Интегрированный аналитический отчет: раздел Помогите, сентябрь 2009

Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы [URL="http://virusinfo.info?page=malwareremoval"]лечебного сервиса проекта[/URL] за каждый календарный месяц.


[s]Общая статистика[/s]

По данным [URL="http://virusinfo.info/index.php?page=cyberhelper"]системы "КиберХелпер"[/URL], в течение сентября 2009 года в лечебный сервис VirusInfo поступило [s]1282[/s] заявок на лечение ПК от вирусов, что несколько ниже аналогичного показателя за предыдущий месяц. Посетители сервиса загрузили в общей сложности [s]869[/s] архивов карантина, содержавших [s]2370[/s] уникальных файлов; из них [s]642[/s] были признаны безопасными, [s]1196[/s] - вредоносными, подозрительными или потенциально опасными. Все эти показатели также несколько снижены по отношению к предыдущему месяцу, что говорит о более спокойной эпидемиологической обстановке.


[s]TOP 10 вредоносного программного обеспечения[/s]

По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:

[CODE]№ Имя Образцов Позиция
1. Packed.Win32.TDSS.z 57 -
2. Trojan.Win32.Inject.ahtg 46 -
3. Trojan.Win32.Delf.owo 43 -
4. Virus.Win32.Xorer.ed 34 -
5. Trojan.Win32.Delf.oav 24 -4
6. Worm.Win32.AutoRun.gsk 18 -
7. Backdoor.Win32.SdBot.oma 16 +2
8. Trojan.Win32.Monderb.qvf 14 -
9. HEUR:Trojan.Win32.Generic 13 -
10. Packed.Win32.Krap.x 13 -[/CODE]

В сравнении с августовской десяткой рейтинг вновь радикально изменился: вредоносное ПО, относящееся к роду TrojWare, полностью отыграло утраченные ранее позиции. Если в августе род VirWare лидировал в десятке, занимая в ней половину мест, то в сентябре долевое соотношение вновь пришло к более традиционному для современной компьютерной эпидемиологии виду: 6 мест занимает TrojWare, VirWare же - лишь 2 места, и столько же позиций получили вердикты группы Packed, относящиеся к роду OtherMalWare. Таким образом, вполне очевидно, что тенденция к росту, которую демонстрировал летом род VirWare, сменилась резким падением до уровня июня-июля.

Статистика семейств показывает, что 80% позиций в рейтинге занимает новое ПО, не входившее в августовскую десятку. Единственным старожилом, который не только сохранил за собой место в рейтинге, но и улучшил его на две позиции, является семейство [s]Backdoor.Win32.SdBot[/s], чьи показатели медленно, но верно растут уже не первый месяц; [s]Trojan.Win32.Delf.oav[/s], напротив, потерял 4 позиции. Лидером в сентябре оказался представитель семейства [s]Packed.Win32.TDSS[/s], что в целом вполне ожидаемо и закономерно: это довольно распространенное вредоносное ПО, жалобы на которое поступают с завидной регулярностью.


[s]"Пойманы нами"[/s]

В сентябре 2009 специалистами VirusInfo было обнаружено в общей сложности [s]923[/s] новых образца вредоносного программного обеспечения. Род TrojWare традиционно далеко впереди: [s]591[/s] образец, или 64% от общего количества вредоносных объектов; на втором месте - VirWare ([s]222[/s] образца, 24%), на третьем - существенно увеличившие свою долю OtherMalWare ([s]110[/s] образцов). Соотношение родов представлено на диаграмме 1.

[ATTACH]166820[/ATTACH]

В статистике классов лидером рода TrojWare остаются Trojan.Win32: [s]249[/s] вредоносных объектов. На втором месте на этот раз - образцы класса Backdoor - [s]91[/s] вредоносный объект, - вернувшие себе утерянную ранее позицию. На третье место, соответственно, вышло поведение Trojan-Downloader, представленное [s]81[/s] образцом. Общее соотношение классов TrojWare отображено на диаграмме 2.

