NickGolovko
06.10.2009, 10:59
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта (http://virusinfo.info?page=malwareremoval) за каждый календарный месяц.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение сентября 2009 года в лечебный сервис VirusInfo поступило 1282 заявок на лечение ПК от вирусов, что несколько ниже аналогичного показателя за предыдущий месяц. Посетители сервиса загрузили в общей сложности 869 архивов карантина, содержавших 2370 уникальных файлов; из них 642 были признаны безопасными, 1196 - вредоносными, подозрительными или потенциально опасными. Все эти показатели также несколько снижены по отношению к предыдущему месяцу, что говорит о более спокойной эпидемиологической обстановке.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Образцов Позиция
1. Packed.Win32.TDSS.z 57 -
2. Trojan.Win32.Inject.ahtg 46 -
3. Trojan.Win32.Delf.owo 43 -
4. Virus.Win32.Xorer.ed 34 -
5. Trojan.Win32.Delf.oav 24 -4
6. Worm.Win32.AutoRun.gsk 18 -
7. Backdoor.Win32.SdBot.oma 16 +2
8. Trojan.Win32.Monderb.qvf 14 -
9. HEUR:Trojan.Win32.Generic 13 -
10. Packed.Win32.Krap.x 13 -
В сравнении с августовской десяткой рейтинг вновь радикально изменился: вредоносное ПО, относящееся к роду TrojWare, полностью отыграло утраченные ранее позиции. Если в августе род VirWare лидировал в десятке, занимая в ней половину мест, то в сентябре долевое соотношение вновь пришло к более традиционному для современной компьютерной эпидемиологии виду: 6 мест занимает TrojWare, VirWare же - лишь 2 места, и столько же позиций получили вердикты группы Packed, относящиеся к роду OtherMalWare. Таким образом, вполне очевидно, что тенденция к росту, которую демонстрировал летом род VirWare, сменилась резким падением до уровня июня-июля.
Статистика семейств показывает, что 80% позиций в рейтинге занимает новое ПО, не входившее в августовскую десятку. Единственным старожилом, который не только сохранил за собой место в рейтинге, но и улучшил его на две позиции, является семейство Backdoor.Win32.SdBot, чьи показатели медленно, но верно растут уже не первый месяц; Trojan.Win32.Delf.oav, напротив, потерял 4 позиции. Лидером в сентябре оказался представитель семейства Packed.Win32.TDSS, что в целом вполне ожидаемо и закономерно: это довольно распространенное вредоносное ПО, жалобы на которое поступают с завидной регулярностью.
"Пойманы нами"
В сентябре 2009 специалистами VirusInfo было обнаружено в общей сложности 923 новых образца вредоносного программного обеспечения. Род TrojWare традиционно далеко впереди: 591 образец, или 64% от общего количества вредоносных объектов; на втором месте - VirWare (222 образца, 24%), на третьем - существенно увеличившие свою долю OtherMalWare (110 образцов). Соотношение родов представлено на диаграмме 1.
166820
В статистике классов лидером рода TrojWare остаются Trojan.Win32: 249 вредоносных объектов. На втором месте на этот раз - образцы класса Backdoor - 91 вредоносный объект, - вернувшие себе утерянную ранее позицию. На третье место, соответственно, вышло поведение Trojan-Downloader, представленное 81 образцом. Общее соотношение классов TrojWare отображено на диаграмме 2.
166821
Среди поведений из класса VirWare убедительное преимущество осталось за поведением Worm - 93 образца; второе место занял класс Virus (54 объекта), третья позиция отошла поведению Net-Worm с 40 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
166822
В роде OtherMalWare подавляющее большинство образцов относилось к группе Packed, представленной 73 образцами. Второе место досталось классу AdWare - 26 образцов, - а замыкающим на сей раз оказался RiskTool (4 представителя). Общее соотношение отображено на диаграмме 4.
