Автозапуск снова атакует

Хотя Conficker по-прежнему возглавляет список вирусов, к удивлению экспертов, вредоносная программа Autorun снова вернулась и сразу же пробилась на второе место.

Ежемесячно ESET составляет топ-список компьютерных вирусов, распространенных в Венгрии, из которого мы можем узнать, какие вредоносные программы в настоящее время угрожают компьютерам венгерских пользователей. Червь Conficker лидировал в списке больше года, но в январе на второе место вернулась вредоносная программа Autorun, которая не вошла в топ-10 самых распространенных вирусов в декабре.

Распространению Autorun способствует то, что он распространяется на внешних носителях, что позволяет ему появляться в самых неожиданных местах. Таким образом, носителем может стать не только USB-накопитель, карта памяти, внешний жесткий диск, фотоаппарат или MP3-плеер, например, заражены несколько общедоступных машин для обработки фотографий в Австралии и Германии. Таким образом, те пользователи, которые загружали на эти устройства фотографии со своих USB-ключей или карт памяти на улице или в торговых центрах, помимо проявленных бумажных изображений, сразу же становились богаче с вирусом на своем носителе информации.

Топ-лист вирусов – январь 2011 г.

Согласно статистической системе ESET, основанной на отзывах сотен тысяч пользователей в Венгрии, следующие 2011 вредителей распространились больше всего в январе 10 года и на их долю пришлось 22,71% всех заражений.

1. Червь Win32/Conficker
Распространенность среди январских инфекций: 5,72%
Рейтинг прошлого месяца: 1.

Как это работает: Win32/Conficker — это сетевой червь, который распространяется с помощью кода эксплойта, использующего уязвимость, описанную в бюллетене по безопасности Microsoft Windows MS08-067. Благодаря уязвимости RPC (удаленный вызов процедур) удаленный злоумышленник может выполнить свое действие без надлежащей авторизации. Conficker сначала загружает DLL-файл через процедуру SVCHost, а затем обращается к удаленным серверам, чтобы загрузить с них дополнительный вредоносный код. Кроме того, червь модифицирует хост-файл, тем самым делая недоступными на зараженном компьютере сайты многих антивирусных компаний. Как попадает на компьютер: В зависимости от версии пользователь устанавливает его сам, либо он устанавливается сам без участия пользователя через дыру в безопасности, либо может запускаться автоматически из-за зараженного файла автозапуска на внешнем диске.

2. Вирус INF/автозапуска
Распространенность среди январских инфекций: 3,31%
Ранг за предыдущий месяц: –

Операция: INF/Autorun — собирательное название вредоносного ПО, использующего файл autorun.inf. Одним из признаков заражения вредоносным ПО является резкое снижение производительности вашего компьютера. Как попадает на компьютер: Распространяется на зараженных носителях (даже MP3-плеерах).

3. Троян Win32/HackMS
Распространенность среди январских инфекций: 2,72%
Рейтинг прошлого месяца: 3.

Как это работает: Приложение Win32/HackMS изначально представляет собой пиратский инструмент для генерации ключей, но оно также содержит вредоносное ПО. Когда программа устанавливается, она также создает скрытые файлы и записи реестра, которые тайно изменяют настройки сети и результаты поиска на вашем компьютере. Как попасть на компьютер: Пользователь устанавливает его сам.

4. Троян Win32/PSW.OnLineGames
Распространенность среди январских инфекций: 2,33%
Рейтинг прошлого месяца: 2.

Действие: это семейство вредоносных программ состоит из троянских программ, которые пытаются установить кейлоггер на наш компьютер. Вредоносные программы, относящиеся к этой категории, также имеют компоненты руткита, с помощью которых они пытаются скрыть и скрыть свои файлы и операции на зараженном компьютере. Деятельность семейства вредоносных программ обычно направлена ​​на кражу паролей для онлайн-игр и последующую тайную пересылку данных паролей. Преступники могут использовать этот метод для получения значительного количества украденных паролей, которые затем перепродаются по каналам преступного мира. Как попасть на компьютер: Пользователь устанавливает его сам.

5. Троян HTML/ScrInject
Распространенность среди январских инфекций: 1,94%
Рейтинг прошлого месяца: 7.

Действие: Троянец HTML/ScrInject представляет собой файл, сжатый утилитой RAR, которая во время установки отображает пустой файл (c:windowsblank.html) в браузере зараженной машины. Он открывает черный ход в атакуемой системе и посредством этого пытается в фоновом режиме загрузить дополнительные вредоносные файлы JavaScript. Как попасть на компьютер: Пользователь устанавливает его сам.

6. Троян Win32/Shutdowner
Распространенность среди январских инфекций: 1,78%
Рейтинг прошлого месяца: 5.

Как это работает: в случае заражения трояном Win32/Shutdowner изменяет ключ автозапуска в базе данных реестра, чтобы вредоносная программа запускалась при каждой загрузке системы. Он также имеет руткит-компонент, поэтому во время своей работы скрывает файлы от приложений управления файлами, даже если эти файлы не оснащены атрибутом «скрытый». Его главный и наиболее очевидный эффект заключается в том, что его штрафная процедура отключает работающую в данный момент систему Windows и, таким образом, мешает работе, но может даже привести к потере данных. Как он попадает на компьютер: пользователь скачивает его и запускает.

7. Троян Win32/Tifaut
Распространенность среди январских инфекций: 1,60%
Рейтинг прошлого месяца: 4.

Как это работает: Wind32/Tifaut создает в папке C:WindowsSystem32 файлы csrcs.exe и autorun.inf. Он также создает отдельную запись в базе данных реестра для автоматического запуска вредоносного EXE-файла. В ходе своей работы он пытается подключиться к нескольким различным сайтам и загружает с них дополнительные вредоносные коды. Как попасть на компьютер: Пользователь устанавливает его сам.

8. Червь Win32/VB
Распространенность среди январских инфекций: 1,44%
Рейтинг прошлого месяца: 6.

Действие: червь VB.EL (также известный как VBWorm, SillyFDC) распространяется на портативных хранилищах данных и сетевых дисках. После заражения он попытается загрузить дополнительный вредоносный код с 123a321a.com. Чтобы он запускался автоматически, также измените запись HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun в реестре Windows. Показательным признаком может стать появление файла sal.xls.exe в основном каталоге C: и на всех остальных сетевых дисках. Как попадает на компьютер: Распространяется при подключении зараженного устройства хранения данных (USB-ключа, внешнего жесткого диска и т. д.).

9. Троян Win32/Mebroot
Распространенность среди январских инфекций: 0,98%
Рейтинг прошлого месяца: 8.

Операция: Основная цель трояна Win32/Mebroot.K — заражение дополнительных компьютеров. Для этого он создает файл с именем .tmp во временной (Temp) папке, вносит ряд записей в базу данных реестра и изменяет их, если они уже существуют. Он также попытается подключиться к google.com. В ходе своей работы он уничтожает таблицу разделов жесткого диска. Как попасть на компьютер: Пользователь устанавливает его сам.

10. Троян Win32/RegistryBooster
Распространенность среди январских инфекций: 0,89%
Рейтинг прошлого месяца: 9.

Как это работает: Приложение Win32/RegistryBooster, похожее на поддельные антивирусные программы, пытается убедить пользователей купить платную версию «программы» ложными оповещениями. Как попадает на компьютер: устанавливается с зараженного сайта или устанавливается пользователем самостоятельно.