Gempo

Объявление

Администраторы:
Aiden
whisper-
2rbina
Liker
Модераторы:
Tidfall

!!!Набор Модераторов!!!



Вход
Gempo

IT-Форум.
Любишь технику? Программируешь? Создаешь сайты? Придумываешь новое? Тогда тебе сюда! Форум о технологиях и людях!
Если Ты Настоящий то тебе к Нам. Присоединяйся!

Advego.ru - наполнение сайтов информацией
У тебя имеются файлы? Ты хочешь на них заработать? Но ты не знаешь куда их залить чтобы получить хорошую прибыль?
Жми скорей сюда!
Ссылки:
Регистрация
News
Gempo Blog
Партнерские программы
Добавить в Избранное
Сделать стартовой
=))

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Gempo » News » Вирус Downadup/Conficker/Kido


Вирус Downadup/Conficker/Kido

Сообщений 1 страница 13 из 13

1

Вирус Downadup, использующий уязвимость MS08-067 в ОС Windows, заразил уже около 9 млн ПК, причем более 5 млн было инфицировано за последние 4 дня, сообщает компания F-Secure.

Новый компьютерный вирус Downadup стремительно распространяется среди корпоративных систем в США, Европе и Азии, говорится в отчете финской компании F-Secure.

По словам специалистов F-Secure, вирус Downadup, который они отслеживают уже несколько недель, распространяется в корпоративных сетях быстрее любого другого вредоносного ПО за последние годы и уже заразил почти 9 млн. компьютеров. Для сравнения, число компьютеров, зараженных знаменитым Storm Worm было почти в 9 раз меньше.

Как отмечает Патрик Руналд (Patrik Runald), главный советник по вопросам безопасности F-Secure, сейчас червь, известный под кодовыми названиями Downadup и Conficker, заражает компьютеры пользователей с помощью уязвимости MS08-067 в операционной системе Windows, но не наносит большого вреда системам. «Создатели этого вируса еще не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит Руналд.

Недавно компания Microsoft выпустила обновление для Windows, которое должно защитить пользователей от вируса. Большинство систем автоматически скачает новое обновление, однако, по словам Руналда, червь отключает функцию автоматического обновления на зараженных системах.

«В течение последних нескольких недель, новый вариант червя, использующего уязвимость MS08-067, распространяется среди пользователей», — говорится в сообщении в официальном блоге Microsoft. По словам представителей компании, вирус распространяется, получая доступ к одному компьютеру, после чего подбирает пароли к другим ПК в той же сети. «Если пароль простой, вирус может успешно заразить ПК».

По сведениям F-Secure, еще 13 января насчитывалось всего 2,4 млн зараженных ПК, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем.

На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей.

http://cnews.ru/news/top/index.shtml?2009/01/19/334882

2

Microsoft: $250 тыс за голову создателя червя Conficker
Microsoft заплатит вознаграждение в размере $250 тыс. за информацию, которая приведет к поимке хакеров, создавших червь Conficker.

Компания Microsoft вчера, 12 февраля, объявила о том, что заплатит $250 тыс. вознаграждения за сведения, которые приведет к аресту и суду над создателями Conficker, одного из самых опасных интернет-червей за последние годы.

По словам представителей софтверного гиганта, компания также активно сотрудничает со специалистами по безопасности, регистраторами доменных имен и Корпорацией по присвоению имен и номеров в интернете (ICANN) с целью выявить и отключить серверы, через которые проводятся атаки червя Conficker, сообщает Associated Press.

«Лучший способ победить такие потенциальные ботнеты, как Conficker/Downadup – совместная работа специалистов по безопасности и компаний, которые занимаются контролем над доменными именами. ICANN является сообществом, суть которого в том, чтобы координировать такие усилия и поддерживать безопасность и стабильность в Сети», - сказал Грэг Рэттрэй (Greg Rattray), главный советник по безопасности ICANN.

Напомним, что червь, известный под кодовыми названиями Downadup и Conficker, заражает компьютеры пользователей с помощью уязвимости MS08-067 в операционной системе Windows. Вирус распространяется, получая доступ к одному компьютеру, после чего подбирает пароли к другим ПК в той же сети. Недавно компания Microsoft выпустила обновление для Windows, которое должно защитить пользователей от вируса. Большинство систем автоматически скачает новое обновление, однако на зараженных системах функцию автоматического обновления червь отключает.

По сведениям компании F-Secure, еще 13 января насчитывалось всего 2,4 млн зараженных ПК, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем. По последним данным, число зараженных систем превышает 11 млн.

На сегодняшний день происхождение вируса остается неизвестным, однако специалисты F-Secure высказывали предположения, что Downadup был создан злоумышленниками из Украины — вирус не затрагивает компьютеры из этой страны. По мнению F-Secure, это говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей.

«Если авторы Conficker живут в той части мира, которая известна своим мягким отношением к киберпреступности – например, в России, на Украине или в Румынии – получить точные сведения о них будет сложно. Однако с другой стороны, $250 тыс. – это хороший стимул для хакеров, которые могут знать, кто ответственен за это. Обычно, организованные криминальные группы платят хакерам около $10 тыс. за организацию атак на большое число компьютеров», - сказал Джарт Армин (Jart Armin), редактор сайта Hostexploit.com, которые занимается исследованиями в области киберпреступности.

Компания Microsoft не впервые назначает награду за информацию о хакерах. В 2005 г. софтверный гигант заплатил $250 тыс. двум людям, которые помогли поймать Свена Джашана (Sven Jaschan), подростка, написавшего червя Sasser.

http://filearchive.cnews.ru/img/cnews/2009/02/13/ballmer3_15fce.jpg
Microsoft не впервые объявляет награду за поимку хакеров, обидевших Windows

http://cnews.ru/news/top/index.shtml?2009/02/13/337845

3

Обнаружена новая версия полиморфного сетевого червя Kido

"Лаборатория Касперского" обнаружила новую версию полиморфного сетевого червя Kido, которая отличается от предыдущих разновидностей усиленным вредоносным функционалом. Новая модификация вредоносной программы Kido, представленная Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq и другими вариантами, способна противодействовать работе антивирусных программ, запущенных на зараженном компьютере. В новой версии существенно возросло количество сайтов, к которым вредоносная программа обращается за регулярными обновлениями: с 250 до 50 000 уникальных доменных имен в день.

"Угрозы возникновения вирусной эпидемии новой разновидности Kido пока нет, - говорит ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк. - Однако если обновленный Kido сможет собой заменить ранее установленные на зараженных компьютерах модификации, то это может вызвать серьезные проблемы в противодействии создателям вредоносной программы".

Напомним, что Kido представляет собой червя с функционалом типа Trojan-Downloader, то есть он осуществляет доставку других вредоносных программ на зараженный компьютер пользователя. Первые случаи заражения этой вредоносной программой были зафиксированы в ноябре 2008 года.

"Лаборатория Касперского" рекомендует всем пользователям установить обновление MS08-067 (http://www.microsoft.com/technet/securi … 8-067.mspx) для Microsoft Windows, поскольку вредоносная программа использует критическую уязвимость операционной системы для распространения через локальные сети и съёмные носители информации. Антивирусное решение с актуальными сигнатурными базами и настроенный сетевой экран также могут предотвратить заражение.

Запись о новых вариантах Kido была добавлена в антивирусные базы "Лаборатории Касперского" в субботу, 7 марта. Пользователи антивирусных продуктов "Лаборатории Касперского", обновившие операционные системы с помощью патча компании Microsoft, полностью защищены от вредоносной программы Kido.

http://www.donbass.ua/news/technology/i … -kido.html

4

Рейтинг вредоносных программ, февраль 2009

По итогам работы Kaspersky Security Network (KSN) в феврале 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга вредоносных программ формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

Как видим наш любимый кидо в поднятии:) Кстати если у вас не грузится страница касперского или симантека то вы тоже заражены.
Проверьтесь))

http://www.viruslist.com/ru/analysis?pubid=204007647

5

Не открываются сайты маукрософта и симантека((( Бля(((
нашел процесс которого раньше не палил(кстати часто встречается мне в универе :idea: ) rundll32.exe
Вот что нашел в гугле

