Интегрированный аналитический отчет: раздел Помогите, ноябрь 2009
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы [URL="http://virusinfo.info?page=malwareremoval"]лечебного сервиса проекта[/URL] за каждый календарный месяц.
[s]Общая статистика[/s]
По данным [URL="http://virusinfo.info/index.php?page=cyberhelper"]системы "КиберХелпер"[/URL], в течение ноября 2009 года в лечебный сервис VirusInfo поступило [s]1825[/s] заявок на лечение ПК от вирусов, что превышает соответствующий показатель октября на без малого 300 заявок; аналогичное превышение мы наблюдали в предыдущем отчете. Посетители сервиса загрузили в общей сложности [s]1356[/s] архивов карантина, содержавших [s]3202[/s] уникальных файла; из них [s]787[/s] были признаны безопасными, [s]2121[/s] - вредоносными, подозрительными или потенциально опасными. Представленные данные показывают, что в ноябре, как и в октябре, эпидемиологическая обстановка в Сети вновь была неспокойной.
[s]TOP 10 вредоносного программного обеспечения[/s]
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
[CODE]
№ Имя Образцов Позиция
1. Trojan.Win32.Buzus.cizr 256 +2
2. Trojan.Win32.Buzus.cjdb 186 -
3. Backdoor.Win32.SDBot.pyq 97 -
4. Trojan-Ransom.Win32.Digitala.b 56 -
5. Trojan-GameThief.Win32.OnLineGames.bmml 24 -
6. Trojan-Ransom.Win32.Agent.hb 39 -
7. Trojan.Win32.Agent.dcou 37 -
8. Trojan-Ransom.Win32.Agent.ha 32 -
9. Trojan.Win32.Kreeper.oa 26 -
10. P2P-Worm.Win32.Palevo.kbw 25 -
[/CODE]
В то время как в октябре в десятку смогли войти 8 представителей рода TrojWare, в ноябре их количество достигло уже 9; единственное оставшееся место досталось на этот раз представителю VirWare. Род троянских программ, бэкдоров и руткитов устойчиво наращивает позиции, начиная с августа, о чем мы неоднократно упоминали в предыдущих отчетах; если тенденция будет сохранена, то в будущем месяце мы можем ожидать и 100% доминирования TrojWare в рейтинге вредоносных программ.
Десятка активного ВПО постоянно меняется каждый месяц; ноябрь не стал исключением и с этой точки зрения. Удержался в рейтинге лишь один вредоносный объект - [s]Trojan.Win32.Buzus.cizr[/s]; он поднялся на две позиции в сравнении с результатами октября и занял первую позицию рейтинга с 256 образцами. Второе место также оказалось за представителем семейства Buzus, количество образцов которого составило 186; на данный момент вредоносные программы из этого семейства, безусловно, являются наиболее плодовитыми изо всех, что входили в рейтинг за время наблюдения.
Как мы и ожидали, семейство [s]Backdoor.Win32.SdBot[/s], которое не смогло попасть в октябрьскую версию рейтинга, сумело вернуться в него (при этом поднявшись сразу на третью позицию). Сходить с вирусной сцены это вредоносное ПО явно не собирается, и мы можем вновь ожидать его появления в декабрьской десятке.
Важно также отметить, что сразу четыре места в рейтинге занято вредоносными объектами из классов, непосредственно относящихся к вымогательству денег и хищению учетных данных пользователей онлайн-игр: [s]Trojan-Ransom[/s] и [s]Trojan-GameThief[/s]. В последние два месяца злоумышленники самым очевидным образом делают акцент на финансовом аспекте киберпреступной деятельности, реализуя все более сложные механизмы для быстрого извлечения денег из пострадавшего пользователя.
[s]"Пойманы нами"[/s]
В ноябре 2009 специалистами VirusInfo было обнаружено в общей сложности [s]1690[/s] новых образцов вредоносного программного обеспечения - почти на 300 единиц больше, чем в прошлом месяце. Подавляющее преимущество рода TrojWare, отмеченное нами в октябре, сохранилось на точно таком же уровне: [B]1410[/B] образцов, или 84% от общего количества новых вредоносных объектов; доля VirWare выросла на один процент, а показатель OtherMalWare, соответственно, аналогичным образом снизился. Итоговый результат - 176 и 104 новых образца, или 10% и 6%. Визуально соотношение родов представлено на диаграмме 1.
