1 września 2006

Kaspersky Lab publikuje listę On-line Scanner Top 20 sierpnień 2006

Kaspersky Lab prezentuje listę "On-line Scanner Top 20" opartą na analizie danych zgromadzonych przez ekspertów z laboratorium antywirusowego przy użyciu skanera on-line w sierpniu 2006 roku. Ranking ten daje prawdziwy obraz zagrożeń znajdujących się w komputerach użytkowników w danym momencie, podczas gdy lista najpopularniejszych wirusów, oparta wyłącznie na danych z ruchu pocztowego, informuje o zagrożeniach, które zostały zablokowane zanim dotarły do użytkowników.

Sierpniowa lista "Online Scanner Top 20" z jednej strony podtrzymuje obserwowane dotychczas trendy, z drugiej zaś zawiera wiele szkodliwych programów, które nigdy wcześniej nie trafiły do rankingu. Warto przyjrzeć im się z bliska.

Trzy pierwsze pozycje sierpniowego zestawienia są bardzo podobne do tych z listy najpopularniejszych wirusów z początku 2006 roku: trzy robaki, z których dwa odznaczyły się w latach 2004-2005. Obydwa te robaki odpadły z listy najpopularniejszych wirusów, co wskazuje na to, że nie krążą one już tak intensywnie w wiadomościach e-mail. Dlaczego więc znalazły się one na liście "Online Scanner Top 20"? Powodów może być kilka. Najważniejszym jest inny sposób gromadzenia danych do poszczególnych zestawień. Lista najpopularniejszych wirusów bazuje na danych generowanych przez oprogramowanie antywirusowe Kaspersky Lab zainstalowane na kilku kluczowych serwerach pocztowych. Zestawienie to odzwierciedla liczbę przechwyconych i usuniętych szkodliwych programów. Z kolei lista "Online Scanner Top 20" odnosi się do komputerów poszczególnych użytkowników, którzy mogą nie posiadać żadnego oprogramowania antywirusowego. Z tego powodu zestawienie to jest bardzo losowe i zróżnicowane.

Trzecie i czwarte miejsce sierpniowego rankingu zajmują Nyxem.e oraz Trojan-Dropper.Win32.Agent.asl. Nyxem.e w ciągu ostatnich kilku miesięcy dokonał zmartwychwstania i obserwujemy jego zwiększoną aktywność w ruchu pocztowym. Pojawienie się tego robaka na liście "Online Scanner Top 20" było zatem wyłącznie kwestią czasu. Agent.asl mimo utraty wskaźnika procentowego zdołał przesunąć się o jedno miejsce w górę.

Kolejnych sześć pozycji okupuje mieszanka najnowszych niebezpiecznych programów, wirusów znanych już od kilku lat oraz weterana, który nie może funkcjonować we współczesnych systemach operacyjnych.

Do pierwszej kategorii należą Trojan-Downloader.Win32.Agent.arc oraz Trojan-Proxy.Win32.Horst.av. Horst.av stanowi obecnie bez wątpienia największe zagrożenie dla użytkowników. Ten stosunkowo skomplikowany wieloelementowy trojan zawiera rootkita i wykorzystuje szereg technik polimorficznych w celu ukrywania się przed oprogramowaniem antywirusowym.

Drugą kategorię reprezentują Backdoor.IRC.Zapchast, Backdoor.Win32.mIRC-based oraz Netsky.a. Jak widać po nazwach, dwa pierwsze szkodniki są backdoorami kontrolowanymi przez kanały IRC. Zapchast jest wykrywany już od 2002 roku. Od tego czasu liczba znanych wersji tego backdoora przekroczyła tysiąc. Prawdopodobnie jedna z tych wersji wywołała epidemię w sierpniu 2006 r., zapewniając backdoorowi miejsce w rankingu.

Virus.DOS.PS-MPC-based to prawdziwa niespodzianka w zestawieniu. Nie jest to konkretny zainfekowany plik, lecz cała masa wariantów stworzonych przy użyciu konstruktora wirusów PS-MPC. Wygląda na to, że niektórym cyberwandalom wydaje się, że przy użyciu takich konstruktorów można jeszcze stworzyć niewykrywalny szkodliwy program. Jest to jedyne logiczne wytłumaczenie tak wysokiej pozycji tej przestarzałej już sygnatury.

Dolna połowa tabeli, zawierająca szkodniki Rays, Brontok, Perflogger (program przechwytujący znaki wprowadzane z klawiatury) oraz Parite.b, wygląda bardzo znajomo. Banker.anv, stały bywalec czołowych miejsc, spadł w sierpniu aż o 14 pozycji. Nie można jednak wykluczyć jego powrotu na szczyt we wrześniu.

Ostatnie dwa miejsca zajmują programy, które kompletnie nie pasują do zestawienia. Możliwe jest jednak, że są one blisko związane z backdoorem Backdoor.IRC.Zapchast, o którym pisaliśmy powyżej. W takim przypadku ich obecność na liście jest logiczna. Jeszcze dziwniejsze jest miejsce 16, na którym znalazł się linuksowy robak Ramen. Wprawdzie jest to najszerzej rozprzestrzeniony robak działający w środowisku Linux, jednak jeszcze nigdy nie odznaczył się on aż tak wysoką aktywnością. Z pewnością warto obserwować poczynania Ramena we wrześniu.

Pełny raport znajduje się w Encyklopedii Wirusów firmy Kaspersky Lab pod adresem http://viruslist.pl/analysis.html?newsid=296.