PDA

Просмотр полной версии : Интегрированный аналитический отчет: раздел Помогите, октябрь 2009



NickGolovko
05.11.2009, 15:16
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта (http://virusinfo.info?page=malwareremoval) за каждый календарный месяц.


Общая статистика

По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение октября 2009 года в лечебный сервис VirusInfo поступило 1559 заявок на лечение ПК от вирусов, что превышает соответствующий показатель сентября на без малого 300 заявок. Посетители сервиса загрузили в общей сложности 1047 архивов карантина, содержавших 3218 уникальных файлов; из них 806 были признаны безопасными, 1699 - вредоносными, подозрительными или потенциально опасными. Указанные параметры также существенно превышают показатели, зафиксированные в предыдущем месяце; это позволяет утверждать, что вирусная обстановка в русском секторе Интернета вновь обострилась после непродолжительного спокойствия в сентябре.


TOP 10 вредоносного программного обеспечения

По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:


№ Имя Образцов Позиция
1. Trojan.Win32.Buzus.ckem 239 -
2. Trojan.Win32.Delf.owo 99 +1
3. Trojan.Win32.Buzus.cizr 45 -
4. Trojan-Ransom.Win32.Agent.gd 28 -
5. Trojan-GameThief.Win32.Magania.bwsr 24 -
6. Trojan-Ransom.Win32.Agent.ge 21 -
7. Packed.Win32.Krap.ah 16 -
8. Trojan-Ransom.Win32.SMSer.qm 20 -
9. Packed.Win32.Krap.x 17 +1
10. Trojan-Ransom.Win32.Agent.gc 17 -

Род TrojWare, который еще в августе проигрывал VirWare, а в сентябре смог восстановить статус-кво, на сей раз взял практически все места в рейтинге - 8 из 10. На оставшихся двух позициях разместились представители OtherMalWare из группы подозрительно упакованных объектов; род вирусов и червей, таким образом, попасть в рейтинг не смог вообще. Действительно, в октябре на повестке дня было в основном троянское программное обеспечение, о чем мы еще будем упоминать ниже.

Уже нет ничего удивительного в том, что рейтинг октября имеет мало общего с десяткой по итогам предыдущего месяца: 80% образцов в сентябрьском рейтинге не присутствовали. Из предыдущей десятки в рейтинге удержались Packed.Win32.Krap.x, улучшивший свой показатель на 1 место, и Trojan.Win32.Delf.owo, также поднявшийся на 1 позицию. Лидерство в октябре захватил Trojan.Win32.Buzus.ckem с 239 образцами - беспрецедентный пока случай; еще один представитель этого семейства - Trojan.Win32.Buzus.cizr - на третьей позиции с 45 образцами. В свою очередь, семейство Backdoor.Win32.SdBot, неизменно присутствовавшее в рейтинге на протяжении нескольких месяцев, было на сей раз оттеснено из десятки; интересно будет пронаблюдать, сможет ли оно вернуться в рейтинг в ноябре.


"Пойманы нами"

В октябре 2009 специалистами VirusInfo было обнаружено в общей сложности 1420 новых образцов вредоносного программного обеспечения. Род TrojWare на этот раз фактически задавил численностью два других рода: количественно троянские программы, бэкдоры и руткиты выросли почти на 100% - от 591 образца в сентябре до 1190 образцов в октябре, - а в процентном соотношении увеличили свою долю на 20%, составив, таким образом, 84% от общего количества новых вредоносных объектов. VirWare и OtherMalWare, в свою очередь, продемонстрировали практически равные показатели: 126 и 104 новых образца, или 9% и 7% соответственно. Соотношение родов представлено на диаграмме 1.

175828

В статистике классов род TrojWare по-прежнему возглавляют Trojan.Win32: 552 вредоносных объекта, практически половина общего количества образцов. Второе место в октябре осталось за поведением Trojan-GameThief (189 образцов), которому удалось несколько нарушить традиционное распределение первых мест между обычным троянским ПО, бэкдорами и троянскими загрузчиками. Последние, кстати, оказались на этот раз в меньшинстве, уступив третье место классу Backdoor (130 объектов). Общее соотношение классов TrojWare отображено на диаграмме 2.

175829

В роде VirWare развернулась практически равная борьба, в которой с небольшим отрывом одолело оппонентов поведение Worm - 36 образцов; за ним следуют P2P-Worm (33 объекта) и удержавшееся на третьем месте поведение Net-Worm с 27 представителями. Итоговое распределение оказалось следующим (диаграмма 3):

175830

В роде OtherMalWare, как и в сентябре, подавляющее большинство образцов относилось к группе Packed, представленной на этот раз 69 образцами. Вторая позиция также не изменилась - на ней находится класс AdWare c 21 образцом, - а третье место разделили сразу три поведения: Client-IRC, Monitor и RiskTool, по три образца у каждого. бщее соотношение отображено на диаграмме 4.

175831

В статистике семейств наиболее заметны были следующие вредоносные программы:

Trojan.Win32.Buzus - 249 образцов
Trojan-GameThief.Win32.Magania - 180 образцов
Trojan.Win32.Delf - 86 образцов

P2P-Worm.Win32.Palevo - 28 образцов
Worm.Win32.AutoRun - 23 образца
Net-Worm.Win32.Kido - 14 образцов

Packed.Win32.Krap - 56 образцов
AdWare.Win32.FearAds и Packed.Win32.Klone - 6 образцов
Packed.Win32.TDSS - 5 образцов

Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo" (http://virusinfo.info/forumdisplay.php?f=166).