166823
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan-GameThief.Win32.Magania - 57 образцов
Trojan.Win32.Inject - 53 образца
Trojan.Win32.Delf - 49 образцов
Worm.Win32.AutoRun - 52 образца
Virus.Win32.Xorer - 34 образца
Net-Worm.Win32.Kolab и P2P-Worm.Win32.Palevo - 30 образцов
Packed.Win32.TDSS - 49 образцов
AdWare.Win32.AdSubscribe и Packed.Win32.Krap - 14 образцов
Packed.Win32.Klone - 9 образцов
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo" (http://virusinfo.info/forumdisplay.php?f=166).
Общие выводы
В августе мы отмечали активизацию рода VirWare, которая, по всей видимости, оказалась сезонным обострением: в сентябре показатели этого рода в рейтинге приблизились к нулю, а доля в новом вредоносном ПО осталась в пределах 20-25%. Рост доли OtherMalWare, однако, сопровождался отступлением не VirWare, как того можно было ожидать, а TrojWare: последний род, на протяжении двух месяцев прочно удерживавший более 70% от общего количества новых образцов, в сентябре уступил немногим менее 10%. Будет уместно связывать это с высокими показателями Packed.Win32.TDSS, который, формально являясь представителем OtherMalWare, довольно близок к троянскому ПО, бэкдорам и руткитам: в нашей статистике имеются не только Packed.Win32.TDSS, но и Backdoor.Win32.TDSS, и Rootkit.Win32.TDSS, и Trojan.Win32.TDSS. Возможно, все это - одно и то же семейство трояноподобного ВПО.
Статистика поведений не претерпела существенных модификаций в сравнении с июлем и августом: неклассифицированные троянские программы (Trojan.Win32) по-прежнему удерживают лидерство, а за ними идут время от времени меняющиеся местами Trojan-Downloader и Backdoor, чьи показатели колеблются в пределах нескольких десятков образцов. Следует, однако, заметить, что вплотную к ним приближается класс Trojan-GameThief; пока сложно сказать, остаточные ли это явления с августа, или же начало учебного года не оказало особенного влияния на популярность серверов онлайн-игр. У рода VirWare наиболее активны черви, причем всех типов: в сентябре набралось изрядное количество и простых, и сетевых, и пиринговых червей. В меньшинстве лишь черви почтовые - всего 4 новых образца.
Былой лидер статистики семейств, Trojan.Win32.Patched, чья активность начала убывать еще в августе, практически исчез из повседневной практики VirusInfo: за сентябрь было обнаружено всего 7 новых образцов. Продолжают уверенный рост в арифметической прогрессии представители Trojan-GameThief.Win32.Magania, о чем было сказано выше: от 22 образцов в июле и почти 40 - в августе это семейство добралось уже до показателя в без малого 60 вредоносных объектов. Не исключено, что в октябре мы увидим уже порядка 80 новых образцов, принадлежащих к этому семейству. Особо заметно было в сентябре и семейство Trojan.Win32.Delf; вероятно, следует связывать этот факт с началом учебного года, поскольку во многих университетах обучение программированию начинается (а иногда и заканчивается) именно с языка Delphi.
Brontok.q, неожиданное возникновение которого мы отметили в августе, вновь канул в небытие: в сентябре новых образцов этого ПО в лечебный сервис VirusInfo не поступило. Вероятно, августовское появление новых объектов Brontok было происшествием случайным и разовым; в октябре ситуация должна проясниться окончательно.
Worm.Win32.Autorun, отступивший было в августе, практически полностью восстановил утерянные позиции: упав от 57 объектов в июле до 26 образцов в августе, в сентябре это семейство обеспечило нам 52 новых инфицированных объекта. Trojan-GameThief.Win32.OnlineGames, продемонстрировавший 700% рост в предыдущем месяце, продолжить тенденцию к росту не смог - мы увидели лишь 9 новых представителей этого семейства. Вновь активизировался пиринговый червь P2P-Worm.Win32.Palevo (тоже, кстати, пользующийся автозапуском для своего распространения): в августе мы практически не видели новых объектов из этого семейства, однако сейчас мы уже наблюдаем количество образцов, превышающее уровень июля (30 против 21).