[ATTACH]166821[/ATTACH]

Среди поведений из класса VirWare убедительное преимущество осталось за поведением Worm - [s]93[/s] образца; второе место занял класс Virus ([s]54[/s] объекта), третья позиция отошла поведению Net-Worm с [s]40[/s] представителями. Итоговое распределение оказалось следующим (диаграмма 3):

[ATTACH]166822[/ATTACH]

В роде OtherMalWare подавляющее большинство образцов относилось к группе Packed, представленной [s]73[/s] образцами. Второе место досталось классу AdWare - [s]26[/s] образцов, - а замыкающим на сей раз оказался RiskTool ([s]4[/s] представителя). Общее соотношение отображено на диаграмме 4.

[ATTACH]166823[/ATTACH]

В статистике семейств наиболее заметны были следующие вредоносные программы:

[s]Trojan-GameThief.Win32.Magania[/s] - [s]57[/s] образцов
[s]Trojan.Win32.Inject[/s] - [s]53[/s] образца
[s]Trojan.Win32.Delf[/s] - [s]49[/s] образцов

[s]Worm.Win32.AutoRun[/s] - [s]52[/s] образца
[s]Virus.Win32.Xorer[/s] - [s]34[/s] образца
[s]Net-Worm.Win32.Kolab[/s] и [s]P2P-Worm.Win32.Palevo[/s] - [s]30[/s] образцов

[s]Packed.Win32.TDSS[/s] - [s]49[/s] образцов
[s]AdWare.Win32.AdSubscribe[/s] и [s]Packed.Win32.Krap[/s] - [s]14[/s] образцов
[s]Packed.Win32.Klone[/s] - [s]9[/s] образцов

Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе [URL="http://virusinfo.info/forumdisplay.php?f=166"]"Монитор VirusInfo"[/URL].


[s]Общие выводы[/s]

В августе мы отмечали активизацию рода VirWare, которая, по всей видимости, оказалась сезонным обострением: в сентябре показатели этого рода в рейтинге приблизились к нулю, а доля в новом вредоносном ПО осталась в пределах 20-25%. Рост доли OtherMalWare, однако, сопровождался отступлением не VirWare, как того можно было ожидать, а TrojWare: последний род, на протяжении двух месяцев прочно удерживавший более 70% от общего количества новых образцов, в сентябре уступил немногим менее 10%. Будет уместно связывать это с высокими показателями [s]Packed.Win32.TDSS[/s], который, формально являясь представителем OtherMalWare, довольно близок к троянскому ПО, бэкдорам и руткитам: в нашей статистике имеются не только [s]Packed.Win32.TDSS[/s], но и [s]Backdoor.Win32.TDSS[/s], и [s]Rootkit.Win32.TDSS[/s], и [s]Trojan.Win32.TDSS[/s]. Возможно, все это - одно и то же семейство трояноподобного ВПО.

Статистика поведений не претерпела существенных модификаций в сравнении с июлем и августом: неклассифицированные троянские программы (Trojan.Win32) по-прежнему удерживают лидерство, а за ними идут время от времени меняющиеся местами Trojan-Downloader и Backdoor, чьи показатели колеблются в пределах нескольких десятков образцов. Следует, однако, заметить, что вплотную к ним приближается класс Trojan-GameThief; пока сложно сказать, остаточные ли это явления с августа, или же начало учебного года не оказало особенного влияния на популярность серверов онлайн-игр. У рода VirWare наиболее активны черви, причем всех типов: в сентябре набралось изрядное количество и простых, и сетевых, и пиринговых червей. В меньшинстве лишь черви почтовые - всего 4 новых образца.

