Интегрированный аналитический отчет: раздел Помогите, апрель 2010

[NickGolovko]

Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта за каждый календарный месяц.


Общая статистика

По данным системы "КиберХелпер", в течение апреля 2010 года в лечебный сервис VirusInfo поступила 1 221 заявка на лечение ПК от вирусов - этот показатель вновь несколько меньше, чем в предыдущем месяце. Посетители сервиса загрузили в общей сложности 916 архивов карантина, содержащих 2 427 уникальных файлов; из них 824 были признаны безопасными, 1 165 - вредоносными, подозрительными или потенциально опасными. Перечисленные параметры превышают соответствующие результаты марта, однако этот факт пока не представляет особенных оснований для беспокойства и свидетельствует скорее об обычных перепадах активности вредоносного ПО, нежели о возврате к временам эпидемий.


TOP 10 вредоносного программного обеспечения

По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:

Код:

№	Имя						Образцов	Позиция
1.	Packed.Win32.Krap.w				45		-
2.	HEUR:Trojan.Win32.Generic			41		+3
3.	Trojan-Clicker.Win32.Cycler.ozk			36		-
4.	Worm.Win32.AutoIt.rm				22		-
5.	Trojan.Win32.VB.adqk				21		-
6.	Packed.Win32.Krap.gy 				20		-
7.	Packed.Win32.Krap.x 				19		-	
8.	P2P-Worm.Win32.Polip.a 				19		-
9.	not-a-virus:RemoteAdmin.Win32.RAdmin.20 	17		-
10.	Trojan-Dropper.Win32.Agent.bvsb 		15		-

Картина здесь, безусловно, совершенно иная, нежели в марте. Мы вновь прощаемся со стабильностью рейтинга: из предыдущих "участников" в десятке остался только эвристический детект HEUR:Trojan.Win32.Generic, который поднялся на три пункта. В целом апрельский Top 10 больше напоминает статистику периода последней эпидемии: в нем опять присутствует сразу три образца Packed.Win32.Krap. Теперь нам предстоит выяснить, остаточный ли это всплеск активности, связанный с обработкой давно не проверявшегося на вредоносные программы компьютера, или же мы поторопились похоронить троянские вымогатели, или под упаковщиком скрывается вообще другое вредоносное программное обеспечение.

За счет возникновения упомянутых трех образцов Krap доля представителей OtherMalWare, которые вообще не были представлены в рейтинге марта, существенно поднялась и составила в конечном счете 40%. У прежних лидеров - VirWare - наступил регресс, выразившийся в их отступлении на уровень января (20%). Оставшиеся 40%, соответственно, отошли к роду троянских коней, бэкдоров и руткитов.

Состав десятки, как это обычно и бывает, практически полностью сменился, поэтому о подтверждении прежних или закладке новых тенденций здесь говорить трудно. Можно, однако, отметить семейство Worm.Win32.AutoIt, которое сменило конкретного представителя (с .tc на .rm), но сохранило за собой четвертое место в рейтинге. Небезынтересен и тот факт, что в Top 10 попал образец из семейства RemoteAdmin - явление довольно редкое, поскольку количество представителей этого семейства обычно бывает довольно несущественным. Для давних участников рейтинга - Trojan.Win32.Patched.fr, Virus.Win32.Sality.aa - места в десятке на сей раз не нашлось, но, как мы знаем из опыта анализа вирусной обстановки, для вялотекущих инфекций это - не слишком большое расстройство.


"Пойманы нами"

В апреле 2010 специалисты VirusInfo обнаружили в общей сложности 862 новых образца вредоносного программного обеспечения - почти на 200 штук больше, чем в марте. Доля TrojWare на сей раз уменьшилась на 2% - 552 штуки, или 64%; 172 образца (20%, на 7% меньше в сравнении с предыдущим отчетным месяцем) относятся к роду VirWare, а оставшиеся 138 штук (16%) - к OtherMalWare. Вполне естественно, что очередная реинкарнация Packed.Win32.Krap самым положительным образом сказалась на представителях последнего рода ВПО: они потеснили как TrojWare, так и VirWare, выиграв в общей сложности 9 процентов и заметно увеличив свою долю. Довольно интересен тот факт, что численность VirWare уже третий месяц практически не меняется: в феврале их насчитывалось 179 штук, в марте - 171, в апреле - 172.

Визуально соотношение родов представлено на диаграмме 1.

Вложение 236715

Род TrojWare, как уже было сказано, утратил 2 процента в общей статистике, хотя внутри рода наблюдается в основном прогресс численности. Среди троянских коней, бэкдоров и руткитов не было сколь-либо существенных падений; напротив, некоторые поведения заметно возросли количественно, а ряд классов и вовсе сумел возвратиться из небытия: их показатели вновь стали отличны от нуля. Первое место среди поведений этого рода по-прежнему принадлежит неклассифицированным троянским коням: 212 вредоносных объектов; на второй позиции по итогам апреля оказались эвристические вердикты (62 представителя), которые оттеснили поведение Trojan-Dropper (60 образцов) на третье место. Типичное для этого рода соотношение позиций Trojan - Trojan-Downloader - Backdoor, как можно видеть из статистики, вновь нарушено, причем на сей раз - практически полностью. Резкий рост эвристических вердиктов - одна из наиболее заметных тенденций апреля: в марте статистика насчитывала лишь 9 представителей этого класса. Стоит также упомянуть о скачке численности троянских кликеров: в то время как в марте мы наблюдали лишь один новый образец из данного поведения, в апреле их численность возросла сразу до 42 штук.

Общее соотношение классов TrojWare отображено на диаграмме 2.

Вложение 236716

В пределах рода VirWare главные на этот раз - черви всех видов. Первую позицию продолжают удерживать черви для пиринговых сетей; их количество заметно возросло, составив в конечном счете 70 образцов; второе место - за поведением Worm (48 штук), а третье занято классом Net-Worm - 38 представителей. Простые и пиринговые черви продемонстрировали в этом отчетном месяце положительную динамику, однако подобным прогрессом могут похвастаться не все классы рода VirWare: в отличие от TrojWare, здесь наблюдаются как тенденции к росту, так и весьма существенные провалы численности. В первую очередь это относится к почтовым червям, количество которых упало в 10 раз - от 21 до 2; не менее печальна статистика апреля и для классических вирусов - в марте их было 42 штуки, в апреле же - лишь 9 новых образцов.

Итоговое соотношение оказалось следующим (диаграмма 3):

Вложение 236717

Статистика прочего вредоносного ПО (OtherMalWare) в основном положительна. Численность рода вновь возросла и составляет теперь 138 штук - больше, чем в феврале; среди многообразных поведений OtherMalWare не наблюдалось сколь-либо значимых регрессов. Подозрительные упаковщики вновь возглавляют статистику, увеличив свою численность до 83 образцов; вторая позиция оказалась за классом RemoteAdmin, количество представителей которого выросло с 8 до 20. На третьем месте - лидер марта, AdWare (10 образцов). Посмотрим, что будет дальше: вернется ли род на самое дно, как это было в марте, или продолжит бороться за достойное место в общей статистике.

Общее распределение классов OtherMalWare отображено на диаграмме 4.

Вложение 236722

В статистике семейств наиболее заметны были следующие вредоносные программы:

HEUR:Trojan.Win32.Generic - 59 образцов
Trojan.Win32.VB - 46 образцов
Trojan.Win32.Agent и Agent2 - 42 образца

P2P-Worm.Win32.Palevo - 44 образца
Worm.Win32.AutoIt - 31 образец
Net-Worm.Win32.Kolab - 30 образцов

Packed.Win32.Krap - 77 образцов
not-a-virus:RemoteAdmin.Win32.RAdmin - 18 образцов
not-a-virus:RiskTool.Win32.HideWindows - 11 образцов

Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo".


Общие выводы

В сравнении с довольно спокойным мартом апрель демонстрирует склонность к некоторому оживлению эпидемиологической обстановки. Основные показатели растут, два из трех родов ВПО демонстрируют главным образом положительные результаты, рейтинг вредоносных программ динамичен. В зоне нашего внимания вновь появляются представители семейств и классов, которых мы привыкли видеть на первых позициях статистики в период последней эпидемии, а соотношение основных родов претерпевает очередные, довольно нетрадиционные изменения. Говорить о новой волне активности вредоносных программ или, более того, о новой эпидемии пока рано, но не вызывает сомнений тот факт, что не следует недооценивать продемонстрированный вредоносным ПО прогресс.

Подводя итоги марта, в апреле мы ожидали увидеть главным образом противостояние между TrojWare и VirWare, однако действительное положение дел несколько разошлось с ожиданиями: апрель предоставил нам возможность наблюдать совместное отступление упомянутых двух родов под очередным натиском OtherMalWare. Предпосылок к подобной активизации прочего ВПО не было, однако, как мы писали в предыдущем отчете, вредоносные программы мало склонны к закономерному развитию и часто преподносят те или иные сюрпризы - особенно в том, что касается статистики повседневной работы лечебного сервиса.

С учетом противоречивых итогов двух последних месяцев формирование прогноза на май несколько затрудняется. Можно ожидать либо восстановления спокойствия, либо сохранения апрельских тенденций; соответственно, можно будет либо именовать итоги апреля случайным всплеском, либо определять мартовские результаты как временное и непродолжительное затишье.


В статистике классов по-прежнему наблюдаются в основном положительные тенденции: резких спадов численности тех или иных поведений нами практически не замечено, в то время как рост количества представителей определенных классов бывал порой весьма значительным. Так, ощутимо возросли показатели эвристических вердиктов, троянских кликеров, пиринговых и обычных червей, утилит удаленного администрирования и подозрительных упаковщиков; воскресли троянские банкеры, увеличилось количество вымогателей. В свою очередь, резко упали показатели классических вирусов, а также почтовых червей.

Пертурбации, происходящие в статистике классов, неоднозначны. Казалось бы, после эпопеи с троянскими вымогателями и официальным расследованием соответствующих инцидентов вирусописателям стоило бы переключиться на нечто безвредное и относительно безобидное, вроде тех же Email-Worm или Hoax; однако, если судить по апрельской статистике, злоумышленников не особенно пугает риск перейти дорогу еще каким-либо влиятельным и финансово обеспеченным людям: после мартовской деградации начинают вновь проявлять себя образцы ВПО, тем или иным образом направленные на незаконное извлечение денежных средств, в то время как менее опасные классы предаются забвению.

Борьба за лидерство в пределах трех основных родов продолжается. В марте, несмотря на общую успокоенность, подобное противодействие сохранялось; продолжается оно и сейчас. Непривычно выглядящие первые тройки сформировались и в роде TrojWare, где два традиционных лидера остались вне пределов Top 3, и в роде VirWare, где лидерство полностью захватили черви, и в роде OtherMalWare, где уже не первый месяц одним из ведущих остается класс RemoteAdmin. Не исключено, что в рамках каждого из родов начинают складываться новые соотношения, которые приведут в конце концов к формированию и закреплению кажущихся сейчас непривычными лидерских троек.

Не исключено, что май окажется своего рода переходным периодом к новым тенденциям, возможное наступление которых мы обозначили в предыдущем отчете. Во всяком случае, повторное возрастание показателей пирингового червя Palevo заметно уже сейчас, равно как и оживление в стане финансово ориентированного ВПО.


Статистика семейств особенных сюрпризов не преподнесла и вполне уложилась в общие направления развития, заданные родами и классами в целом. Хронические инфекции вроде Virus.Win32.Sality и Trojan.Win32.Patched, без упоминания о которых уже давно не обходится ни один отчет, были в апреле едва заметны, равно как и еще один кандидат на участие в их группе - Virus.Win32.Virut; в свою очередь, отмеченный нами ранее Worm.Win32.AutoIt был в апреле довольно активен. Появились в статистике и новые "лица": Trojan.Win32.VB, not-a-virus:RiskTool.Win32.HideWindows.

Интересно, что наиболее многочисленным и активным оказалось семейство эвристических вердиктов - HEUR:Trojan.Win32.Generic. Поскольку система "КиберХелпер" использует в качестве основного детектирующего движка ядро Антивируса Касперского, можно предположить, что либо апрель был месяцем шаблонного ВПО, скроенного по одним и тем же лекалам, либо система недавно обновила ядро, улучшив тем самым свои способности к несигнатурному определению вредоносных программ. Как мы и предполагали, мартовский подъем численности Email-Worm.Win32.Joleee оказался единичным: по итогам апреля оба представителя почтовых червей принадлежали к этому семейству. Упоминавшийся ранее спам-бот Trojan.Win32.Agent по-прежнему заметен в статистике, хотя и не столь активен, как раньше.

Осуществлять сколь-либо уверенное прогнозирование на май сложно - по уже обозначенным выше причинам. Впрочем, можно заметить, что трудно ожидать сюрпризов от хронических инфекций, так что стоит ожидать упоминания о них и в отчете за май. Что же произойдет с прочими фигурантами, в том числе новыми семействами, - покажет время и наблюдение.


Итак, апрель выдался вовсе не таким спокойным, как мы ожидали, но поводов для паники, безусловно, нет. В сложившейся ситуации традиционно рекомендуется наблюдение в динамике, которым мы, собственно, и будем заниматься в мае. Отчет за следующий месяц покажет, был ли апрель кратковременным всплеском активности вредоносных программ, или же началом новой инфекционной волны.


Ссылки по теме

• Родовая классификация вредоносного ПО
• Интегрированный аналитический отчет: раздел Помогите, март 2010
• Интегрированный аналитический отчет: раздел Помогите, февраль 2010