Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja	Zmiana	Nazwa	Liczba zainfekowanych komputerów
1	Bez zmian	Net-Worm.Win32.Kido.ir	332 833
2	Bez zmian	Virus.Win32.Sality.aa	211 229
3	Bez zmian	Net-Worm.Win32.Kido.ih	186 685
4	Bez zmian	Net-Worm.Win32.Kido.iq	181 825
5	Bez zmian	Worm.Win32.FlyStudio.cu	121 027
6	Bez zmian	Trojan-Downloader.Win32.VB.eql	68 580
7	Nowość	Trojan.Win32.AutoRun.abj	66 331
8	+1	Virus.Win32.Virut.ce	61 003
9	+1	Packed.Win32.Krap.l	55 823
10	-2	Worm.Win32.AutoIt.tc	55 065
11	+4	Worm.Win32.Mabezat.b	49 521
12	-5	Exploit.JS.Aurora.a	43 776
13	Nowość	Packed.Win32.Krap.as	40 912
14	Nowość	Trojan.Win32.AutoRun.aay	40 754
15	+3	Trojan-Dropper.Win32.Flystud.yo	40 190
16	-4	Virus.Win32.Induc.a	38 683
17	-4	not-a-virus:AdWare.Win32.RK.aw	38 547
18	Nowość	Trojan.Win32.AutoRun.abd	37 037
19	-5	not-a-virus:AdWare.Win32.Boran.z	36 996
20	Bez zmien	not-a-virus:AdWare.Win32.FunWeb.q	34 177

Szkodliwe programy występujące najczęściej na komputerach użytkowników, marzec 2010

Jak widać, w czołówce nie nastąpiły żadne poważne zmiany w stosunku do poprzedniego miesiąca.

Na uwagę zasługują trzy warianty trojana Autorun. Jak wspominaliśmy kilka miesięcy temu (http://www.viruslist.pl/analysis.html?newsid=580), są to pliki autorun.inf wykorzystujące urządzenia przenośne do rozprzestrzeniania robaka P2P, Win32.Palevo i trojana Trojan-GameThief.Win32.Magania.

W marcowym zestawieniu po raz kolejny znalazł się szkodnik, który został spakowany - tym razem nosi nazwę Packed.Win32.Krap.as i ukrywa fałszywy program antywirusowy. Program ten znajduje się na trzynastym miejscu. W ostatnich miesiącach cyberprzestępcy wykazywali upodobanie do specjalnie projektowanych pakerów plików wykonywalnych. Nowe metody pakowania i ukrywania prawdziwej funkcji popularnych szkodliwych programów są rozwijane przez cały czas, co tłumaczy, dlaczego nowe warianty rodzin takich jak Krap pojawiają się na naszej liście praktycznie co miesiąc.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja	Zmiana	Nazwa	Liczba prób pobrań
1	Bez zmian	Trojan-Downloader.JS.Gumblar.x	178 965
2	Nowość	Exploit.JS.CVE-2010-0806.i	148 721
3	-1	Trojan.JS.Redirector.l	126 277
4	+2	Trojan-Clicker.JS.Iframe.ea	102 226
5	+4	Exploit.JS.Aurora.a	88 196
6	+4	Trojan.JS.Agent.aui	80 654
7	-3	not-a-virus:AdWare.Win32.Boran.z	75 911
8	Nowość	Trojan.HTML.Fraud.aj	68 809
9	Nowość	Packed.Win32.Krap.as	64 329
10	Nowość	Exploit.JS.CVE-2010-0806.b	50 763
11	Nowość	Trojan.JS.FakeUpdate.ab	49 412
12	Nowość	Trojan.HTML.Fraud.aq	48 927
13	+3	Packed.Win32.Krap.ai	47 601
14	Powrót	Trojan-Downloader.JS.Twetti.a	46 858
15	Nowość	Exploit.JS.Pdfka.bub	45 762
16	Nowość	Trojan-Downloader.JS.Iframe.byo	44 848
17	Nowość	Trojan.JS.FakeUpdate.aa	42 352
18	Powrót	not-a-virus:AdWare.Win32.Shopper.l	41 888
19	Nowość	Trojan-Clicker.HTML.IFrame.fh	38 266
20	Nowość	Packed.Win32.Krap.ao	36 123

Szkodliwe programy pobierane najczęściej ze stron WWW, marzec 2010

Jak zwykle, jeżeli chodzi o ranking szkodliwych programów w Internecie, wiele rzeczy wymaga omówienia.

Zacznijmy od najnowszej luki w zabezpieczeniach Internet Explorera CVE-2010-0806. Szczegółowy opis problemu (http://www.viruslist.pl/weblog.html?weblogid=609) spowodował, że exploit dla tej luki stał się niezwykle rozpowszechniony. Tej szansy nie wykorzystali tylko najleniwsi cyberprzestępcy. Dwa warianty exploita znalazły się w marcowym drugim rankingu - Exploit.JS.CVE-2010-0806.i (na drugim miejscu) oraz Exploit.JS.CVE-2010-0806.b (na dziesiątym miejscu).

Najnowsza epidemia Gumblara nadal znajduje się w fazie pełnego rozwoju (http://www.viruslist.pl/analysis.html?newsid=591M). Oprócz starszej wersji tego trojana downloadera skryptów, który ma postać Gumblar.x i zajmuje piąte miejsce, pojawiła się nowa uaktualniona wersja wykrywana jako HEUR:Trojan-Downloader.Script.Generic.

Exploit Aurora.a, o którym pisaliśmy w zeszłym miesiącu (http://www.viruslist.pl/analysis.html?newsid=591), nadal jest powszechnie wykorzystywany przez cyberprzestępców, co potwierdza jego awans w rankingu z dziewiątego na piąte miejsce.

Downloader Twetti.a, o którym pisaliśmy jeszcze w grudniu (http://www.viruslist.pl/news.html?newsid=575), znów zagościł w marcowym zestawieniu, zajmując czternaste miejsce po dwumiesięcznej przerwie. Podobnie jak w przypadku Gumblara, wygląda na to, że czarne kapelusze zrobili sobie małą przerwę, a następnie ponownie zaczęli wykorzystywać tego szkodnika do infekowania dużej liczby stron internetowych.

Nie jest przypadkiem, że Exploit.JS.Pdfka.bub uplasował się na piętnastym miejscu – ten szkodliwy plik PDF jest komponentem ataków drive-by, które wykorzystują Twetti.a w celu przeniknięcia do komputerów.

W drugim rankingu znalazły się również cztery nowości - Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq oraz Trojan.JS.FakeUpdate.aa - które rozprzestrzeniają fałszywe rozwiązania antywirusowe i oprogramowanie ransomware.

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu:

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, marzec 2010

Źródło: