Kaspersky Lab przedstawia najpopularniejsze szkodniki stycznia 2009

2 lutego 2009 0 przez Grzegorz Pietrzak

Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w styczniu 2009 r. Lista jest tworzona na podstawie danych wygenerowanych przez Kaspersky Security Network (KSN), nową technologię zaimplementowaną w linii 2009 produktów przeznaczonych do użytku domowego.

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające
reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały
wykryte na komputerach użytkowników.

 

W pierwszym miesiącu nowego roku eksperci z Kaspersky Lab nie
zaobserwowali poważniejszych zmian w składzie pierwszego zestawienia 20
najpopularniejszych szkodliwych programów.

Trojan.HTML.Agent.ai i Trojan-Downloader.JS.Agent.czm, które pojawiły
się w grudniowym rankingu, ustąpiły miejsca exploitowi
Exploit.JS.Agent.aak. Z rankingu zniknął robak AutoRun.eee, zastąpiony
szkodnikiem Worm.Win32.AutoRun.vnq. Nie ma w tym nic dziwnego, ponieważ
są to klasy szkodliwych programów, które charakteryzują się częstą
zmianą modyfikacji.

Do gry powrócił Trojan-Downloader.WMA.Wimad.n, który wypadł z rankingu
w listopadzie. W ten sposób ranking zawiera trzy niestandardowe
downloadery, co świadczy o masowym rozpowszechnieniu tego typu programu
trojańskiego oraz zaufaniu użytkowników do plików multimedialnych.
Ponadto, opisana w poprzednim rankingu metoda rozprzestrzeniania się
poprzez wykorzystywanie sieci peer-to-peer oraz downloaderów
multimediów okazała się bardzo skuteczna. Świadczy o tym duży awans
szkodnika o nazwie Trojan-Downloader.WMA.GetCodec.r, który przeskoczył
aż o 10 miejsc w górę.

Na pierwszym miejscu pozostaje wirus Sality w wersji .aa. Ponadto
uaktywniła się wersja .z szkodnika z tej rodziny. Tym samym Sality
stanowi jedną z najbardziej rozpowszechnionych i niebezpiecznych rodzin
w ostatnim czasie.

W rankingu znajdują się również przedstawiciele niepospolitej i
niesławnej rodziny robaków sieciowych Kido, które wykorzystują
krytyczną lukę w zabezpieczeniach Microsoft Windows. Obecna epidemia
oraz obecność przedstawicieli tej rodziny w naszym zestawieniu nie
powinna nikogo dziwić, biorąc pod uwagę stosowaną przez Kido metodę
rozprzestrzeniania, znakomite ilościowe i dynamiczne wskaźniki tego
robaka, jak również liczbę niezabezpieczonych komputerów.

 

Wszystkie szkodliwe programy, aplikacje wyświetlające reklamy oraz
potencjalnie niebezpieczne narzędzia, które znajdują się w pierwszym
rankingu, można pogrupować według głównych klas wykrywanych przez nas
zagrożeń.
Po raz kolejny obserwujemy przewagę samodzielnie rozprzestrzeniających
się programów, które charakteryzują się tendencją wzrostową, nad
trojanami.
Ogólnie, w styczniu na komputerach użytkowników wykryto 46 014
unikatowych szkodliwych programów, aplikacji wyświetlających reklamy
oraz potencjalnie niebezpiecznych narzędzi. Okazuje się, że okres
świąteczny nie spowodował spadku liczby zagrożeń występujących „na
wolności” – wręcz przeciwnie: w styczniu wykryto o 7 800 więcej takich
próbek niż w grudniu (38 190).

Druga tabela przedstawia dane dotyczące szkodliwych programów, które
najczęściej infekowały obiekty wykryte na komputerach użytkowników.
Znajdują się tam w większości szkodliwe programy zdolne do infekowania
plików.

 

Nowym przedstawicielem wirusa Virus.Win32.Sality w pierwszym
zestawieniu 20 najpopularniejszych szkodliwych programów była wersja
Sality.z, w drugim natomiast – Sality.y, która już po raz dziewiąty
wskazuje na dużą aktywność tej rodziny samodzielnie
rozprzestrzeniających się programów.

Interesującą nowością w drugim rankingu jest robak
P2P-Worm.Win32.Deecee.a. Szkodnik ten rozprzestrzenia się za
pośrednictwem sieci peer-to-peer DC++, a jego szkodliwą funkcją jest
zdolność pobierania szkodliwych plików. Program ten zakwalifikował się
drugiego rankingu, dzięki temu że podczas instalacji wielokrotnie
kopiuje się – tj. swoją obecność wśród 20 najpopularniejszych
szkodliwych programów zawdzięcza nie tyle ilości zainfekowanych maszyn,
co liczbie swoich kopii na każdym zainfekowanym komputerze. Po
zainstalowaniu się, robak ten publicznie udostępnia swoje szkodliwe
kopie. Nazwy plików wykonywalnych, które rozprzestrzeniają się w ten
sposób, mają następującą strukturę: na początku znajduje się prefiks,
np. “(CRACK)”, “(PATCH)”, a następnie nazwa różnych popularnych
programów: “ADOBE ILLUSTRATOR (wszystkie wersje)”, “GTA SAN ANDREAS
ACTION 1 DVD” itd. Worm.VBS.Headtail.a, który powrócił do zestawienia w
listopadzie, znów z niego wypadł, potwierdzając hipotezę o
niestabilności swojego zachowania.