البرامج الضارة المكتشفة على حواسيب المستخدمين
في الجدول الأول أدرجت البرامج الضارة وغير المرغوب بها التي اكتشفت في حواسيب المستخدمين وتم إبطال مفعولها لدى أول تعامل معها.
| التصنيف | التغير في التصنيف | البرنامج الضار | عدد الحواسيب المصابة بالعدوى |
| 1 |  0
| Net-Worm.Win32.Kido.ir | 330025 |
| 2 | 0
| Virus.Win32.Sality.aa | 208219 |
| 3 | 0
| Net-Worm.Win32.Kido.ih | 183527 |
| 4 | 0
| Net-Worm.Win32.Kido.iq | 172517 |
| 5 | 0
| Worm.Win32.FlyStudio.cu | 125714 |
| 6 |  2
| Virus.Win32.Virut.ce | 70307 |
| 7 |  جديد
| Exploit.JS.CVE-2010-0806.i | 68172 |
| 8 |  -2
| Trojan-Downloader.Win32.VB.eql | 64753 |
| 9 | 2
| Worm.Win32.Mabezat.b | 51863 |
| 10 | 5
| Trojan-Dropper.Win32.Flystud.yo | 50847 |
| 11 | -1
| Worm.Win32.AutoIt.tc | 49622 |
| 12 | جديد
| Exploit.JS.CVE-2010-0806.e | 45070 |
| 13 | -4
| Packed.Win32.Krap.l | 44942 |
| 14 | جديد
| Trojan.JS.Agent.bhr | 36795 |
| 15 | 2
| not-a-virus:AdWare.Win32.RK.aw | 36408 |
| 16 |  عائد
| Trojan.Win32.Autoit.ci | 35877 |
| 17 | -1
| Virus.Win32.Induc.a | 31846 |
| 18 | جديد
| Trojan.JS.Zapchast.dj | 30167 |
| 19 | عائد
| Packed.Win32.Black.a | 29910 |
| 20 | عائد
| Worm.Win32.AutoRun.dui | 28343 |
تصنيف البرامج الضارة التي اكتشفت على حواسيب المستخدمين مستقر كما جرت عليه العادة، حيث يحتل المركزين الأولين Kido و Sality.
وظهر في شهر أبريل برنامجان جديدان، احتل اثنان منهما المركزين السابع والثاني عشر على التوالي نوعين معدلين من البرنامج المستغل CVE-2010-0806، الذي تحدثنا عنه في تقرير الشهر الماضي. وفي المركزين الرابع عشر والثامن عشر نلاحظ وجود برنامجين من نوع أحصنة طروادة واكتشفنا أن لهما علاقة باستغلال ثغرة CVE-2010-0806. عادة ما يكون هذا المستغل مشفر ومقسم إلى عدة أقسام. ونجد في متصفح المستخدم الذي سبق أن فتح الصفحة المصابة أن أجزاء من البرنامج المستغل تحمل بنظام محدد. والجزء الأخير يتميز عن غيره بأنه يقوم بفتح المستغل وتشغيله. وهناك برنامجان من نوع أحصنة طروادة اللذان يعتبران أحد الانواع المعدلة من البرنامج المستغل CVE-2010-0806.
ونذكركم بأن هذه الثغرة وجدت في متصفح Internet Explorer في مارس أما البرامج التي تستغلها فأصبحت تستخدم بفعالية من قبل المجرمين الالكترونيين بعد وصفها بشكل مفصل جدا. وقد زاد في شهر مارس تحميل البرنامج CVE-2010-0806 وبلغ نحو 200 ألف. وفي أبريل تم إبطال مفعول هذا البرنامج المستغل في نحو أكثر من 110 ألف حاسوب. وستناول انتشار برنامج CVE-2010-0806 المستغل بالتفصيل بعد قليل.
وتجدر الإشارة إلى أن فيروس Virut.ce يقترب من المراكز الخمس الأولى. وقد صعد في غضون الأشهر الثلاثة الأخيرة من المركز العاشر إلى السادس وتم إبطال مفعولع في أبريل في أكثر من 70 ألف حاسوب.
البرامج الضارة في الانترنت
الجدول الثاني يبين ماهية الوضع في الانترنت. وقد دخلت التصنيف البرامج الضارة التي اكتشفت على صفحات المواقع وغيرها من البرامج التي حاولت أن تحمّل نفسها من الانترنت إلى حواسيب المستخدمين.
| التصنيف | التغير في التصنيف | البرنامج الضار | عدد محاولات التحميل |
| 1 | 1
| Exploit.JS.CVE-2010-0806.i | 201152 |
| 2 | جديد
| Exploit.JS.Pdfka.cab | 117529 |
| 3 | 7
| Exploit.JS.CVE-2010-0806.b | 110665 |
| 4 | جديد
| not-a-virus:AdWare.Win32.FunWeb.q | 99628 |
| 5 | جديد
| Trojan-Downloader.JS.Twetti.с | 89596 |
| 6 | جديد
| Trojan-Downloader.JS.Iframe.bup | 85973 |
| 7 | جديد
| Trojan.JS.Agent.bhl | 76648 |
| 8 | عائد
| Trojan-Clicker.JS.Agent.ma | 76415 |
| 9 | جديد
| Trojan-Clicker.JS.Iframe.ev | 74324 |
| 10 | جديد
| