NickGolovko
07.12.2009, 10:22
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта (http://virusinfo.info?page=malwareremoval) за каждый календарный месяц.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение ноября 2009 года в лечебный сервис VirusInfo поступило 1825 заявок на лечение ПК от вирусов, что превышает соответствующий показатель октября на без малого 300 заявок; аналогичное превышение мы наблюдали в предыдущем отчете. Посетители сервиса загрузили в общей сложности 1356 архивов карантина, содержавших 3202 уникальных файла; из них 787 были признаны безопасными, 2121 - вредоносными, подозрительными или потенциально опасными. Представленные данные показывают, что в ноябре, как и в октябре, эпидемиологическая обстановка в Сети вновь была неспокойной.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Образцов Позиция
1. Trojan.Win32.Buzus.cizr 256 +2
2. Trojan.Win32.Buzus.cjdb 186 -
3. Backdoor.Win32.SDBot.pyq 97 -
4. Trojan-Ransom.Win32.Digitala.b 56 -
5. Trojan-GameThief.Win32.OnLineGames.bmml 24 -
6. Trojan-Ransom.Win32.Agent.hb 39 -
7. Trojan.Win32.Agent.dcou 37 -
8. Trojan-Ransom.Win32.Agent.ha 32 -
9. Trojan.Win32.Kreeper.oa 26 -
10. P2P-Worm.Win32.Palevo.kbw 25 -
В то время как в октябре в десятку смогли войти 8 представителей рода TrojWare, в ноябре их количество достигло уже 9; единственное оставшееся место досталось на этот раз представителю VirWare. Род троянских программ, бэкдоров и руткитов устойчиво наращивает позиции, начиная с августа, о чем мы неоднократно упоминали в предыдущих отчетах; если тенденция будет сохранена, то в будущем месяце мы можем ожидать и 100% доминирования TrojWare в рейтинге вредоносных программ.
Десятка активного ВПО постоянно меняется каждый месяц; ноябрь не стал исключением и с этой точки зрения. Удержался в рейтинге лишь один вредоносный объект - Trojan.Win32.Buzus.cizr; он поднялся на две позиции в сравнении с результатами октября и занял первую позицию рейтинга с 256 образцами. Второе место также оказалось за представителем семейства Buzus, количество образцов которого составило 186; на данный момент вредоносные программы из этого семейства, безусловно, являются наиболее плодовитыми изо всех, что входили в рейтинг за время наблюдения.
Как мы и ожидали, семейство Backdoor.Win32.SdBot, которое не смогло попасть в октябрьскую версию рейтинга, сумело вернуться в него (при этом поднявшись сразу на третью позицию). Сходить с вирусной сцены это вредоносное ПО явно не собирается, и мы можем вновь ожидать его появления в декабрьской десятке.
Важно также отметить, что сразу четыре места в рейтинге занято вредоносными объектами из классов, непосредственно относящихся к вымогательству денег и хищению учетных данных пользователей онлайн-игр: Trojan-Ransom и Trojan-GameThief. В последние два месяца злоумышленники самым очевидным образом делают акцент на финансовом аспекте киберпреступной деятельности, реализуя все более сложные механизмы для быстрого извлечения денег из пострадавшего пользователя.
"Пойманы нами"
В ноябре 2009 специалистами VirusInfo было обнаружено в общей сложности 1690 новых образцов вредоносного программного обеспечения - почти на 300 единиц больше, чем в прошлом месяце. Подавляющее преимущество рода TrojWare, отмеченное нами в октябре, сохранилось на точно таком же уровне: 1410 образцов, или 84% от общего количества новых вредоносных объектов; доля VirWare выросла на один процент, а показатель OtherMalWare, соответственно, аналогичным образом снизился. Итоговый результат - 176 и 104 новых образца, или 10% и 6%. Визуально соотношение родов представлено на диаграмме 1.
188175
Статистика классов позволяет утверждать, что неклассифицированное троянское ПО (Trojan.Win32) сохраняет устойчивое лидерство в пределах рода TrojWare (как, впрочем, и в общей статистике). В ноябре их совокупная численность составила 659 вредоносных объектов, что, как и в октябре, составляет без малого половину общего количества образцов TrojWare. Второе место вполне ожидаемо взяло поведение Trojan-Ransom (218 образцов); однако занявший третье место класс бэкдоров отстал от вымогателей всего на три образца (215 объектов). Общее соотношение классов TrojWare отображено на диаграмме 2.
188176
Представители рода VirWare дифференцируются, напротив, с трудом: на первом месте по итогам ноября - сразу два поведения, Worm и P2P-Worm (по 43 представителя). Класс Virus, оказавшийся на втором месте, отстал всего на один образец; третью позицию удержало поведение Net-Worm с 35 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
188177
В пределах рода OtherMalWare лидер довольно очевиден; уже не первый месяц эту позицию занимает группа Packed. На сей раз представителей этого поведения набралось в общей сложности 46. На второй позиции по-прежнему AdWare (37 образцов), - а третье место осталось за классом Monitor - 7 представителей. Общее соотношение отображено на диаграмме 4.
188178
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan.Win32.Buzus - 291 образец
Trojan-Ransom.Win32.Agent - 92 образца
Trojan-Ransom.Win32.SMSer и Trojan.Win32.Kreeper - 59 образцов
P2P-Worm.Win32.Palevo - 42 образца
Worm.Win32.AutoRun - 31 образец
Virus.Win32.Sality - 30 образцов
Packed.Win32.Krap - 20 образцов
AdWare.Win32.AdSubscribe - 12 образцов
Packed.Win32.Klone и Email.Worm.Win32.Joleee- 10 образцов
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo" (http://virusinfo.info/forumdisplay.php?f=166).
Общие выводы
Октябрь и ноябрь, как видно по соответствующим отчетам, стали периодом резкого всплеска активности троянского ВПО. Хотя TrojWare всегда занимали лидирующее положение среди главных родов вредоносных программ, их доминирование было относительно умеренным, а доля держалась на уровне в 60-65%; в октябре же мы увидели единомоментное увеличение доли троянского ВПО до практически 85% - взрывной рост составил в количественном отношении немногим менее 100%, в процентном же - 20-25%. Ноябрьская статистика, как было обозначено выше, осталась на том же уровне, что и в октябре. Два других рода оказались оттеснены на обочину, и доля каждого из них уже второй месяц не превышает 10%.
Внезапный крен в сторону TrojWare по-прежнему непосредственным образом связан с двумя основными факторами: высокими показателями семейства Trojan.Win32.Buzus и бурным ростом всевозможных троянских вымогателей. Как октябрь, так и ноябрь были отмечены несколькими широкомасштабными эпидемиями вредоносных программ, относящихся к классу Trojan-Ransom - по преимуществу все тех же Trojan-Ransom.Win32.Agent и Trojan-Ransom.Win32.SMSer (т.н. "Get Accelerator"), а также Trojan.Winlock.499, вредоносной программы, отображавшей пользователю баннер порнографического характера и предлагавшей отправить платное SMS-сообщение для его отключения.
Коммерческую направленность вирусописательской активности в октябре-ноябре подтверждает и статистика классов. Поведение Trojan-Ransom вышло на второе место по общему количеству новых образцов ВПО и заняло три места в рейтинге вредоносных программ; по сравнению с предыдущим месяцем в ноябре выросли и показатели группы Trojan-Banker. Производство новых воров паролей, напротив, упало: класс Trojan-GameThief снизил свои параметры вдвое, что, возможно, связано с приближением конца первого учебного полугодия и соответствующим снижением активности онлайн-игроков. В роде VirWare все относительно неизменно - по-прежнему высоко активны обычные, сетевые и пиринговые черви, понемногу растет и группа классических вирусов; среди OtherMalWare удерживают высокие позиции как подозрительные упаковщики, так и рекламные программы.
В статистике семейств продолжается доминирование Trojan.Win32.Buzus, обусловленное весьма активным размножением инфицированных файлов на пораженных этим ВПО компьютерах. Семейство Trojan-GameThief.Win32.Magania, за которым мы наблюдаем довольно давно, от 180 новых образцов в октябре несколько неожиданно обрушилось до всего лишь 17 таковых по итогам ноября - 300% рост сменился катастрофическим падением. Выводы делать рано, но, по всей видимости, в последующие несколько месяцев вряд ли следует ожидать существенного подъема численности этого семейства.
В ноябрьской статистике более не заметны ни Brontok, ни Warezov, всплывшие было из небытия в сентябре и октябре соответственно. Worm.Win32.Autorun, для которого были характерны перепады активности, похоже, начинает стабилизироваться: количество новых представителей этого семейства по результатам ноября сопоставимо с итогами предыдущего месяца; P2P-Worm.Win32.Palevo, напротив, опроверг наметившуюся было тенденцию и вновь пошел в рост - от 28 образцов в октябре до 42 в ноябре.
