Рейтинг вредоносных программ, январь 2009

Рейтинг вредоносных программ, январь 2009

По итогам работы Kaspersky Security Network (KSN) в январе 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга вредоносных программ формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

Позиция Изменение позиции Вредоносная программа
1   0 Virus.Win32.Sality.aa  
2   0 Packed.Win32.Krap.b  
3   1 Worm.Win32.AutoRun.dui  
4   -1 Trojan-Downloader.Win32.VB.eql  
5   3 Trojan.Win32.Autoit.ci  
6   0 Trojan-Downloader.WMA.GetCodec.c  
7   2 Packed.Win32.Black.a  
8   -1 Virus.Win32.Alman.b  
9   5 Trojan.Win32.Obfuscated.gen  
10   10 Trojan-Downloader.WMA.GetCodec.r  
11   New Exploit.JS.Agent.aak  
12   -1 Worm.Win32.Mabezat.b  
13   -3 Worm.Win32.AutoIt.ar  
14   1 Email-Worm.Win32.Brontok.q  
15   New Virus.Win32.Sality.z  
16   New Net-Worm.Win32.Kido.ih  
17   Return Trojan-Downloader.WMA.Wimad.n  
18   -2 Virus.Win32.VB.bu  
19   -2 Trojan.Win32.Agent.abt  
20   New Worm.Win32.AutoRun.vnq  

За первый месяц нового года в составе первой двадцатки не произошло серьезных изменений.

Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.

Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, описанная в прошлом выпуске схема распространения зловредных программ с использованием пиринговой сети и мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.

Помимо стабильно лидирующей версии .aa вируса Sality, активизировалась его версия .z, что делает Sality одним из самых распространенных и опасных семейств последнего времени.

В рейтинге пристутсвует также представитель яркого и нашумевшего семейства сетевых червей Kido, использующего критическую уязвимость в Microsoft Windows. Нынешняя эпидемия и попадание представителя этого семейства в рейтинг были ожидаемы, учитывая способ распространения и отличные количественные и динамические показатели этого червя, а также число потенциально уязвимых компьютеров.

Все вредоносные, рекламные и потенциально опасные программы, представленные в первом рейтинге, можно сгруппировать по основным классам детектируемых нами угроз. Саморазмножающиеся программы вновь преобладают над троянскими, что согласуется с тенденцией к увеличению популярности первых.

Всего в январе на компьютерах пользователей было зафиксировано 46014 уникальных вредоносных, рекламных и потенциально опасных программ. Таким образом, можно отметить, что праздничный период не повлек снижения числа угроз в среде «in-the-wild», а даже наоборот: в январе их стало на 7800 образцов больше, чем мы зафиксировали в декабре (38190).

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

Позиция Изменение позиции Вредоносная программа
1   0 Virus.Win32.Sality.aa  
2   0 Worm.Win32.Mabezat.b  
3   2 Net-Worm.Win32.Nimda  
4   -1 Virus.Win32.Xorer.du  
5   1 Virus.Win32.Alman.b  
6   3 Virus.Win32.Sality.z  
7   0 Virus.Win32.Parite.b  
8   2 Virus.Win32.Virut.q  
9   -5 Trojan-Downloader.HTML.Agent.ml  
10   -2 Virus.Win32.Virut.n  
11   1 Email-Worm.Win32.Runouce.b  
12   1 Worm.Win32.Otwycal.g  
13   1 P2P-Worm.Win32.Bacteraloh.h  
14   4 Virus.Win32.Hidrag.a  
15   5 Virus.Win32.Small.l  
16   -5 Virus.Win32.Parite.a  
17   Return Worm.Win32.Fujack.bd  
18   New P2P-Worm.Win32.Deecee.a  
19   -4 Trojan.Win32.Obfuscated.gen  
20   New Virus.Win32.Sality.y  

В первой двадцатке новым представителем Virus.Win32.Sality стал Sality.z, а здесь мы видим появление Sality.y, что в очередной раз доказывает высокую активность данного семейства саморазмножающихся программ.

Интересный новичок второго рейтинга – P2P-Worm.Win32.Deecee.a. Этот червь распространяется через пиринговую сеть DC++, а в качестве полезной нагрузки несет в себе способность загружать зловредные файлы. В состав второй двадцатки он попал потому, что при установке многократно копирует себя - то есть берет не столько числом зараженных машин, сколько числом копий на каждом инфицированном компьютере. После установки червь открывает общий доступ к своим вредоносным копиям. Имена распространяющихся таким образом исполняемых файлов имеют следующую структуру: сначала префикс, например «(CRACK)», «(PATCH)», затем имена различных популярных программных продуктов: «ADOBE ILLUSTRATOR (All Versions)», «GTA SAN ANDREAS ACTION 1 DVD» и тому подобные.

Вернувшийся в ноябре Worm.VBS.Headtail.a снова выпал из рейтинга, что подтверждает гипотезу о нестабильности его поведения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В системах управления уязвимостями 78% компаний ценят качество сканирования

Согласно результатам исследования, проведенного в R-Vision, основным критерием при выборе инструмента управления уязвимостями является качество сканирования. Этот параметр наиболее важен для 78% российских компаний.

Чтобы выяснить, какие задачи и как решаются в этой области, и понять, что влияет на выбор решений по управлению уязвимостями (Vulnerability Management, VM), эксперты провели опрос клиентов и партнеров, а также проанализировали обратную связь по пилотам R‑Vision VM за 2024 год и I квартал 2025-го.

В опросе приняли участие 83 респондента — руководители и специалисты по ИБ/ИТ, работающие в организациях разной величины и направленности (финансы, промышленность, нефтегаз, энергетика, транспорт, ретейл, телеком, ИТ, госсектор).

Участников опроса попросили оценить по 10-балльной шкале важность параметров, свидетельствующих о качестве сканирования, и наличия функций для построения процессов VM.

 

Опрос также показал рост интереса к дополнительным возможностям, способным повысить эффективность VM — таким как корреляция данных из различных источников, приоритизация уязвимостей на основе контекста и рисков, использование машинного обучения для прогнозирования угроз.

Так, финансисты, уделяющие много внимания ИБ, чаще ратуют за расширение аналитики и добавление ML, промышленникам хотелось бы включить в охват специфичные для отрасли среды, ретейлу важнее защита веб-ресурсов.

 

«Результаты опроса показывают, что для 78% респондентов качество сканирования — ключевой критерий при выборе VM-решения., — комментирует Ирина Карпушева, менеджер по продуктовому маркетингу R-Vision. — В то же время зрелость подходов к VM сильно варьируется в зависимости от размера организации. Крупные компании чаще переходят к комплексным решениям и выстраивают сквозные процессы, средний бизнес — в процессе перехода, малый по-прежнему опирается на сканеры, как правило, без дополнительной обвязки».

Качество сканирования — также первостепенный критерий для 74% участников пилотных проектов по внедрению R-Vision VM (за последний год было запущено более 70 пилотов).

Помимо проведения инструментальных проверок, в ходе этих мероприятий компании также изучали документацию (92%), чтобы оценить покрытие ОС, прикладных программ, сетевого оборудования, СУБД, а также обращали внимание на содержание карточек уязвимостей (86%), частоту обновления базы данных, правила детектирования и другие параметры.

 

Эксплойт уязвимостей уже несколько лет числится в топе способов взлома корпоративных сетей. Такие лазейки множатся, устранять их вовремя далеко не все успевают, и в результате спрос на VM-продукты и услуги растет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru