«Лаборатория Касперского»: вирусная активность декабря
«Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ в декабре.
В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним. Число после названия вируса - количество зараженных компьютеров.
Первая двадцатка традиционно стабильна. Напомним, что Krap.ag, как и другие представители Packed, является детектированием упаковщика вредоносных программ, в данном случае - фальшивых антивирусов. Абсолютные показатели этого зловреда также несколько возросли, что говорит об актуальности псевдоантивирусов и неутомимости использующих их в своих преступных схемах злоумышленников, которым эффективное распространение таких программ приносит существенный доход.1. Net-Worm.Win32.Kido.ir. 265622 2. Net-Worm.Win32.Kido.iq. 211101 3. Net-Worm.Win32.Kido.ih. 145364 4. Virus.Win32.Sality.aa. 143166 5. Worm.Win32.FlyStudio.cu. 101743 6. not-a-virus:AdWare.Win32.GamezTar.a. 63898 7. not-a-virus:AdWare.Win32.Boran.z. 61156 8. Trojan-Downloader.Win32.VB.eql. 61022 9. Trojan-Downloader.WMA.GetCodec.s. 56364 10. Trojan.Win32.Swizzor.c. 54811 11. Trojan-GameThief.Win32.Magania.cpct. 42676 12. Virus.Win32.Virut.ce. 45127 13. Virus.Win32.Induc.a. 37132 14. Trojan-Dropper.Win32.Flystud.yo. 33614 15. Packed.Win32.Krap.ag. 31544 16. Packed.Win32.Black.a. 31340 17. Worm.Win32.Mabezat.b. 31020 18. Packed.Win32.Klone.bj. 28814 19. Packed.Win32.Black.d. 28560 20. Worm.Win32.AutoRun.dui. 28551
Заметным новичком в декабре является рекламная программа GamezTar.a, занявшая 6-е место в рейтинге. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливает несколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента.
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей. Число после названия вируса - количество уникальных попыток загрузки данной модификации зловреда.
1. Trojan-Downloader.JS.Gumblar.x. 445881 2. Trojan.JS.Redirector.l. 178902 3. not-a-virus:AdWare.Win32.GamezTar.a. 165678 4. Trojan-Downloader.HTML.IFrame.sz. 134215 5. Trojan-Clicker.JS.Iframe.db. 128093 6. not-a-virus:AdWare.Win32.Boran.z. 109256 7. Trojan.JS.Iframe.ez. 91737 8. Trojan.JS.Zapchast.bn. 64756 9. Packed.JS.Agent.bn. 60361 10. Packed.Win32.Krap.ai. 43042 11. Packed.Win32.Krap.ag. 41731 12. Exploit.JS.Pdfka.asd. 36044 13. Trojan.JS.Agent.axe. 35309 14. Trojan-Downloader.JS.Shadraem.a. 35187 15. Trojan.JS.Popupper.f. 33745 16. not-a-virus:AdWare.Win32.GamezTar.b. 33266 17. Trojan-Downloader.JS.Twetti.a. 30368 18. Trojan-Downloader.Win32.Lipler.iml. 28634 19. Trojan-Downloader.JS.Kazmet.d. 28374 20. Trojan.JS.Agent.axc. 26198
Во второй двадцатке, в отличие от достаточно стабильной первой, всего лишь четверть участников удержали свои позиции, один вернулся, а в остальном рейтинг коренным образом изменился. Лидером по-прежнему является Gumblar.x. Зараженные им сайты постепенно очищаются вебмастерами - число уникальных попыток загрузки в декабре более чем в 3 раза меньше, чем в ноябре.
Наиболее интересным образцом творчества злоумышленников оказался Trojan-Downloader.JS.Twetti.a (17-е место), которым было заражено множество легитимных сайтов. Алгоритм работы этого загрузчика достоин внимания. После расшифровки в нем не оказалось ни ссылки на основной исполняемый файл, ни эксплойтов или ссылок на них! В процессе анализа выяснилось, что скрипт использует API (интерфейс программирования приложения) популярной, в том числе и у злоумышленников, социальной сети Twitter.
Схема работы троянца следующая: формируется запрос к API, результатом которого являются данные по так называемым «трендам» - наиболее обсуждаемым темам в Twitter. Из полученных данных впоследствии формируется псевдослучайное доменное имя, которое злоумышленники регистрируют заранее, получив его по аналогичному алгоритму, и выполняется скрытый переход на него. На этом домене и располагается основная вредоносная часть, будь то PDF-эксплойт или исполняемый файл. Таким образом, формирование вредоносной ссылки и переход на нее осуществляется "на лету" через посредника, которым как раз и является Twitter.
Интересно отметить, что зловреды Packed.JS.Agent.bn и Trojan-Downloader.JS.Twetti.a для заражения компьютера пользователя используют специально сформированный PDF-файл, который детектируется как Exploit.JS.Pdfka.asd и который также попал в рейтинг (12-е место). То есть, по мнению экспертов «Лаборатории Касперского», можно легко предположить, что по меньшей мере три популярных зловреда декабря - дело рук одной киберпреступной группировки. Более того, среди исполняемых файлов, которые в итоге drive-by атаки загружаются на компьютеры-жертвы, были замечены представители семейств TDSS, Sinowal и Zbot, которые являются одними из наиболее серьезных из существующих сейчас угроз, что тоже наводит на определенные размышления.
С полной версией отчета можно ознакомиться на сайте разработчика.
Ранее редакция THG рассказывала о Kaspersky Open Space Security R2 - новой линейке продуктов, обеспечивающих безопасность корпоративных информационных инфраструктур. Этот программный комплекс обладает широким функционалом, расширяемым за счёт модульной структуры. При этом управление максимально упрощено, ну а в надёжности продуктов «Лаборатории Касперского» сомневаться не приходится. Подробнее о Kaspersky Open Space Security читайте в нашем обзоре.