Из новых лидеров статистики семейств необходимо отметить упоминавшихся выше Trojan-Ransom.Win32.Agent, Trojan-Ransom.Win32.Digitala, Trojan-Ransom.Win32.SMSer. Первое и последнее семейства по преимуществу включают в себя те или иные разновидности т.н. "Get Accelerator", эпидемическое распространение которого в конце октября вынудило Антивирусный портал VirusInfo выпустить специальные бюллетени для пострадавших пользователей. Некоторое время злоумышленники пытались распространять свой слегка измененный продукт под именем "uFast Download Manager", однако в ноябре вернулись к использованию "брэнда" "Get Accelerator". Новая версия этого ВПО, несмотря на прежнее наименование, оказалась существенно "усовершенствованной": авторы вымогателя ввели новый маскировочный функционал, усложняя обнаружение и уничтожение компонентов вредоносной программы.
Таким образом, ноябрь характеризовался как последствиями эпидемических волн, начавшихся в октябре, так и собственными возмущениями эпидемиологической обстановки. Интерес вирусописателей к троянским вымогателям и другим средствам несанкционированного отъема денег у пользователей Сети обусловлен, по всей вероятности, т.н. "кризисными" явлениями в текущей экономической ситуации; с приближением конца года опасность, представляемая вымогателями, вероятнее всего, будет лишь расти. Во всяком случае, в декабре стоит ожидать преимущественно сохранения тех тенденций, которые проявились в октябре и ноябре.
Масштабы распространения вредоносных программ, эпидемическое распространение которых мы отметили, довольно обширны: количество пользователей, пришедших за помощью на Антивирусный портал VirusInfo, в дни эпидемии возросло вдвое. По всей видимости, авторам троянских вымогателей удалось эффективно использовать сочетание ряда факторов, среди которых - высокая популярность социальных сетей, уязвимость рядовых пользователей к приемам социальной инженерии (в особенности к тем из них, что подразумевают использование вредоносных рассылок по спискам "друзей"), печальное состояние персональной антивирусной защиты конечных пользователей и наличие незакрытых уязвимостей в программном обеспечении. Поскольку наиболее популярные социальные сети способны распространить инфекцию среди десятков миллионов пользователей, дальнейшее развитие массовых вирусных атак следует ожидать именно по этому вектору.
Общая статистика
По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение ноября 2009 года в лечебный сервис VirusInfo поступило 1825 заявок на лечение ПК от вирусов, что превышает соответствующий показатель октября на без малого 300 заявок; аналогичное превышение мы наблюдали в предыдущем отчете. Посетители сервиса загрузили в общей сложности 1356 архивов карантина, содержавших 3202 уникальных файла; из них 787 были признаны безопасными, 2121 - вредоносными, подозрительными или потенциально опасными. Представленные данные показывают, что в ноябре, как и в октябре, эпидемиологическая обстановка в Сети вновь была неспокойной.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
№ Имя Образцов Позиция
1. Trojan.Win32.Buzus.cizr 256 +2
2. Trojan.Win32.Buzus.cjdb 186 -
3. Backdoor.Win32.SDBot.pyq 97 -
4. Trojan-Ransom.Win32.Digitala.b 56 -
5. Trojan-GameThief.Win32.OnLineGames.bmml 24 -
6. Trojan-Ransom.Win32.Agent.hb 39 -
7. Trojan.Win32.Agent.dcou 37 -
8. Trojan-Ransom.Win32.Agent.ha 32 -
9. Trojan.Win32.Kreeper.oa 26 -
10. P2P-Worm.Win32.Palevo.kbw 25 -
В то время как в октябре в десятку смогли войти 8 представителей рода TrojWare, в ноябре их количество достигло уже 9; единственное оставшееся место досталось на этот раз представителю VirWare. Род троянских программ, бэкдоров и руткитов устойчиво наращивает позиции, начиная с августа, о чем мы неоднократно упоминали в предыдущих отчетах; если тенденция будет сохранена, то в будущем месяце мы можем ожидать и 100% доминирования TrojWare в рейтинге вредоносных программ.
Десятка активного ВПО постоянно меняется каждый месяц; ноябрь не стал исключением и с этой точки зрения. Удержался в рейтинге лишь один вредоносный объект - Trojan.Win32.Buzus.cizr; он поднялся на две позиции в сравнении с результатами октября и занял первую позицию рейтинга с 256 образцами. Второе место также оказалось за представителем семейства Buzus, количество образцов которого составило 186; на данный момент вредоносные программы из этого семейства, безусловно, являются наиболее плодовитыми изо всех, что входили в рейтинг за время наблюдения.
