Интегрированный аналитический отчет: раздел Помогите, октябрь 2009
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы [URL="http://virusinfo.info?page=malwareremoval"]лечебного сервиса проекта[/URL] за каждый календарный месяц.
[s]Общая статистика[/s]
По данным [URL="http://virusinfo.info/index.php?page=cyberhelper"]системы "КиберХелпер"[/URL], в течение октября 2009 года в лечебный сервис VirusInfo поступило [s]1559[/s] заявок на лечение ПК от вирусов, что превышает соответствующий показатель сентября на без малого 300 заявок. Посетители сервиса загрузили в общей сложности [s]1047[/s] архивов карантина, содержавших [s]3218[/s] уникальных файлов; из них [s]806[/s] были признаны безопасными, [s]1699[/s] - вредоносными, подозрительными или потенциально опасными. Указанные параметры также существенно превышают показатели, зафиксированные в предыдущем месяце; это позволяет утверждать, что вирусная обстановка в русском секторе Интернета вновь обострилась после непродолжительного спокойствия в сентябре.
[s]TOP 10 вредоносного программного обеспечения[/s]
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
[CODE]№ Имя Образцов Позиция
1. Trojan.Win32.Buzus.ckem 239 -
2. Trojan.Win32.Delf.owo 99 +1
3. Trojan.Win32.Buzus.cizr 45 -
4. Trojan-Ransom.Win32.Agent.gd 28 -
5. Trojan-GameThief.Win32.Magania.bwsr 24 -
6. Trojan-Ransom.Win32.Agent.ge 21 -
7. Packed.Win32.Krap.ah 16 -
8. Trojan-Ransom.Win32.SMSer.qm 20 -
9. Packed.Win32.Krap.x 17 +1
10. Trojan-Ransom.Win32.Agent.gc 17 -[/CODE]
Род TrojWare, который еще в августе проигрывал VirWare, а в сентябре смог восстановить статус-кво, на сей раз взял практически все места в рейтинге - 8 из 10. На оставшихся двух позициях разместились представители OtherMalWare из группы подозрительно упакованных объектов; род вирусов и червей, таким образом, попасть в рейтинг не смог вообще. Действительно, в октябре на повестке дня было в основном троянское программное обеспечение, о чем мы еще будем упоминать ниже.
Уже нет ничего удивительного в том, что рейтинг октября имеет мало общего с десяткой по итогам предыдущего месяца: 80% образцов в сентябрьском рейтинге не присутствовали. Из предыдущей десятки в рейтинге удержались [s]Packed.Win32.Krap.x[/s], улучшивший свой показатель на 1 место, и [s]Trojan.Win32.Delf.owo[/s], также поднявшийся на 1 позицию. Лидерство в октябре захватил [s]Trojan.Win32.Buzus.ckem[/s] с 239 образцами - беспрецедентный пока случай; еще один представитель этого семейства - [s]Trojan.Win32.Buzus.cizr[/s] - на третьей позиции с 45 образцами. В свою очередь, семейство [s]Backdoor.Win32.SdBot[/s], неизменно присутствовавшее в рейтинге на протяжении нескольких месяцев, было на сей раз оттеснено из десятки; интересно будет пронаблюдать, сможет ли оно вернуться в рейтинг в ноябре.
[s]"Пойманы нами"[/s]
В октябре 2009 специалистами VirusInfo было обнаружено в общей сложности [s]1420[/s] новых образцов вредоносного программного обеспечения. Род TrojWare на этот раз фактически задавил численностью два других рода: количественно троянские программы, бэкдоры и руткиты выросли почти на 100% - от 591 образца в сентябре до [B]1190[/B] образцов в октябре, - а в процентном соотношении увеличили свою долю на 20%, составив, таким образом, 84% от общего количества новых вредоносных объектов. VirWare и OtherMalWare, в свою очередь, продемонстрировали практически равные показатели: 126 и 104 новых образца, или 9% и 7% соответственно. Соотношение родов представлено на диаграмме 1.
