Показано с 1 по 4 из 4.

Интегрированный аналитический отчет: раздел Помогите, январь 2010

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815

    Интегрированный аналитический отчет: раздел Помогите, январь 2010

    Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта за каждый календарный месяц.


    Общая статистика

    По данным системы "КиберХелпер", в течение января 2010 года в лечебный сервис VirusInfo поступило 2364 заявки на лечение ПК от вирусов - несколько меньше, чем в декабре 2009. Посетители сервиса загрузили в общей сложности 1275 архивов карантина, содержавших 2478 уникальных файлов; из них 365 были признаны безопасными, 1447 - вредоносными, подозрительными или потенциально опасными. В целом статистические итоги января сопоставимы с аналогичными результатами за декабрь 2009, однако, судя по всем параметрам и их динамике, в Сети произошло наконец некоторое снижение вирусной активности.


    TOP 10 вредоносного программного обеспечения

    По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:

    Код:
    №	Имя					Образцов	Позиция
    1.	Packed.Win32.Krap.w			336		+7
    2.	P2P-Worm.Win32.Palevo.ntf		44		-
    3.	P2P-Worm.Win32.Palevo.npl		40		-
    4.	Trojan.Win32.Agent2.cngm		29		-
    5.	Trojan.Win32.Buzus.crty			19		-2
    6.	Packed.Win32.Krap.ai			18		-
    7.	Trojan.Win32.AutoRun.oc			17		-	
    8.	Trojan.Win32.Crypt.bik			14		-
    9.	Trojan-Downloader.Win32.VB.bnp		14		-
    10.	Backdoor.Win32.IRCBot.ngg		14		-
    На этот раз доля троянского вредоносного ПО уменьшилась еще сильнее, составив в конечном счете 60% против 80% в предыдущем месяце; роды VirWare и OtherMalWare занимают теперь по два места в десятке. Безусловно, отчасти столь низкая доля TrojWare обусловлена доминированием Packed.Win32.Krap, который на этот раз присутствует в рейтинге сразу в двух модификациях - .w и .ai; под упаковкой скрываются по преимуществу все те же троянские вымогатели.

    Несколько неожиданно рейтинг января проявил некоторую склонность к стабильности: в нем удержались сразу два образца из присутствовавших в предыдущем месяце. Уже упомянутый Packed.Win32.Krap увеличил свой результат сразу на семь пунктов, в итоге возглавив десятку, а представитель семейства Buzus, напротив, потерял две позиции и переместился на пятую строчку.

    Заметим, что в рейтинге вновь появилось семейство P2P-Worm.Win32.Palevo, представленное сразу двумя образцами, причем эти образцы заняли соответственно второе и третье место. Наблюдаемых нами семейств SDBot, Sality, Patched в январском рейтинге нет; с Backdoor.Win32.SDBot нам, по всей видимости, пора прощаться окончательно - судя по всему, эпидемические всплески вымогателей не оставляют ему шансов.


    "Пойманы нами"

    В январе 2010 специалистами VirusInfo было обнаружено в общей сложности 1364 новых образца вредоносного программного обеспечения - всего на 2 меньше, чем в предыдущем месяце. Хотя общее количество новых образцов осталось, в сущности, прежним, процентные соотношения претерпели самые радикальные изменения. Род TrojWare упал до всего лишь 56%, составив, таким образом, немногим более половины всех выявленных образцов - 762 штуки. Показатели VirWare несколько снизились - 190 образцов, или 14%, - а доля OtherMalWare, соответственно, утроилась в сравнении с декабрем 2009 и составила уже 30%, или 412 образцов. Этот факт целиком и полностью является заслугой Packed.Win32.Krap во всех его модификациях, за которым в основном скрывается поведение Trojan-Ransom.

    Визуально соотношение родов представлено на диаграмме 1.

    Вложение 215834

    Статистика классов рода троянских программ, бэкдоров и руткитов в целом не изменилась и больших сюрпризов не преподнесла. Первую тройку традиционно составляют неклассифицированное троянское ПО (Trojan.Win32) - их численность составила 317 вредоносных объектов, - класс Trojan-Downloader со 123 представителями и поведение Backdoor (95 образцов).

    Класс Trojan-Ransom по-прежнему является немногочисленным в силу того, что лидирующие вымогатели переместились в тип Packed; вдвое (от 24 до 12) уменьшилось число образцов Trojan-Banker, а количество дропперов, которое резко возросло в декабре 2009, вновь упало до уровня ноября (26 - 96 - 27). Иных пертурбаций в пределах рода не наблюдается - полученные данные в целом похожи на результаты предыдущего месяца.

    Общее соотношение классов TrojWare отображено на диаграмме 2.

