBot.AMC – 0,91%
Win32/AutoRun.KS – 0,90%
Win32/Conficker.Gen~alg – 0,90%
Win32/Conficker.AL – 0,87%
Win32/TrojanDownloader.Bredolab.AA – 0,82%
Win32/Sality~alg – 0,82%
Win32/AutoRun.FakeAlert.M – 0,80%
Win32/Spy.Agent – 0,79%

Десять самых распространенных угроз в мире в августе 2009

Win32/Conficker – 8,56%
Win32/PSW.OnLineGames – 8,28%
INF/Autorun – 7,80%
Win32/Agent – 3,57%
INF/Conficker – 1,76%
Win32/Pacex.Gen – 1,66%
Win32/TrojanDownloader.Swizzor – 1,39%
Win32/Qhost – 0,93%
Win32/TrojanDownloader.Bredolab – 0,81%
WMA/TrojanDownloader.GetCodec – 0,78%

Статистика угроз получена с помощью ThreatSense.Net – глобального сервиса, обеспечивающего автоматическую передачу новых образцов подозрительных или вредоносных программ экспертам вирусной лаборатории ESET для анализа и принятия оперативного решения.[/cut]

[cut=Компания «Доктор Веб» представляет обзор вирусной активности в августе 2009 года]

Главной темой месяца стала активность Win32.Induc – вируса, который заражает среду разработки Delphi. Не обладая ярко выраженным вредоносным функционалом, этот вирус, тем не менее, таит в себе весьма соблазнительный для злоумышленников потенциал, и потому его детектированию и лечению «Доктор Веб» уделяет такое же высокое внимание, как и к любой другой вредоносной программе. Наряду со средами программирования в прошлом месяце вирусописатели продолжили использовать возможности социальных сетей и испытанные методы социальной инженерии. Применялись и новые схемы распространения вредоносных программ и спам-сообщений – в частности, с использованием подбора captcha с помощью зараженных пользователей для авторизации на различных веб-ресурсах. Также «вышла боком» растущая популярность VoIP-телефонии – злоумышленники обернули эту тенденцию против пользователей.

Delphi и другие среды программирования под атакой

Уже несколько месяцев распространяется Win32.Induc – вирус, заражающий системы с установленной версией Delphi с 4-ой по 7-ую включительно. Он модифицирует одну из библиотек, использующуюся при сборке проектов. Таким образом, каждая программа, разработанная в модифицированной вирусом версии Delphi, уже заражена Win32.Induc.

Этот вирус не наносит видимого вреда зараженным системам – единственная его вредоносная функция заключается в самораспространении. Но в будущем ничто не мешает злоумышленникам использовать этот способ для распространения вредоносных программ. Несмотря на «безобидность» Win32.Induc, компания «Доктор Веб» видит в нем потенциальную опасность и уже сегодня предлагает его лечение.

Win32.Induc успел широко разойтись, поскольку попадал к пользователям вместе с популярными легальными программами, разработанными в зараженной среде Delphi. Вследствие этого, после добавления Win32.Induc в вирусные базы большинства антивирусных вендоров работа этих программ блокировалась, что доставило неудобства как пользователям, так и разработчикам. Однако после добавления записи, позволяющей лечить заражённые Win32.Induc файлы, в вирусные базы производителей средств информационной защиты, было отмечено резкое снижение активности этой вредоносной программы.

В августе также была обнаружена похожая вредоносная программа, ACAD.Siggen. В отличие от Win32.Induc она распространяется в виде модуля, реализованного в среде разработки Visual Lisp, которая используется в системе автоматизированного проектирования Autodesk AutoCAD. ACAD.Siggen заражает AutoCAD-файлы, открываемые в зараженной системе, так как запускается одновременно с AutoCAD.
Зарубежные социальные сети: рай для вирусописателей

Ввиду непрекращающегося роста своей популярности сервис микроблогов Twitter и известная зарубежная социальная сеть Facebook продолжают привлекать злоумышленников. К сожалению, доверчивость пользователей по отношению к сообщениям, содержащим заманчивые предложения посетить внешние ресурсы, все еще велика.

Уже давно известное семейство вирусов Win32.HLLW.Facebook в августе 2009 года предложило пользователям «поработать» на киберпреступников весьма изощрённым образом. Вирус, как и ранее, завлекает пользователя с помощью различных сообщений в социальных сетях на подставной ресурс, внешне очень похожий на легальный, с которого происходит загрузка якобы кодека для просмотра видеоролика. Если пользователь запускает загруженный исполняемый файл, происходит заражение. При этом интересна новая тенденция в технологиях обмана пользователей. Как известно, многие веб-сервисы защищают собственные ресурсы от автоматической регистрации пользователей, а также рассылки от их имени спам-сообщений. Для этого применяются различные технологии, которые позволяют подтвердить, что данное сообщение отправляет именно человек, а не программа-робот. Для проверки чаще всего применяется captcha – механизм, при котором пользователь должен ввести случайно генерируемую последовательность символов, которая представлена в виде изображения.

В последних версиях червя Win32.HLLW.Facebook появился любопытный модуль Win32.HLLW.Facebook.194, который осуществляет подбор captcha усилиями зараженного пользователя. Задача этого модуля – заставить пользователя ввести «правильную» комбинацию символов и отправить введенный результат на сервер злоумышленников. После того как задание на введение captcha получено с удаленного сервера, на зараженном компьютере всплывает окно с полем ввода, причем работа системы в этот момент блокируется.. Благодаря действиям обманутого пользователя злоумышленники получают возможность создавать аккаунты на различных веб-сервисах с целью рассылки спама и новых фишинговых сообщений.

Другим инструментом злонамеренного использования социальных сетей стали управляющие команды для бот-сети в сообщениях одного из аккаунтов сервиса микроблогов Twitter. Команды представляли собой закодированные ссылки bit.ly (сервис сокращения ссылок), которые вели к ресурсам с вредоносными компонентами. После перехода по этим ссылкам заражённый компьютер получал команды через RSS-поток сообщений соответствующего аккаунта на Twitter. Подобную схему использовал Trojan.PWS.Finanz.410.

Маскировка управляющих команд для бот-сети была замечена и на другом сервисе микроблогов – Jaiku. Технология использована та же – закодированное сообщение в виде сокращенной ссылки ведет к вредоносному ПО, а получение управляющих команд происходит через RSS-поток.

Для злоумышленников подобные схемы привлекательны, в первую очередь, возможностью маскировки под легальный сетевой трафик и сложностью обнаружения. Тот же Twitter позволяет создавать закрытые аккаунты, содержимое которых доступно для ограниченного числа пользователей, что может затруднить обнаружение таких аккаунтов и их своевременную блокировку.

Обновление обновлению рознь. Угроза для пользователей Mozilla Firefox

Тему подставных сайтов продолжает вредоносная программа Adware.FF.1 – рекламный модуль, доставляющий неприятности поклонникам браузера Mozilla Firefox.

В современных условиях, когда злоумышленники постоянно обнаруживают уязвимости в популярном ПО, производители этих программ вынуждены регулярно выпускать обновления и настойчиво предлагать их своим пользователям. Многие уже привыкли к большому количеству предлагаемых обновлений операционной системы, антивируса, браузеров, даже текстовых редакторов. Злоумышленники решили воспользоваться частыми обновлениями от компании Adobe – Adware.FF.1 распространялся под видом ложного обновления для программы Adobe Flash Player. Причем ресурс, с которого происходило распространение этой вредоносной программы, внешне очень похож на оригинальный сайт Adobe. Кроме того, имя домена подставного сайта тоже призвано усыпить бдительность пользователей. Ссылки с некоторых его разделов ведут на оригинальный ресурс. Сам же рекламный модуль Adware.FF.1 после запуска лжеобновления устанавливает плагин для браузера Mozilla Firefox. Его задачей является подмена контекстной рекламы в поисковой системе Google.

«Родственник» этого вируса, Adware.FF.3, дабы не вызывать подозрений пользователей, в своем установщике содержит ещё и оригинальный инсталлятор Adobe Flash Player.

Вирус в комплекте

Вирусописатели уже не первый раз используют повышенный интерес к выходу новых версий тех или иных популярных программ. Так, при выпуске офисного пакета от Apple – iWorks’09 – активно распространялся дистрибутив, содержавший троянца из семейства Mac.Iservice. На этот раз вирусописатели решили воспользоваться повышенным вниманием к Mac OS X Snow Leopard. Известны факты распространения через популярные торрент-трекеры зараженного дистрибутива этой ОС, содержащего вирус семейства Mac.DnsChange, при активации которого на компьютере осуществляется подмена DNS-запросов в процессе работы пользователя с браузером.

Телефония на службе киберпреступности

Другое важное событие, которое имело место в конце августа 2009 года – появление троянской программы-концепта Trojan.SkypeSpy, цель которой – захват аудио-потока из популярной программы Skype. При этом перехваченные переговоры записываются непосредственно в mp3-файл. Исходные коды Trojan.SkypeSpy стали достоянием общественности, что может повлечь за собой появление множества новых модификаций этого троянца. Однако мы можем предположить, что их распространение будет носить, скорее, локальный характер, нежели массовый – в силу того, что коммерчески выгодным является прослушивание переговоров в бизнес-среде с целью шпионажа, а не повсеместная «слежка» за пользователями Skype.

Данная программа еще раз подтверждает, что любая технология или сервис, получившие массовое распространение, привлекают внимание киберпреступников.

«Квитанция» на бот-сеть

С августа 2009 года наблюдалась активность троянца Trojan.Botnetlog.11, который распространяется под видом почтовых «квитанций».

Для того чтобы пользователь открыл данную «квитанцию», в письме сообщается о том, что он якобы отправил почтовое сообщение, но из-за неправильно указанного адреса оно не может быть доставлено. К письму приложен ZIP-архив, который определяется Dr.Web как Trojan.Botnetlog.11. Подробнее об этой угрозе «Доктор Веб» рассказал в новости от 12 августа 2009 года.

Примечательным является тот факт, что практически в каждой новой рассылке к пользователям приходит видоизменённый вариант этого троянца, используется специфический упаковщик. Но при этом технологии Dr.Web позволяют автоматически добавлять присылаемые в вирусную лабораторию новые варианты Trojan.Botnetlog.11, что значительно увеличивает качество защиты пользователей от данного типа угроз.

Более поздние варианты этой вредоносной программы Dr.Web определяет как Trojan.DownLoad.45107. На графике показано, как эпидемия Trojan.Botnetlog.11 протекала в течение августа.

В августе 2009 года широкое распространение получил вид фишинга, при котором форма, предназначенная для заполнения приватными данными пользователя, прикладывается в HTML-формате непосредственно к фишинговому письму. Данный файл, по задумке мошенников, пользователь должен открыть в браузере. Далее он должен заполнить форму и нажать подтверждающую кнопку. При этом данные отправляются на заранее подготовленный сервер.

Эта схема значительно упрощает организацию мошенничества, т.к. не требует создавать подставные сайты, которые могут быть в скором времени закрыты. Также возникает сложность с закрытием серверов, на которые попадают собранные приватные данные пользователей, т.к. доказать причастность сервера к данной схеме сложнее, чем при использовании классического фишинга. Подобная схема была использована в августе против пользователей платёжной системы PayPal и банка USAA.

Немного другая схема фишинга была использована в рассылке якобы от администрации системы Яndex.Деньги. Письмо было создано в HTML-формате, в его теле располагалась кнопка, нажав на которую, пользователь попадал на фишинговый сайт. В коде скрипта, который исполняется при нажатии кнопки, снова используется сервис сокращения ссылок.

Случаи классического фишинга были замечены по отношению к клиентам банков Ally Bank, Bank of America, Chase Bank, Key Bank, SunTrust Bank, а также по отношению к участникам интернет-аукциона eBay и пользователям платёжной системы PayPal.

Выводы

Win32.Induc, ставший основным вирусным событием месяца, породил множество дискуссий на тему того, нужно ли обнаруживать и лечить вирус, не наносящий явного вреда. Позиция компании «Доктор Веб» на этот счет однозначна: Win32.Induc нужно лечить, поскольку методы его распространения в дальнейшем могут использоваться злоумышленниками при создании вредоносных программ.

В центре внимания вирусописателей остаются и зарубежные социальные сети. Киберпреступники разрабатывают новые, более изощренные схемы их использования. Примером тому является управление бот-сетью через RSS-поток от Twitter-аккаунта. Увы, во многом на руку киберпреступникам продолжает играть наивность пользователей социальных сетей.

Интересную схему применили злоумышленники для вынуждения пользователей ввода captcha. Похоже, подобная схема встретится еще не раз, т.к. для защиты от автоматических регистраций captcha используется повсеместно, а способы автоматического подбора совершенствуются вирусописателями.

Доступность исходных кодов Trojan.SkypeSpy позволяет говорить о вероятном появлении новых вредоносных программ, использующих эту схему для перехвата разговоров пользователей Skype и пересылки их на сервер злоумышленников. По нашему мнению, рядовым пользователям Skype это грозит в меньшей степени, нежели тем, кто использует это средство связи для ведения важных переговоров.

Вредоносные файлы, обнаруженные в августе в почтовом трафике

2009-08-01 00:00:00 - 2009-09-01 00:00:00

1 Win32.HLLM.Beagle 5,865,108 (21.93%)
2 Win32.HLLM.Netsky.35328 4,849,868 (18.14%)
3 Trojan.DownLoad.36339 4,134,857 (15.46%)
4 Trojan.PWS.Panda.122 1,961,029 (7.33%)
5 Win32.HLLM.MyDoom.based 1,292,488 (4.83%)
6 Trojan.MulDrop.19648 1,157,909 (4.33%)
7 Trojan.Botnetlog.9 1,096,090 (4.10%)
8 Win32.HLLM.MyDoom.33808 855,011 (3.20%)
9 Win32.HLLM.MyDoom.44 792,728 (2.96%)
10 Win32.HLLM.Netsky.based 436,017 (1.63%)
11 Win32.HLLM.Beagle.32768 428,610 (1.60%)
12 Win32.HLLM.Perf 423,470 (1.58%)
13 Trojan.MulDrop.13408 400,116 (1.50%)
14 Win32.HLLM.MyDoom.49 357,537 (1.34%)
15 Exploit.IframeBO 335,231 (1.25%)
16 Trojan.DownLoader.47449 330,465 (1.24%)
17 Win32.HLLM.Beagle.27136 282,600 (1.06%)
18 Exploit.IFrame.43 243,633 (0.91%)
19 Trojan.PWS.Panda.114 241,519 (0.90%)
20 W97M.Dig 238,903 (0.89%)

Просканировано: 97,916,911,140
Инфицировано: 26,740,352(0.0273%)

Вредоносные файлы, обнаруженные в августе на компьютерах пользователей

2009-08-01 00:00:00 - 2009-09-01 00:00:00

1 Trojan.WinSpy.173 2,122,087 (12.83%)
2 Win32.HLLW.Gavir.ini 945,441 (5.71%)
3 Trojan.PWS.Panda.122 934,309 (5.65%)
4 Win32.HLLW.Shadow.based 692,403 (4.19%)
5 Win32.HLLM.Beagle 685,142 (4.14%)
6 Win32.HLLM.Netsky.35328 553,701 (3.35%)
7 DDoS.Kardraw 488,474 (2.95%)
8 Trojan.MulDrop.16727 459,047 (2.77%)
9 Win32.HLLM.MyDoom.49 384,980 (2.33%)
10 Win32.Alman 374,155 (2.26%)
11 Win32.Sector.17 341,899 (2.07%)
12 Win32.Virut.14 334,440 (2.02%)
13 Trojan.WinSpy.180 319,031 (1.93%)
14 Win32.HLLW.Autoruner.5555 288,362 (1.74%)
15 Trojan.Botnetlog.11 254,197 (1.54%)
16 Win32.HLLP.Whboy 243,831 (1.47%)
17 Win32.HLLW.Autoruner.2536 241,360 (1.46%)
18 Trojan.DownLoader.47449 240,895 (1.46%)
19 Trojan.Boroda 187,808 (1.14%)
20 Win32.HLLM.Netsky.based 187,327 (1.13%)

Просканировано: 147,141,361,062
Инфицировано: 16,543,297(0.0112%)[/cut]