Онлайн-двадцатка, апрель 2007

Позиция Изменение позиции Вредоносная программа Доля, проценты

1. New! spanojan-Proxy.Win32.Dlena.cb 3,23
2. New! Packed.Win32.PolyCrypt.b 2,87
3. New! spanojan-Spy.Win32.ProAgent.21 1,88
4. -1 Email-Worm.Win32.Brontok.q 1,52
5. New! not-a-virus:AdWare.Win32.Virtumonde.if 1,43
6. +5 spanojan.Win32.Agent.qt 1,26
7. New! spanojan-Downloader.Win32.INService.bl 1,17
8. New! Virus.VBS.Small.a 1,17
9. Return spanojan-Clicker.Win32.Small.kj 1,08
10. New! spanojan-Downloader.Win32.Small.dge 1,08
11. New! Packed.Win32.Tibs.r 1,08
12. New! IM-Worm.Win32.Sohanad.t 0,99
13. New! spanojan-Downloader.Win32.Small.edb 0,99
14. -8 Email-Worm.Win32.Rays 0,90
15. -14 not-a-virus:Monitor.Win32.Perflogger.163 0,90
16. New! not-a-virus:Porn-Dialer.Win32.GBDialer.i 0,81
17. New! spanojan-Downloader.Win32.Small.ddx 0,81
18. New! Email-Worm.Win32.Zhelatin.ch 0,72
19. New! spanojan-PSW.Win32.OnLineGames.bs 0,63
20. Return spanojan.Win32.Obfuscated.ev 0,63
Прочие вредоносные программы 74,85

Абсолютно обычная для онлайн-статистики смена лидера рейтинга и абсолютно необычный лидер. Нет, ничего экстраординарного в spanojan-Proxy нет. Смущает другое: Dlena.cb — один из членов многочисленного (около 90 вариантов) троянского семейства, известного нам уже более года. Все это время ни один из представителей данного семейства не то что не попадал в наши отчеты, на него даже жалоб от пользователей не было. Казалось, что эти троянцы крайне мало распространены. А тут один из вариантов оказался на вершине апрельского списка. Обычно, если вредоносная программа активно распространяется или грозит превратиться в постоянный «сериал», вроде того, что сейчас происходит с Warezov, то даже ее самые первые образцы весьма заметны и попадают в ежемесячные отчеты. А тут неизвестным авторам понадобился год и несколько десятков «проб пера», чтобы один из вариантов попал под наш пристальный взгляд.

В целом же, ничего принципиально нового в Dlena.cb нет — типичный троянский прокси-сервер с возможностью рассылки спама. Таких в настоящее время существуют десятки семейств, и самым заметным среди них было семейство Horst. Возможно, новичок станет серьезной проблемой в ближайшем будущем.

Значительно меньше стало троянцев-шпионов. В апрельской двадцатке такой всего один. Правда, на третьем месте. ProAgent известен уже много лет и представляет собой кейлоггер, записывающий абсолютно все, что вводит с клавиатуры пользователь. Он не так хитер, как троянцы, ворующие только аккаунты доступа к банковским счетам, однако достаточно эффективен и пользуется популярностью среди script-kiddies.

Продолжает свою эволюцию рекламная программа Virtumonde. Уже несколько месяцев ее образцы находятся в двадцатке, и это вызвано тем, что ее авторы стали не только использовать руткит-технологии для закрепления рекламной программы в системе, но и распространять ее при помощи настоящих троянских программ. Например, обладатель седьмого места в рейтинге — INService.bl — помимо прочих файлов, загружает именно Virtumonde.

Не менее интересен и расположившийся на 8-м месте скриптовый вирус Small.a. Казалось бы, время подобных вирусов давно и безвозвратно ушло — последним заметным событием был вирус Redlof пару лет назад. Однако, будучи компонентом других вредоносных программ, Small.a смог заметно распространиться по компьютерам пользователей, особенно в России.

Из других участников двадцатки отметим еще IM-Worm.Win32.Sohanad.t и not-a-virus:Porn-Dialer.Win32.GBDialer.i.

Первый принадлежит к быстро прогрессирующему классу червей, размножающихся через системы мгновенного обмена сообщениями, и это первый случай, когда подобный червь попал в наш отчет. Не исключено, что в будущем мы станем встречаться с ними гораздо чаще.

А вот представители класса порно-звонилок в двадцатке уже были. Кроме того, совсем недавно троянцы-звонилки занимали почти половину нашей статистики, и мы все гадали: чем же вызван этот внезапный всплеск их активности и не является ли это устойчивой тенденцией? Звонилки в рейтинге остаются — тенденция налицо.

Ну и сделаем очередной реверанс с адрес червей Rays и Brontok. Такую живучесть и проблематичность показали за последние несколько лет очень немногие вредоносные программы. К счастью, по электронной почте эти черви распространяются весьма слабо, предпочитая заражать локальные сети через доступные сетевые ресурсы.

Онлайн-итоги апреля

В двадцатке появились 14 новых вредоносных и потенциально опасных программ: spanojan-Proxy.Win32.Dlena.cb, Packed.Win32.PolyCrypt.b, spanojan-Spy.Win32.ProAgent.21, not-a-virus:AdWare.Win32.Virtumonde.if, spanojan-Downloader.Win32.INService.bl, Virus.VBS.Small.a, spanojan-Downloader.Win32.Small.dge, Packed.Win32.Tibs.r, IM-Worm.Win32.Sohanad.t, spanojan-Downloader.Win32.Small.edb, not-a-virus:Porn-Dialer.Win32.GBDialer.i, spanojan-Downloader.Win32.Small.ddx, Email-Worm.Win32.Zhelatin.ch, spanojan-PSW.Win32.OnLineGames.bs

Свои показатели повысили: spanojan.Win32.Agent.qt

Свои показатели понизили: Email-Worm.Win32.Brontok.q, Email-Worm.Win32.Rays, not-a-virus:Monitor.Win32.Perflogger.163

В двадцатку вернулись: spanojan-Clicker.Win32.Small.kj, spanojan.Win32.Obfuscated.ev