 07.12.2018, Москва Вредоносные программы, задетектированные на компьютерах пользователей В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним. | Позиция | Изменение позиции | Вредоносная программа | Количество зараженных компьютеров | | 1 | 0 | Net-Worm.Win32.Kido.ir | 330305 | | 2 | New | Net-Worm.Win32.Kido.iq | 174351 | | 3 | -1 | Net-Worm.Win32.Kido.ih | 145332 | | 4 | 0 | Virus.Win32.Sality.aa | 128737 | | 5 | 0 | Worm.Win32.FlyStudio.cu | 93848 | | 6 | -3 | not-a-virus:AdWare.Win32.Boran.z | 84825 | | 7 | -1 | Trojan-Downloader.Win32.VB.eql | 63287 | | 8 | 9 | Trojan-Downloader.WMA.GetCodec.s | 48426 | | 9 | 1 | Virus.Win32.Virut.ce | 47812 | | 10 | -3 | Virus.Win32.Induc.a | 46252 | | 11 | -2 | Worm.Win32.AutoRun.awkp | 36453 | | 12 | -4 | Packed.Win32.Black.d | 36422 | | 13 | -2 | Packed.Win32.Black.a | 35094 | | 14 | -1 | Trojan-Dropper.Win32.Flystud.yo | 34638 | | 15 | -3 | Worm.Win32.AutoRun.dui | 32493 | | 16 | -1 | Packed.Win32.Klone.bj | 31963 | | 17 | 1 | Worm.Win32.Mabezat.b | 29804 | | 18 | New | Packed.Win32.Krap.ag | 26041 | | 19 | New | Trojan-GameThief.Win32.Magania.ckqi | 25529 | | 20 | New | Trojan.Win32.Genome.bjgu | 24730 | В целом, в первой двадцатке изменений немного, но стоит отметить несколько моментов. Во-первых, появление в рейтинге сразу на второй позиции Kido.iq. Эта вредоносная программа обладает схожим функционалом с лидером последних месяцев Kido.ir, который попал в рейтинг еще в сентябре. Во-вторых, перемещение мультимедийного загрузчика GetCodec.s сразу на 9 позиций вверх. Число компьютеров, на которых ,был затектирован GetCodec, увеличилось более чем в 2 раза. Напомним, что GetCodec.s распространяется в связке с червем P2P-Worm.Win32.Nugg, аналогично версии GetCodec.r. Видимо, злоумышленники предпринимают очередную попытку распространить P2P-Worm.Win32.Nugg, используя файлообменную сеть Gnutella (в данном случае через популярное приложение LimeWire). Этот червь также является загрузчиком других вредоносных программ, что представляет дополнительную опасность для компьютеров пользователей. Еще один заметный новичок - Packed.Win32.Krap.ag. Как и другие представители Packed, данная версия является детектированием специального упаковщика вредоносных программ. В данном случае такими вредоносными программами, тщательно скрытыми под регулярно модифицирующимся упаковщиком, являются представители фальшивых антивирусов. Таким образом, 18-е место в рейтинге фактически занимают лжеантивирусы. После своего возвращения игровой троянец Magania занимает устойчивую позицию в рейтинге: в ноябре модификацию Magania.cbrt на 19-м месте сменила новая версия Magania.ckqi. Вредоносные программы в интернете Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей. | Позиция | Изменение позиции | Вредоносная программа | Число уникальных попыток загрузки | | 1 | 0 | Trojan-Downloader.JS.Gumblar.x | 1714509 | | 2 | 1 | Trojan-Downloader.HTML.IFrame.sz | 189881 | | 3 | New | Trojan-Clicker.JS.Iframe.be | 170319 | | 4 | 0 | not-a-virus:AdWare.Win32.Boran.z | 136748 | | 5 | 0 | Trojan.JS.Redirector.l | 130271 | | 6 | New | Trojan.JS.Ramif.a | 115163 | | 7 | 1 | Trojan.JS.Agent.aat | 55291 | | 8 | -2 | Trojan-Clicker.HTML.Agent.aq | 47873 | | 9 | New | Trojan.HTML.Fraud.r | 47473 | | 10 | -8 | Trojan-Downloader.JS.Gumblar.w | 41977 | | 11 | New | Trojan.JS.Iframe.dy | 35152 | | 12 | -5 | Trojan-Downloader.JS.Zapchast.m | 31161 | | 13 | New | Trojan-Downloader.JS.IstBar.cy | 30806 | | 14 | New | Trojan-Clicker.JS.Iframe.u | 30553 | | 15 | Return | Trojan-Downloader.JS.Psyme.gh | 30078 | | 16 | New | Trojan-Downloader.HTML.FraudLoad.b | 29466 | | 17 | New | Trojan-Clicker.HTML.IFrame.ajn | 29455 | | 18 | New | Trojan.JS.PrygSkok.a | 27804 | | 19 | New | Packed.Win32.Krap.ag | 26770 | | 20 | -5 | Trojan-Downloader.JS.LuckySploit.q | 26175 | Gumblar продолжает шагать по планете. Он с огромным разрывом лидирует в рейтинге вредоносных программ в интернете, а число уникальных попыток загрузки этой вредоносной программы увеличилось почти в 4 раза. Новая атака Gumblar в ноябре продолжилась. Но, в отличие от атаки полугодовой давности, на это раз все компоненты атаки на протяжении месяца модифицировались с завидной регулярностью - будь то сам загрузчик, эксплойты или основной исполняемый файл. Лжеантивирусы отметились и во втором рейтинге. Одним из способов их распространения является загрузка на компьютеры пользователей с веб-сайтов, сделанных по одному шаблону и вовлеченных в мошеннические партнерские программы. В ноябре наиболее популярные веб-страницы, с которых загружались фальшивые антивирусы, детектировались как Trojan.HTML.Fraud.r и Trojan-Downloader.HTML.FraudLoad.b. С этих страниц загружался в том числе и упомянутый выше Packed.Win32.Krap.ag, что и обусловило его попадание во второй рейтинг. Остальные новички, в соответствии с уже сложившейся традицией, являются скриптовыми загрузчиками разной степени обфусцированности и сложности. Тенденции месяца По результатам ноября картина в целом остается прежней. В настоящее время наиболее популярные схемы распространения зловредов - это [вредоносный скрипт + эксплойт + исполняемый файлk и [вредоносный скрипт + исполняемый файлk. Чаще всего таким образом распространяются вредоносные программы, которые крадут конфиденциальные данные или выкачивают деньги пользователя. Например, Trojan-PSW.Win32.Kates, загрузка которого является основной целью атаки Gumblar, или же Trojan-Spy.Win32.Zbot очень распространенный троянец, который активно распространяется с помощью скриптовых загрузчиков и различных спам-акций, а также многие ложные антивирусы. Еще одна яркая тенденция последних месяцев, продолжившаяся в ноябре это распространение фальшивых антивирусов с использованием шаблонных веб-страниц. Кроме того, злоумышленники активно используют упаковщики (чаще всего полиморфные), рассчитывая, что это позволит им избежать детектирования упакованных вредоносных программ без существенного изменения их функционала. Также в этом месяце зафиксировано распространение вредоносных программ через P2P-сети и с помощью мультимедийных загрузчиков по схеме, которую злоумышленники уже использовали в декабре прошлого года. Страны, в которых отмечено наибольшее количество попыток заражения через веб. 
Источник: [Лаборатория Касперскогоk
| 