[ATTACH]188175[/ATTACH]
Статистика классов позволяет утверждать, что неклассифицированное троянское ПО (Trojan.Win32) сохраняет устойчивое лидерство в пределах рода TrojWare (как, впрочем, и в общей статистике). В ноябре их совокупная численность составила [s]659[/s] вредоносных объектов, что, как и в октябре, составляет без малого половину общего количества образцов TrojWare. Второе место вполне ожидаемо взяло поведение Trojan-Ransom ([s]218[/s] образцов); однако занявший третье место класс бэкдоров отстал от вымогателей всего на три образца ([s]215[/s] объектов). Общее соотношение классов TrojWare отображено на диаграмме 2.
[ATTACH]188176[/ATTACH]
Представители рода VirWare дифференцируются, напротив, с трудом: на первом месте по итогам ноября - сразу два поведения, Worm и P2P-Worm (по [s]43[/s] представителя). Класс Virus, оказавшийся на втором месте, отстал всего на один образец; третью позицию удержало поведение Net-Worm с [s]35[/s] представителями. Итоговое распределение оказалось следующим (диаграмма 3):
[ATTACH]188177[/ATTACH]
В пределах рода OtherMalWare лидер довольно очевиден; уже не первый месяц эту позицию занимает группа Packed. На сей раз представителей этого поведения набралось в общей сложности [s]46[/s]. На второй позиции по-прежнему AdWare ([s]37[/s] образцов), - а третье место осталось за классом Monitor - [s]7[/s] представителей. Общее соотношение отображено на диаграмме 4.
[ATTACH]188178[/ATTACH]
В статистике семейств наиболее заметны были следующие вредоносные программы:
[s]Trojan.Win32.Buzus[/s] - [s]291[/s] образец
[s]Trojan-Ransom.Win32.Agent[/s] - [s]92[/s] образца
[s]Trojan-Ransom.Win32.SMSer[/s] и [s]Trojan.Win32.Kreeper[/s] - [s]59[/s] образцов
[s]P2P-Worm.Win32.Palevo[/s] - [s]42[/s] образца
[s]Worm.Win32.AutoRun[/s] - [s]31[/s] образец
[s]Virus.Win32.Sality[/s] - [s]30[/s] образцов
[s]Packed.Win32.Krap[/s] - [s]20[/s] образцов
[s]AdWare.Win32.AdSubscribe[/s] - [s]12[/s] образцов
[s]Packed.Win32.Klone[/s] и [s]Email.Worm.Win32.Joleee[/s]- [s]10[/s] образцов
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе [URL="http://virusinfo.info/forumdisplay.php?f=166"]"Монитор VirusInfo"[/URL].
[s]Общие выводы[/s]
Октябрь и ноябрь, как видно по соответствующим отчетам, стали периодом резкого всплеска активности троянского ВПО. Хотя TrojWare всегда занимали лидирующее положение среди главных родов вредоносных программ, их доминирование было относительно умеренным, а доля держалась на уровне в 60-65%; в октябре же мы увидели единомоментное увеличение доли троянского ВПО до практически 85% - взрывной рост составил в количественном отношении немногим менее 100%, в процентном же - 20-25%. Ноябрьская статистика, как было обозначено выше, осталась на том же уровне, что и в октябре. Два других рода оказались оттеснены на обочину, и доля каждого из них уже второй месяц не превышает 10%.
Внезапный крен в сторону TrojWare по-прежнему непосредственным образом связан с двумя основными факторами: высокими показателями семейства [s]Trojan.Win32.Buzus[/s] и бурным ростом всевозможных троянских вымогателей. Как октябрь, так и ноябрь были отмечены несколькими широкомасштабными эпидемиями вредоносных программ, относящихся к классу Trojan-Ransom - по преимуществу все тех же [s]Trojan-Ransom.Win32.Agent[/s] и [s]Trojan-Ransom.Win32.SMSer[/s] (т.н. "Get Accelerator"), а также [s]Trojan.Winlock.499[/s], вредоносной программы, отображавшей пользователю баннер порнографического характера и предлагавшей отправить платное SMS-сообщение для его отключения.
