Вирусный фронт впал в осеннее затишье

Вирусный фронт впал в осеннее затишье

«На вирусном фронте без перемен» так можно обозначить очередные отчеты двух разработчиков антивирусного ПО. Фото: PhotoXPress

«На вирусном фронте без перемен» так можно обозначить очередные отчеты двух разработчиков антивирусного ПО — Eset и «Лаборатории Касперского». Компании поделились своими наблюдениями за вирусной и спамерской активностями в сентябре текущего года.

По данным Eset, первые строчки Топ-10 самых распространенных угроз в мире за прошедший месяц изменений не претерпели — их по-прежнему занимают INF\Autorun, Win32/Conficker и Win32/PSW.OnLineGames. На долю семейства вредоносных программ INF/Autorun, которые распространяются на сменных носителях с помощью механизма автозапуска Windows Autorun, пришлось 6,62% от общего числа заражений. Это на 1,13% меньше показателей предыдущего месяца. Больше всех от этой инфекции пострадали ЮАР (11,32% от общего количества угроз), Украина (7,25%), Польша (6,89%), Греция (5,73%) и Австрия (3,47%). На долю червя Win32/Conficker и трояна-кейлоггера Win32/PSW.OnLineGames пришлось соответственно 4,52% и 2,86%.

Компания отмечает также, что в ее рейтинге угроз появились новые зловреды. Правда, пока они не вошли в Топ-10, но по оценке аналитиков Eset, имеют для этого хорошие шансы. Речь об эвристической сигнатуре JS/Redirector, которая позволяет перенаправить посетителей на вредоносные сайты, и о трояне Java/TrojanDownloader.OpenStream, благодаря которому становится возможной установка других вредоносных программ в операционную систему без ведома пользователя.

Если говорить о России, то здесь также особых изменений не произошло. Так, рейтинг «российских» угроз по-прежнему возглавляют программы семейства INF/Autorun. За месяц они увеличили свою долю на 0,5% и довели ее до 4,81%. На втором месте оказался червь Win32/Spy.Ursnif.A, который крадет персональную информацию и учетные записи с зараженного компьютера и отправляет их на удаленный сервер. Кроме того, троянец может распространяться в составе другого вредоносного ПО. По данным компании, уровень проникновения Spy.Ursnif в России снизился на 0,75% и составил 3,85%. Все еще удерживается в тройке лидеров модификация червя Conficker — Win32/Conficker.AA с показателем в 2,21%. Хотя его доля стала уменьшаться еще летом текущего года.

По утверждению Eset, в сентябре высокую активность проявили эксплойты для платформы Java: Java/TrojanDownloader.OpenStream.NAO, Java/TrojanDownloader.Agent.NBQ и Java/Mugademel.A, занявшие соответственно 7, 9 и 20 места рейтинга. Эти программы служат для загрузки и установки другой вредоносной программы. По словам сотрудников компании, увеличение числа срабатываний на эксплойты для Java связаны с нестабильно работающей автоматической процедурой своевременных обновлений. Поэтому многие пользователи по-прежнему вынуждены использовать устаревшие версии среды выполнения Java-приложений, «дыры» в которых и используют уже известные зловреды.

Спамеры к чему-то готовятся

«Лаборатория Касперского», в свою очередь, представила отчет по спаму в сентябре. Как оказалось, у спамеров, видимо, еще продолжаются летние каникулы, поскольку доля спама в почтовом трафике продолжила снижаться, даже несмотря на начало нового делового сезона. В конце концов она опустилась до 81,1%, что на 1,5% меньше августовского показателя.

Отчасти это было связано с закрытием 1 октября одной из ведущих партнерских программ для спамеров, SpamIt, занимавшейся рассылкой фармацевтической рекламы. По сообщению «Лаборатории Касперского», в связи с этим в последние недели сентября доля спама, содержащего рекламу медикаментов (преимущественно виагры), сократилась на треть — с 31% до 21%. Впрочем, одновременно спамеры стали переключаться с фармацевтической рекламы на рассылку вредоносных программ, рекламу реплик элитных товаров, порно-спам.

В целом, в первую пятерка тем сентябрьских спам-рассылок вошли медикаменты (на их долю пришлось 25,5% рассылок, что на 5,1% меньше августовского показателя), реплики элитных товаров (13,7% — увеличение на 1%), образование (13,7% — увеличение на 1,4%), реклама спамерских услуг (6,9% — уменьшение на 0,4%) и компьютерное мошенничество (5,2% — уменьшение на 4,1%).

Кроме того, низкие показатели спам-активности сентября объясняются, также малым количеством заказного спама — рекламы среднего и малого бизнеса. Предполагалось, что осенью начнет увеличиваться активность таких заказчиков, однако объемы сентябрьского заказного спама «Лабораторию Касперского» не впечатлили. Количество спам-рассылок, заказанных малым и средним бизнесом, стало расти только во второй половине месяца. Нехватка клиентов вызвала рост саморекламы.

Крупнейшими источниками спама по прежнему остались Индия и США, на долю которых приходится соответственно 6,7% и 6,1% от общего потока. Заметно увеличился объем спама, отправляемого с территории Бразилии и Вьетнама, что вывело их на третье и четвертое места с долями в 5,9% и 5,5%. Россия и Великобритания остались на своих пятом и шестом местах — 5,4% и 4,9%.

Кстати, в Топ-20 стран–источников спама произошли замены: из списка выбыли Китай, Гонконг, Канада и Северная Корея. Причем первые две пробыли в «двадцатке» всего два месяца.

В сентябре увеличилось количество спама, распространенного из Европы в целом: доля Франции выросла на 2,3%, Греции на 2%, Ирландии на 1,3%, Нидерландов на 1%, Португалии на 1,5%, Польши на 1,3% и Германии на 0,8%. В результате Европа стала самым «мусорным» регионом, на ее долю пришлось около 42% всего мирового спама.

Стоит отметить, что теперь у России три доменных зоны — .ru, .su и кириллическая .рф. Причем в сентябре завершилась приоритетная регистрация доменов в новой зоне и определены правила общей регистрации, которая начнется 11 ноября. Формально правила не приоритетной регистрации доменов в зоне .рф более жесткие, чем в зоне .ru. Однако если они будут соблюдаться также, как весной текущего года выполнялись меры по ужесточению регистрации доменов в зоне .ru, то «мы рискуем увидеть в кириллической доменной зоне сотни сайтов, рекламирующих канадские онлайн-аптеки», — сообщает «Лаборатория Касперского».

Напомним, 1 апреля 2010 в России была предпринята попытка ужесточения регистрации доменов, а точнее — инициирована проверка владельцев доменов, зарегистрированных до 1 октября 2009. Владельцам таких доменов нужно было предъявить в регистрационном центре свой паспорт и таким образом пройти идентификацию. «Но никто так и не потребовал предъявлять паспорт для регистрации доменных имен после 1 апреля 2010, и спамеры до сих пор регистрируют свои домены-однодневки в российской доменной зоне целыми пачками и размещают ссылки на них в своих письмах», — отмечается в отчете разработчика антивирусов.

Если говорить о спаме, содержащем вредоносное ПО, то в сентябре на его долю пришлось 4,3%, что на 2% меньше соответствующего показателя в августе. Наиболее часто (12%) в спаме встречался троянец Trojan-Downloader.Win32.FraudLoad.hbf, устанавливающий на компьютер пользователя поддельный антивирус, который вымогает деньги у жертвы. На второй и третьей строчках рейтинга почтовых зловредов расположились скриптовые троянцы Trojan-Downloader.JS.Iframe.bez (6,5%) и Trojan-Clicker.HTML.Iframe.abn (4,3%). Они представляют собой HTML-страницу, содержащую сценарий, написанный на языке Javascript. Однако они имеют различный функционал: Trojan-Downloader.JS.Iframe.bez пытается без ведома пользователя загружать из Сети другие вредоносные или рекламные программы, либо обновления к ним, и запускать их. Задача же Trojan-Clicker.HTML.Iframe.abn состоит в том, чтобы без ведома пользователя открывать интернет-страницы в браузере, «накручивая» таким образом статистику посещаемости сайта.

На основании всех этих данных «Лаборатория Касперского» делает вывод, что в октябре следует ожидать роста доли заказного спама, уменьшения доли саморекламы спамеров и партнерского спама. При этом в компании считают, что не стоит надеяться на значительное уменьшение доли писем, содержащих вредоносные вложения, так как для участников партнерских программ это один из наиболее лакомых кусков пирога после, разве что, виагры. «Поскольку самый крупный партнер спамеров по распространению фармацевтического спама закрывается, а на создание новой площадки понадобится время, очень многие злоумышленники переключатся с «безобидной» медицинской рекламы на выгодную для них и опасную для пользователей рассылку вредоносных программ», — отмечают в компании.