Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.
Вторая двадцатка традиционно изменчива и нестабильна.
Лидер последних двух месяцев, Gumblar.x, в апреле в TOP 20 отсутствует: его активность внезапно резко снизилась. Как и в прошлый раз, эпидемия Gumblar началась стремительно, достигнув максимума в феврале, когда было зафиксировано более чем 450 тыс. зараженных Gumblar веб-ресурсов, и резко сошла на нет два месяца спустя. Настораживает тот факт, что подобное поведение характерно для Gumblar.x и напоминает ситуацию, о которой мы писали вфеврале. Пока неизвестно, когда начнется следующая волна эпидемии, и будет ли она вообще, но мы будем внимательно следить за развитием событий.
Стремительное распространение эксплойта CVE-2010-0806 в этом месяце привело к тому, что во второй двадцатке он занял 1-е место. Как правило, эксплойты CVE-2010-0806 загружают на компьютер-жертву небольшие программы-загрузчики, которые являются представителями таких семейств, как Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, Trojan.Win32.Sasfis и т.п. Эти троянцы, в свою очередь, скачивают на зараженный компьютер другие вредоносные программы. Чаще всего ими загружались различные модификации Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW и Backdoor.Win32.Torr. Можно предположить, что в апреле основной целью злоумышленников, использующих эксплойт CVE-2010-0806, стали конфиденциальные данные пользователей, имеющих аккаунты в популярных онлайн-играх. Суммарное количество уникальных попыток загрузки трех модификаций эксплойта, занявших в рейтинге 1-е , 3-е место и 16-е месте, составило более 350 тыс.
Среди новичков, впервые попавших в рейтинг в апреле, присутствуют еще три эксплойта (2-е, 10-е, 13-е места) – к уязвимостям в продуктах Adobe Reader и Acrobat. Примечательно, что уязвимости, использованные тремя PDF-эксплойтами, относительно старые и были обнаружены в 2009 году. Эксплойты являются PDF документами, содержащими сценарии языка Java Script. Различные Trojan-Downloader, загружаемые ими, также скачивали на компьютер жертвы множество других вредоносных самплов. Среди зловредов, загружаемых на зараженные с помощью эксплойта Pdfka.cab (2-е место) компьютеры, были обнаружены модификации семейства PSWTool.Win32.MailPassView. Программы этого семейства используются для кражи логинов и паролей к электронной почте.
Packed.Win32.Krap.gy, занявший 19-е место в рейтинге, как и большинство представителей этого семейства упаковщиков, скрывает фальшивые антивирусы. Одним из источников распространения фальшивок является HTML-страница, детектируемая «Лабораторией Касперского» как Trojan.HTML.Fraud.am (20-е место).
Количество уникальных попыток загрузки Twetti.c (5-е место) составило 90 тысяч. Этот троянец по функциональности ничем не отличается от своего менее обфусцированного предшественника - Twetti.a, о котором мы рассказывали в декабре.
По итогам апреля очевидна одна из основных тенденций последнего времени: злоумышленники активно используют эксплойты, исходные коды которых широко распространены. В большинстве случаев целью таких атак является кража конфиденциальных данных пользователей. Киберпреступники пытаются заполучить доступ к аккаунтам почтовых систем, сервисов онлайн-игр и различных веб-сайтов. Число таких попыток в апреле составляет сотни тысяч. Украденные данные в дальнейшем могут быть проданы и/или использованы для распространения вредоносных программ.
Страны, в которых отмечено наибольшее количество попыток заражения через веб:
http://www.securelist.com/ru/analysis/208050633/Reyting_vredonosnykh_programm_aprel_2010