Интегрированный аналитический отчет: раздел Помогите, август 2009

[NickGolovko]

Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта за каждый календарный месяц.


Общая статистика

По данным системы "КиберХелпер", в течение августа 2009 года в лечебный сервис VirusInfo поступило 1305 заявок на лечение ПК от вирусов, что превышает соответствующий показатель за предыдущий месяц на 74 заявки. Посетители сервиса загрузили в общей сложности 955 архивов карантина, содержавших 2887 уникальных файлов; из них 1148 были признаны безопасными, 1040 - вредоносными, подозрительными или потенциально опасными. Все упомянутые показатели также демонстрируют определенный рост по сравнению с июлем 2009 г.


TOP 10 вредоносного программного обеспечения

По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:

Код:

№	Имя 					Образцов	Позиция
1. 	Trojan.Win32.Delf.oav 			39		+4
2. 	Trojan-Downloader.Win32.Agent.cldx	28 		-
3. 	Virus.Win32.Protector.c			27		-
4. 	Trojan.Win32.KillAV.nk			16		-
5. 	Email-Worm.Win32.Brontok.q  		15 		-
6. 	Packed.Win32.Klone.bj  			15 		0
7. 	Virus.Win32.Virut.ce  			12 		-
8. 	Email-Worm.Win32.BSpread.b		11 		-
9. 	Backdoor.Win32.SdBot.ofw  		11 		+1
10. 	IM-Worm.Win32.Agent.pt			11 		-

Десятка за август более интересна, чем соответствующий рейтинг, опубликованный нами в июле: род TrojWare ушел в оппозицию, будучи представлен лишь четырьмя образцами из десяти возможных. Лидерство же захватили представители VirWare, занявшие в десятке половину мест; род OtherMalWare по-прежнему представлен одним образцом, который не изменил своей позиции и прочно закрепился на шестой строке рейтинга. В целом за три летних месяца род VirWare существенно упрочил свое положение: если в июне к этому роду относился лишь один образец из десяти, а в июле - три, то в августе, как уже было сказано, соответствующий показатель составляет 5 мест.

Среди семейств по-прежнему наблюдаются постоянные изменения. Лидер июля - Trojan.Win32.Patched.fr - на этот раз в десятку вообще не попал, зато прибавил четыре пункта другой представитель TrojWare - Trojan.Win32.Delf.oav, который и занимает теперь лидирующую позицию. Несколько неожиданно возник из небытия Email-Worm.Win32.Brontok.q, сразу занявший пятое место с 15 образцами. На одну позицию выше стоит в августовском рейтинге семейство Backdoor.Win32.SdBot; прочие вредоносные объекты - новички рейтинга.


"Пойманы нами"

В августе 2009 специалистами VirusInfo было обнаружено в общей сложности 825 новых образцов вредоносного программного обеспечения. Лидерство, как и прежде, удерживается представителям рода TrojWare: 587 образцов, или более 70% от общего количества вредоносных объектов; на втором месте - VirWare (196 образцов, >20%), на третьем OtherMalWare с 42 образцами. Соотношение родов представлено на диаграмме 1.

types-08-2009.png

В статистике классов у рода TrojWare в августе вновь преобладали обычные Trojan.Win32: 208 вредоносных объектов. Второе место заняли представители Trojan-Downloader со 107 образцами, в прошлом месяце занимавшие третью позицию. Соответственно, на третье место опустилось поведение Backdoor, представленное на этот раз 86 объектами. Общее соотношение классов TrojWare отображено на диаграмме 2.

trw-classes-08-2009.PNG

Среди поведений из класса VirWare развернулась практически равная борьба, одержать верх в которой вновь удалось представителям Worm - 60 образцов; второе место осталось за классом Virus (45 объектов), третья позиция отошла поведению Net-Worm с 44 представителями. Итоговое распределение оказалось следующим (диаграмма 3):

vrw-classes-08-2009.PNG

В роде OtherMalWare на первое место вышел вердикт Packed, представленный 18 образцами. Второе место досталось классу AdWare - 9 образцов, - а замыкающим на сей раз оказался FraudTool (3 представителя). Общее соотношение отображено на диаграмме 4.

