卡巴斯基實驗室發布2009年10月惡意程式排行

【台北訊】卡巴斯基實驗室發表2009年10月的惡意程式數據排行。從這個月起，所有統計的數據資料都是來自於使用2009和2010版本產品的用戶，回報至卡巴斯基安全網路（KSN）的資料。也因此，本月份的前20大排行有了一些變化，在數字和比率上都比先前高的多，最大原因在於更多的使用者加入了KSN。

第一個前20大排行中列出了本月份被偵測出的惡意威脅程式、廣告程式和潛在的未知程式。

Position	Change in position	Name	Number of infected computers
1	1	Net-Worm.Win32.Kido.ir	344745
2	1	Net-Worm.Win32.Kido.ih	126645
3	0	not-a-virus:AdWare.Win32.Boran.z	114776
4	2	Virus.Win32.Sality.aa	87839
5	6	Worm.Win32.FlyStudio.cu	70163
6	1	Trojan-Downloader.Win32.VB.eql	52012
7	0	Virus.Win32.Induc.a	49251
8		Packed.Win32.Black.d	39666
9		Worm.Win32.AutoRun.awkp	35039
10	3	Virus.Win32.Virut.ce	33354
11	Return	Packed.Win32.Black.a	31530
12	1	Worm.Win32.AutoRun.dui	25370
13	4	Trojan-Dropper.Win32.Flystud.yo	24038
14		Trojan-Dropper.Win32.Agent.bcyx	22471
15	Return	Packed.Win32.Klone.bj	21919
16	Return	Trojan.Win32.Swizzor.b	19496
17		Trojan-Downloader.WMA.GetCodec.s	18571
18	4	Worm.Win32.Mabezat.b	19708
19		Trojan-GameThief.Win32.Magania.cbrt	17610
20		Trojan-Dropper.Win32.Agent.ayqa	16909

Kido（Conficker）Net-Worm.Win32.Kido.ir取代了上個月份的榜首Kido.ih，成為本月份的龍頭。此結果也再次的表明主要的感染媒介是行動式裝置設備。

關於可移動式的媒體設備，Autorun.dui是排行版中的常客，此外，它也曾經將非常相似的程式Autorun.awkp一起帶入排行榜中，佔居第九名的位置。這些惡意程式，顧名思義，就是能夠自動的運作可移動式設備的程式。

Packed.Win32.Black.a、Packed.Win32.Klone.bj和Trojan.Win32.Swizzor.b在本月份回到了前20名的榜單中，此外，Black.a已經加入了一個新版本Black.d。為了進行改版，Packed.Win32.Black家族所包括的程式，已經有辦法將受到合法工具保護的可執行文件進行打包。在這樣封包經過加殼的特殊情況下，經常被網路犯罪利用。

另一個新增的是多媒體木馬下載程式GetCodec.s，我們曾撰寫過關於該木馬與GetCodec.r之間的關連在去年的12月（www.viruslist.com/en）。而這個多媒體木馬下載程式在P2P-Worm.Win32.Nugg的幫助下傳播開來，就像之前的變種一樣。

新一波活躍的活動來自Magania家族。今年7月，Trojan-GameThief.Win32.Magania.biht在網際網路上名列前20大最常見的惡意程式。去年10月，新版本的Magania.cbrt與Trojan-Dropper.Win32.Agent.ayqa都是在用戶電腦中偵測出最常見的惡意程式。

第一個排行榜的總結：惡意程式透過移動式裝置來傳遞的手法再次流行於本月份，並且有明顯的木馬活動在運作（雖然尚未達到顯著的水平）。

第二個前20大排行榜提供的數據由來自網路防毒的部份所組成，反應網路的安全威脅。這個排名包括偵測網路上的惡意程式和下載惡意程式至受害者電腦的惡意網頁。

和往常一樣，第二個排名從上個月開始，出現了一些重大的變化。

Position	Change in position	Name	Number of infected computers
1		Trojan-Downloader.JS.Gumblar.x	459779
2		Trojan-Downloader.JS.Gumblar.w	281057
3	0	Trojan-Downloader.HTML.IFrame.sz	192063
4	3	not-a-virus:AdWare.Win32.Boran.z	171278
5	3	Trojan.JS.Redirector.l	157494
6	1	Trojan-Clicker.HTML.Agent.aq	118361
7		Trojan-Downloader.JS.Zapchast.m	112710
8	Return	Trojan.JS.Agent.aat	107132
9		Trojan-Downloader.JS.Small.oj	60425
10		Exploit.JS.Agent.apw	50939
11	7	Exploit.JS.Pdfka.ti	46303
12		Trojan.JS.Popupper.f	39204
13	1	Trojan-Downloader.JS.IstBar.bh	34944
14		Trojan.JS.Zapchast.an	30546
15	6	Trojan-Downloader.JS.LuckySploit.q	29105
16		Trojan-Downloader.JS.Agent.env	27405
17		Trojan-Dropper.Win32.Agent.ayqa	26994
18	Return	Trojan-Clicker.HTML.IFrame.mq	26057
19		Trojan-GameThief.Win32.Magania.bwsr	26032
20		Exploit.JS.Agent.anr	25517

前兩名都自稱Gumblar的新變種，一種下載木馬程式的script，這個程式在5月底的時候引起一陣轟動，並且在6月時衝到排行頂端。新的Gumblar變種所使用的手法比他們之前版本更複雜了許多，首先，在用戶不知情的情況下，將惡意網站的script偷偷加入合法的網頁中，讓惡意的script運作，現在，這樣的手法讓分析過程變得更困難、銷毀惡意網站的過程也更複雜，而這些腳本本身的目的就在於利用這些漏洞。：
Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659,
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992,
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927),
Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071),
Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496)

為了下載主要的惡意程式Trojan-PSW.Win32.Kates.j.，有些變種的script體內包含了這隻木馬，當script被啟動之後，它便開始嘗試下載Kates.j至受害者的電腦，並確保它能自動運作。感染的目的在於竊取機密數據，包括拜訪網站者的詳細資料，以便拿來作為感染更多地點的資料。

這次使用Gumblar來攻擊是一個非常審慎的計畫，然而，一些細緻的工作造成了所有問題一次浮現，發現所有的惡意程式早已被加入病毒的資料庫中。該惡意script可以分成幾個部份來干擾偵測和分析的技術越來越受到歡迎。本月份前20名的惡意程式，大約有四分之一是使用這個手法來設計的：Trojan-Downloader.JS.Zapchast.n、Trojan-Downloader.JS.Small.oj、Exploit.JS.Agent.apw、Trojan.JS.Zapchast.an以及Trojan-Downloader.JS.Agent.env。

這也使得Trojan-Dropper.Win32.Agent.ayqa（前段提到過的）進入我們前20大的排行榜中，而另一個程式Trojan-GameThief.Win32.Magania.bws，主要是在竊取網路線上遊戲的密碼。

總之，這個月的最大特點在於木馬程式中的Gumblar大規模的感染合法網站。而惡意script的分裂在本月也是一個明顯的演變趨勢。

最後，下方是試圖通過網路感染起源的各國名單；

技術支援

下載專區

個人用戶

企業用戶

關於我們

連絡我們 |技術支援 |可疑病毒回報