Былой лидер статистики семейств, [s]Trojan.Win32.Patched[/s], чья активность начала убывать еще в августе, практически исчез из повседневной практики VirusInfo: за сентябрь было обнаружено всего 7 новых образцов. Продолжают уверенный рост в арифметической прогрессии представители [s]Trojan-GameThief.Win32.Magania[/s], о чем было сказано выше: от 22 образцов в июле и почти 40 - в августе это семейство добралось уже до показателя в без малого 60 вредоносных объектов. Не исключено, что в октябре мы увидим уже порядка 80 новых образцов, принадлежащих к этому семейству. Особо заметно было в сентябре и семейство [s]Trojan.Win32.Delf[/s]; вероятно, следует связывать этот факт с началом учебного года, поскольку во многих университетах обучение программированию начинается (а иногда и заканчивается) именно с языка Delphi.

[s]Brontok.q[/s], неожиданное возникновение которого мы отметили в августе, вновь канул в небытие: в сентябре новых образцов этого ПО в лечебный сервис VirusInfo не поступило. Вероятно, августовское появление новых объектов Brontok было происшествием случайным и разовым; в октябре ситуация должна проясниться окончательно.

[s]Worm.Win32.Autorun[/s], отступивший было в августе, практически полностью восстановил утерянные позиции: упав от 57 объектов в июле до 26 образцов в августе, в сентябре это семейство обеспечило нам 52 новых инфицированных объекта. [s]Trojan-GameThief.Win32.OnlineGames[/s], продемонстрировавший 700% рост в предыдущем месяце, продолжить тенденцию к росту не смог - мы увидели лишь 9 новых представителей этого семейства. Вновь активизировался пиринговый червь [s]P2P-Worm.Win32.Palevo[/s] (тоже, кстати, пользующийся автозапуском для своего распространения): в августе мы практически не видели новых объектов из этого семейства, однако сейчас мы уже наблюдаем количество образцов, превышающее уровень июля (30 против 21).

В целом в сентябре мы увидели как подтверждение, так и опровержение тех или иных тенденций, которые намечались в течение предыдущих двух месяцев. Отметим, что подтвердился наш прогноз об активизации комплексов вредоносных действий, целью которых являются учетные данные пользователей социальных сетей: [URL="http://virusinfo.info/showthread.php?t=51236"]атаковав в июле сеть "В Контакте"[/URL], в результате чего были скомпрометированы десятки тысяч учетных записей, злоумышленники начали подготовку к аналогичному нападению на ресурс "Одноклассники.ru". Напомним, что хищение учетных записей пользователей сети "В Контакте" осуществлялось при помощи ложного файла HOSTS следующего содержания:

[CODE]83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru[/CODE]

Иными словами, на один и тот же фишинговый IP-адрес перенаправлялись пользователи, пытавшиеся посетить как ресурс vkontakte.ru, так и odnoklassniki.ru. На этом вредоносном ресурсе имитировалась страница авторизации социальной сети "В Контакте".

В сентябре нами были обнаружены следы инфекции, аналогичным образом модифицировавшей файл HOSTS для перенаправления пользователей:

[CODE]210.51.166.253 vkontakte.ru
210.51.166.253 www.vkontakte.ru
210.51.166.253 odnoklassniki.ru
210.51.166.253 www.odnoklassniki.ru
210.51.166.253 odnoklasniki.ru
210.51.166.253 www.odnoklasniki.ru
[/CODE]

На указанном вредоносном ресурсе имитировалась уже страница авторизации сети "Одноклассники.ru". Вероятно, данная атака является второй частью общего нападения на пользователей наиболее популярных социальных сетей: ведь в июле обнаруженная вирусологами база данных предназначалась для обоих ресурсов, но база для "Одноклассников" осталась тогда пустой. По всей видимости, сейчас у злоумышленников появился шанс наполнить и вторую базу.

Не исключено, что в отдаленной перспективе можно ожидать и аналогичного нападения на третью по величине социальную сеть русского сектора Интернета - "Мой мир@Mail.Ru". В теории данная сеть может быть даже более коммерчески интересна для потенциального киберпреступника, поскольку хищение учетных данных этой сети предоставляет злоумышленнику доступ и ко всем остальным службам Mail.Ru - в том числе к почтовому ящику жертвы.