«Лаборатория Касперского» представила новую версию рейтинга вредоносных программ. По итогам работы Kaspersky Security Network в июле 2009 года были сформированы две вирусные двадцатки.

1 Net-Worm.Win32.Kido.ih

2 Virus.Win32.Sality.aa 3 Trojan-Downloader.Win32.VB.eql

4 Trojan.Win32.Autoit.ci

5 Worm.Win32.AutoRun.dui

6 Virus.Win32.Virut.ce

7 Virus.Win32.Sality.z

8 Net-Worm.Win32.Kido.jq

9 Worm.Win32.Mabezat.b

10 Net-Worm.Win32.Kido.ix

11 Trojan-Dropper.Win32.Flystud.ko

12 Packed.Win32.Klone.bj

13 Virus.Win32.Alman.b

14 Worm.Win32.AutoIt.i

15 Packed.Win32.Black.a

16 Trojan-Downloader.JS.LuckySploit.q

17 Email-Worm.Win32.Brontok.q

18 not-a-virus:AdWare.Win32.Shopper.v

19 Worm.Win32.AutoRun.rxx

20 IM-Worm.Win32.Sohanad.gen

В июле не произошло существенных изменений в первой двадцатке: Kido и Sality по-прежнему лидируют с солидным отрывом.

При этом абсолютные показатели самых популярных зловредов несколько снизились. Возможно, это связано с тем, что в самый разгар лета пользователи проводят за компьютером меньше времени, и как следствие к ним попадает меньшее количество вредоносных программ.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и освещает обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц.

1 Trojan-Downloader.JS.Gumblar.a

2 Trojan-Clicker.HTML.IFrame.kr

3 Trojan-Downloader.HTML.IFrame.sz

4 Trojan-Downloader.JS.LuckySploit.q

5 Trojan-Downloader.HTML.FraudLoad.a

6 Trojan-Downloader.JS.Major.c

7 Trojan-GameThief.Win32.Magania.biht

8 Trojan-Downloader.JS.ShellCode.i

9 Trojan-Clicker.HTML.IFrame.mq

10 exploit.JS.DirektShow.o

11 Trojan.JS.Agent.aat

12 Exploit.JS.DirektShow.j

13 Exploit.HTML.CodeBaseExec

14 Exploit.JS.Pdfka.gu

15 Trojan-Downloader.VBS.Psyme.ga

16 Exploit.JS.DirektShow.a

17 Trojan-Downloader.Win32.Agent.cdam

18 Trojan-Downloader.JS.Agent.czm

19 Trojan-Downloader.JS.Iframe.ayt

20 Trojan-Downloader.JS.Iframe.bew

Во второй таблице находятся сразу три представителя скриптовых эксплойтов под именем DirektShow. Об уязвимости в браузере Internet explorer, которую использует этот вредоносный скрипт, мы писали в начале месяца в нашем блоге. Учитывая то, что у большинства интернет-пользователей установлен именно Internet Explorer, неудивительно, что эксплуатация данной уязвимости сразу же стала популярным приемом у злоумышленников.

В последнее время у киберпреступников появилась тенденция разбивать вредоносный скрипт на несколько частей: так, в вышеупомянутом DirektShow на основной странице с эксплуатацией уязвимости msvidctl содержится ссылка на еще один скрипт, из которого подгружается шелл-код с собственно зловредной функциональностью. Находящийся на восьмом месте Trojan-Downloader.JS.ShellCode.i как раз является наиболее распространенным шелл-кодом, который использовался при атаках с эксплуатацией этой уязвимости. В этом приеме нет ничего сложного, однако для злоумышленника он очень выгоден: скрипт с шелл-кодом можно в любой момент подменить, при этом ссылка на основную страницу остается прежней. Кроме того, такая структура усложняет, а в случае с некоторыми автоматическими системами делает невозможным анализ и дальнейшее детектированию подобных зловредов.

Известно, что для упрощения распространения псевдоантивирусных программ-вымогателей зачастую используется один и тот же шаблон для веб-сайта. В этом смысле примечателен еще один новичок июля –Trojan-Downloader.HTML.FraudLoad.a. Данный зловред как раз является детектированием одного из таких типичных шаблонов. троянцы-вымогатели становятся все более популярными в киберпреступном мире, следовательно, появляется огромное количество подобных веб-сайтов, с которых под предлогом того, что у пользователя заражен компьютер, загружаются не только назойливые, но зачастую и опасные зловреды. Одним из скриптов, с помощью которого вредоносные программы скачиваются с таких сайтов, является Trojan-Downloader.JS.Iframe.bew - обладатель последнего места в июльском рейтинге.

В итоге во второй двадцатке мы видим целостную картину актуальных угроз веба, а также тенденции их развития. В первую очередь, злоумышленники делают упор на поиск новых уязвимостей в наиболее популярных программных продуктах и всячески стараются их эксплуатировать для достижения конечного результата – заражения пользовательских компьютеров одной, а чаще всего - несколькими вредоносными программами. Во-вторых, киберпреступники пытаются замаскировать свои действия так, чтобы они были либо совершенно незаметными, либо казались не наносящими явного вреда зараженному компьютеру.