Вирусы в июне07.07.2009 17:40

"Лаборатория Касперского" представила рейтинг вирусной активности за июнь.

Лидерство в рейтинге по-прежнему удерживает червь Net-Worm.Win32.Kido.ih, которым заражено 58 200 компьютеров. В двадцатке также присутствуют две модификации этой вредоносной программы - Kido.jq и Kido.ix. Такое обилие Kido в рейтинге может быть связано с тем, что одним из путей их попадания в компьютеры являются сменные носители. По тем же причинам в двадцатке оказались и представители семейства Autorun-червей - AutoRun.dui и AutoRun.rxx. Замыкает Top20 рекламная программа Shopper.v, разработанная компанией Zango. Приложение устанавливает различные панели в браузеры и почтовые клиенты и с их помощью показывает пользователю рекламные баннеры. При этом удалить эти панели из системы не так уж просто.

Рейтинг вирусной активности за июнь:

  1. Net-Worm.Win32.Kido.ih
  2. Virus.Win32.Sality.aa
  3. Trojan-Dropper.Win32.Flystud.ko
  4. Trojan-Downloader.Win32.VB.eql
  5. Worm.Win32.AutoRun.dui
  6. Trojan.Win32.Autoit.ci
  7. Virus.Win32.Virut.ce
  8. Worm.Win32.Mabezat.b
  9. Net-Worm.Win32.Kido.jq
  10. Virus.Win32.Sality.z
  11. Trojan-Downloader.JS.LuckySploit.q
  12. Virus.Win32.Alman.b
  13. Packed.Win32.Black.a
  14. Net-Worm.Win32.Kido.ix
  15. Worm.Win32.AutoIt.i
  16. Trojan-Downloader.WMA.GetCodec.u
  17. Packed.Win32.Klone.bj
  18. Email-Worm.Win32.Brontok.q
  19. Worm.Win32.AutoRun.rxx
  20. not-a-virus:AdWare.Win32.Shopper.v.

"Лаборатория Касперского" также опубликовала рейтинг вредоносного ПО, обнаруженного на веб-страницах.

Первое место занимает троянский загрузчик Gumblar.a, являющий собой яркий пример drive-by-загрузки. Gumblar.a - это зашифрованный скрипт небольшого размера, перенаправляющий пользователя на зловредный сайт. С помощью эксплуатации набора уязвимостей с этого сайта скачивается и устанавливается вредоносный исполняемый файл, который влияет на веб-трафик пользователя, изменяя результаты поиска в поисковой системе Google, а также ищет на компьютере пользователя пароли от FTP-серверов для последующего их заражения.

Рейтинг вредоносного ПО, обнаруженного на веб-страницах в июне:

  1. Trojan-Downloader.JS.Gumblar.a
  2. Trojan-Downloader.JS.Iframe.ayt
  3. Trojan-Downloader.JS.LuckySploit.q
  4. Trojan-Clicker.HTML.IFrame.kr
  5. Trojan-Downloader.HTML.IFrame.sz
  6. Trojan-Downloader.JS.Major.c
  7. Trojan-Downloader.Win32.Agent.cdam
  8. Trojan-Clicker.HTML.IFrame.mq
  9. Trojan.JS.Agent.aat
  10. Trojan.Win32.RaMag.a
  11. Trojan-Clicker.SWF.Small.b
  12. Packed.JS.Agent.ab
  13. Trojan-Downloader.JS.Agent.czm
  14. Exploit.JS.Pdfka.gu
  15. Trojan-Clicker.JS.Agent.fp
  16. Trojan-Dropper.Win32.Agent.aiuf
  17. Exploit.JS.Pdfka.lr
  18. not-a-virus:AdWare.Win32.Shopper.l
  19. not-a-virus:AdWare.Win32.Shopper.v
  20. Exploit.SWF.Agent.az.

Таким образом, в распоряжении злоумышленников появляется ботнет-сеть из зараженных серверов, с помощью которых они могут загружать на компьютеры пользователей любые типы вредоносных программ. Количество зараженных серверов огромно, и, более того, распространение происходит по незащищенным компьютерам до сих пор.

Еще один образец drive-by-загрузок - троянский загрузчик LuckySploit.q, занявший в рейтинге третье место. Это искусно обфусцированный скрипт, который вначале собирает информацию о конфигурации браузера пользователя, а затем отсылает эти сведения на зловредный сайт, зашифровывая их с помощью открытого RSA-ключа. На сервере эта информация расшифровывается с помощью закрытого RSA-ключа, и, в соответствии с обнаруженной конфигурацией браузера, пользователю возвращается целый набор скриптов, которые эксплуатируют уязвимости, найденные на данном компьютере, и загружают зловредные программы. Кроме всего прочего, такая многоходовая комбинация сильно затрудняет анализ экземпляров исходного скрипта, собирающего информацию о браузере.
Ряд вредоносных программ используют уязвимости программных продуктов крупных разработчиков. Так, присутствие в рейтинге эксплойтов Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr и Exploit.SWF.Agent.az говорит о популярности и уязвимости продуктов Adobe Flash Player и Adobe Reader. Кроме того, активно используются разнообразные уязвимости в решениях Microsoft. Например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах ОС, а также в компонентах Microsoft Office.

В последнее время четко прослеживается тенденция перехода злоумышленников на различные виды хитроумных drive-by-загрузок на компьютеры пользователей и ориентация на веб-пространство. В связи с этим пользователям необходимо внимательно следить за своевременной установкой обновлений как операционной системы, так и используемых программ, а также своевременно обновлять антивирус.

©  @Astera