Как мы и ожидали, семейство Backdoor.Win32.SdBot, которое не смогло попасть в октябрьскую версию рейтинга, сумело вернуться в него (при этом поднявшись сразу на третью позицию). Сходить с вирусной сцены это вредоносное ПО явно не собирается, и мы можем вновь ожидать его появления в декабрьской десятке.
Важно также отметить, что сразу четыре места в рейтинге занято вредоносными объектами из классов, непосредственно относящихся к вымогательству денег и хищению учетных данных пользователей онлайн-игр: Trojan-Ransom и Trojan-GameThief. В последние два месяца злоумышленники самым очевидным образом делают акцент на финансовом аспекте киберпреступной деятельности, реализуя все более сложные механизмы для быстрого извлечения денег из пострадавшего пользователя.
"Пойманы нами"
В ноябре 2009 специалистами VirusInfo было обнаружено в общей сложности 1690 новых образцов вредоносного программного обеспечения - почти на 300 единиц больше, чем в прошлом месяце. Подавляющее преимущество рода TrojWare, отмеченное нами в октябре, сохранилось на точно таком же уровне: 1410 образцов, или 84% от общего количества новых вредоносных объектов; доля VirWare выросла на один процент, а показатель OtherMalWare, соответственно, аналогичным образом снизился. Итоговый результат - 176 и 104 новых образца, или 10% и 6%. Визуально соотношение родов представлено на диаграмме 1.
188175
Статистика классов позволяет утверждать, что неклассифицированное троянское ПО (Trojan.Win32) сохраняет устойчивое лидерство в пределах рода TrojWare (как, впрочем, и в общей статистике). В ноябре их совокупная численность составила 659 вредоносных объектов, что, как и в октябре, составляет без малого половину общего количества образцов TrojWare. Второе место вполне ожидаемо взяло поведение Trojan-Ransom (218 образцов); однако занявший третье место класс бэкдоров отстал от вымогателей всего на три образца (215 объектов). Общее соотношение классов TrojWare отображено на диаграмме 2.
188176
Представители рода VirWare дифференцируются, напротив, с трудом: на первом месте по итогам ноября - сразу два поведения, Worm и P2P-Worm (по 43 представителя). Класс Virus, оказавшийся на втором месте, отстал всего на один образец; третью позицию удержало поведение Net-Worm с 35 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
188177
В пределах рода OtherMalWare лидер довольно очевиден; уже не первый месяц эту позицию занимает группа Packed. На сей раз представителей этого поведения набралось в общей сложности 46. На второй позиции по-прежнему AdWare (37 образцов), - а третье место осталось за классом Monitor - 7 представителей. Общее соотношение отображено на диаграмме 4.
188178
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan.Win32.Buzus - 291 образец
Trojan-Ransom.Win32.Agent - 92 образца
Trojan-Ransom.Win32.SMSer и Trojan.Win32.Kreeper - 59 образцов
P2P-Worm.Win32.Palevo - 42 образца
Worm.Win32.AutoRun - 31 образец
Virus.Win32.Sality - 30 образцов
Packed.Win32.Krap - 20 образцов
AdWare.Win32.AdSubscribe - 12 образцов
Packed.Win32.Klone и Email.Worm.Win32.Joleee- 10 образцов
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo" (http://virusinfo.info/forumdisplay.php?f=166).
Общие выводы
Октябрь и ноябрь, как видно по соответствующим отчетам, стали периодом резкого всплеска активности троянского ВПО. Хотя TrojWare всегда занимали лидирующее положение среди главных родов вредоносных программ, их доминирование было относительно умеренным, а доля держалась на уровне в 60-65%; в октябре же мы увидели единомоментное увеличение доли троянского ВПО до практически 85% - взрывной рост составил в количественном отношении немногим менее 100%, в процентном же - 20-25%. Ноябрьская статистика, как было обозначено выше, осталась на том же уровне, что и в октябре. Два других рода оказались оттеснены на обочину, и доля каждого из них уже второй месяц не превышает 10%.
Внезапный крен в сторону TrojWare по-прежнему непосредственным образом связан с двумя основными факторами: высокими показателями семейства Trojan.Win32.Buzus и бурным ростом всевозможных троянских вымогателей. Как октябрь, так и ноябрь были отмечены несколькими широкомасштабными эпидемиями вредоносных программ, относящихся к классу Trojan-Ransom - по преимуществу все тех же Trojan-Ransom.Win32.Agent и Trojan-Ransom.Win32.SMSer (т.н. "Get Accelerator"), а также Trojan.Winlock.499, вредоносной программы, отображавшей пользователю баннер порнографического характера и предлагавшей отправить платное SMS-сообщение для его отключения.
