Вредоносные программы, обнаруженные на компьютерах пользователей
В первой таблице зафиксированы те вредоносные и потенциально
нежелательные программы, которые были обнаружены и обезврежены на
компьютерах пользователей при первом обращении к ним.
Первая десятка рейтинга вредоносных программ, обезвреженных на
компьютерах пользователей, практически неизменна. Первые четыре места
стабильно занимают сетевой червь Kido и вирус Sality. Единственное
изменение, произошедшее по сравнению с
маем — появление на 5-м месте нового эксплойта Agent.bab, который
сместил на одну позицию шесть следующих зловредов. Подробнее об
Exploit.JS.Agent.bab мы расскажем ниже.
Новая модификация популярного P2P-Worm.Palevo заняла 11-е место в
таблице. Palevo.fuc охотится за конфиденциальной информацией, вводимой
пользователем в окно браузера. Один из основных способов распространения
этого червя — использование программ, позволяющих обмениваться файлами
«Peer-to-Peer». Вот небольшой список используемых червем программ:
BearShare, iMesh, Shareaza, eMule и т.д. Многократно копируя себя в
папки, предназначенные для хранения скачиваемых и раздаваемых файлов, он
дает своим копиям броские, привлекающие внимание названия, в надежде
заинтересовать потенциальных жертв. Множественное копирование в сетевые
папки и общие сетевые ресурсы, отправка ссылок на скачивание через
интернет-пейджеры, заражение всевозможных съемных носителей с
использованием Trojan.Win32.Autorun — все это способы распространения
P2P-Worm.Win32.Palevo.fuc.
Двумя новыми представителями Trojan.Win32.Autorun, занявшими 18-е и
20-е места в рейтинге, оказались заражены по меньшей мере 50 тысяч
съемных носителей. Оба зловреда представляют собой autorun.inf файлы,
запускающие присутствующего на том же носителе червя сразу после
подключения зараженного устройства.
И наконец, Worm.Win32.VBNA.b (13-е место). Программа написана на
Visual Basic и относится к категории вредоносных упаковщиков.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг
попадают вредоносные программы, обнаруженные на веб-страницах, а также
те зловреды, которые пытались загрузиться с веб-страниц на компьютеры
пользователей.
Несмотря на значительные изменения в таблице, пять её участников,
включая лидера, сохранили свои позиции.
Неожиданное возвращение Trojan-Downloader.JS.Pegel.b, занявшего
третье место в рейтинге, схоже с ситуацией, описанной нами в
апреле в отношении Trojan-Downloader.JS.Gumblar.x. Последний раз
высокая активность Pegel наблюдалась в
феврале этого года, когда сразу шесть представителей семейства
Pegel во главе с модификацией Pegel.b попали в двадцатку самых
распространенных вредоностных программ в интернете. В связке с Pegel.b
были использованы различные PDF-эксплойты и эксплойт Java CVE-2010-0886,
о котором мы рассказывали в
прошлом месяце. Помимо скриптовых загузчиков Pegel и Gumblar
существуют и очень простые, но достаточно распространенные скрипты,
которыми злоумышленники также заражают легитимные сайты. Одним из них
является Trojan.JS.Agent.bky (18-е место). Размер его кода в среднем
составляет 0x3B байт, или 59 символов. Единственное, что он делает, —
это загружает основной вредоносный код с жестко заданного URL.
Эксплойт Agent.bab оказался на второй строчке рейтинга, и был
обнаружен более чем 340 тыс. раз. Зловред использует старую уязвимость
CVE-2010-0806, скачивая на компьютер-жертву различные вредоносные
программы. Повторяется уже известный сценарий, при котором сначала
скачиваются Trojan-Downloaader.Win32.Geral и Rootkit.Win32.Agent,
Backdoor.Win32.Hupigon, a затем Trojan-GameTheif.Win32.Maganiz,
Trojan-GameTheif.Win32.WOW и т.д.
Еще три новых модификации Exploit.JS.Pdfka отметились в таблице (6-е,
8-е и 14-е места). Похоже, зловреды этого семейства никогда не покинут
наш рейтинг, и выходы обновлений от компании Adobe по-прежнему будут
сопровождаться появлением новых разновидностей этого эксплойта. Все три
модификации скачивали разнообразные зловредые, не образующие какую-либо
ярко выраженную группу.
В последнее время нередко встречаются интернет-страницы, где вам
сообщают, что у вас на компьютере множество разных вредоносных программ,
и предлагают срочно провести чистку компьютера. Окно браузера
напоминает окно «Мой компьютер», в котором полным ходом идет
сканирование на вирусы. По окончании этого «сканирования» пользователь
любым нажатием мыши, даже если он хочет закрыть эту страницу, вызывает
загрузку «антивируса», который в большинстве случаев оказывается
очередным представителем Trojan-Ransom или самым настоящим
Trojan.Win32.FraudPack. Именно такие страницы известны пользователям
продуктов «Лаборатории Касперского» под именами
Hoax.HTML.FakeAntivirus.f и Trojan.JS.Fraud.af.
Потенциально нежелательное ПО не обходит наш рейтинг стороной. Об
этом свидетельствует появление на 12-й позиции новой модификации
AdWare.Win32.FunWeb.ds. Целью данного программного продукта является
сбор информации о поисковых запросах пользователя. Чаще всего эти данные
используются системой показа баннеров, то и дело всплывающих в процессе
веб-серфинга.
Конфиденциальные данные представляют собой лакомый кусочек для
большинства мошенников. Совершенствуя различные технологии упаковки
вредоносного ПО, способы его распространения, обнаруживая новые
уязвимости, используя все более изощренные формы фишинга и социальной
инженерии, вирусописатели стараются откусить как можно больше от этого
куска. И хотя антивирусные компании всегда стоят на страже,
пользователям тоже необходимо проявлять бдительность. Ведь даже что
и как вы ежедневно ищете в интернете, может поведать
постороннему человеку о том, кто вы есть и что есть у вас.
Страны, в которых отмечено наибольшее количество попыток заражения
через веб:
|