NickGolovko
04.09.2009, 09:45
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта (http://virusinfo.info?page=malwareremoval) за каждый календарный месяц.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение августа 2009 года в лечебный сервис VirusInfo поступило 1305 заявок на лечение ПК от вирусов, что превышает соответствующий показатель за предыдущий месяц на 74 заявки. Посетители сервиса загрузили в общей сложности 955 архивов карантина, содержавших 2887 уникальных файлов; из них 1148 были признаны безопасными, 1040 - вредоносными, подозрительными или потенциально опасными. Все упомянутые показатели также демонстрируют определенный рост по сравнению с июлем 2009 г.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Образцов Позиция
1. Trojan.Win32.Delf.oav 39 +4
2. Trojan-Downloader.Win32.Agent.cldx 28 -
3. Virus.Win32.Protector.c 27 -
4. Trojan.Win32.KillAV.nk 16 -
5. Email-Worm.Win32.Brontok.q 15 -
6. Packed.Win32.Klone.bj 15 0
7. Virus.Win32.Virut.ce 12 -
8. Email-Worm.Win32.BSpread.b 11 -
9. Backdoor.Win32.SdBot.ofw 11 +1
10. IM-Worm.Win32.Agent.pt 11 -
Десятка за август более интересна, чем соответствующий рейтинг, опубликованный нами в июле: род TrojWare ушел в оппозицию, будучи представлен лишь четырьмя образцами из десяти возможных. Лидерство же захватили представители VirWare, занявшие в десятке половину мест; род OtherMalWare по-прежнему представлен одним образцом, который не изменил своей позиции и прочно закрепился на шестой строке рейтинга. В целом за три летних месяца род VirWare существенно упрочил свое положение: если в июне к этому роду относился лишь один образец из десяти, а в июле - три, то в августе, как уже было сказано, соответствующий показатель составляет 5 мест.
Среди семейств по-прежнему наблюдаются постоянные изменения. Лидер июля - Trojan.Win32.Patched.fr - на этот раз в десятку вообще не попал, зато прибавил четыре пункта другой представитель TrojWare - Trojan.Win32.Delf.oav, который и занимает теперь лидирующую позицию. Несколько неожиданно возник из небытия Email-Worm.Win32.Brontok.q, сразу занявший пятое место с 15 образцами. На одну позицию выше стоит в августовском рейтинге семейство Backdoor.Win32.SdBot; прочие вредоносные объекты - новички рейтинга.
"Пойманы нами"
В августе 2009 специалистами VirusInfo было обнаружено в общей сложности 825 новых образцов вредоносного программного обеспечения. Лидерство, как и прежде, удерживается представителям рода TrojWare: 587 образцов, или более 70% от общего количества вредоносных объектов; на втором месте - VirWare (196 образцов, >20%), на третьем OtherMalWare с 42 образцами. Соотношение родов представлено на диаграмме 1.
159216
В статистике классов у рода TrojWare в августе вновь преобладали обычные Trojan.Win32: 208 вредоносных объектов. Второе место заняли представители Trojan-Downloader со 107 образцами, в прошлом месяце занимавшие третью позицию. Соответственно, на третье место опустилось поведение Backdoor, представленное на этот раз 86 объектами. Общее соотношение классов TrojWare отображено на диаграмме 2.
159217
Среди поведений из класса VirWare развернулась практически равная борьба, одержать верх в которой вновь удалось представителям Worm - 60 образцов; второе место осталось за классом Virus (45 объектов), третья позиция отошла поведению Net-Worm с 44 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
159218
В роде OtherMalWare на первое место вышел вердикт Packed, представленный 18 образцами. Второе место досталось классу AdWare - 9 образцов, - а замыкающим на сей раз оказался FraudTool (3 представителя). Общее соотношение отображено на диаграмме 4.