otmw-classes-08-2009.PNG

В статистике семейств наиболее заметны были следующие вредоносные программы:

Trojan.Win32.Agent и Agent2 - 57 образцов
Trojan-GameThief.Win32.Magania - 39 образцов
Trojan-Downloader.Win32.Agent - 39 образцов

Net-Worm.Win32.Kolab - 38 образцов
Worm.Win32.AutoRun - 26 образцов
Virus.Win32.Protector - 18 образцов

Packed.Win32.Klone - 13 образцов
AdWare.Win32.Webalt - 4 образца
Packed.Win32.Krap - 4 образца

Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в специальной теме Монитора VirusInfo - "Отчеты CyberHelper - Пойманы нами".


Общие выводы

Отмеченная нами ранее активизация VirWare в августе продолжается, хотя в количественном соотношении TrojWare все еще далеко впереди. Если тенденция, обозначенная выше, сохранится и в сентябре, то в будущем отчете мы вправе ожидать, что в десятке наиболее часто встречаемых инфекций роду VirWare будет принадлежать уже более 50% мест; в то же время, как уже было сказано выше, по процентному соотношению новых образцов род троянских программ, бэкдоров и руткитов не меняет своих позиций - как в июле, так и в августе данный показатель составлял 71%. По всей видимости, уделом VirWare так и будут попытки отвоевать несколько процентов у OtherMalWare; отчасти подобный эффект может быть связан с растущей интеграцией поведений - в настоящее время сложно найти вредоносное ПО, являющееся чистым и типичным представителем своего рода.

Абсолютное лидерство в статистике поведений по-прежнему за неклассифицированными троянскими программами (Trojan.Win32); следующие за ними Trojan-Downloader и Backdoor сохраняют популярность у злоумышленников и в августе просто поменялись местами в тройке наиболее встречающихся поведений. В свою очередь, в пределах VirWare заметно активизировались представители Net-Worm - причем не столько за счет Kido, сколько с помощью семейства Kolab, показатели которого в августе существенно выросли. При этом в августе наблюдается явный крен в сторону почтовых и сетевых червей, в то время как в предыдущем месяце доминировали черви для пиринговых сетей.

В августе пошло на убыль количество обнаруживаемых образцов Trojan.Win32.Patched. Вероятно, всплеск активности этого вредоносного ПО локализован, и антивирусные продукты научились справляться с данной инфекцией. В свою очередь, определенный рост демонстрируют представители Trojan-GameThief.Win32.Magania: от 22 образцов в прошлом месяце данный вердикт поднялся до без малого 40 в текущем; прирост, таким образом, составил немногим менее 100%. Небезынтересно будет проверить показатели этого ПО в сентябре.

Определенный интерес вызывает также возникновение в статистике приснопамятного Brontok.q, который, казалось бы, окончательно исчез из списков ITW-вирусов. С чем связано это внезапное появление, сказать пока сложно: в предыдущем месяце новых образцов этого вредоносного ПО вообще не было обнаружено.

Более чем в два раза упали в августе количественные показатели Worm.Win32.Autorun: с 57 до 26 образцов; в то же время другое вредоносное ПО, эксплуатирующее автозапуск съемных носителей - Trojan-GameThief.Win32.OnlineGames, - продемонстрировало 700% рост (от 2 образцов в июле до 14 представителей в августе), активизировались и прочие вредоносные программы, ориентированные на хищение учетных записей к популярным онлайн-играм. По всей видимости, август был урожаен как для игроков, так и для злоумышленников.

В сентябре мы ожидаем подтверждения или опровержения ряда наметившихся в августе тенденций, а также возможной активизации комплексов вредоносных действий, целью которых являются учетные данные пользователей социальных сетей. Напомним, что в июле атаке подверглась сеть "В Контакте", в результате чего были скомпрометированы десятки тысяч учетных записей; однако злоумышленники все еще не совершили аналогичного нападения на ресурс "Одноклассники.ru", хотя, по данным вирусологов, база для подобной атаки также была подготовлена еще в прошлом месяце. Не исключено, что представители "темной стороны" ожидают роста посещаемости сети "Одноклассники.ru", который как раз может прийтись на сентябрь.