Показано с 1 по 1 из 1.

Интегрированный аналитический отчет: раздел Помогите, февраль 2010

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815

    Интегрированный аналитический отчет: раздел Помогите, февраль 2010

    Настоящей публикацией Антивирусный портал VirusInfo продолжает анонсированный в августе 2009 года цикл статей аналитического характера, посвященных результатам работы лечебного сервиса проекта за каждый календарный месяц.


    Общая статистика

    По данным системы "КиберХелпер", в течение февраля 2010 года в лечебный сервис VirusInfo поступила 1 361 заявка на лечение ПК от вирусов - почти на 1 000 заявок меньше, чем в январе того же года. Посетители сервиса загрузили в общей сложности 961 архив карантина, содержащий 2 695 уникальных файлов; из них 1 165 были признаны безопасными, 770 - вредоносными, подозрительными или потенциально опасными. Даже с учетом того, что приведенная статистика собрана в самом коротком месяце года, становится очевидным, что эпидемиологическая обстановка в русском секторе Интернета относительно стабилизировалась после месяцев лихорадки, вернувшись на уровень июля-августа прошлого года.


    TOP 10 вредоносного программного обеспечения

    По итогам лечебного месяца была сформирована десятка наиболее распространенных образцов вредоносного ПО:

    Код:
    №	Имя					Образцов	Позиция
    1.	Packed.Win32.Krap.ai			34		+5
    2.	Packed.Win32.Krap.ar			27		-
    3.	P2P-Worm.Win32.Polip.a			26		-
    4.	Packed.Win32.Krap.w			25		-3
    5.	Trojan.Win32.Patched.fr			19		-
    6.	Virus.Win32.Sality.aa			16		-
    7.	Trojan.Win32.AutoRun.ym			14		-	
    8.	Worm.Win32.AutoIt.tc			10		-
    9.	Virus.Win32.Virut.ce			10		-
    10.	Trojan.Win32.Koblu.cex			9		-
    Доля троянского вредоносного ПО в рейтинге упала уже до 30% (в предыдущем месяце мы наблюдали похожее снижение этого показателя от 80% до 60%). Еще 30% досталось на долю OtherMalWare, причем все три образца - из класса подозрительных упаковщиков (отзвуки эпидемии троянских вымогателей все еще слышны), а лидерство (40%) принадлежит теперь вирусам и червям.

    В февральском рейтинге имеется уже три представителя семейства Packed.Win32.Krap - в январе, напомним, их было два. Количественно, однако, прежний лидер десятки - модификация .w - сильно сдал и потерял в итоге три позиции, уступив первое место модификации .ai. Последняя, напротив, прибавила обороты как количественно, так и качественно, поднявшись сразу на пять позиций. Как и в январе, эти два образца оказались единственными вредоносными объектами, удержавшимися в рейтинге; при этом Packed.Win32.Krap.w уже третий месяц неизменно присутствует в нем.

    Вновь появились в десятке образцы из семейств Patched и Sality. Эти инфекции можно уже смело называть хроническими для русского сектора Интернета; как правило, ни один лечебный месяц не проходит без упоминания о них. Прочие образцы, кроме, может быть, Trojan.Win32.AutoRun, устойчивых тенденций не демонстрируют. В целом рейтинг оказался вполне предсказуемым: отголоски эпидемии троянских вымогателей, вялотекущие массовые инфекции и единичные всплески активности новых вредоносных объектов.


    "Пойманы нами"

    В феврале 2010 специалисты VirusInfo обнаружили в общей сложности 663 новых образца вредоносного программного обеспечения - в сравнении с январем этот показатель уменьшился вдвое. Доля TrojWare остается беспрецедентно низкой - 369 штук, или всего 56% (столько же, сколько и в предыдущем месяце); два других рода претерпели зеркальное отражение - если в январе доли VirWare и OtherMalWare составляли 14% и 30% соответственно, то теперь 179 образцов (27%) - это VirWare, а 115 штук (17%) - OtherMalWare. В феврале, таким образом, вирусам и червям удалось общими усилиями оттеснить со второго места даже приснопамятные подозрительные упаковщики.

    Визуально соотношение родов представлено на диаграмме 1.

    Вложение 222442

    В статистике классов рода TrojWare произошли довольно радикальные изменения: хотя первое место по-прежнему остается за обычным неклассифицированным ПО типа Trojan.Win32 - 147 вредоносных объектов, - второе и третье места, вопреки обыкновенной расстановке сил в пределах этого рода, захватили поведения Trojan-Spy (45 представителей) и Trojan-Ransom (43 образца). Оба традиционных лидера - классы Backdoor и Trojan-Downloader - сильно сократили свою численность: новых бэкдоров оказалось почти втрое меньше (от 95 до 34), а популяция троянских загрузчиков и вовсе пережила катастрофическое падение от 123 образцов в январе до всего лишь 29 штук в феврале. Стоит также отметить четырехкратное снижение количества воров паролей (Trojan-PSW). В целом род TrojWare по-прежнему демонстрирует определенную деградацию в сравнении с концом прошлого года.

    Общее соотношение классов TrojWare отображено на диаграмме 2.

    Вложение 222443

    Род VirWare сохранил свою численность на почти прежнем уровне, однако доли различных классов в его пределах в очередной раз перераспределились. Количество пиринговых червей (P2P-Worm) уменьшилось почти на 40% и составило 63 штуки (против 100 в январе), что, однако, не повлияло на лидирующие позиции этого поведения; в свою очередь, обычные черви и классические вирусы проявили тенденцию к росту, увеличив свою численность почти вдвое (от 32 до 54 и от 14 до 28 соответственно). В итоге класс Worm поднялся на второе место, а классическим вирусам не хватило одного представителя, чтобы разделить третье место с сетевыми червями (29 образцов).

    Итоговое соотношение оказалось следующим (диаграмма 3):

    Вложение 222444

    Для прочего вредоносного ПО, составляющего род OtherMalWare, февраль выдался неудачным. Основные его представители, на которых держались высокие показатели рода в предыдущем месяце, в буквальном смысле обвалили свою численность. Хотя поведение Packed по-прежнему составляет весьма значительную часть представителей этого рода и занимает первое место, количество новых образцов этого класса оказалось довольно несущественным и вышло примерно на уровень декабря (65 - 353 - 88 объектов); результаты второго "столпа" OtherMalWare - рекламных программ - также печальны: в феврале их набралось всего 9 штук (в то время как в январе мы наблюдали 33 новых представителя этого класса). Третье место досталось поведению RemoteAdmin - 5 образцов. В результате системного падения показателей доля OtherMalWare резко уменьшилась, что было показано нами выше.

    Общее распределение классов OtherMalWare отображено на диаграмме 4.

    Вложение 222445

    В статистике семейств наиболее заметны были следующие вредоносные программы:

    Trojan.Win32.AutoRun - 29 образцов
    Trojan-Ransom.Win32.Chameleon - 28 образцов
    Trojan-Dropper.Win32.Agent - 25 образцов

    P2P-Worm.Win32.Palevo - 44 образца
    Worm.Win32.AutoRun - 34 образца
    Net-Worm.Win32.Kolab - 22 образца

    Packed.Win32.Krap - 84 образца
    not-a-virus:AdWare.Win32.EZula - 5 образцов
    not-a-virus:RemoteAdmin.Win32.RAdmin - 4 образца

    Полный список вредоносного программного обеспечения, обнаруженного специалистами проекта, доступен в разделе "Монитор VirusInfo".


    Общие выводы

    Февраль 2010 в сравнении с январем выдался довольно спокойным с точки зрения эпидемиологической обстановки. Тенденция к ее нормализации наметилась еще в январе, однако теперь, имея на руках данные февральской статистики, мы можем смело сказать, что эпидемия троянских вымогателей наконец завершилась - или, во всяком случае, в ней наступил перерыв. Базовые статистические показатели демонстрируют постепенное (а местами - и взрывное) снижение, что недвусмысленно свидетельствует о затухании вредоносной активности. Количество представителей классов Packed и Trojan-Ransom, к примеру, сократилось весьма и весьма существенно, хотя эхо от недавних эпидемических всплесков будет слышно еще как минимум в течение нескольких месяцев.

    В то же время, несмотря на снижение количества представителей поведения Packed, доля рода TrojWare так и не изменилась, оставшись на уровне 56% от общего количества новых образцов ВПО. В сущности, единственным родом, в пределах которого можно отметить сколь-либо существенный рост численности вредоносных программ, оказался род вирусов и червей: долгожители вроде Sality или Worm.Win32.AutoRun даже увеличили свои показатели. По всей видимости, это временное явление, но сам факт, безусловно, заслуживает внимания.

    Вполне возможно, что в следующем месяце возникшая "вирусографическая яма" будет пройдена, и соотношение родов начнет возвращаться к своему обычному виду - конечно, если не вмешаются какие-либо дополнительные обстоятельства вроде возвращения вымогателей (что, впрочем, не особенно вероятно).


