Обзор вирусной активности за декабрь 2008 года
«Лаборатория Касперского» опубликовала отчет вирусной активности по итогам декабря 2008 года.
Всего в прошлом месяце на компьютерах пользователей было зафиксировано 38 190 уникальных вредоносных, рекламных и потенциально опасных программ, наиболее распространенные из которых отражены в первом рейтинге вирусной двадцатки.
- Virus.Win32.Sality.aa
- Packed.Win32.Krap.b
- Trojan-Downloader.Win32.VB.eql
- Worm.Win32.AutoRun.dui
- Trojan.HTML.Agent.ai
- Trojan-Downloader.WMA.GetCodec.c
- Virus.Win32.Alman.b
- Trojan.Win32.AutoIt.ci
- Packed.Win32.Black.a
- Worm.Win32.AutoIt.ar
- Worm.Win32.Mabezat.b
- Worm.Win32.AutoRun.eee
- Trojan-Downloader.JS.Agent.czm
- Trojan.Win32.Obfuscated.gen
- Email-Worm.Win32.Brontok.q
- Virus.Win32.VB.bu
- Trojan.Win32.Agent.abt
- Trojan-Downloader.JS.IstBar.cx
- Worm.VBS.Autorun.r
- Trojan-Downloader.WMA.GetCodec.r
При общей стабильности состава лидеров рейтинга относительно предыдущего месяца в декабрьской двадцатке произошел ряд изменений.
Самые высокие показатели роста в декабре 2008 года продемонстрировал Virus.Win32.Alman.b, одной из функции которого является хищение паролей от онлайн-игр. Резкий скачок вверх Trojan.Win32.AutoIt.ci эксперты объясняют возрастающей популярностью скриптового языка AutoIt, привлекающего злоумышленников простотой его освоения и написания программ.
Кроме того, в представленном рейтинге появились три новые программы. Среди новинок зафиксированы два представителя скриптовых загрузчиков Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm, а также мультимедийный троян GetCodec.r. Механизм действия последнего эксперты «Лаборатории Касперского» описывают следующим образом. При проигрывании зараженного мультимедийного файла скачивается традиционно замаскированный под кодек исполняемый файл — P2P-Worm.Win32.Nugg.w. При запуске он загружает из сети несколько архивов. В них содержатся исполняемые и мультимедийные файлы. Как оказывается впоследствии, исполняемые файлы — это различные версии червя P2P-Worm.Win32.Nugg, а мультимедийные файлы уже заражены несколькими версиями Trojan-Downloader.WMA.Getcodec. Червь заменяет имена этих файлов на «keygen RELOADED.zip», «(hot remix).mp3» и другие привлекающие внимание названия и открывает к ним доступ в популярной пиринговой сети Gnutella, где ничего не подозревающие пользователи скачивают зараженные файлы и передают их дальше по цепочке.
При группировке вредоносных, рекламных и потенциально-опасных программ, представленных в первом рейтинге, по основным классам детектируемых угроз можно заметить, что в декабре доля саморазмножающихся и троянских программ сравнялась.
Вторая таблица рейтинга «Лаборатории Касперского» представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.
- Virus.Win32.Sality.aa
- Worm.Win32.Mabezat.b
- Virus.Win32.Xorer.du
- Trojan-Downloader.HTML.Agent.ml
- Net-Worm.Win32.Nimda
- Virus.Win32.Alman.b
- Virus.Win32.Parite.b
- Virus.Win32.Virut.n
- Virus.Win32.Sality.z
- Virus.Win32.Virut.q
- Virus.Win32.Parite.a
- Email-Worm.Win32.Runouce.b
- Worm.Win32.Otwycal.g
- P2P-Worm.Win32.Bacteraloh.h
- Trojan.Win32.Obfuscated.gen
- Worm.Win32.Fujack.cf
- Worm.VBS.Headtail.a
- Virus.Win32.Hidrag.a
- Worm.Win32.Fujack.k
- Virus.Win32.Small.l
Как видно из списка, его участники в очередной раз продемонстрировали свое постоянство, ограничиваясь, в основном, некоторыми перемещениями внутри двадцатки.
Новинкой Top 20 стал загрузчик Agent.ml, механизм работы которого пока не изучен, а также более поздняя версия Fujack.bd — червь Fujack.cf. Экспертам удалось выявить, что Trojan-Downloader.HTML.Agent.ml содержит небольшое количество кода — вредоносный iframe-блок, который дописывается в конец веб-страниц. Таким образом, при загрузке основной страницы загружается и та, что указана в этом iframe-е. В данном случае она несет в себе зловредный JavaScript.