159219
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan.Win32.Agent и Agent2 - 57 образцов
Trojan-GameThief.Win32.Magania - 39 образцов
Trojan-Downloader.Win32.Agent - 39 образцов
Net-Worm.Win32.Kolab - 38 образцов
Worm.Win32.AutoRun - 26 образцов
Virus.Win32.Protector - 18 образцов
Packed.Win32.Klone - 13 образцов
AdWare.Win32.Webalt - 4 образца
Packed.Win32.Krap - 4 образца
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в специальной теме Монитора VirusInfo (http://virusinfo.info/forumdisplay.php?f=166) - "Отчеты CyberHelper - Пойманы нами" (http://virusinfo.info/showthread.php?t=40316).
Общие выводы
Отмеченная нами ранее активизация VirWare в августе продолжается, хотя в количественном соотношении TrojWare все еще далеко впереди. Если тенденция, обозначенная выше, сохранится и в сентябре, то в будущем отчете мы вправе ожидать, что в десятке наиболее часто встречаемых инфекций роду VirWare будет принадлежать уже более 50% мест; в то же время, как уже было сказано выше, по процентному соотношению новых образцов род троянских программ, бэкдоров и руткитов не меняет своих позиций - как в июле, так и в августе данный показатель составлял 71%. По всей видимости, уделом VirWare так и будут попытки отвоевать несколько процентов у OtherMalWare; отчасти подобный эффект может быть связан с растущей интеграцией поведений - в настоящее время сложно найти вредоносное ПО, являющееся чистым и типичным представителем своего рода.
Абсолютное лидерство в статистике поведений по-прежнему за неклассифицированными троянскими программами (Trojan.Win32); следующие за ними Trojan-Downloader и Backdoor сохраняют популярность у злоумышленников и в августе просто поменялись местами в тройке наиболее встречающихся поведений. В свою очередь, в пределах VirWare заметно активизировались представители Net-Worm - причем не столько за счет Kido, сколько с помощью семейства Kolab, показатели которого в августе существенно выросли. При этом в августе наблюдается явный крен в сторону почтовых и сетевых червей, в то время как в предыдущем месяце доминировали черви для пиринговых сетей.
В августе пошло на убыль количество обнаруживаемых образцов Trojan.Win32.Patched. Вероятно, всплеск активности этого вредоносного ПО локализован, и антивирусные продукты научились справляться с данной инфекцией. В свою очередь, определенный рост демонстрируют представители Trojan-GameThief.Win32.Magania: от 22 образцов в прошлом месяце данный вердикт поднялся до без малого 40 в текущем; прирост, таким образом, составил немногим менее 100%. Небезынтересно будет проверить показатели этого ПО в сентябре.
Определенный интерес вызывает также возникновение в статистике приснопамятного Brontok.q, который, казалось бы, окончательно исчез из списков ITW-вирусов. С чем связано это внезапное появление, сказать пока сложно: в предыдущем месяце новых образцов этого вредоносного ПО вообще не было обнаружено.
Более чем в два раза упали в августе количественные показатели Worm.Win32.Autorun: с 57 до 26 образцов; в то же время другое вредоносное ПО, эксплуатирующее автозапуск съемных носителей - Trojan-GameThief.Win32.OnlineGames, - продемонстрировало 700% рост (от 2 образцов в июле до 14 представителей в августе), активизировались и прочие вредоносные программы, ориентированные на хищение учетных записей к популярным онлайн-играм. По всей видимости, август был урожаен как для игроков, так и для злоумышленников.
