التقرير الشهري لكاسبرسكي لاب عن البرامج الضارة: أغسطس 2009

تقدم شركة "كاسبرسكي لاب" تقريرها الشهري للبرامج الضارة التي اكتشفت خلال عمل شبكة Kaspersky Security Network في شهر أغسطس 2009.

في الجدول الأول تم إدراج البرامج الضارة والدعائية والمريبة التي تم كشفها واحتواؤها في إطار عمل أداة الفحص عند الطلب on-access scanner.

Position	Change in position	Name	Number of infected computers
1	0	Net-Worm.Win32.Kido.ih	48281
2	0	Virus.Win32.Sality.aa	23156
3	New	not-a-virus:AdWare.Win32.Boran.z	16872
4	-1	Trojan-Downloader.Win32.VB.eql	8030
5	-1	Trojan.Win32.Autoit.ci	7846
6	0	Virus.Win32.Virut.ce	6248
7	-2	Worm.Win32.AutoRun.dui	5516
8	0	Net-Worm.Win32.Kido.jq	5446
9	-2	Virus.Win32.Sality.z	5157
10	New	Virus.Win32.Induc.a	4476
11	-2	Worm.Win32.Mabezat.b	3982
12	-2	Net-Worm.Win32.Kido.ix	3579
13	-1	Packed.Win32.Klone.bj	3579
14	New	Trojan.Win32.Swizzor.b	3327
15	New	Packed.Win32.Katusha.b	3139
16	-2	Worm.Win32.AutoIt.i	3076
17	1	not-a-virus:AdWare.Win32.Shopper.v	2947
18	New	Trojan-Dropper.Win32.Flystud.yo	2745
19	-2	Email-Worm.Win32.Brontok.q	2706
20	New	P2P-Worm.Win32.Palevo.jaj	2664

لا يزال يحتل كل من Net-Worm.Win32.Kido.ih وVirus.Win32.Sality.aa الموقعين الريادين في التصنيف.

في أغسطس أدرجت ضمن قائمة العشرين الأوائل 6 برامج ضارة جديدة وقفنا عند بعضها بشكل مفصل.

وأبرزها Virus.Win32.Induc.a الذي تناولناه في تقاريرنا السابقة. ونعيد إلى أذهانكم أن برنامج Virus.Win32.Induc.a يستخدم في عملية التناسخ آلية إنشاء الملفات التنفيذية على خطوتين، الذي شاع استخدامه في أوساط Delphi: الشيفرة الأولية في التطبيقات المطورة تترجم أولا في بنيات DCU الوسيطة والتي تتجمع بعد ذلك في ملفات ويندوز. وبمراعاة أن الكثير من المنتجات البرمجية التي كانت لا تزال في حالة "الترجمة" أصيبت بالفيروس، لا عجب من أنه بعد اكتشافه تبوأ المرتبة العاشرة في التصنيف.

في المرتبة الثالثة من التصنيف نجد not-a-virus : AdWare.Win32.Boran. وهو مكوّن شريط الأدوات Baidu Toolbar الخاص بـ Internet Explorer والرائج في الصين. وتستخدم فيه الكثير من تقنيات rootkit لعرقلة عملية إزالة هذا الشريط من قبل المستخدم بالأدوات الشائعة.

Trojan.Win32.Swizzor.b و Packed.Win32.Katusha.b احتلا المرتبة الـ14 والـ15 على التوالي وهما من الجيل الجديد لأحصنة طروادة التي كانت قد دخلت تصنيفاتنا من قبل. والجدير بالذكر أن هذين البرنامجين يتميزان باستخدامهما أساليب التشويش المطورة.

اما البرنامج الدودي الذي ظهر في شهر مايو P2P-Worm.Win32.Palevo.ddm فقد استبدله "قريبه" Palevo.jaj الذي احتل المرتبة الأخيرة في التصنيف. وتجدر الإشارة إلى أن هذا البرنامج خطير نسبيا: فإلى جانب الانتشار في شبكات تبادل الملفات، فهو يصيب الوسائط القابلة للإزالة وينتشر عبر برامج المراسلة الفورية. إلى جانب ذلك فإنه يتمتع بخواص backdoor التي تتيح له التحكم بالحواسيب المصابة بمرونة كبيرة.

إجمالا يعتبر ظهور Virus.Win32.Induc هو الحدث الأبرز في شهر أغسطس ذلك لأنه حدد نقطة بدء استخدام الأساليب التحديثية في نقل العدوى إلى حواسيب المستخدمين.

أما في ما تبقى فإننا نلاحظ استقرار كبيرا في الجدول الأول مقارنة بالثاني.

