-
Интегрированный аналитический отчет: раздел Помогите, август 2009
Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта за каждый календарный месяц.
Общая статистика
По данным системы "КиберХелпер", в течение августа 2009 года в лечебный сервис VirusInfo поступило 1305 заявок на лечение ПК от вирусов, что превышает соответствующий показатель за предыдущий месяц на 74 заявки. Посетители сервиса загрузили в общей сложности 955 архивов карантина, содержавших 2887 уникальных файлов; из них 1148 были признаны безопасными, 1040 - вредоносными, подозрительными или потенциально опасными. Все упомянутые показатели также демонстрируют определенный рост по сравнению с июлем 2009 г.
TOP 10 вредоносного программного обеспечения
По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:
Код:
№ Имя Образцов Позиция
1. Trojan.Win32.Delf.oav 39 +4
2. Trojan-Downloader.Win32.Agent.cldx 28 -
3. Virus.Win32.Protector.c 27 -
4. Trojan.Win32.KillAV.nk 16 -
5. Email-Worm.Win32.Brontok.q 15 -
6. Packed.Win32.Klone.bj 15 0
7. Virus.Win32.Virut.ce 12 -
8. Email-Worm.Win32.BSpread.b 11 -
9. Backdoor.Win32.SdBot.ofw 11 +1
10. IM-Worm.Win32.Agent.pt 11 -
Десятка за август более интересна, чем соответствующий рейтинг, опубликованный нами в июле: род TrojWare ушел в оппозицию, будучи представлен лишь четырьмя образцами из десяти возможных. Лидерство же захватили представители VirWare, занявшие в десятке половину мест; род OtherMalWare по-прежнему представлен одним образцом, который не изменил своей позиции и прочно закрепился на шестой строке рейтинга. В целом за три летних месяца род VirWare существенно упрочил свое положение: если в июне к этому роду относился лишь один образец из десяти, а в июле - три, то в августе, как уже было сказано, соответствующий показатель составляет 5 мест.
Среди семейств по-прежнему наблюдаются постоянные изменения. Лидер июля - Trojan.Win32.Patched.fr - на этот раз в десятку вообще не попал, зато прибавил четыре пункта другой представитель TrojWare - Trojan.Win32.Delf.oav, который и занимает теперь лидирующую позицию. Несколько неожиданно возник из небытия Email-Worm.Win32.Brontok.q, сразу занявший пятое место с 15 образцами. На одну позицию выше стоит в августовском рейтинге семейство Backdoor.Win32.SdBot; прочие вредоносные объекты - новички рейтинга.
"Пойманы нами"
В августе 2009 специалистами VirusInfo было обнаружено в общей сложности 825 новых образцов вредоносного программного обеспечения. Лидерство, как и прежде, удерживается представителям рода TrojWare: 587 образцов, или более 70% от общего количества вредоносных объектов; на втором месте - VirWare (196 образцов, >20%), на третьем OtherMalWare с 42 образцами. Соотношение родов представлено на диаграмме 1.
types-08-2009.png
В статистике классов у рода TrojWare в августе вновь преобладали обычные Trojan.Win32: 208 вредоносных объектов. Второе место заняли представители Trojan-Downloader со 107 образцами, в прошлом месяце занимавшие третью позицию. Соответственно, на третье место опустилось поведение Backdoor, представленное на этот раз 86 объектами. Общее соотношение классов TrojWare отображено на диаграмме 2.
trw-classes-08-2009.PNG
Среди поведений из класса VirWare развернулась практически равная борьба, одержать верх в которой вновь удалось представителям Worm - 60 образцов; второе место осталось за классом Virus (45 объектов), третья позиция отошла поведению Net-Worm с 44 представителями. Итоговое распределение оказалось следующим (диаграмма 3):
vrw-classes-08-2009.PNG
В роде OtherMalWare на первое место вышел вердикт Packed, представленный 18 образцами. Второе место досталось классу AdWare - 9 образцов, - а замыкающим на сей раз оказался FraudTool (3 представителя). Общее соотношение отображено на диаграмме 4.
