«Лаборатория Касперского»: вирусная активность декабря

«Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ в декабре.

Лаборатория Касперского

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним. Число после названия вируса - количество зараженных компьютеров.
  • 1. Net-Worm.Win32.Kido.ir. 265622
  • 2. Net-Worm.Win32.Kido.iq. 211101
  • 3. Net-Worm.Win32.Kido.ih. 145364
  • 4. Virus.Win32.Sality.aa. 143166
  • 5. Worm.Win32.FlyStudio.cu. 101743
  • 6. not-a-virus:AdWare.Win32.GamezTar.a. 63898
  • 7. not-a-virus:AdWare.Win32.Boran.z. 61156
  • 8. Trojan-Downloader.Win32.VB.eql. 61022
  • 9. Trojan-Downloader.WMA.GetCodec.s. 56364
  • 10. Trojan.Win32.Swizzor.c. 54811
  • 11. Trojan-GameThief.Win32.Magania.cpct. 42676
  • 12. Virus.Win32.Virut.ce. 45127
  • 13. Virus.Win32.Induc.a. 37132
  • 14. Trojan-Dropper.Win32.Flystud.yo. 33614
  • 15. Packed.Win32.Krap.ag. 31544
  • 16. Packed.Win32.Black.a. 31340
  • 17. Worm.Win32.Mabezat.b. 31020
  • 18. Packed.Win32.Klone.bj. 28814
  • 19. Packed.Win32.Black.d. 28560
  • 20. Worm.Win32.AutoRun.dui. 28551
  • Первая двадцатка традиционно стабильна. Напомним, что Krap.ag, как и другие представители Packed, является детектированием упаковщика вредоносных программ, в данном случае - фальшивых антивирусов. Абсолютные показатели этого зловреда также несколько возросли, что говорит об актуальности псевдоантивирусов и неутомимости использующих их в своих преступных схемах злоумышленников, которым эффективное распространение таких программ приносит существенный доход.

    Заметным новичком в декабре является рекламная программа GamezTar.a, занявшая 6-е место в рейтинге. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливает несколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента.

    Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей. Число после названия вируса - количество уникальных попыток загрузки данной модификации зловреда.
  • 1. Trojan-Downloader.JS.Gumblar.x. 445881
  • 2. Trojan.JS.Redirector.l. 178902
  • 3. not-a-virus:AdWare.Win32.GamezTar.a. 165678
  • 4. Trojan-Downloader.HTML.IFrame.sz. 134215
  • 5. Trojan-Clicker.JS.Iframe.db. 128093
  • 6. not-a-virus:AdWare.Win32.Boran.z. 109256
  • 7. Trojan.JS.Iframe.ez. 91737
  • 8. Trojan.JS.Zapchast.bn. 64756
  • 9. Packed.JS.Agent.bn. 60361
  • 10. Packed.Win32.Krap.ai. 43042
  • 11. Packed.Win32.Krap.ag. 41731
  • 12. Exploit.JS.Pdfka.asd. 36044
  • 13. Trojan.JS.Agent.axe. 35309
  • 14. Trojan-Downloader.JS.Shadraem.a. 35187
  • 15. Trojan.JS.Popupper.f. 33745
  • 16. not-a-virus:AdWare.Win32.GamezTar.b. 33266
  • 17. Trojan-Downloader.JS.Twetti.a. 30368
  • 18. Trojan-Downloader.Win32.Lipler.iml. 28634
  • 19. Trojan-Downloader.JS.Kazmet.d. 28374
  • 20. Trojan.JS.Agent.axc. 26198

  • Во второй двадцатке, в отличие от достаточно стабильной первой, всего лишь четверть участников удержали свои позиции, один вернулся, а в остальном рейтинг коренным образом изменился. Лидером по-прежнему является Gumblar.x. Зараженные им сайты постепенно очищаются вебмастерами - число уникальных попыток загрузки в декабре более чем в 3 раза меньше, чем в ноябре.

    Наиболее интересным образцом творчества злоумышленников оказался Trojan-Downloader.JS.Twetti.a (17-е место), которым было заражено множество легитимных сайтов. Алгоритм работы этого загрузчика достоин внимания. После расшифровки в нем не оказалось ни ссылки на основной исполняемый файл, ни эксплойтов или ссылок на них! В процессе анализа выяснилось, что скрипт использует API (интерфейс программирования приложения) популярной, в том числе и у злоумышленников, социальной сети Twitter.

    Схема работы троянца следующая: формируется запрос к API, результатом которого являются данные по так называемым «трендам» - наиболее обсуждаемым темам в Twitter. Из полученных данных впоследствии формируется псевдослучайное доменное имя, которое злоумышленники регистрируют заранее, получив его по аналогичному алгоритму, и выполняется скрытый переход на него. На этом домене и располагается основная вредоносная часть, будь то PDF-эксплойт или исполняемый файл. Таким образом, формирование вредоносной ссылки и переход на нее осуществляется "на лету" через посредника, которым как раз и является Twitter.

    Интересно отметить, что зловреды Packed.JS.Agent.bn и Trojan-Downloader.JS.Twetti.a для заражения компьютера пользователя используют специально сформированный PDF-файл, который детектируется как Exploit.JS.Pdfka.asd и который также попал в рейтинг (12-е место). То есть, по мнению экспертов «Лаборатории Касперского», можно легко предположить, что по меньшей мере три популярных зловреда декабря - дело рук одной киберпреступной группировки. Более того, среди исполняемых файлов, которые в итоге drive-by атаки загружаются на компьютеры-жертвы, были замечены представители семейств TDSS, Sinowal и Zbot, которые являются одними из наиболее серьезных из существующих сейчас угроз, что тоже наводит на определенные размышления.

    С полной версией отчета можно ознакомиться на сайте разработчика.

    Ранее редакция THG рассказывала о Kaspersky Open Space Security R2 - новой линейке продуктов, обеспечивающих безопасность корпоративных информационных инфраструктур. Этот программный комплекс обладает широким функционалом, расширяемым за счёт модульной структуры. При этом управление максимально упрощено, ну а в надёжности продуктов «Лаборатории Касперского» сомневаться не приходится. Подробнее о Kaspersky Open Space Security читайте в нашем обзоре.

    ©  Tom's Hardware