PDA

Просмотр полной версии : Интегрированный аналитический отчет: раздел Помогите, декабрь 2009



NickGolovko
05.01.2010, 11:12
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта (http://virusinfo.info?page=malwareremoval) за каждый календарный месяц.


Общая статистика

По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение декабря 2009 года в лечебный сервис VirusInfo поступило 2453 заявки на лечение ПК от вирусов, что превышает соответствующий показатель ноября уже более чем на 600 заявок; прирост в этом месяце оказался, таким образом, вдвое большим, чем в предыдущем. Посетители сервиса загрузили в общей сложности 1575 архивов карантина, содержавших 3364 уникальных файла; из них 1094 были признаны безопасными, 1576 - вредоносными, подозрительными или потенциально опасными. Сравнивая эти параметры с отчетом за предыдущий месяц, нетрудно заметить, что при существенном росте количества заявок прочие параметры - число архивов карантина и данные по их содержимому - практически не увеличились; это связано в первую очередь со спецификой вирусной обстановки в декабре, о чем будет сказано ниже.


TOP 10 вредоносного программного обеспечения

По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:



№ Имя Образцов Позиция
1. Trojan.Win32.Chydo.h 62 -
2. Virus.Win32.Sality.aa 36 -
3. Trojan.Win32.Buzus.crty 27 -
4. Trojan.Win32.Patched.fr 25 -
5. Backdoor.Win32.Bredolab.bke 24 -
6. Trojan-Dropper.Win32.Agent.bjpb 19 -
7. Trojan-Dropper.Win32.HDrop.ac 19 -
8. Packed.Win32.Krap.w 19 -
9. Trojan-Downloader.Win32.Piker.avd 18 -
10. Trojan.Win32.Buzus.conk 18 -


Казалось бы, вопреки ожиданиям род TrojWare не смог занять все места в десятке; напротив, в сравнении с предыдущим месяцем он даже несколько отступил, позволив взять по одному месту представителям VirWare и OtherMalWare. Слабость эта является, однако, кажущейся, как, впрочем, и полное отсутствие в десятке каких-либо представителей поведения Trojan-Ransom. Последнее также может казаться фактом удивительным и противоречащим всем ноябрьским тенденциям и прогнозам, если не принимать во внимание одну-единственную причину.

Дело в том, что основной угрозой в декабре был т.н. "iMax Download Manager", который до сих пор детектируется по упаковщику - Packed.Win32.Krap.w, и его разновидность - "iLite Net Accelerator". Читатели, знакомые со спецификой этой вредоносной программы (http://virusinfo.info/showthread.php?t=62966), знают, что ввиду высокого уровня сложности этой инфекции извлечь карантин с пораженной машины - довольно трудная задача, которая, как правило, остается невыполненной. Именно поэтому указанное вредоносное ПО не занимает "заслуженного" первого места в десятке, хотя оно устойчиво доминировало в практике лечебного сервиса VirusInfo на протяжении всего декабря. В какой-то степени рейтинг за этот месяц можно считать составленным по остаточному принципу.

В декабрьской десятке не удалось удержаться ни одному образцу ВПО из рейтинга за ноябрь; только семейство Trojan.Win32.Buzus в целом, которое уже не занимает лидирующих позиций и представлено другими образцами вредоносной продукции, смогло в принципе не вылететь из Top 10. Вновь исчезло семейство Backdoor.Win32.SdBot, уже покидавшее пределы десятки в октябре и возвращавшееся в рейтинг по результатам ноября; прогнозировать его дальнейшую активность теперь сложно, и требуется наблюдение в динамике. Из наших "старых знакомых" можно отметить разве что Virus.Win32.Sality, которого все никак не удается извести, несмотря на довольно преклонный для вредоносного ПО возраст, и Trojan.Win32.Patched. Воскрешение последнего, возможно, связано с подменой системных файлов, которой активно занималась обновленная версия т.н. "Get Accelerator".


"Пойманы нами"

В декабре 2009 специалистами VirusInfo было обнаружено в общей сложности 1366 новых образцов вредоносного программного обеспечения, меньше, чем в предыдущем месяце. Род TrojWare на этот раз отступил к более привычным для него позициям - 1013 образцов, или 74% от общего количества новых вредоносных объектов (хотя, безусловно, с учетом потока образцов от "iMax Download Manager" и "iLite Net Accelerator" картина могла бы быть совершенно иной); доля VirWare выросла сразу на 6% и составила 16 процентов, а показатель OtherMalWare увеличился до 10% - 219 и 133 новых образца соответственно. Визуально соотношение родов представлено на диаграмме 1.

