Обзор вирусной активности за декабрь 2008 года

«Лаборатория Касперского» опубликовала отчет вирусной активности по итогам декабря 2008 года.

Всего в прошлом месяце на компьютерах пользователей было зафиксировано 38 190 уникальных вредоносных, рекламных и потенциально опасных программ, наиболее распространенные из которых отражены в первом рейтинге вирусной двадцатки.

1. Virus.Win32.Sality.aa
2. Packed.Win32.Krap.b
3. Trojan-Downloader.Win32.VB.eql
4. Worm.Win32.AutoRun.dui
5. Trojan.HTML.Agent.ai
6. Trojan-Downloader.WMA.GetCodec.c
7. Virus.Win32.Alman.b
8. Trojan.Win32.AutoIt.ci
9. Packed.Win32.Black.a
10. Worm.Win32.AutoIt.ar
11. Worm.Win32.Mabezat.b
12. Worm.Win32.AutoRun.eee
13. Trojan-Downloader.JS.Agent.czm
14. Trojan.Win32.Obfuscated.gen
15. Email-Worm.Win32.Brontok.q
16. Virus.Win32.VB.bu
17. Trojan.Win32.Agent.abt
18. Trojan-Downloader.JS.IstBar.cx
19. Worm.VBS.Autorun.r
20. Trojan-Downloader.WMA.GetCodec.r

При общей стабильности состава лидеров рейтинга относительно предыдущего месяца в декабрьской двадцатке произошел ряд изменений.

Самые высокие показатели роста в декабре 2008 года продемонстрировал Virus.Win32.Alman.b, одной из функции которого является хищение паролей от онлайн-игр. Резкий скачок вверх Trojan.Win32.AutoIt.ci эксперты объясняют возрастающей популярностью скриптового языка AutoIt, привлекающего злоумышленников простотой его освоения и написания программ.

Кроме того, в представленном рейтинге появились три новые программы. Среди новинок зафиксированы два представителя скриптовых загрузчиков Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm, а также мультимедийный троян GetCodec.r. Механизм действия последнего эксперты «Лаборатории Касперского» описывают следующим образом. При проигрывании зараженного мультимедийного файла скачивается традиционно замаскированный под кодек исполняемый файл — P2P-Worm.Win32.Nugg.w. При запуске он загружает из сети несколько архивов. В них содержатся исполняемые и мультимедийные файлы. Как оказывается впоследствии, исполняемые файлы — это различные версии червя P2P-Worm.Win32.Nugg, а мультимедийные файлы уже заражены несколькими версиями Trojan-Downloader.WMA.Getcodec. Червь заменяет имена этих файлов на «keygen RELOADED.zip», «(hot remix).mp3» и другие привлекающие внимание названия и открывает к ним доступ в популярной пиринговой сети Gnutella, где ничего не подозревающие пользователи скачивают зараженные файлы и передают их дальше по цепочке.

При группировке вредоносных, рекламных и потенциально-опасных программ, представленных в первом рейтинге, по основным классам детектируемых угроз можно заметить, что в декабре доля саморазмножающихся и троянских программ сравнялась.

Вторая таблица рейтинга «Лаборатории Касперского» представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

1. Virus.Win32.Sality.aa
2. Worm.Win32.Mabezat.b
3. Virus.Win32.Xorer.du
4. Trojan-Downloader.HTML.Agent.ml
5. Net-Worm.Win32.Nimda
6. Virus.Win32.Alman.b
7. Virus.Win32.Parite.b
8. Virus.Win32.Virut.n
9. Virus.Win32.Sality.z
10. Virus.Win32.Virut.q
11. Virus.Win32.Parite.a
12. Email-Worm.Win32.Runouce.b
13. Worm.Win32.Otwycal.g
14. P2P-Worm.Win32.Bacteraloh.h
15. Trojan.Win32.Obfuscated.gen
16. Worm.Win32.Fujack.cf
17. Worm.VBS.Headtail.a
18. Virus.Win32.Hidrag.a
19. Worm.Win32.Fujack.k
20. Virus.Win32.Small.l

Как видно из списка, его участники в очередной раз продемонстрировали свое постоянство, ограничиваясь, в основном, некоторыми перемещениями внутри двадцатки.

Новинкой Top 20 стал загрузчик Agent.ml, механизм работы которого пока не изучен, а также более поздняя версия Fujack.bd — червь Fujack.cf. Экспертам удалось выявить, что Trojan-Downloader.HTML.Agent.ml содержит небольшое количество кода — вредоносный iframe-блок, который дописывается в конец веб-страниц. Таким образом, при загрузке основной страницы загружается и та, что указана в этом iframe-е. В данном случае она несет в себе зловредный JavaScript.