Дело в том, что сами по себе rundll.exe и rundll32.exe - нормальные программы, входящие в состав Windows. Но они предназначены для запуска других программ, вернее, исполняемого кода DLL-файлов - и вот тут-то и кроется путь запуска разных шпионов. То есть одна вполне легитимная программа (rundll32.exe) запускает другую, которая задается как ее аргумент в командной строке, например: "rundll32.exe w3knet.dll,dllinitrun". Поэтому в случае с rundll32.exe надо смотреть не на exe-файл, а на параметры его командной строки - библиотеку, которую он запускает. Возможно имеет место быть шпион w3knet.

Как узнать библиотеку открывающую?

rundll32.exe (Microsoft Rundll32) - утилита командной строки, которая позволяет запускать некоторые команды-функции, заложенные в DLL-файлах. Дданная утилита была разработана для внутреннего пользования программистами Microsoft.
Файл всегда расположен в каталоге C:\Windows\System32. В случае обнаружения файла с таким именем в любом другом каталоге он должен быть немедленно удален. Сетевые черви W32/Lovgate-AB, W32/Deloder-A, трояны Troj/Lineage-AR, Troj/LegMir-AS и Troj/Delf-AC и множество других злонамеренных программ используют имя rundll32.exe для сокрытия своего присутствия в системе.

Поискал я эту херню у себя... Смотрите картинку.. Пидец...

Вот еще статья какаято
http://subscribe.ru/archive/comp.soft.w … 10218.html

6

лол поповоду скрина не шариш вообще

7

допустим ты много шаришь. обьясни ..

8

Компания Eset представила список самых распространенных интернет-угроз, выявленных специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net в мае 2009 г.
Несмотря на то, что во всем мире в мае общее число заражений вредоносной программой Conficker снизилось, в российском рейтинге угроз версии червя Win32/Conficker.AA (9,76%) и Win32/Conficker.AE (6,11%) по-прежнему занимают первое и второе места соответственно. Общий процент заражения Conficker в России составляет 21,26%.
«Широкое распространение червя Conficker в России на фоне спада заражений в общем мировом рейтинге угроз объясняется высоким уровнем пиратства в нашей стране, - отметил Григорий Васильев, технический директор Eset. - Главным способом распространения Conficker является использование уязвимости операционной системы Microsoft Windows. Несмотря на то, что компания Microsoft выпустила обновление, закрывающее данную уязвимость, еще в октябре прошлого года, Conficker из месяца в месяц неизменно занимает верхнюю позицию рейтинга вредоносного ПО в России».
В целом, двадцатка самых распространенных угроз в России за май 2009 г. выглядит следующим образом:
Win32/Conficker.AA 9,76% Win32/Conficker.AE 6,11% INF/Autorun 5,43% Win32/Agent 3,73% INF/Conficker 3,46% Win32/Conficker.Gen 3,10% Win32/Tifaut.C 2,35% INF/Autorun.gen 2,08% Win32/Conficker.X 1,71% Win32/Genetik 1,46% Win32/Conficker.Gen~alg 1,39% Win32/Conficker.AB 1,30% Win32/Conficker.AL 1,07% Win32/Packed.Autoit.Gen 0,96% Win32/TrojanDownloader.Wigon.BS 0,95% PDF/Exploit.Pidief.OJS.Gen 0,88% Win32/AutoRun.KS 0,87% Win32/AutoRun.FakeAlert.M 0,86% Win32/Packed.Themida 0,80% Win32/VB.NUB 0,76%
В мировом вирусном рейтинге самой распространенной угрозой в мае этого года стали программы, использующие файл Autorun.inf – 10,9%. Червь Conficker занимает вторую строчку. В целом на вредоносные программы данного семейства приходится 9,98% заражений.
Новой тенденцией в мировом рейтинге угроз в мае, по информации Eset, стало уменьшение числа троянских программам семейства Win32/PSW.OnLineGames, предназначенных для кражи паролей к учетным записям многопользовательских онлайн-игр. Из месяца в месяц распространенность данных программ падает. Сегодня в мировом рейтинге угроз на вариации Win32/PSW.OnLineGames приходится 6,01%.
В целом, майская десятка наиболее распространенных в мире вредоносных программ включает:
INF/Autorun 10,90% Win32/Conficker 9,98% Win32/PSW.OnLineGames 6,01% Win32/Agent 2,88% INF/Conficker 1,80% Win32/Toolbar.MywebSearch 1,30% WMA/TrojanDownloader.GetCodec 1,28% Win32/Qhost 1,05% Win32/Pacex.Gen 0,98% Win32/Autorun 0,86%

http://www.rosinvest.com/news/554466/

9

Aiden написал(а):

допустим ты много шаришь. обьясни ..