    Вложение 215835

    В пределах рода VirWare, напротив, январь выдался неспокойным. Первое место вновь захватило поведение P2P-Worm, численность которого составила 100 штук; в свою очередь, другие классы утратили прежние позиции. На втором месте по итогам января оказался класс Net-Worm (38 объектов), а бывшее некогда лидером поведение Worm удовольствовалось на этот раз лишь третьим местом: их численность сократилась более чем вдвое, от 70 до 32. Резко снизилось количество представителей почтовых червей - от 14 до 3; поведение Virus упало от 50 до 14 объектов.

    Лидерство пиринговым червям обеспечило, разумеется, семейство Palevo, которое, ослабнув было в декабре 2009, в январе вернуло себе прежние позиции и существенно увеличилось численно. В итоге места в первой тройке были перераспределены самым радикальным образом.

    Итоговое соотношение оказалось следующим (диаграмма 3):

    Вложение 215836

    В том, что касается рода OtherMalWare, доли всех поведений оказались практически неразличимы на фоне класса Packed: численность подозрительных упаковщиков составила 353 штуки. Рекламные программы, по-прежнему находящиеся на втором месте, в январе были представлены 33 образцами. На третьей позиции на этот раз расположился класс WebToolbar - 7 вредоносных объектов.

    Кроме взрывного роста поведения Packed - от 65 до 353 образцов, - в пределах OtherMalWare по-прежнему не происходит ничего выдающегося. В этом нет ничего удивительного - основное направление развития современных угроз имеет мало общего с типичными представителями этого рода.

    Общее распределение классов OtherMalWare отображено на диаграмме 4.

    Вложение 215837

    В статистике семейств наиболее заметны были следующие вредоносные программы:

    Trojan.Win32.Agent(2) - 69 образцов
    Trojan-Downloader.Win32.Piker - 57 образцов
    Trojan.Win32.AutoRun - 40 образцов

    P2P-Worm.Win32.Palevo - 100 образцов
    Worm.Win32.AutoRun - 20 образцов
    Net-Worm.Win32.Kolab - 18 образцов

    Packed.Win32.Krap - 345 образцов
    not-a-virus:AdWare.Win32.FearAds - 17 образцов
    not-a-virus:AdWare.Win32.AdSubscribe - 7 образцов

    Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo".


    Общие выводы

    Январь в целом оказался подобен декабрю 2009 - основные показатели не претерпели существенных изменений. Впервые за несколько месяцев мы не наблюдали значимого возрастания статистических показателей - они, безусловно, оставались высокими, но не увеличивались, как в последние месяцы 2009 года. Очевидно, мы наблюдаем либо кратковременное относительное затишье в эпидемиологической обстановке, либо начало ее стабилизирования и постепенной нормализации. При этом следует отметить, что, в отличие, скажем, от декабря, исследовательская лаборатория VirusInfo получила довольно много образцов последних троянских вымогателей, так что статистика включает данные и по их активности. В результате количество представителей семейства Packed резко возросло - почти в 6 раз; доля троянских программ, соответственно, катастрофически упала и приблизилась к 50% - случай беспрецедентный. Однако, причислив к TrojWare всех представителей Packed.Win32.Krap, можно получить результат в без малого 80% - т.е. снижение доли TrojWare связано исключительно с тем, что последние версии троянских вымогателей формально классифицированы как представители рода OtherMalWare.

    В том, что касается статистики классов, необходимо в первую очередь отметить разительные изменения в пределах рода VirWare. В январе произошел всплеск активности P2P-Worm.Win32.Palevo, который обусловил высокие показатели собственно поведения P2P-Worm; прочие классы оказались оттеснены на обочину, и их численность существенно сократилась. Учитывая тот факт, что в декабре 2009 те же пиринговые черви были практически незаметны, говорить о тенденции пока рано, однако не принимать во внимание их активность было бы ошибочным решением.

    Подобно пиринговым червям, троянские вымогатели вытеснили из своей среды обитания все прочие разновидности вредоносного ПО, направленные на извлечение финансовой выгоды: в январе обнаружилось очередное сокращение численности воров паролей, программ для хищения учетных данных к онлайн-играм и банковских троянских программ. При этом в последние месяцы мы наблюдаем интересную тенденцию: некоторые разновидности неклассифицированного троянского ВПО и традиционные воры паролей (Trojan-PSW) постепенно перемещаются в сферу социально-сетевого взаимодействия. Появляются вредоносные объекты, которые специализируются на хищении учетных данных пользователей сети "ВКонтакте", либо специально созданные и адаптированные к распространению именно в этой социальной сети. По мере увеличения количества пользователей, роста популярности сети "ВКонтакте" и развития игровых приложений, требующих от пользователя совершения определенных денежных взносов, данная социальная сеть становится все более и более потенциально опасной для посетителей.

    Стоит также отметить, что после декабрьского скачка активности вернулись на уровень ноября представители Trojan-Dropper. Всплеск их численности был связан с особенностями вирусной обстановки в декабре; как и следовало ожидать, в январе количество образцов этого класса нормализовалось.

    В статистике семейств продолжают происходить волнообразные перепады активности тех или иных групп вредоносных программ. Trojan-Downloader.Win32.Piker, отмеченный нами в предыдущем месяце, сохранил активность и смог увеличить свои показатели; в свою очередь, его декабрьские "соседи" Trojan.Win32.Chydo и Trojan-Dropper.Win32.HDrop в январе были не особенно заметны. Классические вирусы, поднявшие было голову в предыдущем месяце, вновь впали в ничтожество - весь класс в целом сократил свою численность почти в 4 раза, не говоря уже о конкретных семействах. К примеру, бывший в декабре 2009 одним из лидеров статистики семейств Virus.Win32.Sality, который даже присутствовал в Top 10, в январе оказался представлен всего лишь 4 новыми образцами.

    Вполне ожидаемым "хитом" января оказались образцы Packed.Win32.Krap.w. На сей раз это был новый тип вымогателя - ложное антивирусное ПО под самоназванием "eKAV", а также его производные. Авторы этого "продукта" предприняли в целом небезуспешную попытку сыграть на доверии конечного пользователя к брэндам "Лаборатории Касперского" - Kaspersky Anti-Virus (KAV) и Kaspersky Internet Security (KIS). Помимо похожих наименований, злоумышленники использовали фирменную символику "Лаборатории Касперского" - к примеру, участники сети "ВКонтакте" получали приглашения присоединиться к группе, рекламировавшей некий "онлайн-антивирус"; в качестве титульного изображения этой группы использовалась стилизованная буква "К". Этот образец вредоносного ПО вымогал у пользователей деньги за устранение несуществующих угроз безопасности; для сокрытия тела вируса авторы использовали альтернативные потоки данных (ADS) файловой системы NTFS, тем самым делая свой "продукт" невидимым для многих обозревателей файлов и наиболее примитивного антивирусного ПО. В целом этот вымогатель был более прост в уничтожении, нежели декабрьские образцы, однако поразил довольно существенное количество компьютеров.

    В январе наступил своего рода "звездный час" троянских вымогателей: степень их распространенности оказалась настолько высокой, что об инфекции заговорили в выпусках новостей на центральных каналах телевидения. Дело дошло до того, что одним из подобных образцов оказались поражены ПК депутатов Государственной Думы. Вполне естественно, что подобный факт не мог быть оставлен без внимания, и в тех же выпусках зрителям сообщили о намерении начать расследование инцидента. Можно ожидать, что в ближайшие месяцы авторы вымогателей либо залягут на дно, либо будут обнаружены и арестованы.

    Итак, январь создает предпосылки для постепенной стабилизации эпидемиологической обстановки в русском секторе Интернета. Остается лишь наблюдать и собирать статистику для нашего следующего, февральского отчета.


    Ссылки по теме

    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Дело дошло до того, что одним из подобных образцов оказались поражены ПК депутатов Государственной Думы. Вполне естественно, что подобный факт не мог быть оставлен без внимания, и в тех же выпусках зрителям сообщили о намерении начать расследование инцидента.[/LIST]
    Нашим депутатом ничто не чуждо Очень хотелось бы посмотреть на их рабочие компы с порнушными банерами
    http://club-symantec.ru/forum.php

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1125
    "Дело дошло до того, что одним из подобных образцов оказались поражены ПК депутатов Государственной Думы".

    Есть где-то в СМИ информация об этих инцидентах?

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    112
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Помимо похожих наименований, злоумышленники использовали фирменную символику "Лаборатории Касперского" - к примеру, участники сети "ВКонтакте" получали приглашения присоединиться к группе, рекламировавшей некий "онлайн-антивирус"; в качестве титульного изображения этой группы использовалась стилизованная буква "К".
    Так как же все-таки распространялся "eKav"? Через такую рекламу "онлайн-антивируса"?

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 12.07.2010, 10:45
  2. Ответов: 0
    Последнее сообщение: 10.06.2010, 10:57
  3. Ответов: 0
    Последнее сообщение: 10.05.2010, 09:26
  4. Ответов: 0
    Последнее сообщение: 17.04.2010, 08:55
  5. Ответов: 0
    Последнее сообщение: 10.03.2010, 08:54

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01443 seconds with 16 queries