201702

В статистике классов уменьшилась доля неклассифицированного троянского ПО (Trojan.Win32) в пределах рода TrojWare - в январе их численность составила лишь 399 вредоносных объектов (после 659 в ноябре). На втором месте оказался класс Backdoor - 161 представитель; третьим к финишу пришло поведение Trojan-Downloader, представленное 101 образцом. Иными словами, в отсутствие внешних раздражителей первая тройка классов TrojWare вновь вернулась к своему традиционному виду.

Количество представителей Trojan-Ransom по причине неуловимости последних продуктов "фабрики вымогателей" резко снизилось и составило всего 71 штуку (в ноябре, напомним, численность этого класса была равна 218 ). Существенно выросло количество дропперов - от 26 до 96; в то же время значительно упали показатели поведения Trojan-GameThief, от 67 до 11 представителей в ноябре и декабре соответственно.

Общее соотношение классов TrojWare отображено на диаграмме 2.

201703

У рода VirWare появился лидер - поведение Worm, увеличившее свою численность до 70 образцов. В предыдущем месяце этот класс делил первое место с P2P-Worm, однако в декабре последнее поведение даже не попало в тройку, уменьшившись до 36 образцов. Второе место осталось за классическими вирусами, которых на сей раз набралось 50 штук; на заключительной позиции в тройке - вновь сетевые черви, общей численностью 48 образцов.

Сколь-либо значимых потрясений, если не считать рост поведения Worm, в роде червей и вирусов не наблюдается. Черви по-прежнему значительно превосходят классические вирусы своей суммарной численностью; относительную популярность сохраняют почтовые, сетевые, пиринговые и обычные черви. В свою очередь, червей для интернет-пейджеров и чат-клиентов мы не видим уже довольно давно.

Итоговое распределение оказалось следующим (диаграмма 3):

201704

Род OtherMalWare по-прежнему уверенно возглавляют подозрительные упаковщики. Как и в предыдущем месяце, их численность составляет почти половину всех представителей рода; в декабре образцов этого поведения набралось 65 штук. Еще примерно четверть общего количества OtherMalWare - это рекламные программы, в декабре представленные 43 образцами. Третью же позицию разделили классы Monitor и WebToolbar - по 4 вредоносных объекта.

OtherMalWare пребывает в устойчивой стагнации: поколебать традиционное распределение мест в пределах этого рода не удается никому и ничему с самого первого нашего аналитического отчета. Единственный заслуживающий внимания факт - укрепление позиций класса Packed, связанное с эпидемией "iMax Download Manager".

Общее соотношение отображено на диаграмме 4.

201705

В статистике семейств наиболее заметны были следующие вредоносные программы:

Trojan.Win32.Buzus - 78 образцов
Backdoor.Win32.Bredolab - 65 образцов
Trojan.Win32.Agent(2) - 61 образец

Worm.Win32.AutoRun и Virus.Win32.Sality - 37 образцов
P2P-Worm.Win32.Palevo - 35 образцов
Net-Worm.Win32.Kolab - 26 образцов

Packed.Win32.Krap - 41 образец
Packed.Win32.Tadym - 19 образцов
not-a-virus:AdWare.Win32.Altnet - 15 образцов

Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo" (http://virusinfo.info/forumdisplay.php?f=166).


Общие выводы

В октябре и ноябре, что было отмечено нами в предыдущих отчетах, имели место эпидемические волны троянских вымогателей, что обусловило высокие доли TrojWare - почти 85% от общего количества вредоносных объектов. В декабре происходили очень мощные атаки продуктов "фабрики вымогателей", однако весьма и весьма малое количество компонентов этого ВПО попало на изучение в лабораторию VirusInfo - в результате чего итоговая статистика оказалась собрана, в сущности, без представителей главных возмутителей эпидемиологической обстановки. Поэтому падение TrojWare до уровня в 74% не должно вводить в заблуждение - их реальная доля была, безусловно, гораздо выше. С учетом масштабов распространения "iMax Download Manager" она могла бы и превзойти 90%.

Можно, однако, связать снижение доли троянского ВПО также и с не очень удачным периодом в жизни семейства Trojan.Win32.Buzus. Если в предыдущие месяцы специалисты VirusInfo вычищали компьютеры, буквально заполоненные этим вредоносным продуктом (из одной-единственной системы извлекались сотни файлов), то в декабре наступило некоторое затишье. Даже самые завирусованные ПК содержали не более 90 образцов различных вредоносных программ. Что будет дальше и был ли всплеск активности этого семейства разовым явлением - покажет время.

В предновогодний период произошли разительные изменения в статистике некоторых классов, о чем было сказано выше. Продолжается катастрофическое падение воров паролей, которые опустились на данный момент ниже уровня июля - хотя еще в октябре их численность насчитывала 189 образцов. Напрашивается вывод о том, что производство подобных вредоносных программ не является на данный момент выгодным - вполне логично ожидать снижения популярности онлайн-игр к январю. К марту-апрелю, возможно, мы вновь обнаружим рост численности Trojan-GameThief. В свою очередь, увеличилась на 400% популяция дропперов; учитывая особенности декабрьской вирусной обстановки, этого также можно было ожидать - подчас застрявший в системе дроппер был единственным, что могли извлечь консультанты после заражения последними версиями троянских вымогателей. Соответствующая статистика января также не в последнюю очередь будет зависеть от того, какими путями пойдет развитие класса Trojan-Ransom.

VirWare и OtherMalWare, будучи на обочине современного вирусописательства, никаких сюрпризов не преподносят и вряд ли преподнесут в ближайшей перспективе. Разительных перемен в их активности не происходит: производство новых червей, вирусов, нежелательного ПО имеет сейчас вялотекущий характер. Единственный вектор их развития - это класс Packed рода OtherMalWare, поскольку под этим наименованием обычно скрываются те или иные разновидности троянских программ, защищающиеся таким образом от анализа и детектирования.

Статистика семейств по преимуществу подтверждает наметившиеся ранее тенденции: упадок Trojan-GameThief.Win32.Magania, представители которого демонстрировали когда-то 300% рост (в декабре было обнаружено всего 3 новых образца), снижение численности Trojan.Win32.Buzus, относительная стабильность Worm.Win32.Autorun и P2P-Worm.Win32.Palevo. Есть в статистике и несколько новых семейств, довольно громко о себе заявивших - Trojan.Win32.Chydo, Trojan-Downloader.Win32.Piker, Trojan-Dropper.Win32.HDrop. Продолжает активно вредить пользователям и Virus.Win32.Sality; надо сказать, что в этом месяце вообще имеет место некоторая активизация классических вирусов: откуда-то из небытия выбралось даже семейство Virus.Win32.Neshta. Небезынтересно будет пронаблюдать дальнейшие движения в этой области в будущем месяце.

Ну и, естественно, нельзя не сказать о Packed.Win32.Krap.w - своеобразной вершине достижений небезызвестной "фабрики вымогателей". В начале декабря этот вредоносный продукт под самоназванием "iMax Download Manager" (позднее - "iLite Net Accelerator") устроил наиболее широкомасштабную эпидемию за последние три месяца. Надо полагать, что, несмотря на усилия антивирусных консультантов, злоумышленники все же собрали себе "тринадцатую зарплату" под Новый год - по самым приблизительным подсчетам, этим вредоносным ПО оказались поражены десятки тысяч пользовательских компьютеров. Для "iMax Download Manager" Антивирусный портал VirusInfo также выпустил специальный бюллетень в разделе "Инфекция дня" - iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение (http://virusinfo.info/showthread.php?t=62966).

Стоит, однако, заметить, что постоянный "поиск технического совершенства" довольно быстро привел злоумышленников в тупик. Действительно, ввиду всесторонней блокировки традиционных методов борьбы с вредоносным ПО стандартный скрипт в AVZ пострадавшим уже не предложишь, однако пользователям доступны как алгоритм загрузки в обход операционной системы, так и наиболее простое решение - подбор кода разблокировки (http://virusinfo.info/deblocker/) по тексту, который вредоносное ПО требует отправить в платном SMS-сообщении; вряд ли авторам вымогателей удастся найти способ воспрепятствовать этим двум способам избавить ОС от присутствия их "творений".

В целом, как мы и ожидали, в декабре склонность к активизации троянских вымогателей не только сохранилась, но и достигла новых "высот". В январе результаты нашего наблюдения, по-видимому, будут вновь свидетельствовать о дальнейшем развитии существующих в настоящее время тенденций: злоумышленники продолжают активно эксплуатировать высокую инфекционную емкость социальных сетей, равно как и чрезмерно высокий интерес пользователей к материалам табуированного характера (так, троянские вымогатели нередко распространяются под видом "кодеков", якобы необходимых для просмотра порнографических видеоклипов). Стоит также отметить, что, по косвенным данным, рассматриваемое ВПО постепенно обзаводится некоторым "побочным" функционалом: в частности, поступали сообщения о случаях воровства учетных данных пользователей, чьи компьютеры были поражены продуктами "фабрики вымогателей".

Итак, 2009 год закончился под знаком троянского вымогателя. Посмотрим теперь, под каким знаком начнется год 2010...


Ссылки по теме


Интегрированный аналитический отчет: раздел Помогите, ноябрь 2009 (http://virusinfo.info/showthread.php?t=62697)
iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение (http://virusinfo.info/showthread.php?t=62966)
Кошелек или жизнь: Эволюция "фабрики вымогателей", последний квартал 2009 (http://virusinfo.info/showthread.php?t=65773)