В целом в сентябре мы увидели как подтверждение, так и опровержение тех или иных тенденций, которые намечались в течение предыдущих двух месяцев. Отметим, что подтвердился наш прогноз об активизации комплексов вредоносных действий, целью которых являются учетные данные пользователей социальных сетей: атаковав в июле сеть "В Контакте" (http://virusinfo.info/showthread.php?t=51236), в результате чего были скомпрометированы десятки тысяч учетных записей, злоумышленники начали подготовку к аналогичному нападению на ресурс "Одноклассники.ru". Напомним, что хищение учетных записей пользователей сети "В Контакте" осуществлялось при помощи ложного файла HOSTS следующего содержания:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru
Иными словами, на один и тот же фишинговый IP-адрес перенаправлялись пользователи, пытавшиеся посетить как ресурс vkontakte.ru, так и odnoklassniki.ru. На этом вредоносном ресурсе имитировалась страница авторизации социальной сети "В Контакте".
В сентябре нами были обнаружены следы инфекции, аналогичным образом модифицировавшей файл HOSTS для перенаправления пользователей:
210.51.166.253 vkontakte.ru
210.51.166.253 www.vkontakte.ru
210.51.166.253 odnoklassniki.ru
210.51.166.253 www.odnoklassniki.ru
210.51.166.253 odnoklasniki.ru
210.51.166.253 www.odnoklasniki.ru
На указанном вредоносном ресурсе имитировалась уже страница авторизации сети "Одноклассники.ru". Вероятно, данная атака является второй частью общего нападения на пользователей наиболее популярных социальных сетей: ведь в июле обнаруженная вирусологами база данных предназначалась для обоих ресурсов, но база для "Одноклассников" осталась тогда пустой. По всей видимости, сейчас у злоумышленников появился шанс наполнить и вторую базу.
Не исключено, что в отдаленной перспективе можно ожидать и аналогичного нападения на третью по величине социальную сеть русского сектора Интернета - "Мой мир@Mail.Ru". В теории данная сеть может быть даже более коммерчески интересна для потенциального киберпреступника, поскольку хищение учетных данных этой сети предоставляет злоумышленнику доступ и ко всем остальным службам Mail.Ru - в том числе к почтовому ящику жертвы.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение сентября 2009 года в лечебный сервис VirusInfo поступило 1282 заявок на лечение ПК от вирусов, что несколько ниже аналогичного показателя за предыдущий месяц. Посетители сервиса загрузили в общей сложности 869 архивов карантина, содержавших 2370 уникальных файлов; из них 642 были признаны безопасными, 1196 - вредоносными, подозрительными или потенциально опасными. Все эти показатели также несколько снижены по отношению к предыдущему месяцу, что говорит о более спокойной эпидемиологической обстановке.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Образцов Позиция
1. Packed.Win32.TDSS.z 57 -
2. Trojan.Win32.Inject.ahtg 46 -
3. Trojan.Win32.Delf.owo 43 -
4. Virus.Win32.Xorer.ed 34 -
5. Trojan.Win32.Delf.oav 24 -4
6. Worm.Win32.AutoRun.gsk 18 -
7. Backdoor.Win32.SdBot.oma 16 +2
8. Trojan.Win32.Monderb.qvf 14 -
9. HEUR:Trojan.Win32.Generic 13 -
10. Packed.Win32.Krap.x 13 -
В сравнении с августовской десяткой рейтинг вновь радикально изменился: вредоносное ПО, относящееся к роду TrojWare, полностью отыграло утраченные ранее позиции. Если в августе род VirWare лидировал в десятке, занимая в ней половину мест, то в сентябре долевое соотношение вновь пришло к более традиционному для современной компьютерной эпидемиологии виду: 6 мест занимает TrojWare, VirWare же - лишь 2 места, и столько же позиций получили вердикты группы Packed, относящиеся к роду OtherMalWare. Таким образом, вполне очевидно, что тенденция к росту, которую демонстрировал летом род VirWare, сменилась резким падением до уровня июня-июля.
Статистика семейств показывает, что 80% позиций в рейтинге занимает новое ПО, не входившее в августовскую десятку. Единственным старожилом, который не только сохранил за собой место в рейтинге, но и улучшил его на две позиции, является семейство Backdoor.Win32.SdBot, чьи показатели медленно, но верно растут уже не первый месяц; Trojan.Win32.Delf.oav, напротив, потерял 4 позиции. Лидером в сентябре оказался представитель семейства Packed.Win32.TDSS, что в целом вполне ожидаемо и закономерно: это довольно распространенное вредоносное ПО, жалобы на которое поступают с завидной регулярностью.
"Пойманы нами"
В сентябре 2009 специалистами VirusInfo было обнаружено в общей сложности 923 новых образца вредоносного программного обеспечения. Род TrojWare традиционно далеко впереди: 591 образец, или 64% от общего количества вредоносных объектов; на втором месте - VirWare (222 образца, 24%), на третьем - существенно увеличившие свою долю OtherMalWare (110 образцов). Соотношение родов представлено на диаграмме 1.
166820
В статистике классов лидером рода TrojWare остаются Trojan.Win32: 249 вредоносных объектов. На втором месте на этот раз - образцы класса Backdoor - 91 вредоносный объект, - вернувшие себе утерянную ранее позицию. На третье место, соответственно, вышло поведение Trojan-Downloader, представленное 81 образцом. Общее соотношение классов TrojWare отображено на диаграмме 2.
166821
Среди поведений из класса VirWare убедительное преимущество осталось за поведением Worm - 93 образца; второе место занял класс Virus (54 объекта), третья позиция отошла поведению Net-Worm с 40 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
166822
В роде OtherMalWare подавляющее большинство образцов относилось к группе Packed, представленной 73 образцами. Второе место досталось классу AdWare - 26 образцов, - а замыкающим на сей раз оказался RiskTool (4 представителя). Общее соотношение отображено на диаграмме 4.
166823
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan-GameThief.Win32.Magania - 57 образцов
Trojan.Win32.Inject - 53 образца
Trojan.Win32.Delf - 49 образцов
Worm.Win32.AutoRun - 52 образца
Virus.Win32.Xorer - 34 образца
Net-Worm.Win32.Kolab и P2P-Worm.Win32.Palevo - 30 образцов
Packed.Win32.TDSS - 49 образцов
AdWare.Win32.AdSubscribe и Packed.Win32.Krap - 14 образцов
Packed.Win32.Klone - 9 образцов
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo" (http://virusinfo.info/forumdisplay.php?f=166).
Общие выводы
В августе мы отмечали активизацию рода VirWare, которая, по всей видимости, оказалась сезонным обострением: в сентябре показатели этого рода в рейтинге приблизились к нулю, а доля в новом вредоносном ПО осталась в пределах 20-25%. Рост доли OtherMalWare, однако, сопровождался отступлением не VirWare, как того можно было ожидать, а TrojWare: последний род, на протяжении двух месяцев прочно удерживавший более 70% от общего количества новых образцов, в сентябре уступил немногим менее 10%. Будет уместно связывать это с высокими показателями Packed.Win32.TDSS, который, формально являясь представителем OtherMalWare, довольно близок к троянскому ПО, бэкдорам и руткитам: в нашей статистике имеются не только Packed.Win32.TDSS, но и Backdoor.Win32.TDSS, и Rootkit.Win32.TDSS, и Trojan.Win32.TDSS. Возможно, все это - одно и то же семейство трояноподобного ВПО.
Статистика поведений не претерпела существенных модификаций в сравнении с июлем и августом: неклассифицированные троянские программы (Trojan.Win32) по-прежнему удерживают лидерство, а за ними идут время от времени меняющиеся местами Trojan-Downloader и Backdoor, чьи показатели колеблются в пределах нескольких десятков образцов. Следует, однако, заметить, что вплотную к ним приближается класс Trojan-GameThief; пока сложно сказать, остаточные ли это явления с августа, или же начало учебного года не оказало особенного влияния на популярность серверов онлайн-игр. У рода VirWare наиболее активны черви, причем всех типов: в сентябре набралось изрядное количество и простых, и сетевых, и пиринговых червей. В меньшинстве лишь черви почтовые - всего 4 новых образца.
