PDA

Просмотр полной версии : Интегрированный аналитический отчет: раздел Помогите, май 2010



NickGolovko
10.06.2010, 11:57
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта (http://virusinfo.info?page=malwareremoval) за каждый календарный месяц.


Общая статистика

По данным системы "КиберХелпер" (http://virusinfo.info/index.php?page=cyberhelper), в течение мая 2010 года в лечебный сервис VirusInfo поступило 1 311 заявок на лечение ПК от вирусов; на сей раз мы наблюдаем рост этого показателя в сравнении с апрелем. Посетители сервиса загрузили в общей сложности 1 054 архива карантина, содержащих 3 067 уникальных файлов; из них 658 были признаны безопасными, 1 716 - вредоносными, подозрительными или потенциально опасными. Значения перечисленных параметров в основном выше апрельских, что вкупе с аналогичными тенденциями предыдущего отчетного месяца заставляет предполагать очередной рост активности вредоносных программ и дестабилизацию эпидемиологической обстановки.


TOP 10 вредоносного программного обеспечения

По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:



№ Имя Образцов Позиция
1. Worm.Win32.NeKav.cw 124 -
2. Worm.Win32.NeKav.cg 76 -
3. Backdoor.Win32.IRCBot.pcv 53 -
4. Worm.Win32.VBNA.b 37 -
5. Virus.Win32.Agent.dp 31 -
6. not-a-virus:RiskTool.Win32.HideWindows 28 -
7. Backdoor.Win32.Agent.auxp 26 -
8. Backdoor.Win32.Agent.avbz 24 -
9. Packed.Win32.Krap.gx 18 -
10. Packed.Win32.Krap.x 18 -3


Рейтинг мая небезынтересен: нетрудно заметить, что некоторые образцы идут парами. В первую очередь это два представителя Worm.Win32.NeKav, занимающие первое и второе места соответственно, а также пары образцов Backdoor.Win32.Agent (7-8 места) и Packed.Win32.Krap (9-10 позиции). Packed.Win32.Krap.x - единственный образец, сохранившийся в рейтинге с апреля; он, однако, потерял три пункта и близок к тому, чтобы покинуть десятку.

Майский Top 10 позволяет сделать вывод о том, что мы действительно рано попрощались с троянскими вымогателями; впрочем, теперь такой термин вряд ли применим к этому вредоносному ПО, поскольку главный возмутитель спокойствия в рейтинге был классифицирован аналитиками не как собственно вымогатель (Trojan-Ransom), а как червь. Механизм вымогательства, впрочем, не претерпел особенных изменений - Worm.Win32.NeKav представляет собой довольно верного последователя традиций "фабрики вымогателей".

Как и в предыдущем месяце, состав десятки практически полностью сменился. VirWare удалось получить большинство позиций в рейтинге - 40%; оставшиеся 60% распределились поровну между TrojWare и OtherMalWare.


"Пойманы нами"

В мае 2010 специалисты VirusInfo обнаружили в общей сложности 1 523 новых образца вредоносного программного обеспечения - почти вдвое больше, чем в апреле. Доля TrojWare упала на 8% - 860 штук, или 56%; 543 образца (36%, на 16% больше в сравнении с предыдущим отчетным месяцем) относятся к роду VirWare, а оставшиеся 120 штук (8%) - к OtherMalWare. Вирусы и черви, получив существенное подкрепление со стороны Worm.Win32.NeKav, резко возросли как в количественном, так и в долевом отношении, отобрав по 8% у TrojWare и OtherMalWare.

Визуально соотношение родов представлено на диаграмме 1.

245325

Троянские кони, бэкдоры и руткиты, хотя и уступили VirWare еще 8%, по-прежнему не демонстрируют сколь-либо заметной регрессии; напротив, статистика классов в основном положительная. TrojWare будто остается в стороне от волнений и эпидемических всплесков двух последних месяцев, развиваясь по своим собственным законам и следуя своим тенденциям. Первое место среди поведений этого рода традиционно принадлежит неклассифицированным троянским коням: 324 вредоносных объекта; вторую позицию получили бэкдоры, которые в мае существенно увеличили свою численность - до 190 образцов, - а на третьем месте удержалось поведение Trojan-Dropper (102 образца). Рост показателей наблюдался у классов Backdoor, Trojan, Trojan-Dropper, Trojan-GameThief, Trojan-PSW, Trojan-Spy; снижением численности характеризовались эвристические вердикты и троянские кликеры.

Общее соотношение классов TrojWare отображено на диаграмме 2.

245326

Лидирующие позиции в пределах рода VirWare вполне ожидаемо достались обычным червям, которые количественно превзошли даже неклассифицированных троянских коней (чего не случалось ни разу за все время подготовки аналитических отчетов). Класс Worm насчитывает в мае 340 образцов; второе место занимают прежние лидеры - черви для пиринговых сетей (82 штуки), а третья позиция занята классом Virus (48 представителей). Классические вирусы, а также почтовые черви продемонстрировали в этом отчетном месяце положительную динамику; существенных падений численности в пределах рода отмечено не было.

Итоговое соотношение оказалось следующим (диаграмма 3):

245327

Остальное вредоносное ПО - OtherMalWare - не претерпело значительных изменений суммарной численности (120 штук против 138 в предыдущем отчетном месяце). Лидером рода по-прежнему являются подозрительные упаковщики, несмотря на заметное снижение их показателей: в мае было обнаружено 55 новых образцов. Вторая позиция досталась продемонстрировавшим заметный прогресс представителям RiskTool - 29 вредоносных объектов; третье место разделили классы Monitor и RemoteAdmin - по 9 штук для каждого. Май отмечен, помимо прочего, регрессом AdWare: прежний лидер рода представлен в этом месяце лишь тремя новыми вредоносными объектами.

Общее распределение классов OtherMalWare отображено на диаграмме 4.

245328

В статистике семейств наиболее заметны были следующие вредоносные программы:

Trojan.Win32.Ddox - 79 образцов
Backdoor.Win32.Agent - 63 образца
Trojan.Win32.Scar - 52 образца

Worm.Win32.NeKav - 229 образцов
P2P-Worm.Win32.Palevo - 81 образец
Email-Worm.Win32.Joleee и Worm.Win32.VBNA - 44 образца

Packed.Win32.Krap - 46 образцов
not-a-virus:RiskTool.Win32.HideWindows - 24 образца
not-a-virus:RemoteAdmin.Win32.RAdmin - 9 образцов

Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo" (http://virusinfo.info/forumdisplay.php?f=166).


Общие выводы

Март оказался единственным относительно спокойным месяцем этой весны. Наметившиеся в апреле признаки возможного эпидемического всплеска в полной мере реализовались в текущем отчетном месяце, положив начало очередной вспышке инфекции. О неспокойной эпидемиологической обстановке свидетельствуют как количественные, так и качественные отчетные показатели. Безусловно, существует ряд отличий майской эпидемии от вспышек активности ВПО, имевших место в конце предыдущего - начале сего года, однако указанные различия несущественны.

Одно из подобных отличий - это очередное перераспределение соотношений родов ВПО в пользу VirWare. Как уже было сказано выше, отнесение актуального на данный момент семейства вымогателей к простым червям (Worm.Win32) самым положительным образом сказалось на статистике этого рода. По всей видимости, в стан VirWare перешли все те образцы, которые ранее были классифицированы по типу подозрительных упаковщиков; это не позволило OtherMalWare сохранить и увеличить апрельские качественные показатели. При этом стоит отметить, что количественные характеристики TrojWare и OtherMalWare не продемонстрировали заметного регресса - а, следовательно, увеличение доли VirWare вызвано исключительно вспышкой инфекции.

Соответственно, мы окончательно определяем март как период непродолжительного затишья между двумя эпидемиями. Активность вымогателей пока сохраняется, что позволяет заранее предположить столь же неспокойный характер июня (и, возможно, даже июля - все будет зависеть от того, появятся ли в течение этих месяцев новые штаммы).


Статистика классов, как и в апреле, показывает преимущественно прогресс тех или иных поведений, хотя были отмечены и случаи довольно существенного снижения показателей. Заметный рост продемонстрировали бэкдоры, неклассифицированные троянские кони, дропперы, воры паролей (как обычные, так и специализирующиеся на краже учетных данных к онлайн-играм), шпионы, обычные и почтовые черви, классические вирусы, а также утилиты из группы риска; численно уменьшились эвристические вердикты, троянские кликеры, а также подозрительные упаковщики. Таким образом, мы по-прежнему наблюдаем высокую активность многообразных финансово ориентированных вредоносных программ - в первую очередь вымогателей и воров паролей всех типов.

