3 października 2006

Kaspersky Lab publikuje listę On-line Scanner Top 20 wrzesień 2006

Kaspersky Lab prezentuje listę "On-line Scanner Top 20" opartą na analizie danych zgromadzonych przez ekspertów z laboratorium antywirusowego przy użyciu skanera on-line we wrześniu 2006 roku. Ranking ten daje prawdziwy obraz zagrożeń znajdujących się w komputerach użytkowników w danym momencie, podczas gdy lista najpopularniejszych wirusów, oparta wyłącznie na danych z ruchu pocztowego, informuje o zagrożeniach, które zostały zablokowane zanim dotarły do użytkowników.

Pod koniec sierpnia przedstawiliśmy nietypowe zestawienie "On-line Scanner Top 20". Od tego czasu krajobraz złośliwego oprogramowania powrócił mniej więcej do normy.

Miejsca zajmowane w zeszłym miesiącu przez robaki zostały przejęte przez złośliwe programy, które tradycyjnie goszczą na liście sporządzanej na podstawie danych zgromadzonych przy użyciu skanera on-line: programy typu Trojan-Downloader i Trojan-Dropper.

Nowym liderem jest w tym miesiącu Trojan-Downloader.Win32.Delf.awg, który pojawił się 6 września, gdy tysiące użytkowników mail.ru otrzymało dziwną wiadomość e-mail od dziewczyny chcącej pokazać swoje zdjęcia zrobione podczas lata i podzielić się opowieściami z wakacji. Odbiorcy wiadomości nie znali żadnej Mashy/ Lizy/ Leny, która miała być rzekomym nadawcą, mimo to otworzyli wiadomość i klikali załącznik w nadziei, że zobaczą coś ładnego. Jest to wypróbowany przykład socjotechniki, który i tym razem okazał się skuteczny i przyczynił się do powstania jednej z największych epidemii szkodnika Trojan-Spy LdPinch, jakiej byliśmy świadkami w ciągu ostatnich kilku miesięcy. LdPinch był programem instalowanym na komputerach niczego niepodejrzewających i nieostrożnych użytkowników przez trojana Delf.awg.

Z sierpniowych niespodzianek tylko Backdoor.IRC.Zapchast zdołał utrzymać swoją pozycję, a nawet wspiąć się na drugie miejsce. To, jak również 20 miejsce szkodnika Backdoor.Win32.mIRC-based i 18 miejsce backdoora Backdoor.Win32.Rbot.gen, wskazuje na ponowne zainteresowanie twórców wirusów tworzeniem botnetów, które można kontrolować za pośrednictwem IRC.

Robaki Rays i Brontok, które w sierpniu zostały zepchnięte przez inne złośliwe programy na sam dół listy, powróciły do pierwszej piątki. Interesujące jest to, że mimo zdolności rozsyłania się za pośrednictwem poczty elektronicznej, robaki te rozprzestrzeniają się poprzez kopiowanie się do wszystkich zasobów sieciowych dostępnych na komputerze ofiary. Liczne pytania na forum Kaspersky Lab dotyczące infekcji robaków Rays i Brontok świadczą o tym, że stosowane przez nie podejście jest skuteczne.

Parite.b, klasyczny wirus plikowy, również nie pozostaje w tyle. Szkodnik ten istnieje już od kilku lat i pojawia się w raportach prawie wszystkich głównych firm antywirusowych. Parite.b jest niekwestionowanym liderem wśród klasycznych wirusów. Nie jest jednak możliwe znalezienie analogicznego lidera wśród robaków czy trojanów. Do rankingu 20 najpopularniejszych złośliwych programów powrócił również inny podobny wirus - Hidrag.a. Zaczynamy poważnie zastanawiać się, czy raport o śmierci wirusów klasycznych nie był przedwczesny. Wirusy plikowe nie potrafią rozprzestrzeniać się tak szybko jak robaki, jednak jeśli uda im się zainfekować system, natychmiast zarażą wszystkie pliki wykonywalne, umieszczając się głęboko w systemie. Aby się ich pozbyć, użytkownik musi przeprowadzić skanowanie nie jeden raz, ale wielokrotnie i systematycznie; może okazać się, że zainfekowany został nie tylko jeden komputer, ale również komputery sąsiednie w sieci lokalnej, od których system może zostać ponownie zainfekowany.

Niespodzanką była liczba robaków pocztowych i brak jakichkolwiek programów typu Trojan-Spy we wrześniowej liście. Banker.ark, okazjonalny lider w ciągu ostatnich sześciu miesięcy, który w sierpniu uplasował się na 14 miejscu, w tym miesiącu nie odzyskał pozycji lidera. Pojawiło się za to sporo robaków: oprócz wspomnianego już Raysa i Brontoka, we wrześniu użytkowników atakowali Scano.ag, Warezov.aj i .at, oraz weteran list - Bagle.fj. Przewidujemy, że w październiku Warezov prawdopodobnie zniknie z zestawienia, jednak Bagle i Scano będą stałą pozycją na liście przez najbliższy czas.

Pełny raport znajduje się w Encyklopedii Wirusów firmy Kaspersky Lab pod adresem http://viruslist.pl/analysis.html?newsid=315.