卡巴斯基2009年2月病毒及惡意軟件總結
【51CTO.com 綜合消息】
互聯網 “熱門”木馬病毒排名
下表顯示了在2009年2月期間,中國地區的互聯網上木馬病毒的活躍情況。表中所列的都是最常遇到的惡意程序。這些惡意程序會在用戶上網的同時給用戶帶來危害。
下表中的數據根據卡巴斯基產品檢測情況統計得出
 |
| 圖1注:New 表示此種病毒木馬上月并不在top20中。 |
本月,排行榜中針對win32平臺下的熱門惡意程序發生了較大變化。只需粗略地一瞥,我們就能察覺到超過半數(20個中的11個)的惡意程序都為新入榜成員,未出現在上個月的排行榜中。除此之外,曾經的狀元Trojan-GameThief.Win32.Magania.gen 也被not-a-virus:AdWare.Win32.BHO.fay所替代。
從名稱前面的not-a-vrus標注,我們可以看出,這種類型的程序并不屬于惡意程序,但是可以歸類到不受歡迎的程序里。這些程序會在用戶不知情的情況下被安裝到計算機中,并用于實現各種目的。
這其中當然存在有益的程序,比如為瀏覽器擴展某些功能(比如查看pdf文檔和flash視頻),添加額外的搜索菜單或顯示廣告。但是這些BHO程序也可以用于惡意的目的。BHO(Browser Help Object)機制本身是用于擴展Internet Explorer瀏覽器功能的用途,但惡意程序作者也從中找到了巨大的利用價值。
not-a-virus:AdWare.Win32.BHO.fay 在top20中已經不是新面孔了。在上個月的榜單中,它位列第11位。而在本月,它上升到了首位,并且在百分比上遠遠超過了其它惡意程序,達到了7 .69 %。
在之前的播報中我們曾不止一次地提到,如今同惡意程序斗爭的一個法寶就是啟發式分析器。占據top20中第二和第三位的惡意程序都是通過啟發式分析器檢測到的,這就很好地證明了我們先前的結論。
上月的冠軍Trojan-GameThief.Win32.Magania.gen在二月滑落了7位,現處于第8名的位置.雖然并不十分令人感到吃驚,但是Trojan-GameThief.Win32.Magania.gen竟然是同類木馬的唯一代表,而在上個月,此類木馬多達六種。
在二月份,網絡游戲盜號木馬已經全線讓位給了各式各樣的下載者程序。本月,這些下載者程序的數量超過了上榜的惡意程序數量的一半。這些下載者程序可以分為兩類:Trojan-Downloader.Win32和Worm.Win32.Downloader。
從病毒名的相同的部分我們就可以看出,它們都會下載其它的惡意程序,但是在傳播方式上這兩種下載者程序是有所不同的。蠕蟲(Worm)會自己進行傳播,而木馬要傳播的話就需要別人來幫忙了。
現在還很難說Trojan-GameThief是否只是暫時偶然性地輸給了下載者程序。能回答這個問題的只能是時間。讓我們拭目以待。
互聯網惡意軟件排名:
以下榜單的名次排列是根據卡巴斯基實驗室的2009版反病毒產品所收集到的數據得出的。此項排名由惡意程序,廣告軟件和潛在惡意未知程序組成,這些程序都是用戶計算機上最常被檢測到的。
下表中的數據來源于卡巴斯基安全網絡( KSN )在2009年2月的監測數據
 |
| 圖2 |
與之前的排名相比,2月份的20大排行凸顯出一些重要的變化。
首先,網絡蠕蟲Kido在1月開始爆發后,發展態勢依然強勁,因而在排行榜中仍占據了一席之地。針對這種蠕蟲的檢測路徑已于1月中旬添加到了卡巴斯基實驗室的反病毒數據庫,因此,大部分受感染的文件在2月被檢測出來。
其次,此次排名中出現了三個有趣的惡意程序“新生”,它們分別是: Packed.Win32.Krap.g 、Packed.Win32.Klone.bj和Packed.Win32.Tdss.c 。經檢測,它們分別與以下三種程序有關:
•Magania木馬壓縮實用程序(packer)的一種變異體,隸屬于一個用于竊取在線游戲密碼的普通木馬家族。
•AutoIt腳本的特定混淆類型。顯然,只有通過腳本語言自身的約束條件才能限制原始腳本的功能。
•通過新的惡意打包程序-TDSS加密的一類程序。
在榜單中排名***的三個惡意程序很有意思,可以說它們是原始的、任意類型的未加密惡意程序,還可以是任何一種包括但不限于木馬,蠕蟲和rootkit的程序。
在1月上升了10個名次的Trojan-Downloader.WMA.GetCodec.r在2月被一個相似的多媒體下載器GetCodec.u所取代 ,而上個月才剛出現的病毒Exploit.JS.Agent.aak ,也被兩個利用各種Flash 播放器漏洞的腳本下載器SWFlash.aj 和SWFlash.ak 取代。
惡意木馬程序----30%
病毒程序----45%
惡意程序----25%
在***個前20名的排行榜中,所有的惡意程序,廣告軟件和潛在的未知惡意程序都可以根據卡巴斯基發現的主要威脅類別來進行歸類。自1月以來,這些類別之間的平衡關系幾乎沒有發生轉變。據統計,在過去幾個月中,自我復制型程序的數量仍然很高。
總的來說,在2月份,卡巴斯基實驗室共在用戶計算機中檢測到45396種不同的惡意程序、廣告軟件和潛在的未知惡意程序。與上一個月的數據相比,沒有太大的不同。
與上表不同,下表中的數據體現的是:用戶計算機中最常感染是哪些惡意程序。在這次的排行中,感染文件的惡意程序占據了大部分的名次。
 |
| 圖3 |
在第二個20大排行榜的榜單包括一個重要的新成員---- Virus.Win32.Virut.ce,一個名為Virut的復雜多態性病毒的新變種。與其它惡意程序不同的是,這類變種在感染用戶計算機中的HTML文件時,會通過一種惡意的IFRAME模塊來進行。
像這樣被感染的頁面會被卡巴斯基的反病毒產品檢測為Trojan-Clicker.HTML.IFrame.acy。2月,受這種方法感染的文件數量非常大。而Virus.Win32.Virut.ce和Trojan-Clicker.HTML.IFrame.acy之間的共生關系致使這兩個惡意程序的排名分別為第四位和第九位。
還應當指出的是,盡管Sality家族仍然在排名中十分突出,但是這種危險的惡意程序新變種還沒有被檢測出來。當然,這與上面提到的Virut家族的情況是截然不同的。