прочитай про технологии prefetch и сам все поймешь

10

Разобради более менее. Теперь далее. Как оказалось что червь не умер, а продолжает веселиться на наших машинах.

версию рейтинга вредоносных программ. Две вирусные двадцатки сформированы на основе данных, полученных системой Kaspersky Security Network (KSN) в июне 2009 г.
В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер. Использование статистики on-access позволяет проанализировать самые свежие, опасные и распространенные вредоносные программы, которые были заблокированы при запуске, либо при их загрузке из Сети на компьютер пользователя, пояснили в «Лаборатории Касперского».

В целом, июньская вирусная двадцатка выглядит следующим образом: (Знайте малварь в лицо!!)
1.Net-Worm.Win32.Kido.ih 58200
2.Virus.Win32.Sality.aa 28758
3.Trojan-Dropper.Win32.Flystud.ko 13064
4.Trojan-Downloader.Win32.VB.eql 12395
5.Worm.Win32.AutoRun.dui 8934
6.Trojan.Win32.Autoit.ci 8662
7.Virus.Win32.Virut.ce 6197
8.Worm.Win32.Mabezat.b 5967
9.Net-Worm.Win32.Kido.jq 5934
10.Virus.Win32.Sality.z 5750
11.Trojan-Downloader.JS.LuckySploit.q 4624
12.Virus.Win32.Alman.b 4394
13.Packed.Win32.Black.a 4317
14.Net-Worm.Win32.Kido.ix 4284
15.Worm.Win32.AutoIt.i 4189
16.Trojan-Downloader.WMA.GetCodec.u 4064
17.Packed.Win32.Klone.bj 3882
18.Email-Worm.Win32.Brontok.q 3794
19.Worm.Win32.AutoRun.rxx 3677
20.not-a-virus:AdWare.Win32.Shopper.v 3430

Net-Worm.Win32.Kido.ih продолжает удерживать пальму первенства. Более того, в таблице присутствуют еще две модификации этого червя — Kido.jq и Kido.ix. По всей видимости, такое обилие Kido в рейтинге связано с тем, что представители этого семейства распространяются в том числе и через съемные носители, на которые попадают с незащищенных компьютеров, отмечается в отчете «Лаборатории Касперского». По тем же причинам в рейтинге оказались представители семейства Autorun-червей — AutoRun.dui и AutoRun.rxx.
Кроме того, в рейтинг попал активно используемый злоумышленниками скриптовый троян — Trojan-Downloader.JS.LuckySploit.q.
На двадцатом месте расположился представитель рекламных программ — Shopper.v. По информации «Лаборатории Касперского», это одна из наиболее популярных программ такого типа (компания разработчик — Zango, ранее Hotbar — закрылась несколько месяцев назад). Приложение устанавливает различные панели в браузеры и почтовые клиенты и с их помощью показывает пользователю рекламные баннеры. При этом удалить эти панели из системы не так уж просто.
Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и освещает обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:

Trojan-Downloader.JS.Gumblar.a 27103
Trojan-Downloader.JS.Iframe.ayt 14563
Trojan-Downloader.JS.LuckySploit.q 6975
Trojan-Clicker.HTML.IFrame.kr 5535
Trojan-Downloader.HTML.IFrame.sz 4521
Trojan-Downloader.JS.Major.c 4326
Trojan-Downloader.Win32.Agent.cdam 3939
Trojan-Clicker.HTML.IFrame.mq 3922
Trojan.JS.Agent.aat 3318
Trojan.Win32.RaMag.a 3302
Trojan-Clicker.SWF.Small.b 2894
Packed.JS.Agent.ab 2648
Trojan-Downloader.JS.Agent.czm 2501
Exploit.JS.Pdfka.gu 2441
Trojan-Clicker.JS.Agent.fp 2332
Trojan-Dropper.Win32.Agent.aiuf 2002
Exploit.JS.Pdfka.lr 1995
not-a-virus:AdWare.Win32.Shopper.l 1945
not-a-virus:AdWare.Win32.Shopper.v 1870
Exploit.SWF.Agent.az 1747

Первое место во второй двадцатке занимает троянский загрузчик Gumblar.a, механизм действия которого является примером drive-by-загрузки. Он представляет собой зашифрованный скрипт небольшого размера, при исполнении перенаправлющий пользователя на зловредный сайт, с которого, в свою очередь, с помощью эксплуатации набора уязвимостей скачивается и устанавливается вредоносный исполняемый файл. Последний после установки в систему влияет на веб-трафик пользователя, изменяя результаты поиска в поисковой системе Google, а также ищет на компьютере пользователя пароли от FTP-серверов для последующего их заражения.
Таким образом, в распоряжении злоумышленников появляется ботнет из зараженных серверов, с помощью которых они могут загружать на компьютеры пользователей любые типы вредоносных программ. По данным «Лаборатории Касперского», количество зараженных серверов огромно, и, более того, распространение происходит по незащищенным компьютерам до сих пор.
Еще один примечательный образец drive-by-загрузок — троянский загрузчик LuckySploit.q, занявший третье место, а также отметившийся в первой двадцатке. LuckySploit.q вначале собирает информацию о конфигурации браузера пользователя, а затем отсылает эти сведения на зловредный сайт, зашифровывая их с помощью открытого RSA-ключа. На сервере эта информация расшифровывается с помощью закрытого RSA-ключа и, в соответствии с обнаруженной конфигурацией браузера, пользователю возвращается целый букет скриптов, которые эксплуатируют уязвимости, найденные на данном компьютере, и загружают зловредные программы.
Ряд вредоносных программ используют уязвимости программных продуктов крупных разработчиков. Так, присутствие в рейтинге эксплойтов Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr и Exploit.SWF.Agent.az говорит о популярности и уязвимости продуктов Adobe Flash Player и Adobe Reader, отмечают специалисты «Лаборатории Касперского». Кроме того, активно используются разнообразные уязвимости в решениях Microsoft: например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах ОС, а также в компонентах Microsoft Office.
«Лаборатория Касперского» также представила рейтинг стран, в которых отмечено наибольшее количество попыток заражения через веб: так, на Китай приходится 56,41% всех попыток заражения, на Россию – 5,92%, на США – 4,86%, на Индию – 3,34%, на Бразилию – 2,03% и 27,45% на другие страны.

http://safe.cnews.ru/news/line/index.sh … /07/353184

11

Компания Eset представила статистику наиболее распространенных интернет-угроз, выявленных специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net в августе 2009 г.

В августе в мировом и российском рейтинге интернет-угроз отмечается снижение числа компьютеров, инфицированных червем Conficker. Несмотря на то, что программа по-прежнему является самым распространенным вредоносным ПО в мире, общий процент заражений упал на 2% по сравнению с июлем 2009 г. и составил 8,56%. Похожая картина наблюдается и в России. Число заражений Conficker снизилось на 5,64% до 17,38%. Это самый низкий показатель с начала года.

На первом и втором месте российской вирусной двадцатки, как и раньше, остаются версии червя Win32/Conficker.AA (7,87%) и Win32/Conficker.AE (4,76%). Помимо России, Conficker также получил широкое распространение на Украине (25,59%), в Болгарии (13,48%) и Румынии (12,77%), отмечается в отчёте Eset.

Противоположная ситуация наблюдается с троянскими программами семейства Win32/PSW.OnLineGames, предназначенными для кражи учетных данных и доступа к аккаунтам игроков многопользовательских ролевых онлайн-игр. В августе число заражений данным вредоносным ПО в мировом рейтинге угроз практически достигло уровня Conficker и составило 8,28%. Самое большое распространение, по данным Eset, угроза получила в Польше (13,59%), в Турции (13,70%) и во Франции (10,07%). В России на Win32/PSW.OnLinegames пришелся всего 1% от общего числа вредоносных программ.

Намного более распространены в России угрозы, использующие файл Autorun.inf. Они занимают второе место (9,16%) в российском вирусном рейтинге и третье (7,80%) – в мировом.

В августе в мировой рейтинг угроз также вошли трояны Win32/TrojanDownloader.Swizzor (1,39%) и Win32/TrojanDownloader.Bredolab (0,89%). Обе программы используются злоумышленниками для загрузки дополнительного вредоносного ПО на инфицированный компьютер пользователя.
В целом, августовская двадцатка самых распространенных угроз в России выглядит следющим образом:

Win32/Conficker.AA 7,87%
Win32/Conficker.AE 4,76%
Win32/Agent 4,27%
INF/ Autorun 4,23%
Win32/Spy.Ursnif.A 3,37%
INF/Conficker 2,83%
INF/Autorun.gen 2,22%
Win32/Conficker.Gen 1,85%
Win32/Genetik1,69%
Win32/Conficker.X 1,51%
Win32/Tifaut.C 1,43%
Win32/Conficker.AB 0,94%
Win32/IRCBot.AMC 0,91%
Win32/AutoRun.KS 0,90%
Win32/Conficker.Gen~alg 0,90%
Win32/Conficker.AL 0,87%
Win32/TrojanDownloader.Bredolab.AA 0,82%
Win32/Sality~alg 0,82%
Win32/AutoRun.FakeAlert.M 0,80%
Win32/Spy.Agent 0,79%

В свою очередь, августовская десятка самых распространенных угроз в мире включает:
Win32/Conficker 8,56%
Win32/PSW.OnLineGames 8,28%
INF/Autorun 7,80%
Win32/Agent 3,57%
INF/Conficker 1,76%
Win32/Pacex.Gen 1,66%
Win32/TrojanDownloader.Swizzor 1,39%
Win32/Qhost 0,93%
Win32/TrojanDownloader.Bredolab 0,81%
WMA/TrojanDownloader.GetCodec 0,78%

12

«Лаборатория Касперского» опубликовала рейтинг вредоносных программ за сентябрь 2009 г., а именно – две вирусные двадцатки. Общие показатели обеих двадцаток несколько снизились – по информации «Лаборатории Касперского», это связано с запуском новой линии продуктов KAV/KIS (Kaspersky Anti-Virus/Kaspersky Internet Security): многие пользователи перешли на новую версию. Как только статистика KSN (Kaspersky Security Network) в новых версиях стабилизируется, она будет включена в ежемесячный рейтинг.

Первая представляет собой рейтинг самых распространенных вредоносных, рекламных и потенциально опасных программ по числу компьютеров, на которых они были обнаружены:
Net-Worm.Win32.Kido.ih 0 41033
Virus.Win32.Sality.aa 0 18027
not-a-virus:AdWare.Win32.Boran.z 0 12470
Net-Worm.Win32.Kido.ir New 11384
Trojan-Downloader.Win32.VB.eql -1 6433
Trojan.Win32.Autoit.ci -1 6168
Virus.Win32.Induc.a 3 5947
Virus.Win32.Virut.ce -2 5433
P2P-Worm.Win32.Palevo.jdb New 5169
Net-Worm.Win32.Kido.jq -2 4288
Worm.Win32.FlyStudio.cu New 4104
Worm.Win32.AutoRun.dui -5 4071
Virus.Win32.Sality.z -4 4056
P2P-Worm.Win32.Palevo.jaj 6 3564
Worm.Win32.Mabezat.b -4 2911
Exploit.JS.Pdfka.ti New 2823
Trojan-Downloader.WMA.Wimad.y New 2544
Trojan-Dropper.Win32.Flystud.yo 0 2513
P2P-Worm.Win32.Palevo.jcn New 2480
Trojan.Win32.Refroso.bpk New 2387

Как видно из таблицы, Kido все еще активен. Помимо лидера последних двадцаток Kido.ih, появился новичок – Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.
Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке появились еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска – Palevo.jaj – поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Такие высокие позиции эти две вредоносные программы заняли, в основном, благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор, отметили в «Лаборатории Касперского». Червь китайского происхождения – FlyStudio.cu – также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.
Среди новичков мы видим новую версию уже появлявшегося в рейтингах мультимедийного загрузчика Wimad – Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.
Наиболее заметными в первой таблице являются самораспространяющиеся зловреды – тенденция к усилению их влияния сохраняется, отмечается в отчете компании.
Вторая двадцатка предоставляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты:

not-a-virus:AdWare.Win32.Boran.z 0 17624
Trojan.JS.Redirector.l 1 16831
Trojan-Downloader.HTML.IFrame.sz -1 6586
Exploit.JS.Pdfka.ti New 3834
Trojan-Clicker.HTML.Agent.aq New 3424
Trojan-Downloader.JS.Major.c 4 2970
Trojan-Downloader.JS.Gumblar.a -3 2583
Exploit.JS.ActiveX.as New 2434
Trojan-Downloader.JS.LuckySploit.q -1 2224
Trojan-GameThief.Win32.Magania.biht -3 1627
Exploit.JS.Agent.ams New 1502
Trojan-Downloader.JS.IstBar.bh 4 1476
Trojan-Downloader.JS.Psyme.gh New 1419
Exploit.JS.Pdfka.vn New 1396
Exploit.JS.DirektShow.a Return 1388
Exploit.JS.DirektShow.k -10 1286
not-a-virus:AdWare.Win32.Shopper.l Return 1268
not-a-virus:AdWare.Win32.Shopper.v Return 1247
Trojan-Clicker.JS.Agent.jb New 1205
Exploit.JS.Sheat.f New 1193

Во второй двадцатке по-прежнему много обновлений. Здесь сразу два представителя семейства Exploit.JS.Pdfka (Exploit.JS.Pdfka.ti присутствует также и в первой двадцатке): под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае – в Adobe Reader). Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. В свою очередь, Pdfka.vn использует уязвимость уже поновее – в функции getIcon того же объекта Collab.
«Герои» прошлых выпусков – Exploit.JS.DirektShow и Exploit.JS.Sheat – все еще активны: DirektShow.a вернулся в рейтинг и появился Sheat.f.
Прочие новички во второй таблице – это или тривиальные iframe-кликеры, или части одного зловредного скрипта.
Согласно выводам авторов отчёта, количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах, а доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные.
Наибольшее количество попыток заражения через веб в сентябре 2009 г. «Лабораторией Касперского» зафиксировано в: Китае (31,3%), США (15,7%), России (8,3%), Индии (5,3%), Вьетнаме (3,2%). На остальные страны пришлось 36,2% от общего числа попыток заражения.

13

Эксперты антивирусной компании Symantec воспользовались “первой годовщиной” даты предполагаемой активации ботов Conficker/Downadup для того, чтобы в очередной раз напомнить людям, что угроза никуда не исчезла и по-прежнему в состоянии “посеять хаос”.
Возвращаясь на год назад, можно вспомнить, что именно 1 апреля 2009 года эксперты по компьютерной безопасности со всего мира считали наиболее вероятной датой массированной атаки на компьютерные системы со стороны машин, инфицированных червем Conficker.
К счастью, этого не произошло, однако по состоянию на сегодняшний день порядка 6,5 миллионов ПК остаются инфицированными вариантами данного червя под литерами “A” и “B”, а еще несколько сотен тысяч компьютеров поражены Conficker.C.
В своем видеообращении на YouTube представитель Symantec подчеркнул, что к вредоносному приложению, скомпрометировавшему миллионы машин, нельзя относиться несерьезно. По его словам, атака ботнета такого масштаба по-прежнему в состоянии вызвать самый настоящий хаос, и если это произойдет, необходимо быть начеку.
Чтобы проверить свой ПК на наличие заражения и очистить его в случае обнаружения Conficker, фирма Symantec рекомендует воспользоваться утилитой W32.Downadup Removal Tool.

Крутотень:)!


Вы здесь » Gempo » News » Вирус Downadup/Conficker/Kido