Предлагаем Вашему вниманию итоги вирусной активности за первый квартал 2011 года. Этот обзор построен на основе анонимной статистической информации, которую антивирусная лаборатория Zillya! получает от пользователей наших продуктов. При этом собирается анонимная информация о том, какие вирусы были обнаружены антивирусными продуктами линейки Zillya!, что позволяет нам построить отчёты по распространённости того или иного вредоносного ПО как в целом, так и в отдельно заданном регионе.
Итак, мы провели анализ распространённости вредоносных программ, рассматривая их по семействам. Общая картина популярности выглядит следующим образом:
№ п/п | Наименование семейства | Объём инцидентов |
1 | Trojan.Agent.Win32 | 2,73% |
2 | Worm.Conficker.Win32 | 2,69% |
3 | Worm.Palevo.Win32 | 1,89% |
4 | Worm.AutoRun.Win32 | 1,58% |
5 | Dropper.Agent.Win32 | 1,54% |
6 | Downloader.FlyStudio.Win32 | 1,47% |
7 | Virus.Sality.Win32 | 1,3% |
8 | Trojan.Buzus.Win32 | 1,2% |
9 | Downloader.Agent.Win32 | 1,14% |
10 | Trojan.Pincav.Win32 | 1,1% |
На первом месте по популярности находится семейство троянских программ Trojan.Agent.Win32. К этому семейству обычно относят типичные небольшие антивирусные программы, которые выполняют составную функцию какого-то троянца, состоящего из множества файлов. Такие троянские программы попадают на компьютер в составе другого вредоносного ПО: сетевых червей, а также других троянских программ.
Следующие три места занимают компьютерные черви Worm.Conficker.Win32, Worm.Palevo.Win32 и Worm.AutoRun.Win32, составляя в сумме более 6% всех зафиксированных инцидентов. Примечательно, что все эти черви перемещаются при помощи съёмных накопителей (как правило, flash-накопителей), и для червей Worm.Palevo.Win32 и Worm.AutoRun.Win32 «флэшки» являются основным способом распространения от одного компьютера к другому. Эпидемии же червя Worm.Conficker.Win32, как правило, возникают за счёт локальных сетей с большим количеством компьютеров, пользователи которых совершенно не заботятся о безопасности своего ПК. Для распространения от компьютера к компьютеру червь использует уязвимость операционной системы Windows, которая давно не обновлялась. Эта уязвимость уже очень давно исправлена.
На пятом месте расположилось семейство Dropper.Agent.Win32. Данное семейство «дропперов» часто используется авторами троянских программ для установки своих творений в системы пользователей. По сути Дроппер – это инсталлятор для троянской программы.
Шестое место - Downloader.FlyStudio.Win32. «Даунлоадер» - это класс троянских программ, задача которых состоит в том, чтобы загрузить из глобальной сети Интернет другие троянские программы и запустить их в заражаемой системе. Семейство FlyStudio очень популярно в настоящее время. Эти троянские программы проникают на компьютеры пользователей с зараженных WEB-сайтов и плотно «вгрызаются» в систему. Их отличительной особенностью является именно то, что они очень сильно цепляются за зараженную систему, имеют множество модулей для маскировки, а также для самозащиты. «Живут» на компьютере эти троянцы, как правило, семьями, закачивая новые и новые модули и версии своего семейства, всё больше укореняясь на компьютере. При этом авторы могут возлагать на них самые разнообразные функции, чаще всего связанные с хищением конфиденциальной информации.
На седьмом месте оказался файловый вирус Virus.Sality.Win32. Это единственный представитель компьютерных вирусов, именно в смысле слова вирус, в «горячей десятке». Как классический вирус он паразитирует на файлах системы, заражая их. При этом благодаря своей «плодовитости» (скорости и массовости заражения файлов на дисках компьютера) его крайне сложно вывести. Как правило, в зараженной системе оказываются тысячи файлов, зараженных этим вирусом.
Trojan.Buzus.Win32 на восьмом месте нашего хит-парада. Это классический «банковский» троян. Его целью, как правило, является хищение банковской информации: информации о кредитных картах, атрибутах доступа к платёжным банковским системам и т.п.
