Показано с 1 по 1 из 1.

Интегрированный аналитический отчет: раздел Помогите, ноябрь 2009

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815

    Интегрированный аналитический отчет: раздел Помогите, ноябрь 2009

    Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта за каждый календарный месяц.


    Общая статистика

    По данным системы "КиберХелпер", в течение ноября 2009 года в лечебный сервис VirusInfo поступило 1825 заявок на лечение ПК от вирусов, что превышает соответствующий показатель октября на без малого 300 заявок; аналогичное превышение мы наблюдали в предыдущем отчете. Посетители сервиса загрузили в общей сложности 1356 архивов карантина, содержавших 3202 уникальных файла; из них 787 были признаны безопасными, 2121 - вредоносными, подозрительными или потенциально опасными. Представленные данные показывают, что в ноябре, как и в октябре, эпидемиологическая обстановка в Сети вновь была неспокойной.


    TOP 10 вредоносного программного обеспечения

    По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:

    Код:
    №	Имя						Образцов	Позиция
    1.	Trojan.Win32.Buzus.cizr				256		+2
    2.	Trojan.Win32.Buzus.cjdb				186		-
    3.	Backdoor.Win32.SDBot.pyq			97		-
    4.	Trojan-Ransom.Win32.Digitala.b			56		-
    5.	Trojan-GameThief.Win32.OnLineGames.bmml		24		-
    6.	Trojan-Ransom.Win32.Agent.hb			39		-
    7.	Trojan.Win32.Agent.dcou				37		-	
    8.	Trojan-Ransom.Win32.Agent.ha			32		-
    9.	Trojan.Win32.Kreeper.oa				26		-
    10.	P2P-Worm.Win32.Palevo.kbw			25		-
    В то время как в октябре в десятку смогли войти 8 представителей рода TrojWare, в ноябре их количество достигло уже 9; единственное оставшееся место досталось на этот раз представителю VirWare. Род троянских программ, бэкдоров и руткитов устойчиво наращивает позиции, начиная с августа, о чем мы неоднократно упоминали в предыдущих отчетах; если тенденция будет сохранена, то в будущем месяце мы можем ожидать и 100% доминирования TrojWare в рейтинге вредоносных программ.

    Десятка активного ВПО постоянно меняется каждый месяц; ноябрь не стал исключением и с этой точки зрения. Удержался в рейтинге лишь один вредоносный объект - Trojan.Win32.Buzus.cizr; он поднялся на две позиции в сравнении с результатами октября и занял первую позицию рейтинга с 256 образцами. Второе место также оказалось за представителем семейства Buzus, количество образцов которого составило 186; на данный момент вредоносные программы из этого семейства, безусловно, являются наиболее плодовитыми изо всех, что входили в рейтинг за время наблюдения.

    Как мы и ожидали, семейство Backdoor.Win32.SdBot, которое не смогло попасть в октябрьскую версию рейтинга, сумело вернуться в него (при этом поднявшись сразу на третью позицию). Сходить с вирусной сцены это вредоносное ПО явно не собирается, и мы можем вновь ожидать его появления в декабрьской десятке.

    Важно также отметить, что сразу четыре места в рейтинге занято вредоносными объектами из классов, непосредственно относящихся к вымогательству денег и хищению учетных данных пользователей онлайн-игр: Trojan-Ransom и Trojan-GameThief. В последние два месяца злоумышленники самым очевидным образом делают акцент на финансовом аспекте киберпреступной деятельности, реализуя все более сложные механизмы для быстрого извлечения денег из пострадавшего пользователя.


    "Пойманы нами"

    В ноябре 2009 специалистами VirusInfo было обнаружено в общей сложности 1690 новых образцов вредоносного программного обеспечения - почти на 300 единиц больше, чем в прошлом месяце. Подавляющее преимущество рода TrojWare, отмеченное нами в октябре, сохранилось на точно таком же уровне: 1410 образцов, или 84% от общего количества новых вредоносных объектов; доля VirWare выросла на один процент, а показатель OtherMalWare, соответственно, аналогичным образом снизился. Итоговый результат - 176 и 104 новых образца, или 10% и 6%. Визуально соотношение родов представлено на диаграмме 1.

    Вложение 188175

    Статистика классов позволяет утверждать, что неклассифицированное троянское ПО (Trojan.Win32) сохраняет устойчивое лидерство в пределах рода TrojWare (как, впрочем, и в общей статистике). В ноябре их совокупная численность составила 659 вредоносных объектов, что, как и в октябре, составляет без малого половину общего количества образцов TrojWare. Второе место вполне ожидаемо взяло поведение Trojan-Ransom (218 образцов); однако занявший третье место класс бэкдоров отстал от вымогателей всего на три образца (215 объектов). Общее соотношение классов TrojWare отображено на диаграмме 2.

    Вложение 188176

    Представители рода VirWare дифференцируются, напротив, с трудом: на первом месте по итогам ноября - сразу два поведения, Worm и P2P-Worm (по 43 представителя). Класс Virus, оказавшийся на втором месте, отстал всего на один образец; третью позицию удержало поведение Net-Worm с 35 представителями. Итоговое распределение оказалось следующим (диаграмма 3):

    Вложение 188177

    В пределах рода OtherMalWare лидер довольно очевиден; уже не первый месяц эту позицию занимает группа Packed. На сей раз представителей этого поведения набралось в общей сложности 46. На второй позиции по-прежнему AdWare (37 образцов), - а третье место осталось за классом Monitor - 7 представителей. Общее соотношение отображено на диаграмме 4.

    Вложение 188178

    В статистике семейств наиболее заметны были следующие вредоносные программы:

    Trojan.Win32.Buzus - 291 образец
    Trojan-Ransom.Win32.Agent - 92 образца
    Trojan-Ransom.Win32.SMSer и Trojan.Win32.Kreeper - 59 образцов

    P2P-Worm.Win32.Palevo - 42 образца
    Worm.Win32.AutoRun - 31 образец
    Virus.Win32.Sality - 30 образцов

    Packed.Win32.Krap - 20 образцов
    AdWare.Win32.AdSubscribe - 12 образцов
    Packed.Win32.Klone и Email.Worm.Win32.Joleee- 10 образцов

    Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo".


    Общие выводы

    Октябрь и ноябрь, как видно по соответствующим отчетам, стали периодом резкого всплеска активности троянского ВПО. Хотя TrojWare всегда занимали лидирующее положение среди главных родов вредоносных программ, их доминирование было относительно умеренным, а доля держалась на уровне в 60-65%; в октябре же мы увидели единомоментное увеличение доли троянского ВПО до практически 85% - взрывной рост составил в количественном отношении немногим менее 100%, в процентном же - 20-25%. Ноябрьская статистика, как было обозначено выше, осталась на том же уровне, что и в октябре. Два других рода оказались оттеснены на обочину, и доля каждого из них уже второй месяц не превышает 10%.

    Внезапный крен в сторону TrojWare по-прежнему непосредственным образом связан с двумя основными факторами: высокими показателями семейства Trojan.Win32.Buzus и бурным ростом всевозможных троянских вымогателей. Как октябрь, так и ноябрь были отмечены несколькими широкомасштабными эпидемиями вредоносных программ, относящихся к классу Trojan-Ransom - по преимуществу все тех же Trojan-Ransom.Win32.Agent и Trojan-Ransom.Win32.SMSer (т.н. "Get Accelerator"), а также Trojan.Winlock.499, вредоносной программы, отображавшей пользователю баннер порнографического характера и предлагавшей отправить платное SMS-сообщение для его отключения.

    Коммерческую направленность вирусописательской активности в октябре-ноябре подтверждает и статистика классов. Поведение Trojan-Ransom вышло на второе место по общему количеству новых образцов ВПО и заняло три места в рейтинге вредоносных программ; по сравнению с предыдущим месяцем в ноябре выросли и показатели группы Trojan-Banker. Производство новых воров паролей, напротив, упало: класс Trojan-GameThief снизил свои параметры вдвое, что, возможно, связано с приближением конца первого учебного полугодия и соответствующим снижением активности онлайн-игроков. В роде VirWare все относительно неизменно - по-прежнему высоко активны обычные, сетевые и пиринговые черви, понемногу растет и группа классических вирусов; среди OtherMalWare удерживают высокие позиции как подозрительные упаковщики, так и рекламные программы.

