NickGolovko
04.08.2009, 10:16
Настоящей публикацией Антивирусный портал VirusInfo открывает цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта (http://virusinfo.info?page=malwareremoval) за каждый календарный месяц.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение июля 2009 года в лечебный сервис VirusInfo поступила 1231 заявка на лечение ПК от вирусов, что приближенно равно тому же показателю в предыдущем месяце. Посетители сервиса загрузили в общей сложности 909 архивов карантина, содержавших 2486 уникальных файлов; из них 1004 были признаны безопасными, 915 - вредоносными, подозрительными или потенциально опасными.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Случаев Позиция
1. Trojan.Win32.Patched.fr 26 +2
2. Virus.Win32.Sality.aa 19 -
3. Trojan.Win32.Agent.crim 16 -1
4. Virus.Win32.Xorer.fb 11 -
5. Trojan.Win32.Delf.nvx 11 -
6. Packed.Win32.Klone.bj 10 -
7. Trojan.Win32.Tdss.aiol 10 -
8. P2P-Worm.Win32.Agent.vu 10 -
9. Trojan-Banker.Win32.Bancos.ekj 9 -
10. Backdoor.Win32.SdBot.obb 9 0
В десятке вполне ожидаемо преобладают представители рода TrojWare по классификации "Лаборатории Касперского" : 6 представителей. 3 образца вредоносного ПО относятся к роду VirWare, 1 - к OtherMalWare. В свою очередь, в предыдущем месяце 9 из 10 вредоносных объектов относились к TrojWare, 1 - к роду VirWare; сопоставляя данные, можно заключить, что в июле 2009 по сравнению с июнем несколько повысилась активность представителей VirWare и OtherMalWare, в частности - Virus.Win32.Sality, занявшего в июльской десятке второе место. Отметим также повышение позиции Trojan.Win32.Patched.fr: данный образец прибавил 3 пункта и занял лидирующую позицию в десятке. Представители Trojan.Win32.Agent потеряли 1 позицию, на своем месте остался образец Backdoor.Win32.SdBot; прочие вредоносные программы в предыдущем рейтинге не присутствовали.
"Пойманы нами"
В июле 2009 специалистами VirusInfo было обнаружено в общей сложности 776 новых образцов вредоносного программного обеспечения. Безусловное лидерство принадлежит представителям рода TrojWare: 553 образца, что составляет более 70% от общего количества вредоносных объектов; на втором месте - VirWare (169 образцов, >20%), на третьем OtherMalWare с 54 образцами. Соотношение родов представлено на диаграмме 1.
150342
В статистике классов у рода TrojWare преобладали обычные Trojan.Win32: 223 представителя. Второе место в июле отошло поведению Backdoor: 89 образцов. Замкнуло тройку поведение Trojan-Downloader, представленное 66 объектами. Общее соотношение классов TrojWare отображено на диаграмме 2.
150343
В роде VirWare лидером июля стало поведение Worm, 66 образцов; второе место было за классом Virus (42 объекта), третью позицию занял P2P-Worm с 28 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
150344
Из многочисленных классов рода OtherMalWare статистику возглавил вердикт AdWare с 12 образцами. Вторым стал класс Packed, 8 образцов, а замкнул тройку WebToolbar - 6 представителей. Общее соотношение отображено на диаграмме 4.
150345
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan.Win32.Agent и Agent2 - 66 образцов
Trojan.Win32.Buzus - 37 образцов
Trojan.Win32.Patched - 25 образцов
Worm.Win32.AutoRun - 57 образцов
P2P-Worm.Win32.Palevo - 21 образец
Virus.Win32.Sality - 19 образцов
Packed.Win32.Klone - 6 образцов
AdWare.Win32.FearAds - 5 образцов
WebToolbar.Win32.BitAccelerator и Email-Flooder.Win32.VB - по 4 образца
Можно видеть, что Sality представлен в статистике довольно обширно, что подтверждается данными вирусной энциклопедии securelist (http://securelist.com). В свою очередь, Net-Worm.Win32.Kido, хоть и активен, ни в рейтинг вредоносного ПО, ни в лидеры статистики не попал: за июль было обнаружено лишь 9 новых образцов.
