...
...

Вирусы. Июнь. Касперский

Лаборатория Касперского обнародовала собственную версию рейтинга активности вредоносного ПО в Сети за июнь. На первом месте по-прежнему остается червь Net-Worm.Win32.Kido.ih. В двадцатке также присутствуют две модификации этой вредоносной программы – Kido.jq и Kido.ix. Столь массовое присутствие Kido в рейтинге специалисты связывают с тем, что одним из главных путей их попадания в компьютеры являются сменные носители. Это же стало причиной присутствия в двадцатке представителей семейства Autorun-червей – AutoRun.dui и AutoRun.rxx. Ну, а замыкает Top-20 рекламная программа Shopper.v, разработанная компанией Zango. (С ней, к слову, Лаборатория Касперского недавно выясняла отношения в американском суде.) Приложение устанавливает различные панели в браузеры и почтовые клиенты и с их помощью показывает пользователю рекламные баннеры. Самостоятельно удалить эти панели из системы достаточно непросто.

Рейтинг вирусной активности за июнь:
1. Net-Worm.Win32.Kido.ih
2. Virus.Win32.Sality.aa
3. Trojan-Dropper.Win32.Flystud.ko
4. Trojan-Downloader.Win32.VB.eql
5. Worm.Win32.AutoRun.dui
6. Trojan.Win32.Autoit.ci
7. Virus.Win32.Virut.ce
8. Worm.Win32.Mabezat.b
9. Net-Worm.Win32.Kido.jq
10. Virus.Win32.Sality.z
11. Trojan-Downloader.JS.LuckySploit.q
12. Virus.Win32.Alman.b
13. Packed.Win32.Black.a
14. Net-Worm.Win32.Kido.ix
15. Worm.Win32.AutoIt.i
16. Trojan-Downloader.WMA.GetCodec.u
17. Packed.Win32.Klone.bj
18. Email-Worm.Win32.Brontok.q
19. Worm.Win32.AutoRun.rxx
20. not-a-virus:AdWare.Win32.Shopper.v.

Отдельно от предыдущего Лаборатория Касперского опубликовала рейтинг вредоносного ПО, которое было обнаружено на web-страницах в июне. На первом месте тут оказался троянский загрузчик Gumblar.a, являющий собой классический пример drive-by-загрузки. Gumblar.a – это небольшого размера зашифрованный скрипт, который перенаправляет пользователя на сайт, специально созданный злоумышленниками. Используя набор уязвимостей браузера, с этого сайта скачивается и устанавливается вредоносный исполняемый файл, который берет под контроль на web-трафик пользователя, изменяя результаты поиска в поисковой системе Google. Также это вредоносное ПО ищет на компьютере пользователя пароли от FTP-серверов для дальнейшего их заражения.

Если это удается, злоумышленники получают в распоряжение ботнет-сеть из зараженных серверов. С их помощью они могут загружать на ПК пользователей любые типы вредоносных программ. В Лаборатории Касперского утверждают, что количество зараженных серверов уже огромно, и, более того, распространение происходит по незащищенным компьютерам до сих пор.





Еще один образец drive-by-загрузок – троянский загрузчик LuckySploit.q, который занял в рейтинге третье место. Этот скрипт сперва собирает информацию о конфигурации браузера пользователя, а затем отсылает эти сведения на сайт злоумышленников, зашифровывая их с помощью открытого RSA-ключа. На сервере эта информация расшифровывается с помощью закрытого RSA-ключа, и, в соответствии с обнаруженной конфигурацией браузера, на ПК пользователя направляется целый набор скриптов, которые эксплуатируют уязвимости, найденные на этом компьютере, и загружают вредоносное ПО. Такая многоходовая комбинация сильно затрудняет анализ экземпляров исходного скрипта, собирающего информацию о браузере.

Ряд вредоносных программ, попавших в рейтинг, эксплуатируют уязвимости ПО известных разработчиков. В частности, присутствие в рейтинге эксплойтов Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr и Exploit.SWF.Agent.az свидетельствует о популярности (и уязвимости) продуктов Adobe Flash Player и Adobe Reader. Ну и, само собой, активно используются всевозможные уязвимости в приложениях Microsoft. Например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах Windows, а также в компонентах Microsoft Office. Как говорят в Лаборатории Касперского, в последнее время стала очевидной тенденция перехода злоумышленников на использование различных все более хитроумных drive-by-загрузок на компьютеры пользователей.

Рейтинг вредоносного ПО, обнаруженного на web-страницах в июне:
1. Trojan-Downloader.JS.Gumblar.a
2. Trojan-Downloader.JS.Iframe.ayt
3. Trojan-Downloader.JS.LuckySploit.q
4. Trojan-Clicker.HTML.IFrame.kr
5. Trojan-Downloader.HTML.IFrame.sz
6. Trojan-Downloader.JS.Major.c
7. Trojan-Downloader.Win32.Agent.cdam
8. Trojan-Clicker.HTML.IFrame.mq
9. Trojan.JS.Agent.aat
10. Trojan.Win32.RaMag.a
11. Trojan-Clicker.SWF.Small.b
12. Packed.JS.Agent.ab
13. Trojan-Downloader.JS.Agent.czm
14. Exploit.JS.Pdfka.gu
15. Trojan-Clicker.JS.Agent.fp
16. Trojan-Dropper.Win32.Agent.aiuf
17. Exploit.JS.Pdfka.lr
18. not-a-virus:AdWare.Win32.Shopper.l
19. not-a-virus:AdWare.Win32.Shopper.v
20. Exploit.SWF.Agent.az.

Антон Платов



© Компьютерная газета