Рейтинг вредоносных программ за июль

По итогам работы Kaspersky Security Network в июле 2009 года специалистами Лаборатории Касперского были сформированы две вирусные двадцатки. В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер. В июле не произошло существенных изменений в первой двадцатке: Kido и Sality по-прежнему лидируют с солидным отрывом. При этом абсолютные показатели самых популярных вредоносных программ несколько снизились. Возможно, это связано с тем, что в самый разгар лета пользователи проводят за компьютером меньше времени, и как следствие к ним попадает меньшее количество вредоносных программ.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и освещает обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах или пытающиеся загрузиться с них.

Сразу три позиции в рейтинге занимают представители скриптовых эксплойтов под именем DirektShow, использующие уязвимость в браузере Internet Explorer. В русле актуальной сегодня тенденции к разбиению вредоносных скриптов на несколько частей, на основной странице с эксплуатацией уязвимости msvidctl содержится ссылка на еще один скрипт, из которого подгружается шелл-код с собственно зловредной функциональностью.

Находящийся на восьмом месте Trojan-Downloader.JS.ShellCode.i как раз является наиболее распространенным шелл-кодом, который использовался при атаках с эксплуатацией этой уязвимости. В этом приеме нет ничего сложного, однако для злоумышленника он очень выгоден: скрипт с шелл-кодом можно в любой момент подменить, при этом ссылка на основную страницу остается прежней. Кроме того, такая структура усложняет, а в случае с некоторыми автоматическими системами делает невозможным анализ и дальнейшее обнаружение таких вредоносных компонентов.

Для упрощения распространения псевдоантивирусных программ-вымогателей зачастую используется один и тот же шаблон для веб-сайта. Типичным примером такого шаблона является Trojan-Downloader.HTML.FraudLoad.a. Троянцы-вымогатели становятся все более популярными в киберпреступном мире, следовательно, появляется огромное количество подобных веб-сайтов, с которых под предлогом того, что у пользователя заражен компьютер, загружаются не только назойливые, но зачастую и опасные зловреды. Одним из скриптов, с помощью которого вредоносные программы скачиваются с таких сайтов, является Trojan-Downloader.JS.Iframe.bew — обладатель последнего места в июльском рейтинге.

Проанализировав оба рейтинга, можно сделать два важных вывода. Во-первых, злоумышленники делают упор на поиск новых уязвимостей в наиболее популярных программных продуктах и всячески стараются их эксплуатировать для достижения конечного результата — заражения пользовательских компьютеров одной, а чаще всего несколькими вредоносными программами. Во-вторых, киберпреступники пытаются замаскировать свои действия так, чтобы они были либо совершенно незаметными, либо казались не наносящими явного вреда зараженному компьютеру.