Коммерческую направленность вирусописательской активности в октябре-ноябре подтверждает и статистика классов. Поведение Trojan-Ransom вышло на второе место по общему количеству новых образцов ВПО и заняло три места в рейтинге вредоносных программ; по сравнению с предыдущим месяцем в ноябре выросли и показатели группы Trojan-Banker. Производство новых воров паролей, напротив, упало: класс Trojan-GameThief снизил свои параметры вдвое, что, возможно, связано с приближением конца первого учебного полугодия и соответствующим снижением активности онлайн-игроков. В роде VirWare все относительно неизменно - по-прежнему высоко активны обычные, сетевые и пиринговые черви, понемногу растет и группа классических вирусов; среди OtherMalWare удерживают высокие позиции как подозрительные упаковщики, так и рекламные программы.
В статистике семейств продолжается доминирование [s]Trojan.Win32.Buzus[/s], обусловленное весьма активным размножением инфицированных файлов на пораженных этим ВПО компьютерах. Семейство [s]Trojan-GameThief.Win32.Magania[/s], за которым мы наблюдаем довольно давно, от 180 новых образцов в октябре несколько неожиданно обрушилось до всего лишь 17 таковых по итогам ноября - 300% рост сменился катастрофическим падением. Выводы делать рано, но, по всей видимости, в последующие несколько месяцев вряд ли следует ожидать существенного подъема численности этого семейства.
В ноябрьской статистике более не заметны ни Brontok, ни Warezov, всплывшие было из небытия в сентябре и октябре соответственно. [s]Worm.Win32.Autorun[/s], для которого были характерны перепады активности, похоже, начинает стабилизироваться: количество новых представителей этого семейства по результатам ноября сопоставимо с итогами предыдущего месяца; [s]P2P-Worm.Win32.Palevo[/s], напротив, опроверг наметившуюся было тенденцию и вновь пошел в рост - от 28 образцов в октябре до 42 в ноябре.
Из новых лидеров статистики семейств необходимо отметить упоминавшихся выше [s]Trojan-Ransom.Win32.Agent[/s], [s]Trojan-Ransom.Win32.Digitala[/s], [s]Trojan-Ransom.Win32.SMSer[/s]. Первое и последнее семейства по преимуществу включают в себя те или иные разновидности т.н. "[s]Get Accelerator[/s]", эпидемическое распространение которого в конце октября вынудило Антивирусный портал VirusInfo выпустить специальные бюллетени для пострадавших пользователей. Некоторое время злоумышленники пытались распространять свой слегка измененный продукт под именем "[s]uFast Download Manager[/s]", однако в ноябре вернулись к использованию "брэнда" "[s]Get Accelerator[/s]". Новая версия этого ВПО, несмотря на прежнее наименование, оказалась существенно "усовершенствованной": авторы вымогателя ввели новый маскировочный функционал, усложняя обнаружение и уничтожение компонентов вредоносной программы.
Таким образом, ноябрь характеризовался как последствиями эпидемических волн, начавшихся в октябре, так и собственными возмущениями эпидемиологической обстановки. Интерес вирусописателей к троянским вымогателям и другим средствам несанкционированного отъема денег у пользователей Сети обусловлен, по всей вероятности, т.н. "кризисными" явлениями в текущей экономической ситуации; с приближением конца года опасность, представляемая вымогателями, вероятнее всего, будет лишь расти. Во всяком случае, в декабре стоит ожидать преимущественно сохранения тех тенденций, которые проявились в октябре и ноябре.
Масштабы распространения вредоносных программ, эпидемическое распространение которых мы отметили, довольно обширны: количество пользователей, пришедших за помощью на Антивирусный портал VirusInfo, в дни эпидемии возросло вдвое. По всей видимости, авторам троянских вымогателей удалось эффективно использовать сочетание ряда факторов, среди которых - высокая популярность социальных сетей, уязвимость рядовых пользователей к приемам социальной инженерии (в особенности к тем из них, что подразумевают использование вредоносных рассылок по спискам "друзей"), печальное состояние персональной антивирусной защиты конечных пользователей и наличие незакрытых уязвимостей в программном обеспечении. Поскольку наиболее популярные социальные сети способны распространить инфекцию среди десятков миллионов пользователей, дальнейшее развитие массовых вирусных атак следует ожидать именно по этому вектору.
