«Лаборатория Касперского»: рейтинг вредоносных программ за февраль 2010 г.05.03.2010 14:01

«Лаборатория Касперского» опубликовала рейтинг вредоносных программ за февраль 2010 г. По информации компании, по мере своего развития интернет становится основным каналом распространения вредоносных программ. Однако если раньше пользователей заманивали на созданные злоумышленниками вредоносные сайты, то в последнее время киберпреступники сменили тактику: они взламывают легитимные ресурсы, говорится в отчете компании.

На взломанной странице размещается скрипт, который перенаправляет пользователя на сайт злоумышленников, после чего на компьютер жертвы в случае успешной атаки незаметно загружается вредоносная программа. Об активности злоумышленников в Сети и масштабах подобного рода атак свидетельствует рейтинг вредоносных программ, обнаруженных на веб-страницах и пытающихся загрузиться на компьютеры пользователей из интернета:

  1. Return Trojan-Downloader.JS.Gumblar.x 453985
  2. -1 Trojan.JS.Redirector.l 346637
  3. New Trojan-Downloader.JS.Pegel.b 198348
  4. + 3 not-a-virus:AdWare.Win32.Boran.z 80185
  5. -2 Trojan-Downloader.JS.Zapchast.m 80121
  6. New Trojan-Clicker.JS.Iframe.ea 77067
  7. New Trojan.JS.Popupper.ap 77015
  8. + 3 Trojan.JS.Popupper.t 64506
  9. New Exploit.JS.Aurora.a 54102
  10. New Trojan.JS.Agent.aui 53415
  11. New Trojan-Downloader.JS.Pegel.l 51019
  12. New Trojan-Downloader.Java.Agent.an 47765
  13. New Trojan-Clicker.JS.Agent.ma 45525
  14. New Trojan-Downloader.Java.Agent.ab 42830
  15. New Trojan-Downloader.JS.Pegel.f 41526
  16. Return Packed.Win32.Krap.ai 38567
  17. New Trojan-Downloader.Win32.Lipler.axkd 38466
  18. New Exploit.JS.Agent.awd 35024
  19. New Trojan-Downloader.JS.Pegel.k 34665
  20. New Packed.Win32.Krap.an 33538

Из 20 программ, попавших в список, только 6 фигурировали в аналогичных рейтингах в предыдущие месяцы. 14 позиций заняты новичками. Для сравнения - среди программ, заблокированных непосредственно на компьютерах пользователей (в этот рейтинг не попадают вредоносные программы, загружающиеся из интернета) только 4 новых.

По данным «Лаборатории Касперского», из 20 наиболее активных угроз в интернете 8 могут использоваться для редиректа посетителей взломанных легитимных ресурсов на вредоносные сайты. По описанной выше схеме действует и лидирующий в рейтинге печально известный Gumblar, что свидетельствует об очередной волне эпидемии этого скриптового загрузчика. Кроме того, растут масштабы начавшейся в январе эпидемии аналогичного Gumblar загрузчика Pegel. Среди программ, впервые попавших в рейтинг, присутствуют четыре представителя этого семейства, причем один из них оказался сразу на третьем месте.

Как уже было сказано выше, на компьютеры попавших на зловредные сайты пользователей загружается исполняемый вредоносный файл. Для этого злоумышленники чаще всего эксплуатируют уязвимости в таких программных продуктах, как Internet Explorer и Adobe Reader. При этом в атаках часто используются уязвимости, обнаруженные несколько лет назад. Примечательно, что на 9-м месте рейтинга расположился эксплойт Exploit.JS.Aurora.a к уязвимости в Internet Explorer, который использовался в таргетированной атаке на крупные компании (такие как Google и Adobe) с целью получения персональной информации пользователей и интеллектуальной собственности компаний.

Более того, Exploit.JS.Aurora.a попал и на 7-е место в рейтинге вредоносных и потенциально нежелательных программ, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним. Лидирует же в этом рейтинге занявший три из пяти первых позиций сетевой червь Kido, эпидемия которого продолжается уже много месяцев.

В целом двадцатка зловредов, задетектированных на компьютерах пользователей, выглядит следующим образом:

  1. 0 Net-Worm.Win32.Kido.ir 274729
  2. + 1 Virus.Win32.Sality.aa 179218
  3. + 1 Net-Worm.Win32.Kido.ih 163467
  4. -2 Net-Worm.Win32.Kido.iq 121130
  5. 0 Worm.Win32.FlyStudio.cu 85345
  6. + 3 Trojan-Downloader.Win32.VB.eql 56998
  7. New Exploit.JS.Aurora.a 49090
  8. + 9 Worm.Win32.AutoIt.tc 48418
  9. + 1 Virus.Win32.Virut.ce 47842
  10. + 4 Packed.Win32.Krap.l 47375
  11. -3 Trojan-Downloader.WMA.GetCodec.s 43295
  12. 0 Virus.Win32.Induc.a 40257
  13. New not-a-virus:AdWare.Win32.RK.aw 39608
  14. -3 not-a-virus:AdWare.Win32.Boran.z 39404
  15. + 1 Worm.Win32.Mabezat.b 38905
  16. New Trojan.JS.Agent.bau 34842
  17. + 3 Packed.Win32.Black.a 32439
  18. + 1 Trojan-Dropper.Win32.Flystud.yo 32268
  19. Return Worm.Win32.AutoRun.dui 32077
  20. New not-a-virus:AdWare.Win32.FunWeb.q 30942

Как видно, на 13 месте рейтинга расположился not-a-virus: AdWare.Win32.RK.aw – приложение Relevant Knowledge, которое распространяется и устанавливается вместе с различными программными продуктами. В пользовательском соглашении указано, что эта программа автоматически собирает личную пользовательскую информацию, отслеживая практически любую активность пользователя, особенно в интернете, и сохраняет ее на своих серверах. Сказано также о том, что все собранные данные используются исключительно для благих целей («помогают сформировать будущее интернета»), а также тщательно защищаются.

Последнее же место рейтинга занял FunWeb.q – яркий пример распространенных рекламных программ. FunWeb.q является панелью для популярных браузеров и обеспечивает пользователю быстрый доступ к ресурсам определенных веб-сайтов (обычно с медиа-контентом). Для отображения рекламы она также видоизменяет страницы, которые посещает пользователь.

©  CNews