Былой лидер статистики семейств, Trojan.Win32.Patched, чья активность начала убывать еще в августе, практически исчез из повседневной практики VirusInfo: за сентябрь было обнаружено всего 7 новых образцов. Продолжают уверенный рост в арифметической прогрессии представители Trojan-GameThief.Win32.Magania, о чем было сказано выше: от 22 образцов в июле и почти 40 - в августе это семейство добралось уже до показателя в без малого 60 вредоносных объектов. Не исключено, что в октябре мы увидим уже порядка 80 новых образцов, принадлежащих к этому семейству. Особо заметно было в сентябре и семейство Trojan.Win32.Delf; вероятно, следует связывать этот факт с началом учебного года, поскольку во многих университетах обучение программированию начинается (а иногда и заканчивается) именно с языка Delphi.
Brontok.q, неожиданное возникновение которого мы отметили в августе, вновь канул в небытие: в сентябре новых образцов этого ПО в лечебный сервис VirusInfo не поступило. Вероятно, августовское появление новых объектов Brontok было происшествием случайным и разовым; в октябре ситуация должна проясниться окончательно.
Worm.Win32.Autorun, отступивший было в августе, практически полностью восстановил утерянные позиции: упав от 57 объектов в июле до 26 образцов в августе, в сентябре это семейство обеспечило нам 52 новых инфицированных объекта. Trojan-GameThief.Win32.OnlineGames, продемонстрировавший 700% рост в предыдущем месяце, продолжить тенденцию к росту не смог - мы увидели лишь 9 новых представителей этого семейства. Вновь активизировался пиринговый червь P2P-Worm.Win32.Palevo (тоже, кстати, пользующийся автозапуском для своего распространения): в августе мы практически не видели новых объектов из этого семейства, однако сейчас мы уже наблюдаем количество образцов, превышающее уровень июля (30 против 21).
В целом в сентябре мы увидели как подтверждение, так и опровержение тех или иных тенденций, которые намечались в течение предыдущих двух месяцев. Отметим, что подтвердился наш прогноз об активизации комплексов вредоносных действий, целью которых являются учетные данные пользователей социальных сетей: атаковав в июле сеть "В Контакте" (http://virusinfo.info/showthread.php?t=51236), в результате чего были скомпрометированы десятки тысяч учетных записей, злоумышленники начали подготовку к аналогичному нападению на ресурс "Одноклассники.ru". Напомним, что хищение учетных записей пользователей сети "В Контакте" осуществлялось при помощи ложного файла HOSTS следующего содержания:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru
Иными словами, на один и тот же фишинговый IP-адрес перенаправлялись пользователи, пытавшиеся посетить как ресурс vkontakte.ru, так и odnoklassniki.ru. На этом вредоносном ресурсе имитировалась страница авторизации социальной сети "В Контакте".
В сентябре нами были обнаружены следы инфекции, аналогичным образом модифицировавшей файл HOSTS для перенаправления пользователей:
210.51.166.253 vkontakte.ru
210.51.166.253 www.vkontakte.ru
210.51.166.253 odnoklassniki.ru
210.51.166.253 www.odnoklassniki.ru
210.51.166.253 odnoklasniki.ru
210.51.166.253 www.odnoklasniki.ru
На указанном вредоносном ресурсе имитировалась уже страница авторизации сети "Одноклассники.ru". Вероятно, данная атака является второй частью общего нападения на пользователей наиболее популярных социальных сетей: ведь в июле обнаруженная вирусологами база данных предназначалась для обоих ресурсов, но база для "Одноклассников" осталась тогда пустой. По всей видимости, сейчас у злоумышленников появился шанс наполнить и вторую базу.
Не исключено, что в отдаленной перспективе можно ожидать и аналогичного нападения на третью по величине социальную сеть русского сектора Интернета - "Мой мир@Mail.Ru". В теории данная сеть может быть даже более коммерчески интересна для потенциального киберпреступника, поскольку хищение учетных данных этой сети предоставляет злоумышленнику доступ и ко всем остальным службам Mail.Ru - в том числе к почтовому ящику жертвы.