    В статистике семейств продолжается доминирование Trojan.Win32.Buzus, обусловленное весьма активным размножением инфицированных файлов на пораженных этим ВПО компьютерах. Семейство Trojan-GameThief.Win32.Magania, за которым мы наблюдаем довольно давно, от 180 новых образцов в октябре несколько неожиданно обрушилось до всего лишь 17 таковых по итогам ноября - 300% рост сменился катастрофическим падением. Выводы делать рано, но, по всей видимости, в последующие несколько месяцев вряд ли следует ожидать существенного подъема численности этого семейства.

    В ноябрьской статистике более не заметны ни Brontok, ни Warezov, всплывшие было из небытия в сентябре и октябре соответственно. Worm.Win32.Autorun, для которого были характерны перепады активности, похоже, начинает стабилизироваться: количество новых представителей этого семейства по результатам ноября сопоставимо с итогами предыдущего месяца; P2P-Worm.Win32.Palevo, напротив, опроверг наметившуюся было тенденцию и вновь пошел в рост - от 28 образцов в октябре до 42 в ноябре.

    Из новых лидеров статистики семейств необходимо отметить упоминавшихся выше Trojan-Ransom.Win32.Agent, Trojan-Ransom.Win32.Digitala, Trojan-Ransom.Win32.SMSer. Первое и последнее семейства по преимуществу включают в себя те или иные разновидности т.н. "Get Accelerator", эпидемическое распространение которого в конце октября вынудило Антивирусный портал VirusInfo выпустить специальные бюллетени для пострадавших пользователей. Некоторое время злоумышленники пытались распространять свой слегка измененный продукт под именем "uFast Download Manager", однако в ноябре вернулись к использованию "брэнда" "Get Accelerator". Новая версия этого ВПО, несмотря на прежнее наименование, оказалась существенно "усовершенствованной": авторы вымогателя ввели новый маскировочный функционал, усложняя обнаружение и уничтожение компонентов вредоносной программы.

    Таким образом, ноябрь характеризовался как последствиями эпидемических волн, начавшихся в октябре, так и собственными возмущениями эпидемиологической обстановки. Интерес вирусописателей к троянским вымогателям и другим средствам несанкционированного отъема денег у пользователей Сети обусловлен, по всей вероятности, т.н. "кризисными" явлениями в текущей экономической ситуации; с приближением конца года опасность, представляемая вымогателями, вероятнее всего, будет лишь расти. Во всяком случае, в декабре стоит ожидать преимущественно сохранения тех тенденций, которые проявились в октябре и ноябре.

    Масштабы распространения вредоносных программ, эпидемическое распространение которых мы отметили, довольно обширны: количество пользователей, пришедших за помощью на Антивирусный портал VirusInfo, в дни эпидемии возросло вдвое. По всей видимости, авторам троянских вымогателей удалось эффективно использовать сочетание ряда факторов, среди которых - высокая популярность социальных сетей, уязвимость рядовых пользователей к приемам социальной инженерии (в особенности к тем из них, что подразумевают использование вредоносных рассылок по спискам "друзей"), печальное состояние персональной антивирусной защиты конечных пользователей и наличие незакрытых уязвимостей в программном обеспечении. Поскольку наиболее популярные социальные сети способны распространить инфекцию среди десятков миллионов пользователей, дальнейшее развитие массовых вирусных атак следует ожидать именно по этому вектору.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 05.01.2010, 11:12
  2. Ответов: 2
    Последнее сообщение: 05.12.2009, 14:53
  3. Ответов: 0
    Последнее сообщение: 06.10.2009, 09:59
  4. Ответов: 0
    Последнее сообщение: 04.09.2009, 08:45
  5. Ответов: 0
    Последнее сообщение: 04.08.2009, 09:16

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00457 seconds with 15 queries