"Лаборатория Касперского" представляет вниманию пользователей рейтинг вредоносных программ.
Общие показатели обеих двадцаток несколько снизились - это связано с запуском новой линии продуктов KAV/KIS: многие пользователи перешли на новую версию. Как только статистика KSN в новых версиях стабилизируется, мы планируем включить и ее в ежемесячный рейтинг.
| Позиция |
Изменение позиции |
Вредоносная программа |
Количество зараженных компьютеров |
| 1 |
 0 |
Net-Worm.Win32.Kido.ih |
41033 |
| 2 |
0 |
Virus.Win32.Sality.aa |
18027 |
| 3 |
0 |
not-a-virus:AdWare.Win32.Boran.z |
12470 |
| 4 |
 New |
Net-Worm.Win32.Kido.ir |
11384 |
| 5 |
 -1 |
Trojan-Downloader.Win32.VB.eql |
6433 |
| 6 |
-1 |
Trojan.Win32.Autoit.ci |
6168 |
| 7 |
 3 |
Virus.Win32.Induc.a |
5947 |
| 8 |
-2 |
Virus.Win32.Virut.ce |
5433 |
| 9 |
New |
P2P-Worm.Win32.Palevo.jdb |
5169 |
| 10 |
-2 |
Net-Worm.Win32.Kido.jq |
4288 |
| 11 |
New |
Worm.Win32.FlyStudio.cu |
4104 |
| 12 |
-5 |
Worm.Win32.AutoRun.dui |
4071 |
| 13 |
-4 |
Virus.Win32.Sality.z |
4056 |
| 14 |
6 |
P2P-Worm.Win32.Palevo.jaj |
3564 |
| 15 |
-4 |
Worm.Win32.Mabezat.b |
2911 |
| 16 |
New |
Exploit.JS.Pdfka.ti |
2823 |
| 17 |
New |
Trojan-Downloader.WMA.Wimad.y |
2544 |
| 18 |
0 |
Trojan-Dropper.Win32.Flystud.yo |
2513 |
| 19 |
New |
P2P-Worm.Win32.Palevo.jcn |
2480 |
| 20 |
New |
Trojan.Win32.Refroso.bpk |
2387 |
Kido все еще активен. Помимо лидера последних двадцаток Kido.ih мы видим новичка Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.
Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке мы видим еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска - Palevo.jaj - поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Надо заметить, что такие высокие позиции эти две вредоносные программы заняли в основном благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор.
Подтверждение этому мы находим и в том, что червь китайского происхождения - FlyStudio.cu - также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.
Среди новичков мы видим новую версию уже появлявшегося в рейтингах мультимедийного загрузчика Wimad - Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.
Еще об одном дебютанте - Exploit.JS.Pdfka.ti - расскажем чуть ниже, так как он попал и во вторую двадцатку.
Наиболее заметными в первой таблице являются самораспространяющиеся зловреды - тенденция к усилению их влияния сохраняется.
| Позиция |
Изменение позиции |
Вредоносная программа |
Количество попыток загрузки |
| 1 |
0 |
not-a-virus:AdWare.Win32.Boran.z |
17624 |
| 2 |
1 |
Trojan.JS.Redirector.l |
16831 |
| 3 |
-1 |
Trojan-Downloader.HTML.IFrame.sz |
6586 |
| 4 |
New |
Exploit.JS.Pdfka.ti |
3834 |
| 5 |
New |
Trojan-Clicker.HTML.Agent.aq |
3424 |
| 6 |
4 |
Trojan-Downloader.JS.Major.c |
2970 |
| 7 |
-3 |
Trojan-Downloader.JS.Gumblar.a |
2583 |
| 8 |
New |
Exploit.JS.ActiveX.as |
2434 |
| 9 |
-1 |
Trojan-Downloader.JS.LuckySploit.q |
2224 |
| 10 |
-3 |
Trojan-GameThief.Win32.Magania.biht |
1627 |
| 11 |
New |
Exploit.JS.Agent.ams |
1502 |
| 12 |
4 |
Trojan-Downloader.JS.IstBar.bh |
1476 |
| 13 |
New |
Trojan-Downloader.JS.Psyme.gh |
1419 |
| 14 |
New |
Exploit.JS.Pdfka.vn |
1396 |
| 15 |
 Return |
Exploit.JS.DirektShow.a |
1388 |
| 16 |
-10 |
Exploit.JS.DirektShow.k |
1286 |
| 17 |
Return |
not-a-virus:AdWare.Win32.Shopper.l |
1268 |
| 18 |
Return |
not-a-virus:AdWare.Win32.Shopper.v |
1247 |
| 19 |
New |
Trojan-Clicker.JS.Agent.jb |
1205 |
| 20 |
New |
Exploit.JS.Sheat.f |
1193 |
Во второй двадцатке по-прежнему много обновлений.
Здесь мы видим сразу двух представителей семейства Exploit.JS.Pdfka: под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае - в Adobe Reader).
Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. Pdfka.vn использует уязвимость уже поновее - в функции getIcon того же объекта Collab.
Все уязвимости в продуктах Adobe, которых было обнаружено довольно много за последние годы, злоумышленники пытаются массово эксплуатировать - вне зависимости от версии продукта, для большей вероятности загрузки на пользовательские компьютеры основного зловреда. Ведь всегда есть вероятность, что какое-то количество пользователей не обновили программные продукты. Поэтому в очередной раз рекомендуем своевременно обновлять крупные и популярные программные пакеты, в частном случае - производства компании Adobe.
Герои наших прошлых выпусков - Exploit.JS.DirektShow и Exploit.JS.Sheat - все еще активны: видим возвращение DirektShow.a и появление Sheat.f в рейтинге.
Прочие новички во второй таблице - это или тривиальные iframe-кликеры, или части одного зловредного скрипта.
Подытоживая вышесказанное, наблюдаем сохранение тенденций прошлых месяцев: количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах. А доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные. И здесь круг замыкается.
Ссылки по теме