В сентябре мы ожидаем подтверждения или опровержения ряда наметившихся в августе тенденций, а также возможной активизации комплексов вредоносных действий, целью которых являются учетные данные пользователей социальных сетей. Напомним, что в июле атаке подверглась сеть "В Контакте" (http://virusinfo.info/showthread.php?t=51236), в результате чего были скомпрометированы десятки тысяч учетных записей; однако злоумышленники все еще не совершили аналогичного нападения на ресурс "Одноклассники.ru", хотя, по данным вирусологов, база для подобной атаки также была подготовлена еще в прошлом месяце. Не исключено, что представители "темной стороны" ожидают роста посещаемости сети "Одноклассники.ru", который как раз может прийтись на сентябрь.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение августа 2009 года в лечебный сервис VirusInfo поступило 1305 заявок на лечение ПК от вирусов, что превышает соответствующий показатель за предыдущий месяц на 74 заявки. Посетители сервиса загрузили в общей сложности 955 архивов карантина, содержавших 2887 уникальных файлов; из них 1148 были признаны безопасными, 1040 - вредоносными, подозрительными или потенциально опасными. Все упомянутые показатели также демонстрируют определенный рост по сравнению с июлем 2009 г.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Образцов Позиция
1. Trojan.Win32.Delf.oav 39 +4
2. Trojan-Downloader.Win32.Agent.cldx 28 -
3. Virus.Win32.Protector.c 27 -
4. Trojan.Win32.KillAV.nk 16 -
5. Email-Worm.Win32.Brontok.q 15 -
6. Packed.Win32.Klone.bj 15 0
7. Virus.Win32.Virut.ce 12 -
8. Email-Worm.Win32.BSpread.b 11 -
9. Backdoor.Win32.SdBot.ofw 11 +1
10. IM-Worm.Win32.Agent.pt 11 -
Десятка за август более интересна, чем соответствующий рейтинг, опубликованный нами в июле: род TrojWare ушел в оппозицию, будучи представлен лишь четырьмя образцами из десяти возможных. Лидерство же захватили представители VirWare, занявшие в десятке половину мест; род OtherMalWare по-прежнему представлен одним образцом, который не изменил своей позиции и прочно закрепился на шестой строке рейтинга. В целом за три летних месяца род VirWare существенно упрочил свое положение: если в июне к этому роду относился лишь один образец из десяти, а в июле - три, то в августе, как уже было сказано, соответствующий показатель составляет 5 мест.
Среди семейств по-прежнему наблюдаются постоянные изменения. Лидер июля - Trojan.Win32.Patched.fr - на этот раз в десятку вообще не попал, зато прибавил четыре пункта другой представитель TrojWare - Trojan.Win32.Delf.oav, который и занимает теперь лидирующую позицию. Несколько неожиданно возник из небытия Email-Worm.Win32.Brontok.q, сразу занявший пятое место с 15 образцами. На одну позицию выше стоит в августовском рейтинге семейство Backdoor.Win32.SdBot; прочие вредоносные объекты - новички рейтинга.
"Пойманы нами"
В августе 2009 специалистами VirusInfo было обнаружено в общей сложности 825 новых образцов вредоносного программного обеспечения. Лидерство, как и прежде, удерживается представителям рода TrojWare: 587 образцов, или более 70% от общего количества вредоносных объектов; на втором месте - VirWare (196 образцов, >20%), на третьем OtherMalWare с 42 образцами. Соотношение родов представлено на диаграмме 1.
159216
В статистике классов у рода TrojWare в августе вновь преобладали обычные Trojan.Win32: 208 вредоносных объектов. Второе место заняли представители Trojan-Downloader со 107 образцами, в прошлом месяце занимавшие третью позицию. Соответственно, на третье место опустилось поведение Backdoor, представленное на этот раз 86 объектами. Общее соотношение классов TrojWare отображено на диаграмме 2.
159217
Среди поведений из класса VirWare развернулась практически равная борьба, одержать верх в которой вновь удалось представителям Worm - 60 образцов; второе место осталось за классом Virus (45 объектов), третья позиция отошла поведению Net-Worm с 44 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
159218
В роде OtherMalWare на первое место вышел вердикт Packed, представленный 18 образцами. Второе место досталось классу AdWare - 9 образцов, - а замыкающим на сей раз оказался FraudTool (3 представителя). Общее соотношение отображено на диаграмме 4.
159219
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan.Win32.Agent и Agent2 - 57 образцов
Trojan-GameThief.Win32.Magania - 39 образцов
Trojan-Downloader.Win32.Agent - 39 образцов
Net-Worm.Win32.Kolab - 38 образцов
Worm.Win32.AutoRun - 26 образцов
Virus.Win32.Protector - 18 образцов
Packed.Win32.Klone - 13 образцов
AdWare.Win32.Webalt - 4 образца
Packed.Win32.Krap - 4 образца
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в специальной теме Монитора VirusInfo (http://virusinfo.info/forumdisplay.php?f=166) - "Отчеты CyberHelper - Пойманы нами" (http://virusinfo.info/showthread.php?t=40316).
Общие выводы
Отмеченная нами ранее активизация VirWare в августе продолжается, хотя в количественном соотношении TrojWare все еще далеко впереди. Если тенденция, обозначенная выше, сохранится и в сентябре, то в будущем отчете мы вправе ожидать, что в десятке наиболее часто встречаемых инфекций роду VirWare будет принадлежать уже более 50% мест; в то же время, как уже было сказано выше, по процентному соотношению новых образцов род троянских программ, бэкдоров и руткитов не меняет своих позиций - как в июле, так и в августе данный показатель составлял 71%. По всей видимости, уделом VirWare так и будут попытки отвоевать несколько процентов у OtherMalWare; отчасти подобный эффект может быть связан с растущей интеграцией поведений - в настоящее время сложно найти вредоносное ПО, являющееся чистым и типичным представителем своего рода.
Абсолютное лидерство в статистике поведений по-прежнему за неклассифицированными троянскими программами (Trojan.Win32); следующие за ними Trojan-Downloader и Backdoor сохраняют популярность у злоумышленников и в августе просто поменялись местами в тройке наиболее встречающихся поведений. В свою очередь, в пределах VirWare заметно активизировались представители Net-Worm - причем не столько за счет Kido, сколько с помощью семейства Kolab, показатели которого в августе существенно выросли. При этом в августе наблюдается явный крен в сторону почтовых и сетевых червей, в то время как в предыдущем месяце доминировали черви для пиринговых сетей.
В августе пошло на убыль количество обнаруживаемых образцов Trojan.Win32.Patched. Вероятно, всплеск активности этого вредоносного ПО локализован, и антивирусные продукты научились справляться с данной инфекцией. В свою очередь, определенный рост демонстрируют представители Trojan-GameThief.Win32.Magania: от 22 образцов в прошлом месяце данный вердикт поднялся до без малого 40 в текущем; прирост, таким образом, составил немногим менее 100%. Небезынтересно будет проверить показатели этого ПО в сентябре.
Определенный интерес вызывает также возникновение в статистике приснопамятного Brontok.q, который, казалось бы, окончательно исчез из списков ITW-вирусов. С чем связано это внезапное появление, сказать пока сложно: в предыдущем месяце новых образцов этого вредоносного ПО вообще не было обнаружено.
Более чем в два раза упали в августе количественные показатели Worm.Win32.Autorun: с 57 до 26 образцов; в то же время другое вредоносное ПО, эксплуатирующее автозапуск съемных носителей - Trojan-GameThief.Win32.OnlineGames, - продемонстрировало 700% рост (от 2 образцов в июле до 14 представителей в августе), активизировались и прочие вредоносные программы, ориентированные на хищение учетных записей к популярным онлайн-играм. По всей видимости, август был урожаен как для игроков, так и для злоумышленников.
В сентябре мы ожидаем подтверждения или опровержения ряда наметившихся в августе тенденций, а также возможной активизации комплексов вредоносных действий, целью которых являются учетные данные пользователей социальных сетей. Напомним, что в июле атаке подверглась сеть "В Контакте" (http://virusinfo.info/showthread.php?t=51236), в результате чего были скомпрометированы десятки тысяч учетных записей; однако злоумышленники все еще не совершили аналогичного нападения на ресурс "Одноклассники.ru", хотя, по данным вирусологов, база для подобной атаки также была подготовлена еще в прошлом месяце. Не исключено, что представители "темной стороны" ожидают роста посещаемости сети "Одноклассники.ru", который как раз может прийтись на сентябрь.