[ATTACH]175828[/ATTACH]
В статистике классов род TrojWare по-прежнему возглавляют Trojan.Win32: [s]552[/s] вредоносных объекта, практически половина общего количества образцов. Второе место в октябре осталось за поведением Trojan-GameThief ([s]189[/s] образцов), которому удалось несколько нарушить традиционное распределение первых мест между обычным троянским ПО, бэкдорами и троянскими загрузчиками. Последние, кстати, оказались на этот раз в меньшинстве, уступив третье место классу Backdoor ([s]130[/s] объектов). Общее соотношение классов TrojWare отображено на диаграмме 2.
[ATTACH]175829[/ATTACH]
В роде VirWare развернулась практически равная борьба, в которой с небольшим отрывом одолело оппонентов поведение Worm - [s]36[/s] образцов; за ним следуют P2P-Worm ([s]33[/s] объекта) и удержавшееся на третьем месте поведение Net-Worm с [s]27[/s] представителями. Итоговое распределение оказалось следующим (диаграмма 3):
[ATTACH]175830[/ATTACH]
В роде OtherMalWare, как и в сентябре, подавляющее большинство образцов относилось к группе Packed, представленной на этот раз [s]69[/s] образцами. Вторая позиция также не изменилась - на ней находится класс AdWare c [s]21[/s] образцом, - а третье место разделили сразу три поведения: Client-IRC, Monitor и RiskTool, по три образца у каждого. бщее соотношение отображено на диаграмме 4.
[ATTACH]175831[/ATTACH]
В статистике семейств наиболее заметны были следующие вредоносные программы:
[s]Trojan.Win32.Buzus[/s] - [s]249[/s] образцов
[s]Trojan-GameThief.Win32.Magania[/s] - [s]180[/s] образцов
[s]Trojan.Win32.Delf[/s] - [s]86[/s] образцов
[s]P2P-Worm.Win32.Palevo[/s] - [s]28[/s] образцов
[s]Worm.Win32.AutoRun[/s] - [s]23[/s] образца
[s]Net-Worm.Win32.Kido[/s] - [s]14[/s] образцов
[s]Packed.Win32.Krap[/s] - [s]56[/s] образцов
[s]AdWare.Win32.FearAds[/s] и [s]Packed.Win32.Klone[/s] - [s]6[/s] образцов
[s]Packed.Win32.TDSS[/s] - [s]5[/s] образцов
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе [URL="http://virusinfo.info/forumdisplay.php?f=166"]"Монитор VirusInfo"[/URL].
[s]Общие выводы[/s]
В октябре окончательно подтвердилась мысль о том, что августовский всплеск активности рода VirWare был явлением спорадическим: показатели этого рода в рейтинге ПО, в сентябре приблизившиеся к нулю, по результатам октября окончательно с ним сравнялись, а доля VirWare в новом вредоносном ПО резко упала и приблизилась как в количественном, так и в процентном соотношении к соответствующим показателям OtherMalWare. TrojWare, отступившие было в сентябре, напротив, продемонстрировали бурный рост, захватив 80% мест в рейтинге и почти 85% доли в общем количестве нового вредоносного ПО. В первую очередь подобный взрыв активности троянских программ связан с чрезвычайно высокими показателями семейства [s]Trojan.Win32.Buzus[/s] и эпидемическим всплеском активности двух разновидностей одного и того же троянского вымогателя - [s]Trojan-Ransom.Win32.Agent[/s] и [s]Trojan-Ransom.Win32.SMSer[/s].
В статистике классов, не особенно активно изменявшейся на протяжении трех предыдущих месяцев, наступило некоторое оживление: класс GameThief, в сентябре вплотную подобравшийся к первой тройке, по итогам октября со значительным отрывом от ближайшего преследователя вышел сразу на второе место по количеству образцов. Лидер - Trojan.Win32 - для него пока недосягаем, но оттеснить из первой тройки поведение Trojan-Downloader ворам паролей удалось. По всей видимости, популярность онлайн-игр никак не страдает от наступления осени и постепенного приближения отчетных периодов в учебных заведениях. В пределах рода VirWare сохраняется высокая активность червей - обычных, пиринговых и сетевых, и даже почтовые черви несколько оживились; класс Virus по-прежнему в явном меньшинстве по сравнению с ними.
Статистика семейств показывает взрывной рост [s]Trojan.Win32.Buzus[/s], о чем было сказано выше. Необходимо, впрочем, отметить, что высокое количество образцов этого семейства ВПО не в последнюю очередь обусловлено случаем лечения, заслуженно попавшим на первую строчку рейтинга наиболее сильно инфицированных ПК: из одного-единственного компьютера специалисты VirusInfo извлекли 175 вредоносных объектов, по преимуществу относившихся именно к рассматриваемому семейству.
Представители [s]Trojan-GameThief.Win32.Magania[/s], рост количества которых мы отмечали начиная с августа, превзошли все наши ожидания: вместо прогнозируемого количества в 80 образцов в лечебный сервис VirusInfo поступило 180 вредоносных объектов из этого семейства; в сравнении с сентябрем рост показателей составил практически 300%. Посмотрим, что произойдет в ноябре.
Октябрьская статистика подтвердила случайность возникновения в августе старого почтового червя [s]Brontok[/s]: как и в предыдущем месяце, новых образцов этого ВПО мы не увидели. Впрочем, на смену ему пришел другой старый знакомый антивирусных консультантов - отметившийся в свое время масштабными эпидемиями червь Warezov. Как и в случае с Brontok, здесь требуется наблюдение в динамике.
[s]Worm.Win32.Autorun[/s] продолжает демонстрировать волнообразные скачки активности: 57 объектов в июле - 26 в августе - 52 в сентябре - 23 образца в октябре. Вполне очевидно будет ожидать очередного всплеска его активности в следующем месяце. Сохраняет позиции [s]P2P-Worm.Win32.Palevo[/s] - за октябрь мы увидели лишь на 2 объекта меньше в сравнении с аналогичным показателем сентября; по всей видимости, инфекция стабилизировалась и через некоторое время должна пойти на спад.
Устойчивы также и показатели подозрительных упаковщиков: в пределах рода OtherMalWare их доля практически не изменилась как в количественном, так и в процентном соотношении. Троица [s]Packed.Win32.Krap[/s] - [s]Packed.Win32.Klone[/s] - [s]Packed.Win32.TDSS[/s] по-прежнему продолжает беспокоить посетителей VirusInfo. Не меняют позиций и рекламные программы; прочие разновидности OtherMalWare довольно лабильны и устойчивых тенденций не демонстрируют.
Главными возмутителями спокойствия в октябре стали две разновидности троянского вымогателя, известные под самоназваниями "[s]Get Accelerator[/s]" и "[s]uFast Download Manager[/s]". Данные вредоносные программы были классифицированы вирусными аналитиками как [s]Trojan-Ransom.Win32.Agent[/s] и [s]Trojan-Ransom.Win32.SMSer[/s] соответственно. Первый образец "Get Accelerator" поступил в лечебный сервис VirusInfo в середине октября. Количество ПК, пораженных этой вредоносной программой, оказалось столь существенным, что Антивирусный портал VirusInfo был вынужден выпустить специальный бюллетень для пострадавших пользователей - "[s][URL="http://virusinfo.info/showthread.php?t=57724"]Get Accelerator (Trojan-Ransom.Win32.Agent.gc): описание и лечение[/URL][/s]"; благодаря этой информационной статье и активной лечебной работе консультантов VirusInfo инфекцию удалось относительно быстро локализовать и погасить. Однако столь быстрое завершение эпидемии, по всей видимости, не входило в планы злоумышленников, поэтому в конце месяца ими была выпущена новая версия вредоносной программы - под самоназванием "uFast Download Manager". Данное вредоносное ПО также описано в специальном бюллетене Антивирусного портала VirusInfo - "[s][URL="http://virusinfo.info/showthread.php?t=58868"]uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение[/URL][/s]". В данный момент эпидемическая волна этого ВПО еще не погашена, хотя масштабы его распространения не столь велики, как в случае с "Get Accelerator".
В целом октябрь преимущественно подтвердил наши прогнозы относительно тех или иных тенденций в развитии эпидемиологической обстановки в русском секторе Интернета. В ноябре мы ожидаем дальнейшего подтверждения обозначенных тенденций и поступления новых данных о степени активности различного ВПО; эпидемические всплески, характерные для третьей декады октября, также окажут некоторое влияние на статистику следующего месяца.