Девятое место занял ещё один загрузчик - Downloader.Agent.Win32. Как и его «родственник», расположенный в таблице на несколько ступеней выше, Downloader.Agent.Win32 загружает из глобальной сети другие троянские программы и запускает их.
Последнее место в десятке самых распространённых вредоносных программ заняла троянская программа Trojan.Pincav.Win32. Основным отличием данного классического представителя троянских программ является то, что он открывает сетевой порт и ожидает, пока к нему подключатся злоумышленники, получая таким образом доступ к инфицированному компьютеру.
Десятка самых популярных вредоносных программ, обнаруженных на персональных компьютерах на территории Украины очень похожа, но есть некоторые отличия:
№ п/п | Наименование семейства | Объём инцидентов |
1 | Worm.Palevo.Win32 | 3,04% |
2 | Trojan.Agent.Win32 | 2,32% |
3 | Trojan.Pincav.Win32 | 1,52% |
4 | Worm.Padobot.Win32 | 1,45% |
5 | Trojan.FakeAV.Win32 | 1,35% |
6 | Trojan.Buzus.Win32 | 1,33% |
7 | Worm.AutoRun.Win32 | 1,32% |
8 | Trojan.Rozena.Win32 | 1,18% |
9 | Downloader.Agent.Win32 | 1,16% |
10 | Trojan.Swisyn.Win32 | 1,02% |
Так, на первом месте flash-червь Worm.Palevo.Win32, что говорит о беспечном отношении пользователей к переносным flash-накопителям.
Также на 5-м месте Вы можете отметить присутствие семейства троянских программ Trojan.FakeAV.Win32. Такое имя присваивается нашими вирусными аналитиками поддельным антивирусным программам. Эти программы, как правило, маскируются под известные антивирусные бренды и запугивают пользователя, отображая информацию об обнаружении сотен других вредоносных программ. При этом для того, чтобы якобы вылечить эти мифические вирусы, необходимо заплатить вполне реальные деньги. Естественно, расставшись с деньгами, жертва аферистов не получает ничего взамен.
Отдельно стоит также обратить внимание на таблицу распространённости вредоносных программ, обнаруженных у российских пользователей ПК:
№ п/п | Наименование семейства | Объём инцидентов |
1 | Worm.Palevo.Win32 | 3,07% |
2 | Trojan.Agent.Win32 | 2,49% |
3 | Trojan.Agent2.Win32 | 1,72% |
4 | Trojan.XBlocker.Win32 | 1,55% |
5 | Worm.AutoRun.Win32 | 1,48% |
6 | Dropper.Agent.Win32 | 1,41% |
7 | Trojan.OnLineGames.Win32 | 1,27% |
8 | Trojan.Buzus.Win32 | 1,22% |
9 | Downloader.FraudLoad.Win32 | 1,2% |
10 | Downloader.Agent.Win32 | 1,17% |
Важной особенностью является наличие в «десятке» двух вредоносных программ: Trojan.XBlocker.Win32 и Trojan.OnLineGames.Win32.
Trojan.XBlocker.Win32 относится к классу «блокировщиков». Проникая на компьютер, они крепко вгрызаются в систему, после чего блокируют её, не давая возможности пользователю что-либо сделать. При этом они вымогают деньги (чаще всего путём отправки сообщения по СМС), взамен на которые пользователь якобы получит код для разблокировки компьютера. Часто блокировка компьютера сопровождается появлением на экране изображения порнографического характера, что подталкивает пользователя совершить оплату выдуманного кода как можно скорее. При этом, оплатив указанную сумму, пользователь не получает никакого кода, и остаётся со своей проблемой один на один. В случае, если Ваш компьютер заражен такой программой и Вы ничего не можете сделать, мы рекомендуем Вам воспользоваться Zillya! LiveCD диском, загрузившись с которого Вы сможете вывести эту нечисть с вашего ПК.
Trojan.OnLineGames.Win32 – семейство троянских программ, ворующих авторизационные данные игровых аккаунтов популярных он-лайн игр.
Итак, основным источник угроз для пользователей в первом квартале 2011 года были съёмные flash-накопители, а также зараженные WEB-сайты. При этом многие троянские программы занимаются кражей конфиденциальной финансовой информации или вымогательством в том или ином виде.