Итоги вирусной активности за Апрель 2011 года

Антивирусная лаборатория Zillya! составила итоговый обзор вирусной активности за апрель 2011 года. Напоминаем, что анализ активности проводится на базе анонимной информации об обнаруженных вредоносных программах, получаемой от пользователей наших антивирусных продуктов.

Десятка наиболее популярных вредоносных программ, которые были обнаружены антивирусными продуктами Zillya! в апреле, выглядит следующим образом:

Сразу бросается, что первые 5 наименований - это файловые вирусы (причём первые 3 позиции занимают различные модификации распространённого вируса Sality).

Важная особенность, на которую обратила внимание наша лаборатория: файловые вирусы зачастую распространяются вместе с другими вредоносными программами, как правило - червями. Происходит это от того, что чаще всего вирусы и черви плодятся у тех пользователей, которые не заботятся о чистоте своих ПК. Таким образом, их компьютеры часто оказываются заражены одновременно несколькими червями, троянскими программами и вирусами. Причём файловые вирусы заражают как чистые программы на компьютере, так и червей. Бывают ситуации, когда файлы заражены сразу несколькими вирусами (сначала одним вирусом, а поверху другим).

Таким образом, на многих FLASH дисках наших пользователей были обнаружены файлы червей (чаще всего семейства Worm.Palevo.Win32), которые поверху были заражены одним или двумя файловыми вирусами. Естественно, в результате запуска такого файла на чистом компьютере, он заражается не одним червём, а целым букетом нечисти.

Ситуация усугубляется ещё и тем, что заражая файл червя, вирус несколько модифицирует его тело (в антивирусной практике при лечении сложных полиморфных вирусов, при удалении тела вируса из файла, как правило не удаётся вернуть файл в точно изначальное состояние).

Десятка вредоносных программ, среди зараженных ПК находящихся только на территории Украины очень похожа, но есть некоторые отличия:

Так, в TOP попал сетевой червь Worm.Kido.Win32.6. Примечательно, что данный червь очень старый. Запись для его детектирования была добавлена в антивирусные базы ещё в 2009 году. Червь использует для распространения уязвимость операционной системы Windows (очень старую уязвимость, которая уже давно исправлена), а также несколько других трёков, позволяющих ему довольно эффективно размножаться в локальных сетях. Наличие данного червя в нашем обзоре говорит только о том, что в нашей стране есть несколько крупных локальных сетей, компьютеры которых заражены данным червём.

Причём количество таких (зараженных) компьютеров может быть не высоко. Но при этом даже всего один такой компьютер в сети создаёт проблемы её пользователям, постоянно атакуя все остальные компьютеры в сети, с попытками заразить их. Видимо именно эти попытки, которые отражаются установленными продуктами Zillya!, и возвели старичка Kido на пятое место рейтинга популярных в Украине вирусных угроз.

Если взглянуть на итоги апреля с точки зрения популярности тех или иных семейств вирусов, то картина выглядит следующим образом:

Остановимся на наиболее интересных пунктах рейтинга.

Третье место занимает семейство файловых вирусов Sality. К сожалению, этот вирус очень плодовит и вывести эту заразу крайне сложно. Видимо ещё долго он будет занимать почётное место в наших рейтингах.

На четвёртом месте семейство сетевых червей Worm.Kido.Win32 (или Worm.Conficker.Win32). Несмотря на то, что основная дверь для Kido на многие компьютеры закрыта (речь идёт о устранённой уязвимости в операционной системе Windows), тем не менее червь умудряется эффективно распространяться в сетях, а также поселяться на FLASH-дисках пользователей.

На шестом месте семейство вредоносных программ Trojan.FakeAV.Win32. Это троянские программы, маскирующиеся под антивирусы. Попадая в систему, они наводят на пользователя ужас множеством сообщений о мифических заражениях компьютера и всяческими способами подталкивают его заплатить деньги за псевдо-антивирус.

Седьмое место – семейство компьютерных червей Worm.Palevo.Win32. В данный рейтинг он попал благодаря огромному количеству существующих модификаций данного семейства, а также беспечности пользователей. Основное место обитания данного червя – переносные накопители («флешки»). Так, на одном из флеш-дисков (предоставленном нам на анализ) мы обнаружили 12 (!) модификаций червя, каждый из которых заразил диск, создав свою собственную папку и поселившись в ней.

Замыкает десятку семейство мошеннических программ Tool.ArchSMS.Win32. Данная программа предлагает пользователям за деньги установить бесплатное программное обеспечение. Визуально она напоминает самораспаковывающийся архив, но при этом для распаковки необходимо заплатить определённую сумму денег. Как правило, эти пакеты действительно содержат в себе архив с паролем, содержащий интересующую пользователя программу. Мошенничество заключается в том, что содержимое такого «платного архива» как правило берётся мошенниками в интернете в свободном виде, и ни копейки из оплаченных Вами средств не поступает разработчикам самого программного обеспечения. То есть Вам предлагается заплатить деньги за то, что Вы и так можете бесплатно загрузить из сети на законных основаниях. Команда Zillya! встречала в сети такие платные дистрибутивы продуктов Zillya! Антивирус и Zillya! Internet Security. Обращаем Ваше внимание, что мы не имеем никакого отношения к данным архивам, и рекомендуем Вам загружать дистрибутивы продуктов с официального сайта разработчика совершенно бесплатно.