4 maja 2007

Kaspersky Lab publikuje listę On-line Scanner Top 20 kwiecień 2007

Kaspersky Lab, producent oprogramowania antywirusowego i służącego do ochrony danych, prezentuje listę "On-line Scanner Top 20" opartą na analizie danych zgromadzonych przez ekspertów z laboratorium antywirusowego przy użyciu skanera on-line w kwietniu 2007 roku. Ranking ten daje prawdziwy obraz zagrożeń znajdujących się w komputerach użytkowników w danym momencie, podczas gdy lista najpopularniejszych wirusów, oparta wyłącznie na danych z ruchu pocztowego, informuje o zagrożeniach, które zostały zablokowane zanim dotarły do użytkowników.

Stało się już regułą, że liderzy zestawienia Online Scanner Top 20 się zmieniają, jednak kwietniowy zwycięzca jest wyjątkowo nietypowy. W szkodliwych programach z kategorii trojan-proxy nie ma nic szczególnego, ten jednak jest wyjątkowy: Dlena.cb należy do licznej rodziny trojanów (znanych jest około 90 wersji), które są wykrywane przez analityków z Kaspersky Lab od ponad roku. W tym czasie nie pojawiły się żadne doniesienia od użytkowników komputerów zainfekowanych tymi trojanami, zatem oczywistym jest, że nie trafiły one nigdy do zestawienia Kaspersky Lab. Trojany te wydają się występować dość rzadko. Jednak teraz jeden z wariantów znalazł się na pierwszym miejscu kwietniowego zestawienia. Z reguły, gdy szkodliwy program aktywnie się rozprzestrzenia lub ma szansę na stanie się długoterminowym zagrożeniem (jak na przykład Warezov), już pierwsza jego wersja jest aktywna i trafia do zestawienia. Trojan Dlena potrzebował na to aż jednego roku.

Ogólnie w trojanie Dlena.cb nie ma nic nowego ? jest to typowy trojan-proxy, który może zostać wykorzystany do wysyłania spamu. Istnieją tuziny grup takich programów i dotychczas jedną z bardziej znanych była rodzina Horst. Wydaje się jednak, że w nieodległej przyszłości miejsce to może zająć właśnie Dlena.

Znacznie spadła liczba programów trojan-spy. W zestawieniu pozostał tylko jeden taki program - ProAgent, który zajmuje trzecie miejsce. Szkodnik ten jest znany od kilku lat. Przechwytuje dane wprowadzane z klawiatury zainfekowanego komputera i chociaż nie jest tak zaawansowany jak trojany kradnące informacje bankowe, to cieszy się znaczną popularnością wśród niedoświadczonych twórców szkodliwego oprogramowania.

Virtumonde, program adware, kontynuuje ewolucję. Ten szkodliwy kod występuje w zestawieniu Kaspersky Lab już od kilku miesięcy. Wiąże się to nie tylko z tym, że jego autorzy zaczęli wykorzystywać technologie rootkit w celu ukrywania swojego dzieła w zainfekowanych systemach, ale także z faktem dystrybuowania go z różnymi trojanami. Na przykład, INService.bl (obecnie na siódmym miejscu zestawienia) instaluje program Virtumonde wraz z innymi szkodnikami.

Small.a, wirus skryptowy zajmujący ósme miejsce listy, także jest interesujący. Mogło się wydawać, że czasy takich wirusów odeszły już w niepamięć - ostatnim ważnym reprezentantem tej grupy był Redlof wykryty kilka lat temu. Jednak, Small.a zdołał zainfekować wiele komputerów (szczególnie w Rosji) jako komponent innych szkodliwych programów.

Warte wspomnienia są także IM-Worm.Win32.Sohanad.t oraz not-a-virus:Porn-Dialer.Win32.GBDialer.i. Pierwszy należy do gwałtownie rozwijającej się klasy robaków rozprzestrzeniających się za pośrednictwem komunikatorów internetowych. Program z tej kategorii pojawił się w zestawieniu Kaspersky Lab po raz pierwszy. Możemy być jednak pewni, że w przyszłości coraz częściej będziemy obserwować wzmożoną aktywność tych szkodliwych programów.

W przeciwieństwie do robaków IM-Worm porno dialery odwiedzały już wcześniej listę Online Scanner Top 20. Mało tego, całkiem niedawno dialery stanowiły prawie połowę tabeli. Zastanawialiśmy się, co spowodowało tak nagły wzrost ich aktywności i czy mamy do czynienia ze stabilnym trendem. Aktywność dialerów nie uległa znacznemu zmniejszeniu, co świadczy o tym, że trend się utrzymał.

Pełny raport znajduje się w Encyklopedii Wirusów firmy Kaspersky Lab pod adresem: http://viruslist.pl/analysis.html?newsid=434.