Группа лидирующих поведений TrojWare напоминает традиционную: на первом месте, как обычно, Trojan.Win32, за ними следует класс Backdoor; на третьем месте, однако, не привычные троянские загрузчики, а троянские же дропперы. В роде VirWare аналогичная ситуация: на первое место вернулись обыкновенные черви, за ними идут черви для пиринговых сетей и классические вирусы. Такое распределение мест в тройке является довольно привычным и не содержит ничего необыкновенного. Что касается OtherMalWare, то ведущие позиции распределены согласно последним эпидемическим тенденциям - лидером является класс Packed, на втором месте - RiskTool, третье делят поведения Monitor и RemoteAdmin. Top 3 этого рода напоминает аналогичное позиционирование предыдущего отчетного месяца с незначительными перестановками.

Как мы и предполагали ранее, по мере приближения лета наступила активизация воров учетных данных, а также троянских дропперов. Загрузчики пока не оправдывают наших ожиданий, но июнь может помочь им выправить положение. Неплохо обстоят дела и у пирингового червя Palevo, рост активности которого мы также предсказывали в предыдущих отчетах. Прогноз на июнь вполне очевиден: доминирование вымогателей, повышение доли финансово ориентированного ВПО - в первую очередь воров паролей, - незначительные изменения в тройках лидеров каждого из родов (особенно - OtherMalWare), популярность пиринговых червей. Возможны и новые атаки на социальные сети.


Аналогичные тенденции прослеживаются и в статистике семейств. Безусловный лидер месяца - вымогатель Worm.Win32.NeKav, который отметился в рейтинге вредоносных программ, стал наиболее заметным представителем VirWare и существенно улучшил статистику всего рода в целом. Ближайшим идейным аналогом этого вредоносного ПО является инфекция, классифицированная как Trojan.Win32.Agent2.cqzi; всплеск активности именно этого образца ознаменовал начало новой эпидемии вымогателей. Антивирусный портал VirusInfo опубликовал специализированный бюллетень для пользователей, пострадавших ото всех подобных ему вредоносных программ: "Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение (http://virusinfo.info/showthread.php?t=78765)".

Вспышки активности вымогателей оттеснили на обочину хронические инфекции, о которых мы традиционно упоминаем в отчетах. Вместе с тем в майской статистике появился ряд новых семейств, которые смогли довольно громко заявить о себе: к примеру, вредоносное ПО Trojan.Win32.Ddox, которое оказалось наиболее многочисленным семейством мая в пределах рода TrojWare. Сохранила активность и группа not-a-virus:RiskTool.Win32.HideWindows, обеспечившая своему классу второе место в статистике OtherMalWare.

Эвристические вердикты вернулись к своей обычной численности. По всей видимости, рост их количества в предыдущем месяце был связан с несигнатурным определением кого-то из нынешних лидеров - вероятнее всего, Worm.Win32.VBNA, интересным червем, распространяющимся через флэш-носители и проявляющим некоторые черты поведения, характерные для троянских коней. Вновь заявили о себе представители семейства Email-Worm.Win32.Joleee - в апреле мы видели лишь 2 образца этого ВПО, в мае же их оказалось уже 44.

Worm.Win32.NeKav, вероятнее всего, отметится и в июньском отчете; не исключено, что повод сказать о себе предоставят и прочие лидеры - HideWindows, VBNA, Palevo. Не исключено, что придется упомянуть и хронические инфекции. Что касается новых "лиц", то пока уверенных прогнозов на их счет нет.


Итак, апрель все же оказался началом новой инфекционной волны, а май выдался бурным и эпидемиологически беспокойным. Мы вновь сталкиваемся с вымогателями, которых мы определенно поспешили похоронить. Не исключено, что и июнь окажется отмечен вспышками заражений, публикациями спецбюллетеней и высокой популярностью сервиса дезактивации вымогателей-блокеров (http://virusinfo.info/deblocker). Определенно можно сказать одно: вымогательство понравилось вирусописателям, и, если не будут приняты необходимые меры на уровне компетенции правоохранительных органов, операторов мобильной связи и поставщиков / регистраторов коротких SMS-номеров, наблюдаемая нами эпидемия непременно окажется далеко не последней.


Ссылки по теме


Интегрированный аналитический отчет: раздел Помогите, апрель 2010 (http://virusinfo.info/showthread.php?t=78014)
Родовая классификация вредоносного ПО (http://virusinfo.info/showthread.php?t=78015)
Интегрированный аналитический отчет: раздел Помогите, март 2010 (http://virusinfo.info/showthread.php?t=76358)