Общие выводы

В октябре окончательно подтвердилась мысль о том, что августовский всплеск активности рода VirWare был явлением спорадическим: показатели этого рода в рейтинге ПО, в сентябре приблизившиеся к нулю, по результатам октября окончательно с ним сравнялись, а доля VirWare в новом вредоносном ПО резко упала и приблизилась как в количественном, так и в процентном соотношении к соответствующим показателям OtherMalWare. TrojWare, отступившие было в сентябре, напротив, продемонстрировали бурный рост, захватив 80% мест в рейтинге и почти 85% доли в общем количестве нового вредоносного ПО. В первую очередь подобный взрыв активности троянских программ связан с чрезвычайно высокими показателями семейства Trojan.Win32.Buzus и эпидемическим всплеском активности двух разновидностей одного и того же троянского вымогателя - Trojan-Ransom.Win32.Agent и Trojan-Ransom.Win32.SMSer.

В статистике классов, не особенно активно изменявшейся на протяжении трех предыдущих месяцев, наступило некоторое оживление: класс GameThief, в сентябре вплотную подобравшийся к первой тройке, по итогам октября со значительным отрывом от ближайшего преследователя вышел сразу на второе место по количеству образцов. Лидер - Trojan.Win32 - для него пока недосягаем, но оттеснить из первой тройки поведение Trojan-Downloader ворам паролей удалось. По всей видимости, популярность онлайн-игр никак не страдает от наступления осени и постепенного приближения отчетных периодов в учебных заведениях. В пределах рода VirWare сохраняется высокая активность червей - обычных, пиринговых и сетевых, и даже почтовые черви несколько оживились; класс Virus по-прежнему в явном меньшинстве по сравнению с ними.

Статистика семейств показывает взрывной рост Trojan.Win32.Buzus, о чем было сказано выше. Необходимо, впрочем, отметить, что высокое количество образцов этого семейства ВПО не в последнюю очередь обусловлено случаем лечения, заслуженно попавшим на первую строчку рейтинга наиболее сильно инфицированных ПК: из одного-единственного компьютера специалисты VirusInfo извлекли 175 вредоносных объектов, по преимуществу относившихся именно к рассматриваемому семейству.

Представители Trojan-GameThief.Win32.Magania, рост количества которых мы отмечали начиная с августа, превзошли все наши ожидания: вместо прогнозируемого количества в 80 образцов в лечебный сервис VirusInfo поступило 180 вредоносных объектов из этого семейства; в сравнении с сентябрем рост показателей составил практически 300%. Посмотрим, что произойдет в ноябре.

Октябрьская статистика подтвердила случайность возникновения в августе старого почтового червя Brontok: как и в предыдущем месяце, новых образцов этого ВПО мы не увидели. Впрочем, на смену ему пришел другой старый знакомый антивирусных консультантов - отметившийся в свое время масштабными эпидемиями червь Warezov. Как и в случае с Brontok, здесь требуется наблюдение в динамике.

Worm.Win32.Autorun продолжает демонстрировать волнообразные скачки активности: 57 объектов в июле - 26 в августе - 52 в сентябре - 23 образца в октябре. Вполне очевидно будет ожидать очередного всплеска его активности в следующем месяце. Сохраняет позиции P2P-Worm.Win32.Palevo - за октябрь мы увидели лишь на 2 объекта меньше в сравнении с аналогичным показателем сентября; по всей видимости, инфекция стабилизировалась и через некоторое время должна пойти на спад.

Устойчивы также и показатели подозрительных упаковщиков: в пределах рода OtherMalWare их доля практически не изменилась как в количественном, так и в процентном соотношении. Троица Packed.Win32.Krap - Packed.Win32.Klone - Packed.Win32.TDSS по-прежнему продолжает беспокоить посетителей VirusInfo. Не меняют позиций и рекламные программы; прочие разновидности OtherMalWare довольно лабильны и устойчивых тенденций не демонстрируют.

Главными возмутителями спокойствия в октябре стали две разновидности троянского вымогателя, известные под самоназваниями "Get Accelerator" и "uFast Download Manager". Данные вредоносные программы были классифицированы вирусными аналитиками как Trojan-Ransom.Win32.Agent и Trojan-Ransom.Win32.SMSer соответственно. Первый образец "Get Accelerator" поступил в лечебный сервис VirusInfo в середине октября. Количество ПК, пораженных этой вредоносной программой, оказалось столь существенным, что Антивирусный портал VirusInfo был вынужден выпустить специальный бюллетень для пострадавших пользователей - "Get Accelerator (Trojan-Ransom.Win32.Agent.gc): описание и лечение (http://virusinfo.info/showthread.php?t=57724)"; благодаря этой информационной статье и активной лечебной работе консультантов VirusInfo инфекцию удалось относительно быстро локализовать и погасить. Однако столь быстрое завершение эпидемии, по всей видимости, не входило в планы злоумышленников, поэтому в конце месяца ими была выпущена новая версия вредоносной программы - под самоназванием "uFast Download Manager". Данное вредоносное ПО также описано в специальном бюллетене Антивирусного портала VirusInfo - "uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение (http://virusinfo.info/showthread.php?t=58868)". В данный момент эпидемическая волна этого ВПО еще не погашена, хотя масштабы его распространения не столь велики, как в случае с "Get Accelerator".

В целом октябрь преимущественно подтвердил наши прогнозы относительно тех или иных тенденций в развитии эпидемиологической обстановки в русском секторе Интернета. В ноябре мы ожидаем дальнейшего подтверждения обозначенных тенденций и поступления новых данных о степени активности различного ВПО; эпидемические всплески, характерные для третьей декады октября, также окажут некоторое влияние на статистику следующего месяца.

oleg7-4
05.12.2009, 14:41
Как избавиться от вируса Sality?

SDA
05.12.2009, 14:53
Как избавиться от вируса Sality?
В разделе "Помогите" помогут. При выполнении правил http://virusinfo.info/pravila.html