Коммерческую направленность вирусописательской активности в октябре-ноябре подтверждает и статистика классов. Поведение Trojan-Ransom вышло на второе место по общему количеству новых образцов ВПО и заняло три места в рейтинге вредоносных программ; по сравнению с предыдущим месяцем в ноябре выросли и показатели группы Trojan-Banker. Производство новых воров паролей, напротив, упало: класс Trojan-GameThief снизил свои параметры вдвое, что, возможно, связано с приближением конца первого учебного полугодия и соответствующим снижением активности онлайн-игроков. В роде VirWare все относительно неизменно - по-прежнему высоко активны обычные, сетевые и пиринговые черви, понемногу растет и группа классических вирусов; среди OtherMalWare удерживают высокие позиции как подозрительные упаковщики, так и рекламные программы.
В статистике семейств продолжается доминирование Trojan.Win32.Buzus, обусловленное весьма активным размножением инфицированных файлов на пораженных этим ВПО компьютерах. Семейство Trojan-GameThief.Win32.Magania, за которым мы наблюдаем довольно давно, от 180 новых образцов в октябре несколько неожиданно обрушилось до всего лишь 17 таковых по итогам ноября - 300% рост сменился катастрофическим падением. Выводы делать рано, но, по всей видимости, в последующие несколько месяцев вряд ли следует ожидать существенного подъема численности этого семейства.
В ноябрьской статистике более не заметны ни Brontok, ни Warezov, всплывшие было из небытия в сентябре и октябре соответственно. Worm.Win32.Autorun, для которого были характерны перепады активности, похоже, начинает стабилизироваться: количество новых представителей этого семейства по результатам ноября сопоставимо с итогами предыдущего месяца; P2P-Worm.Win32.Palevo, напротив, опроверг наметившуюся было тенденцию и вновь пошел в рост - от 28 образцов в октябре до 42 в ноябре.
Из новых лидеров статистики семейств необходимо отметить упоминавшихся выше Trojan-Ransom.Win32.Agent, Trojan-Ransom.Win32.Digitala, Trojan-Ransom.Win32.SMSer. Первое и последнее семейства по преимуществу включают в себя те или иные разновидности т.н. "Get Accelerator", эпидемическое распространение которого в конце октября вынудило Антивирусный портал VirusInfo выпустить специальные бюллетени для пострадавших пользователей. Некоторое время злоумышленники пытались распространять свой слегка измененный продукт под именем "uFast Download Manager", однако в ноябре вернулись к использованию "брэнда" "Get Accelerator". Новая версия этого ВПО, несмотря на прежнее наименование, оказалась существенно "усовершенствованной": авторы вымогателя ввели новый маскировочный функционал, усложняя обнаружение и уничтожение компонентов вредоносной программы.
Таким образом, ноябрь характеризовался как последствиями эпидемических волн, начавшихся в октябре, так и собственными возмущениями эпидемиологической обстановки. Интерес вирусописателей к троянским вымогателям и другим средствам несанкционированного отъема денег у пользователей Сети обусловлен, по всей вероятности, т.н. "кризисными" явлениями в текущей экономической ситуации; с приближением конца года опасность, представляемая вымогателями, вероятнее всего, будет лишь расти. Во всяком случае, в декабре стоит ожидать преимущественно сохранения тех тенденций, которые проявились в октябре и ноябре.
Масштабы распространения вредоносных программ, эпидемическое распространение которых мы отметили, довольно обширны: количество пользователей, пришедших за помощью на Антивирусный портал VirusInfo, в дни эпидемии возросло вдвое. По всей видимости, авторам троянских вымогателей удалось эффективно использовать сочетание ряда факторов, среди которых - высокая популярность социальных сетей, уязвимость рядовых пользователей к приемам социальной инженерии (в особенности к тем из них, что подразумевают использование вредоносных рассылок по спискам "друзей"), печальное состояние персональной антивирусной защиты конечных пользователей и наличие незакрытых уязвимостей в программном обеспечении. Поскольку наиболее популярные социальные сети способны распространить инфекцию среди десятков миллионов пользователей, дальнейшее развитие массовых вирусных атак следует ожидать именно по этому вектору.