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в специальной теме Монитора VirusInfo (http://virusinfo.info/forumdisplay.php?f=166) - "Отчеты CyberHelper - Пойманы нами" (http://virusinfo.info/showthread.php?t=40316).
Общие выводы
Род TrojWare по-прежнему не собирается уступать лидерство, оставаясь наиболее распространенным и обширным из трех основных разновидностей вредоносного программного обеспечения. В то же время в июле 2009 по сравнению с июнем наблюдается некоторая активизация рода VirWare - в основном за счет поведения Virus. Тенденция к определенному возрождению класса Virus в целом не нова, однако активность VirWare постоянно меняется, в то время как TrojWare относительно стабильны - так что существенных потрясений в этой сфере ожидать сложно.
Интересно отметить тот рост, который демонстрируют за два рассматриваемых месяца образцы Trojan.Win32.Patched. Не исключено, что патчинг и подмена системных файлов в дальнейшем будет сохранять или даже набирать популярность: обнаружение подобных инфицированных файлов с помощью некоторых антивирусных инструментов принципиально невозможно, а лечение или замена пораженных объектов требует от пользователя определенных технических познаний - работы с установочным диском ОС, управления консолью восстановления и т.д.
Июль отметился также двумя всплесками вредоносной активности, которые не отразились в верхних строках статистики, но войти в первую десятку могли бы вполне успешно. В первую очередь это Trojan-Ransom.Win32.SMSer, 18 новых образцов которого было обнаружено специалистами VirusInfo, а также Trojan.Win32.VkHost.ac - причина раскрытия данных десятков тысяч пользователей сети "В Контакте". Оба инцидента были официально прокомментированы Антивирусным порталом VirusInfo в пресс-релизах "Trojan-Ransom.Win32.SMSer (Kaspersky Lab Antivirus Online) : вымогатель, выдающий себя за антивирус "Лаборатории Касперского" (http://virusinfo.info/showthread.php?t=50378) и "Раскрытие данных о пользователях сети "В Контакте": информация и онлайн-проверка для пострадавших" (http://virusinfo.info/showthread.php?t=51236). Не исключено, что последствия этих инфекций будут заметны и в августе.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение июля 2009 года в лечебный сервис VirusInfo поступила 1231 заявка на лечение ПК от вирусов, что приближенно равно тому же показателю в предыдущем месяце. Посетители сервиса загрузили в общей сложности 909 архивов карантина, содержавших 2486 уникальных файлов; из них 1004 были признаны безопасными, 915 - вредоносными, подозрительными или потенциально опасными.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Случаев Позиция
1. Trojan.Win32.Patched.fr 26 +2
2. Virus.Win32.Sality.aa 19 -
3. Trojan.Win32.Agent.crim 16 -1
4. Virus.Win32.Xorer.fb 11 -
5. Trojan.Win32.Delf.nvx 11 -
6. Packed.Win32.Klone.bj 10 -
7. Trojan.Win32.Tdss.aiol 10 -
8. P2P-Worm.Win32.Agent.vu 10 -
9. Trojan-Banker.Win32.Bancos.ekj 9 -
10. Backdoor.Win32.SdBot.obb 9 0
В десятке вполне ожидаемо преобладают представители рода TrojWare по классификации "Лаборатории Касперского" : 6 представителей. 3 образца вредоносного ПО относятся к роду VirWare, 1 - к OtherMalWare. В свою очередь, в предыдущем месяце 9 из 10 вредоносных объектов относились к TrojWare, 1 - к роду VirWare; сопоставляя данные, можно заключить, что в июле 2009 по сравнению с июнем несколько повысилась активность представителей VirWare и OtherMalWare, в частности - Virus.Win32.Sality, занявшего в июльской десятке второе место. Отметим также повышение позиции Trojan.Win32.Patched.fr: данный образец прибавил 3 пункта и занял лидирующую позицию в десятке. Представители Trojan.Win32.Agent потеряли 1 позицию, на своем месте остался образец Backdoor.Win32.SdBot; прочие вредоносные программы в предыдущем рейтинге не присутствовали.
