Вирусы в сентябре: привет из отпуска!

После неожиданных изменений августа в онлайн-двадцатке самых вредоносных программ сентября все вернулось на круги своя. Место червей заняли традиционные для онлайн-сканера троянцы – downloader’ы и dropper’ы.

Лидером рейтинга в сентябре стал вирус Trojan-Downloader.Win32.Delf.awg. К неожиданностям Тop 20 можно отнести практически полное отсутствие в рейтинге троянцев-шпионов. Также по итогам сентября стало окончательно ясно, что отправлять на покой классические вирусы еще слишком рано. Об этом в своем сентябрьском отчете рассказали специалисты «Лаборатории Касперского».

Итак, лидером рейтинга самых вредоносных программ сентября стал вирус Trojan-Downloader.Win32.Delf.awg. История его появления и последующей массовой эпидемии стара и банальна. 6 сентября тысячи владельцев почтовых ящиков, зарегистрированных на сервисе Mail.ru, получили письмо от неизвестной девушки, которая с радостью делилась своими летними фотографиями и рассказом об отпуске. Несмотря на то, что отправившая письма девушка не была никому знакома, пользователи с радостью открывали прикрепленные к письму файлы в надежде увидеть интересные фото. Этот старый и избитый прием сработал, чем повлек самую массовую за последние месяцы эпидемию троянской программы-шпиона LdPinch.

«Антивирус Касперского сразу видит этот троян, – рассказывает директор дизайн-студии «Отражение» Максим Печеник. – А вот DrWeb почему-то задержал его включение в свои базы данных. Поэтому, с точки зрения антивирусов, эта проблема была решена достаточно оперативно. Совсем другое дело человеческий фактор: у одних нет антивируса, а другие очень любопытны. И с этим любопытством уже ничего не поделаешь. Поэтому бороться надо не с вирусом, а с собой».

Соглашается с этим и старший специалист отдела ИТ-консалтинга компании «РосКомИнфо» Анатолий Миленко. «Большинство таких вирусов используют главный фактор заражения – человеческий, – говорит он. – Вкупе с неактуальным состоянием антивирусной базы, а зачастую и с полным отсутствием антивируса на системе пользователя и не обновленной операционкой получаем достаточно большую брешь в системе. Вероятность заражения в этом случае – 99,99%. От подобной невнимательности пользователя могут спасти лишь антивирусы с хорошей проактивной защитой, постоянно запущенным монитором активности и периодически обновляемой базой. Конечно, бороться с человеческим фактором тяжело, но возможно. Необходимо усилить пропаганду элементарных правил безопасности в сети. Одним из способов уменьшения угрозы может быть запрет на уровне почтовых серверов на прием вложений в письмах от людей, не включенных в адресную книгу, но это не всегда возможно».

Кстати, оказавшиеся в нижней части августовской двадцатки черви Rays и Brontok снова ворвались в пятерку лидеров. И, несмотря на наличие у них функции распространения по электронной почте, основным для них явился путь копирования себя на все доступные сетевые ресурсы зараженного компьютера. Не отстает от них и классический вирус Parite.b, расположившийся на шестой строчке. Он существует уже много лет и неизменно присутствует в отчетах практически всех крупных антивирусных компаний. Именно Parite.b является лидером всего класса обычных вирусов.

В двадцатку вернулся и еще один классический вирус – Hidrag.a. А это свидетельство того, что слухи о смерти такого рода вирусов оказались сильно преувеличенными. Конечно, классические вирусы не обладают скоростью распространения червей, однако, единожды попав в систему, они моментально заражают все исполняемые файлы, и укореняются настолько глубоко, что для борьбы с ними разовой антивирусной проверки будет недостаточно.

«Классические вирусы не умрут никогда, – подчеркивает Анатолий Миленко. – Люди всегда обменивались и будут обмениваться файлами. В случае появления и роста локальных сетей вероятность заражения только растет. Опять же, нужен хороший антивирус и голова на плечах. Конечно, от самораспространяемых по сети вирусов может спасти, в некоторой мере, программа-firewall, но не каждый сможет нормально и правильно её настроить. Единственный способ излечиться – отключение от сети, полная чистка системы и установка обновленного антивируса».

Также стоит выделить программу Backdoor.IRC.Zapchast. Этот вирус не только смог закрепиться в двадцатке, но и улучшил свои показатели по сравнению с августом, заняв в сентябре второе место. Причем, вкупе с двадцатым местом Backdoor.Win32.mIRC-based и восемнадцатым Backdoor.Win32.Rbot.gen, которые тоже являются IRC-вирусами, налицо очередной всплеск интереса вирусописателей к теме создания ботнетов, управляемых через IRC-каналы.

Максим Печеник отмечает, что увеличение IRC-вирусов – явление вполне закономерное.

«В последнее время наблюдается рост интереса к IRC-сетям, – уточняет г-н Печеник. – Да и писать вирус под IRC достаточно просто. А любой IRC-клиент «заточен» под выполнение активных скриптов. Благодаря этому получается очередная дыра в системе».

Но главной неожиданностью сентябрьской Тор 20 можно назвать практически полное отсутствие в ней троянцев-шпионов. Полугодовой лидер рейтингов Тор 20 – шпион Banker.ark – в августе опустился на 14 место, а в сентябре вообще вылетел за пределы двадцатки. И такую тенденцию можно проследить у других вирусов этого класса. А вот черви повели себя в сентябре довольно активно, и кроме Rays и Brontok пользователи подверглись атаке Scano.aq, сразу двух Warezov (.aj и .at) и «червивого» ветерана – Bagle.fj.

«Отсутствие в рейтинге троянцев-шпионов, конечно, не говорит о том, что эра подобных вирусов прошла. Снижение их активности может быть связано с вышедшими обновлениями ОС, увеличением популярности программ-антишпионов среди интернет-пользователей и более осознанным подходом к выбору антивирусов», – добавляет Анатолий Миленко.