卡巴斯基實驗室發布2009年11月惡意程式排行

【台北訊】來自用戶電腦的惡意程式
第一個前20大排行中列出了本月份被偵測出的惡意威脅程式、廣告程式和潛在的未知程式。

Position	Change in position	Name	Number of infected computers
1	0	Net-Worm.Win32.Kido.ir	330305
2		Net-Worm.Win32.Kido.iq	174351
3	1	Net-Worm.Win32.Kido.ih	145332
4	0	Virus.Win32.Sality.aa	128737
5	0	Worm.Win32.FlyStudio.cu	93848
6	3	not-a-virus:AdWare.Win32.Boran.z	84825
7	1	Trojan-Downloader.Win32.VB.eql	63287
8	9	Trojan-Downloader.WMA.GetCodec.s	48426
9	1	Virus.Win32.Virut.ce	47812
10	3	Virus.Win32.Induc.a	46252
11	2	Worm.Win32.AutoRun.awkp	36453
12	4	Packed.Win32.Black.d	36422
13	2	Packed.Win32.Black.a	35094
14	1	Trojan-Dropper.Win32.Flystud.yo	34638
15	3	Worm.Win32.AutoRun.dui	32493
16	1	Packed.Win32.Klone.bj	31963
17	1	Worm.Win32.Mabezat.b	29804
18		Packed.Win32.Krap.ag	26041
19		Trojan-GameThief.Win32.Magania.ckqi	25529
20		Trojan.Win32.Genome.bjgu	24730

整體來說，第一個排行榜幾乎沒有變化，即使有一些值得注意的部份。

首先，Kido.iq一進榜就空降第二名的位置，它是一個與排名冠軍Kido.ir非常相似的惡意程式。Kido.ir在今年九月第一次進榜。

其次，GetCodec.s在本月份上升了9個名次，在11月中偵測的數量增長了一倍以上。整體看起來，GetCodec.s散佈是與P2P-Worm.Win32.Nugg一起成長的，就像我們曾經在去年寫過關於GetCodec.r的情況一樣。看來，網路犯罪又再一次的企圖透過Gnutella散佈 P2P-Worm.Win32.Nugg（並且在這種狀況下，利用目前最流行的LimeWire應用程式）。這隻蠕蟲會在下載其它惡意程式，以攻擊用戶的電腦。

另一個新進榜的名單是Packed.Win32.Krap.ag。就像其他再一次回到排行榜的Packed家族，Krap.ag使用打包過的惡意程式假以偵測經過特殊包裝程式。在這種特殊的情況下，這些受到掩蓋的標準惡意程式在經過修改、打包後，成了假的防毒惡意程式就像我們在最近寫的一篇報告中一樣。事實上，排行榜上的第18名就是一個流氓防毒解決方案。

排行榜中的木馬程式Magania家族已經回到第19名的位置，儘管新版的Magania.ckqi取代了上個月新加入的Magania.cbrt。

網際網路的惡意程式

第二個前20大排行榜所提供的數據來自網際網路的惡意程式，反映出網路的安全威脅。這個排名包括從網頁中下載到受害者電腦的惡意程式與惡意軟體。

Position	Change in position	Name	Number of infected computers
1	0	Trojan-Downloader.JS.Gumblar.x	1714509
2	1	Trojan-Downloader.HTML.IFrame.sz	189881
3		Trojan-Clicker.JS.Iframe.be	170319
4	0	not-a-virus:AdWare.Win32.Boran.z	136748
5	0	Trojan.JS.Redirector.l	130271
6		Trojan.JS.Ramif.a	115163
7	1	Trojan.JS.Agent.aat	55291
8	2	Trojan-Clicker.HTML.Agent.aq	47873
9		Trojan.HTML.Fraud.	47473
10	8	Trojan-Downloader.JS.Gumblar.w	41977
11		Trojan.JS.Iframe.dy	35152
12	5	Trojan-Downloader.JS.Zapchast.m	31161
13		Trojan-Downloader.JS.IstBar.cy	30806
14		Trojan-Clicker.JS.Iframe.u	30553
15	Return	Trojan-Downloader.JS.Psyme.gh	30078
16		Trojan-Downloader.HTML.FraudLoad.b	29466
17		Trojan-Clicker.HTML.IFrame.ajn	29455
18		Trojan.JS.PrygSkok.a	27804
19		Packed.Win32.Krap.ag	26770
20	5	Trojan-Downloader.JS.LuckySploit.q	26175

Gumblr繼續主宰著這個排名，並且拉大與第二名的距離。嘗試下載該惡意程式的次數，在11月份中大約增長了四倍。

Gumblar最新的攻擊我們在上個月已經提過，11月份中仍然有增無減。不同於前六個月，本月份中，該漏洞與主要可執行文件的下載器，皆以驚人的規律被替換或修改。

流氓防毒軟體也同樣進入第二個排行榜。他所使用的散佈方法之一是設立與安全網站同樣的模板，並利用這些程式下載到用戶的電腦，這是網路罪犯分支機構或合作夥伴的其中一部份。我們在11月發現該網頁最常用的假防毒解決方案是Trojan.HTML.Fraud.r與Trojan-Downloader.HTML.FraudLoad.b. Packed.Win32.Krap.ag，上面所提及的這些也都是從這些網頁下載下來的，這也解釋了為什麼它同時出現在第一個與第二個排行榜中。

11月惡意程式趨勢

11月整體的狀況大略保持不變。目前，最常見的惡意程式傳播策略是使用惡意腳本+開發+可執行文件。通常在使用者間廣泛散佈，因為惡意軟體主要在竊取機密數據或勒索錢財。這種惡意程式包括Trojan-PSW.Win32.Kates（Gumblar攻擊的主要目的是餵了下載該惡意程式）、利用script積極下載各種大量垃圾郵件的常見木馬Trojan-Spy.Win32.Zbot，以及眾多的假防毒程式。

另一個明顯的趨勢，是一直延續到11月的最近幾個月中，利用網站的創建，散佈流氓防毒解決方案的手法。

網路罪犯還積極利用打包的方式（通常是多態），希望藉此有助於避免打包惡意程式的偵測，所以通常他們不會對自己的惡意程式做重大的修改。

本月份的惡意軟體也透過P2P網站，利用多媒體下載程式，然而，這個方法在去年12月已被網路罪犯廣泛運用。

各國試圖透過網路感染的惡意程式分布狀況：

技術支援

下載專區

個人用戶

企業用戶

關於我們

連絡我們 |技術支援 |可疑病毒回報