    В статистике классов вновь имеются как новые веяния, так и тенденции прежних месяцев. В частности, необходимо упомянуть о резком падении активности троянских загрузчиков, количество которых уменьшилось в четыре раза, и бэкдоров, сокративших свою численность втрое; впервые за все время наблюдения эти два поведения оказались за пределами первой тройки своего рода (напомним, что их место заняли троянские шпионы и вымогатели). Пиринговые черви, напротив, сохранили за собой лидерские позиции; высокая активность этих вредоносных программ постепенно превращается в долговременную тенденцию, хотя количественные показатели P2P-Worm по-прежнему имеют волнообразный характер. В пределах OtherMalWare, как уже было отмечено ранее, имело место резкое снижение численности подозрительных упаковщиков и рекламных программ.

    Вообще в феврале (пожалуй, можно сказать, что в этом его основное отличие от других месяцев) перепады основных показателей тех или иных классов связаны не столько с внутриродовой борьбой, когда одно поведение вытесняет другое, сколько с системным упадком их родов в целом. В первую очередь это относится к TrojWare и OtherMalWare, которые взлетали порой до небывалых высот на эпидемических волнах троянских вымогателей. Вполне естественно, что конец эпидемии никак не сказался на VirWare; последние даже численно остались примерно на уровне января, а в долевом отношении смогли еще и улучшить свои результаты.

    В марте можно ожидать более традиционного распределения мест и долей среди классов. Предпосылок для новых эпидемий на данный момент нет, а наиболее универсальные тенденции в вирусописании вряд ли могут быть поколеблены результатами одного или двух месяцев.


    В статистике семейств отметим полное исчезновение Trojan.Win32.Chydo и Trojan-Dropper.Win32.HDrop, которые активно распространялись в декабре прошлого года, и наличие всего одного нового образца их "коллеги" Trojan-Downloader.Win32.Piker. По всей видимости, этим семействам не уготована долгая и славная жизнь. Традиционный объект нашего наблюдения Virus.Win32.Sality продолжает волнообразные перепады активности, то практически исчезая из статистики, то вновь воскресая: если в январе семейство Sality было представлено 4 образцами, то на сей раз их оказалось уже 16.

    Образцы, относящиеся к Packed.Win32.Krap, все еще многочисленны, однако постепенно убывают количественно. После того, как к борьбе с вымогателями подключились правоохранительные органы, равно как и поставщики услуг мобильной связи, эпидемия оказалась погашена окончательно - однако, как известно из практики, последствия любой эпидемии приходится нейтрализовывать в течение весьма и весьма продолжительного времени. Казалось бы, давно стали достоянием истории масштабные инфекции наподобие почтовых червей Brontok и Zhelatin; однако и по сей день в лечебной практике временами всплывают случаи заражений этим вредоносным ПО. Февраль, кстати, не стал исключением: в статистике имеется один образец Brontok.

    Следует, впрочем, отметить, что в феврале активность проявил еще один представитель троянских вымогателей - Trojan-Ransom.Win32.Chameleon. Сложно ожидать, что он окажется столь же "популярным", что и его предшественники, однако имя его основного файла - md.exe - нередко попадается в запросах на лечение. Вновь стали заметны и некоторые из наших прежних знакомых - Trojan.Win32.Patched, Trojan.Win32.Buzus. Неожиданно немногочисленными оказались в феврале образцы из семейства Trojan.Win32.Agent(2), однако в тройку лидеров рода TrojWare попала похожая группа Trojan-Dropper.Win32.Agent.

    В следующем месяце мы ожидаем постепенного снижения активности вымогателей всех видов. Вялотекущие инфекции вроде Sality, вероятнее всего, не преподнесут никаких сюрпризов. Возможно, появятся и новые возмутители спокойствия из числа троянских загрузчиков и неклассифицированного троянского ВПО.


    В итоге февраль подтвердил наши предположения о постепенной стабилизации эпидемиологической обстановки в русском секторе Интернета. Окончательный ли это конец эпидемии, или непродолжительный перерыв, - покажет статистика марта.


    Ссылки по теме

    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 12.07.2010, 10:45
  2. Ответов: 0
    Последнее сообщение: 10.06.2010, 10:57
  3. Ответов: 0
    Последнее сообщение: 10.05.2010, 09:26
  4. Ответов: 0
    Последнее сообщение: 17.04.2010, 08:55
  5. Ответов: 3
    Последнее сообщение: 21.02.2010, 16:41

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01535 seconds with 15 queries