Октябрьская вирусология: цифры и факты от «Лаборатории Касперского»
«Лаборатория Касперского» представила рейтинг вредоносных программ в октябре 2009 года. Как сообщила компания разработчик популярных продуктов для компьютерной безопасности, начиная с этого месяца статистика рейтинга собирается со всех версий антивирусных продуктов, в которых есть поддержка KSN: к 2009 версии присоединилась 2010. В результате состав двух двадцаток, сформированных по итогам работы Kaspersky Security Network, несколько изменился. Кроме того, в обеих двадцатках отмечен серьезный рост показателей, поскольку число вовлеченных в KSN пользователей значительно увеличилось.
В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.
Впервые заявивший о себе в сентябре Net-Worm.Win32.Kido.ir занял лидирующую позицию в TOP 20, вытеснив нашего постоянного чемпиона Kido.ih, что в очередной раз подтверждает тот факт, что зараженные переносные носители - один из главных источников вредоносных программ на компьютерах пользователей.
Некогда очень известное семейство Magania вновь активизировалось - в июле Trojan-GameThief.Win32.Magania.biht попал в TOP 20 наиболее распространенных в интернете вредоносных программ. В октябре новая версия - Magania.cbrt, - а также связанный с этим семейством Trojan-Dropper.Win32.Agent.ayqa попали в число 20 вредоносных программ, чаще всего обнаруживаемых на компьютерах пользователей.
Также, по итогам месяца эксперты компании отметили по-прежнему активное распространение вредоносных программ с помощью съемных цифровых носителей, а также пока незначительную, но уже заметную активизацию игровых троянцев.
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц на компьютеры пользователей.
Первые два места заняли новые версии нашумевшего в мае этого года скриптового загрузчика Gumblar, которые появились под конец месяца и сразу же вышли на лидирующие позиции. В новых версиях Gumblar технология заражения веб-сайтов стала более изощренной. В первой версии веб-страницы легальных сайтов заражались непосредственно телом скрипта, с помощью которого незаметно для посетителя зараженной страницы исполнялся скрипт, расположенный на сайте злоумышленников. Теперь же на взломанных ресурсах размещаются ссылки на зловредные скрипты, расположенные на других легальных зараженных ресурсах, что несколько усложняет процесс анализа и обезвреживания вредоносной сети. Сам скрипт пытается эксплуатировать несколько уязвимостей в Adobe Acrobat/Reader, Adobe Flash Player, Microsoft Office для загрузки основной вредоносной программы - Trojan-PSW.Win32.Kates.j. Некоторые варианты скриптов содержат вышеупомянутого троянца в своем теле, а при исполнении пытаются загрузить Kates.j на компьютер пользователя и сразу прописать в автозапуск. Основной целью заражения является кража конфиденциальных пользовательских данных, в том числе данных для доступа к веб-сайтам пользователя - для их последующих заражений.
Эксперты «Лаборатории Касперского» отмечают, что атака с использованием Gumblar была спланирована довольно тщательно, однако в первые же дни специалистами компании было оперативно добавлено детектирование для всех частей преступного паззла.
Прием разбиения вредоносного скрипта на части становится все более популярным. В этом месяце из 20 попавших в ТOP зловредов четверть разработана по такому принципу: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, Trojan-Downloader.JS.Agent.env.
Подводя итоги, событием месяца в интернете эксперты «Лаборатории Касперского» называют массовое заражение легальных сайтов новыми версиями скриптового загрузчика Gumblar. Также наблюдается активное использование технологии разбиения вредоносных скриптов на несколько частей для усложнения их анализа и обнаружения.
Напомним, что недавно компания «Лаборатория Касперского» представила новое антивирусное решение Kaspersky Internet Security 2010 с рядом нововведений - кроме технологии безопасной среды оно оснащено модулем проверки ссылок, игровым режимом работы, «облачными технологиями» и другими новшествами. Обзор решения можно найти на страницах THG.