«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ в марте
«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ в марте.
Вредоносные программы, задетектированные на компьютерах пользователей
В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.
| Позиция | Изменение позиции | Вредоносная программа | Количество зараженных компьютеров |
| 1 | Net-Worm.Win32.Kido.ir | 332833 | |
| 2 | Virus.Win32.Sality.aa | 211229 | |
| 3 | Net-Worm.Win32.Kido.ih | 186685 | |
| 4 | Net-Worm.Win32.Kido.iq | 181825 | |
| 5 | Worm.Win32.FlyStudio.cu | 121027 | |
| 6 | Trojan-Downloader.Win32.VB.eql | 68580 | |
| 7 | Trojan.Win32.AutoRun.abj | 66331 | |
| 8 | Virus.Win32.Virut.ce | 61003 | |
| 9 | Packed.Win32.Krap.l | 55823 | |
| 10 | Worm.Win32.AutoIt.tc | 55065 | |
| 11 | Worm.Win32.Mabezat.b | 49521 | |
| 12 | Exploit.JS.Aurora.a | 43776 | |
| 13 | Packed.Win32.Krap.as | 40912 | |
| 14 | Trojan.Win32.AutoRun.aay | 40754 | |
| 15 | Trojan-Dropper.Win32.Flystud.yo | 40190 | |
| 16 | Virus.Win32.Induc.a | 38683 | |
| 17 | not-a-virus:AdWare.Win32.RK.aw | 38547 | |
| 18 | Trojan.Win32.AutoRun.abd | 37037 | |
| 19 | not-a-virus:AdWare.Win32.Boran.z | 36996 | |
| 20 | not-a-virus:AdWare.Win32.FunWeb.q | 34177 |
В марте состав участников первой таблицы изменился незначительно.
Из заметных изменений отметим появление сразу трех версий троянца Autorun. Как и два месяца назад, это autorun.inf-файлы, с помощью которых распространяются через переносные носители P2P-Worm.Win32.Palevo и Trojan-GameThief.Win32.Magania.
В очередной раз мы видим в таблице нового представителя поведения Packed. В данном случае под именем Packed.Win32.Krap.as (13-е место) скрываются псевдо-антивирусы. Использование злоумышленниками специально разработанных упаковщиков исполняемых файлов яркая тенденция последнего времени. Новые методы упаковки и сокрытия от исследователей реального функционала популярных зловредов разрабатываются регулярно, что подтверждает практически ежемесячная смена в двадцатке модификаций семейств Krap и других.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.
| Позиция | Изменение позиции | Вредоносная программа | Число уникальных попыток загрузки |
| 1 | Trojan-Downloader.JS.Gumblar.x | 178965 | |
| 2 | Exploit.JS.CVE-2010-0806.i | 148721 | |
| 3 | Trojan.JS.Redirector.l | 126277 | |
| 4 | Trojan-Clicker.JS.Iframe.ea | 102226 | |
| 5 | Exploit.JS.Aurora.a | 88196 | |
| 6 | Trojan.JS.Agent.aui | 80654 | |
| 7 | not-a-virus:AdWare.Win32.Boran.z | 75911 | |
| 8 | Trojan.HTML.Fraud.aj | 68809 | |
| 9 | Packed.Win32.Krap.as | 64329 | |
| 10 | Exploit.JS.CVE-2010-0806.b | 50763 | |
| 11 | Trojan.JS.FakeUpdate.ab | 49412 | |
| 12 | Trojan.HTML.Fraud.aq | 48927 | |
| 13 | Packed.Win32.Krap.ai | 47601 | |
| 14 | Trojan-Downloader.JS.Twetti.a | 46858 | |
| 15 | Exploit.JS.Pdfka.bub | 45762 | |
| 16 | Trojan-Downloader.JS.Iframe.byo | 44848 | |
| 17 | Trojan.JS.FakeUpdate.aa | 42352 | |
| 18 | not-a-virus:AdWare.Win32.Shopper.l | 41888 | |
| 19 | Trojan-Clicker.HTML.IFrame.fh | 38266 | |
| 20 | Packed.Win32.Krap.ao | 36123 |
В контексте рейтинга вредоносных программ в интернете снова есть, о чем рассказать.
Начнем с совсем новой уязвимости CVE-2010-0806 в Internet Explorer, эксплойт к которой получил широкое распространение после слишком полного описания уязвимости. Сейчас только ленивый злоумышленник не использует этот эксплойт в своих атаках: в топе мы видим два его разных варианта - Exploit.JS.CVE-2010-0806.i (2) и Exploit.JS.CVE-2010-0806.b (10). Новая волна эпидемии Gumblar идет полным ходом. Помимо старой версии загрузчика, которая детектируется как Gumblar.x и занимает лидирующее место в таблице, появилась и обновленная – она детектируется уже как HEUR:Trojan-Downloader.Script.Generic.
Эксплойт Aurora.a, о котором мы также писали в феврале, продолжает активно использоваться злоумышленниками, что подтверждает его подъем в рейтинге с 9-го на 5-е место.
Любопытный загрузчик Twetti.a (14-е место в рейтинге), о котором мы рассказывали в декабре, снова вернулся в рейтинг после двухмесячного перерыва. Как и в случае с Gumblar, злоумышленники взяли небольшой перерыв, а затем снова спровоцировали заражение этим зловредом большого количества веб-ресурсов.
Exploit.JS.Pdfka.bub (15-е место) также неспроста попал в топ: этот вредоносный PDF-файл служит компонентом drive-by атаки, отправной точкой которой является Twetti.a.
В таблице также присутствуют сразу четыре новых представителя шаблонных веб-страниц, с которых распространяются поддельные антивирусы и программы-блокеры: Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq и Trojan.JS.FakeUpdate.aa.
Страны, в которых отмечено наибольшее количество попыток заражения через веб:
Итоги месяца остаются прежними: среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном ПО. К счастью, чаще всего уязвимости оперативно исправляются производителем. К сожалению, далеко не все пользователи своевременно устанавливают эти исправления. В последнее время все больше зловредов в ходе атак используют доверчивость и неопытность пользователя. Среди таких вредоносных программ в марте наибольшей популярностью у злоумышленников пользовались вышеупомянутые лже-антивирусы и блокеры.