أعد الجدول الأول انطلاقا من البيانات التي تحصل عليها مكافح الفيروسات في الانترنت والذي يعكس حال الشبكة العنكبوتية. وتضم هذه القائمة البرمجيات الخبيثة التي اكتشفت في صفحات الويب والبرامج الأخرى التي تحمّل من صفحات الويب.

Position	Change in position	Name	Number of infected web pages
1	New	not-a-virus:AdWare.Win32.Boran.z	16760
2	1	Trojan-Downloader.HTML.IFrame.sz	5228
3	New	Trojan.JS.Redirector.l	4693
4	-3	Trojan-Downloader.JS.Gumblar.a	4608
5	New	Trojan-Clicker.HTML.Agent.w	4564
6	New	Exploit.JS.DirektShow.k	4475
7	0	Trojan-GameThief.Win32.Magania.biht	4416
8	-4	Trojan-Downloader.JS.LuckySploit.q	3416
9	-7	Trojan-Clicker.HTML.IFrame.kr	3323
10	-4	Trojan-Downloader.JS.Major.c	2688
11	New	Exploit.JS.Sheat.c	2684
12	New	Trojan-Downloader.JS.FraudLoad.d	2553
13	-4	Trojan-Clicker.HTML.IFrame.mq	2367
14	-3	Trojan.JS.Agent.aat	2246
15	-3	Exploit.JS.DirektShow.j	2128
16	New	Trojan-Downloader.JS.IstBar.bh	1973
17	New	Trojan-Downloader.JS.Iframe.bmu	1933
18	New	Exploit.JS.DirektShow.l	1838
19	New	Exploit.JS.DirektShow.q	1753
20	New	Trojan-Downloader.Win32.Agent.ckwd	1504

يتكون نحو 50 بالمائة من قائمة العشرين الثانية في شهر أغسطس من نماذج جديدة لابتكارات مجرمي الانترنت.

المركز الأول يحتله ذات not-a-virus وهو AdWare.Win32.Boran.z الذي تحدثنا عنه أعلاه.

قبل فترة تناولنا موضوع الثغرات في Internet Explorer، والبرنامج المسؤول عنها والذي يشير إليه الفيروسات كاسبرسكي بـExploit.JS.DirektShow. حينها دخل قائمة العشرين 3 نسخ من هذا البرنامج وهي .a، .j، .o. في شهر أغسطس أدرجنا ضمن هذه القائمة 4 نسخ التي تشير إلى شيوع استخدام هذه الثغرة. ولربما كان مجرمو الانترنت يظنون أن الكثير من المستخدمين لم يقوموا بوضع الرقع الأمنية الضرورية ولا يزالون يهاجمون النظم عبر هذه الثغرة.

وهناك ثغرة أخرى موجودة هذه المرة في برنامج Microsoft Office واستخدمت بشكل مكثف في شهر أغسطس من قبل مجرمي الانترنت: وهي إحدى النسخ المعدلة من هذه الثغرة التي يشار إليها من قبل مكافح الفيروسات الخاص بنا بـExploit.JS.Sheat وقد احتلت المركز الـ11 في التصنيف.

هناك الكثير من الصفحات في الانترنت التي تنتشر منها مكافحات للفيروسات مخادعة. أحد هذه البرمجيات التي تساعد في ذلك احتل المركز الـ12 في تصنيفنا. مكافح الفيروسات كاسبرسكي يشير إليه بـTrojan-Downloader.JS.FraudLoad.d. لدى زيارة الموقع الذي يتضمن برنامجا كهذا يتم إنذار المستخدم بأن حاسوبه "مصاب بعدد كبير من الفيروسات والبرامج الضارة" ويقترح إزالتها. إذا وافق المستخدم فإن الحاسوب يحمّل مكافح فيروسات مزيف FraudTool.

أما وظيفة حصان طروادة Redirector.l فإنها تتمحور حول إعادة توجيه طلبات البحث للمستخدم إلى خوادم محددة لزيادة عدد الزيارات أما محمّل Iframe.bmu فإنه يعد حاوية تضم في داخلها مجموعة من البرامج كما في مجموعة منتجات Adobe.

ولا يزال الوضع الذي كان سائدا في شهر يوليو قائما، إذ يواصل مجرمو الانترنت استغلال ثغرات البرمجيات المعروفة. كما تنتشر مكافحات مخادعة للفيروسات و برامج iframe-clickers بشكل ديناميكي. ويبدو أن الوضع سيبقى على حاله ذلك لأن مثل هذه الخطط التي ينفذها مجرمو الانترنت قد أثبتت فعاليتها.

الدول التي يلاحظ فيها أكبر قدر من محاولات إصابة الحواسيب عبر الويب: