Топ-10 вредоносных программ июля-августа 2011

Специалисты из лаборатории безопасности G Data выявили самые опасные вирусы в июле-начале августа 2011 года, которые составляют более 8 % от всех вирусов, активных в данный период. В этот раз верхнюю строчку рейтинга занимают не известные ранее вредоносы, использующие уязвимости Java, которые были самыми популярными в течение нескольких месяцев.

Топ-10 вредоносных программ июля-августа 2011 выглядит так:

1. Exploit.CplLnk.Gen. Этот эксплойт использует ошибки при проверке файлов с расширением .Ink and .pif (ярлыки) во время Windows shortcuts. Он был известен, как CVE-2010-2568, с середины  2010 года. Как только система Windows открывает манипулятивную версию этих файлов для того, чтобы отобразить иконки, содержащиеся в Windows Explorer, вредоносный код загружается автоматически.  Этот код также же может быть загружен из локальной системы файлов (например, со съемных носителей, которые также содержат ярлыки) или из интернета используя возможности WebDAV.
2. Trojan.Wimad.Gen.1. Этот троянец выдает себя за обычный .wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь запустит такой файл, злоумышленник получит возможность установить в систему любую вредоносную программу. Инфицированные таким образом аудио-файлы распространяются преимущественно через P2P-сети.
3. Worm.Autorun.VHG. Червь, распространяющийся в ОС Windows с помощью функции autorun.inf. Он использует сменный носитель информации (например, USB-флешка или внешний жесткий диск). Worm.Autorun.VHG является сетевым и интернет-червем и использует уязвимость Windows CVE-2008-4250.
4. Trojan.AutorunINF.Gen. Эта программа способна распознать известные и неизвестные вредоносные файлы autorun.inf. Autorun.inf являются файлами автозапуска для USB-флешек, внешних жестких дисков и DVD, которые незаконно используются злоумышленниками для распространения вирусов и вредоносного ПО.
5. Gen:Variant.Adware.Hotbar.1. Данный поддельный антивирус устанавливается преимущественно незаметно для пользователей как часть бесплатного пакета программного обеспечения, такого как VLC, XviD или подобного, которые загружаются не производителем, а из других источников. Подозрительными спонсорами этого актуального ПО являются ‘Clickpotato’ и ‘Hotbar’. Все пакеты „Pinball Corporation“ имеют цифровой номер и запускаются автоматически при каждом запуске Windows и обозначаются в виде иконки в трее.
6. Win32.Ramnit.N. Win32.Ramnit.N — классический сетевой червь, который инфицирует исполняемые файлы (.exe), динамические библиотеки (.dll) и сохраненные на жестком диске HTML-файлы. После запуска инфицированного .exe-файла, загрузки инфицированного .dll-файла, производится копирование на компьютер жертвы еще одного .exe файла. Одновременно создается строка автозапуска для активации инфицированного файла при каждой перезагрузке или включении компьютера. Сетевой полиморфный червь устанавливает подключение по протоколам http или https к собственным серверам. Протокол в этом случае отличается от стандартного. Червь регулярно проверяет каждую локальную папку на жестком диске и инфицирует дроппером некоторые, если не все exe, dll и HTML-файлы. Этот дроппер копирует такой же файловый инфектор, как и оригинальный инфицированный файл. К инфицированным HTML-файлам добавляется VB-Skript, копирующий тело червя.
7. Java.Trojan.Exploit.Bytverify.N. Эта программа использует уязвимость в Java Bytecode Verifier и размещается в модифицированных Java-апплетах на веб-страницах. Использование этих уязвимостей может обеспечить выполнение вредоносного кода, который, например, загрузит троянскую программу. Так злоумышленник может получить контроль над системой своей жертвы.
8. Java.Trojan.Downloader.OpenConnection.AI. Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружает такой апплет, на основе его параметров генерируется ссылка и троянец-загрузчик загружает исполняемый файл, после чего запускает его. Эти файлы могут содержать любые вредоносные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средства безопасности Java (Java-Sandbox) и получить права на локальную запись данных.
9. Win32.Ramnit.C. См. описание Win32.Ramnit.N
10. Java.Trojan.Downloader.OpenConnection.AN. Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружает апплет, на основе параметров которого генерируется ссылка, то  троянец-загрузчик  загружает и запускает исполняемый файл на компьютер-жертву. Эти файлы могут содержать любые вредоносные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средства безопасности Java (Java-Sandbox) и получить права на локальную запись данных.

chip.ua