otmw-classes-08-2009.PNG
В статистике семейств наиболее заметны были следующие вредоносные программы:
Trojan.Win32.Agent и Agent2 - 57 образцов
Trojan-GameThief.Win32.Magania - 39 образцов
Trojan-Downloader.Win32.Agent - 39 образцов
Net-Worm.Win32.Kolab - 38 образцов
Worm.Win32.AutoRun - 26 образцов
Virus.Win32.Protector - 18 образцов
Packed.Win32.Klone - 13 образцов
AdWare.Win32.Webalt - 4 образца
Packed.Win32.Krap - 4 образца
Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в специальной теме Монитора VirusInfo - "Отчеты CyberHelper - Пойманы нами".
Общие выводы
Отмеченная нами ранее активизация VirWare в августе продолжается, хотя в количественном соотношении TrojWare все еще далеко впереди. Если тенденция, обозначенная выше, сохранится и в сентябре, то в будущем отчете мы вправе ожидать, что в десятке наиболее часто встречаемых инфекций роду VirWare будет принадлежать уже более 50% мест; в то же время, как уже было сказано выше, по процентному соотношению новых образцов род троянских программ, бэкдоров и руткитов не меняет своих позиций - как в июле, так и в августе данный показатель составлял 71%. По всей видимости, уделом VirWare так и будут попытки отвоевать несколько процентов у OtherMalWare; отчасти подобный эффект может быть связан с растущей интеграцией поведений - в настоящее время сложно найти вредоносное ПО, являющееся чистым и типичным представителем своего рода.
Абсолютное лидерство в статистике поведений по-прежнему за неклассифицированными троянскими программами (Trojan.Win32); следующие за ними Trojan-Downloader и Backdoor сохраняют популярность у злоумышленников и в августе просто поменялись местами в тройке наиболее встречающихся поведений. В свою очередь, в пределах VirWare заметно активизировались представители Net-Worm - причем не столько за счет Kido, сколько с помощью семейства Kolab, показатели которого в августе существенно выросли. При этом в августе наблюдается явный крен в сторону почтовых и сетевых червей, в то время как в предыдущем месяце доминировали черви для пиринговых сетей.
В августе пошло на убыль количество обнаруживаемых образцов Trojan.Win32.Patched. Вероятно, всплеск активности этого вредоносного ПО локализован, и антивирусные продукты научились справляться с данной инфекцией. В свою очередь, определенный рост демонстрируют представители Trojan-GameThief.Win32.Magania: от 22 образцов в прошлом месяце данный вердикт поднялся до без малого 40 в текущем; прирост, таким образом, составил немногим менее 100%. Небезынтересно будет проверить показатели этого ПО в сентябре.
Определенный интерес вызывает также возникновение в статистике приснопамятного Brontok.q, который, казалось бы, окончательно исчез из списков ITW-вирусов. С чем связано это внезапное появление, сказать пока сложно: в предыдущем месяце новых образцов этого вредоносного ПО вообще не было обнаружено.
Более чем в два раза упали в августе количественные показатели Worm.Win32.Autorun: с 57 до 26 образцов; в то же время другое вредоносное ПО, эксплуатирующее автозапуск съемных носителей - Trojan-GameThief.Win32.OnlineGames, - продемонстрировало 700% рост (от 2 образцов в июле до 14 представителей в августе), активизировались и прочие вредоносные программы, ориентированные на хищение учетных записей к популярным онлайн-играм. По всей видимости, август был урожаен как для игроков, так и для злоумышленников.
В сентябре мы ожидаем подтверждения или опровержения ряда наметившихся в августе тенденций, а также возможной активизации комплексов вредоносных действий, целью которых являются учетные данные пользователей социальных сетей. Напомним, что в июле атаке подверглась сеть "В Контакте", в результате чего были скомпрометированы десятки тысяч учетных записей; однако злоумышленники все еще не совершили аналогичного нападения на ресурс "Одноклассники.ru", хотя, по данным вирусологов, база для подобной атаки также была подготовлена еще в прошлом месяце. Не исключено, что представители "темной стороны" ожидают роста посещаемости сети "Одноклассники.ru", который как раз может прийтись на сентябрь.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: