Підсумки вірусної активності - перший квартал 2011 року
Пропонуємо Вашій увазі підсумки вірусної активності за перший квартал 2011 року. Цей огляд побудований на основі анонімної статистичної інформації, яку антивірусна лабораторія Zillya! отримує від користувачів наших продуктів. При цьому збирається анонімна інформація про те, які віруси були виявлені антивірусними продуктами лінійки Zillya!, що дозволяє нам побудувати звіти стосовно поширеності того чи іншого шкідливого ПЗ як в цілому, так і в окремо заданому регіоні.
Отже, ми провели аналіз поширеності шкідливих програм, розглядаючи їх за сімействами. Загальна картина популярності виглядає наступним чином:
№ | Найменування сімейства | Об’єм інцидентів |
1 | Trojan.Agent.Win32 | 2,73% |
2 | Worm.Conficker.Win32 | 2,69% |
3 | Worm.Palevo.Win32 | 1,89% |
4 | Worm.AutoRun.Win32 | 1,58% |
5 | Dropper.Agent.Win32 | 1,54% |
6 | Downloader.FlyStudio.Win32 | 1,47% |
7 | Virus.Sality.Win32 | 1,3% |
8 | Trojan.Buzus.Win32 | 1,2% |
9 | Downloader.Agent.Win32 | 1,14% |
10 | Trojan.Pincav.Win32 | 1,1% |
На першому місці за популярністю знаходиться сімейство троянських програм Trojan.Agent.Win32. До цього сімейства зазвичай відносять типові невеликі троянські програми, які виконують складову функцію якогось троянця, що складається з безлічі файлів. Такі троянські програми потрапляють на комп'ютер у складі іншого шкідливого ПЗ: мережевих хробаків, а також інших троянських програм.
Наступні три місця займають комп'ютерні хробаки Worm.Conficker.Win32, Worm.Palevo.Win32 і Worm.AutoRun.Win32, складаючи в сумі понад 6% всіх зафіксованих інцидентів. Примітно, що всі ці черв'яки переміщуються за допомогою змінних накопичувачів (як правило, flash-накопичувачів), і для хробаків Worm.Palevo.Win32 і Worm.AutoRun.Win32 «флешки» є основним засобом поширення від одного комп'ютера до іншого. Епідемії ж хробака Worm.Conficker.Win32, як правило, виникають за рахунок локальних мереж з великою кількістю комп'ютерів, користувачі яких абсолютно не дбають про безпеку свого ПК. Для поширення від комп'ютера до комп'ютера хробак використовує вразливість операційної системи Windows, яка давно не оновлювалася. Ця уразливість вже дуже давно виправлена.
На п'ятому місці знаходиться сімейство Dropper.Agent.Win32. Дане сімейство «дропперів» часто використовується авторами троянських програм для установки своїх творінь у системи користувачів. По суті Дроппер - це інсталятор для троянської програми.
Шосте місце - Downloader.FlyStudio.Win32. «Даунлоадер» - це клас троянських програм, завдання яких полягає в тому, щоб завантажити з глобальної мережі Інтернет інші троянські програми і запустити їх в заражені системи. Сімейство FlyStudio є дуже популярним у даний час. Ці троянські програми проникають на комп'ютери користувачів з заражених WEB-сайтів і щільно «вгризаються» в систему. Їх відмінною рисою є саме те, що вони дуже сильно чіпляються за заражену систему, мають безліч модулів для маскування, а також для самозахисту. «Живуть» на комп'ютері ці троянці, як правило, сім'ями, закачуючи нові і нові модулі та версії свого сімейства, все більше вкорінюючись на комп'ютері. При цьому автори можуть покладати на них найрізноманітніші функції, найчастіше пов'язані з розкраданням конфіденційної інформації.
На сьомому місці опинився файловий вірус Virus.Sality.Win32. Це єдиний представник комп'ютерних вірусів, саме в сенсі слова вірус, в «гарячій десятці». Як класичний вірус він паразитує на файлах системи, заражаючи їх. При цьому завдяки своїй «плодючості» (швидкості та масовості зараження файлів на дисках комп'ютера) його вкрай складно вивести. Як правило, в зараженій системі виявляються тисячі файлів, заражених цим вірусом.
Trojan.Buzus.Win32 на восьмому місці нашого хіт-параду. Це класичний «банківський » троян. Його метою, як правило, є розкрадання банківської інформації: інформації про кредитні картки, атрибутів доступу до платіжних банківських систем і т.п.
Дев'яте місце посів ще один завантажувач - Downloader.Agent.Win32. Як і його «родич», розташований в таблиці на кілька щаблів вище, Downloader.Agent.Win32 завантажує з глобальної мережі інші троянські програми і запускає їх.
Останнє місце в десятці найпоширеніших шкідливих програм зайняла троянська програма Trojan.Pincav.Win32. Основною відмінністю даного класичного представника троянських програм є те, що він відкриває мережевий порт і чекає, поки до нього підключаться зловмисники, отримуючи таким чином доступ до інфікованого комп'ютера.
Десятка найпопулярніших шкідливих програм, виявлених на персональних комп'ютерах на території України дуже схожа, але є деякі відмінності:
№ | Найменування сімейства | Об’єм інцидентів |
1 | Worm.Palevo.Win32 | 3,04% |
2 | Trojan.Agent.Win32 | 2,32% |
3 | Trojan.Pincav.Win32 | 1,52% |
4 | Worm.Padobot.Win32 | 1,45% |
5 | Trojan.FakeAV.Win32 | 1,35% |
6 | Trojan.Buzus.Win32 | 1,33% |
7 | Worm.AutoRun.Win32 | 1,32% |
8 | Trojan.Rozena.Win32 | 1,18% |
9 | Downloader.Agent.Win32 | 1,16% |
10 | Trojan.Swisyn.Win32 | 1,02% |
Так, на першому місці flash-хробак Worm.Palevo.Win32, що говорить про безтурботність користувачів по відношенню до переносних flash-накопичувачів.
Також на 5-му місці Ви можете відзначити присутність сімейства троянських програм Trojan.FakeAV.Win32. Таке ім'я присвоюється нашими вірусними аналітиками підробленим антивірусним програмам. Ці програми, як правило, маскуються під відомі антивірусні бренди і залякують користувача, відображаючи інформацію про виявлення сотень інших шкідливих програм. При цьому для того, щоб нібито вилікувати ці міфічні віруси, необхідно заплатити цілком реальні гроші. Природно, розлучившись з грошима, жертва аферистів не отримує нічого натомість.
Окремо варто також звернути увагу на таблицю поширеності шкідливих програм, виявлених у Російських користувачів ПК:
№ | Найменування сімейства | Об’єм інцидентів |
1 | Worm.Palevo.Win32 | 3,07% |
2 | Trojan.Agent.Win32 | 2,49% |
3 | Trojan.Agent2.Win32 | 1,72% |
4 | Trojan.XBlocker.Win32 | 1,55% |
5 | Worm.AutoRun.Win32 | 1,48% |
6 | Dropper.Agent.Win32 | 1,41% |
7 | Trojan.OnLineGames.Win32 | 1,27% |
8 | Trojan.Buzus.Win32 | 1,22% |
9 | Downloader.FraudLoad.Win32 | 1,2% |
10 | Downloader.Agent.Win32 | 1,17% |
Важливою особливістю є наявність в «десятці» двох шкідливих програм: Trojan.XBlocker.Win32 і Trojan.OnLineGames.Win32.
Trojan.XBlocker.Win32 відноситься до класу «блокувальників». Проникаючи на комп'ютер, вони міцно вгризаються в систему, після чого блокують її, не даючи можливості користувачеві що-небудь зробити. При цьому вони вимагають гроші (частіше за все шляхом відправки повідомлення по СМС), у обмін на які користувач нібито отримає код для розблокування комп'ютера. Часто блокування комп'ютера супроводжується появою на екрані зображення порнографічного характеру, що підштовхує користувача здійснити оплату неіснуючого коду якомога швидше. При цьому, сплативши вказану суму, користувач не отримує ніякого коду, і залишається зі своєю проблемою сам на сам. У випадку, якщо Ваш комп'ютер заражений такою програмою і Ви нічого не можете зробити, ми рекомендуємо Вам скористатися Zillya! LiveCD диском, завантажившись з якого Ви зможете вивести цю нечисть з вашого ПК.
Trojan.OnLineGames.Win32 - сімейство троянських програм, що крадуть авторизаційні дані ігрових акаунтів популярних он-лайн ігор.
Отже, основним джерелом загроз для користувачів в першому кварталі 2011 року були знімні flash-накопичувачі, а також заражені WEB-сайти. При цьому багато троянських програм займаються крадіжкою конфіденційної фінансової інформації або здирництвом в тому чи іншому вигляді.