"Пойманы нами"
В июле 2009 специалистами VirusInfo было обнаружено в общей сложности 776 новых образцов вредоносного программного обеспечения. Безусловное лидерство принадлежит представителям рода TrojWare: 553 образца, что составляет более 70% от общего количества вредоносных объектов; на втором месте - VirWare (169 образцов, >20%), на третьем OtherMalWare с 54 образцами. Соотношение родов представлено на диаграмме 1.
150342
В статистике классов у рода TrojWare преобладали обычные Trojan.Win32: 223 представителя. Второе место в июле отошло поведению Backdoor: 89 образцов. Замкнуло тройку поведение Trojan-Downloader, представленное 66 объектами. Общее соотношение классов TrojWare отображено на диаграмме 2.
150343
В роде VirWare лидером июля стало поведение Worm, 66 образцов; второе место было за классом Virus (42 объекта), третью позицию занял P2P-Worm с 28 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
150344
Из многочисленных классов рода OtherMalWare статистику возглавил вердикт AdWare с 12 образцами. Вторым стал класс Packed, 8 образцов, а замкнул тройку WebToolbar - 6 представителей. Общее соотношение отображено на диаграмме 4.
150345
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan.Win32.Agent и Agent2 - 66 образцов
Trojan.Win32.Buzus - 37 образцов
Trojan.Win32.Patched - 25 образцов
Worm.Win32.AutoRun - 57 образцов
P2P-Worm.Win32.Palevo - 21 образец
Virus.Win32.Sality - 19 образцов
Packed.Win32.Klone - 6 образцов
AdWare.Win32.FearAds - 5 образцов
WebToolbar.Win32.BitAccelerator и Email-Flooder.Win32.VB - по 4 образца
Можно видеть, что Sality представлен в статистике довольно обширно, что подтверждается данными вирусной энциклопедии securelist (http://securelist.com). В свою очередь, Net-Worm.Win32.Kido, хоть и активен, ни в рейтинг вредоносного ПО, ни в лидеры статистики не попал: за июль было обнаружено лишь 9 новых образцов.
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в специальной теме Монитора VirusInfo (http://virusinfo.info/forumdisplay.php?f=166) - "Отчеты CyberHelper - Пойманы нами" (http://virusinfo.info/showthread.php?t=40316).
Общие выводы
Род TrojWare по-прежнему не собирается уступать лидерство, оставаясь наиболее распространенным и обширным из трех основных разновидностей вредоносного программного обеспечения. В то же время в июле 2009 по сравнению с июнем наблюдается некоторая активизация рода VirWare - в основном за счет поведения Virus. Тенденция к определенному возрождению класса Virus в целом не нова, однако активность VirWare постоянно меняется, в то время как TrojWare относительно стабильны - так что существенных потрясений в этой сфере ожидать сложно.
Интересно отметить тот рост, который демонстрируют за два рассматриваемых месяца образцы Trojan.Win32.Patched. Не исключено, что патчинг и подмена системных файлов в дальнейшем будет сохранять или даже набирать популярность: обнаружение подобных инфицированных файлов с помощью некоторых антивирусных инструментов принципиально невозможно, а лечение или замена пораженных объектов требует от пользователя определенных технических познаний - работы с установочным диском ОС, управления консолью восстановления и т.д.
Июль отметился также двумя всплесками вредоносной активности, которые не отразились в верхних строках статистики, но войти в первую десятку могли бы вполне успешно. В первую очередь это Trojan-Ransom.Win32.SMSer, 18 новых образцов которого было обнаружено специалистами VirusInfo, а также Trojan.Win32.VkHost.ac - причина раскрытия данных десятков тысяч пользователей сети "В Контакте". Оба инцидента были официально прокомментированы Антивирусным порталом VirusInfo в пресс-релизах "Trojan-Ransom.Win32.SMSer (Kaspersky Lab Antivirus Online) : вымогатель, выдающий себя за антивирус "Лаборатории Касперского" (http://virusinfo.info/showthread.php?t=50378) и "Раскрытие данных о пользователях сети "В Контакте": информация и онлайн-проверка для пострадавших" (http://virusinfo.info/showthread.php?t=51236). Не исключено, что последствия этих инфекций будут заметны и в августе.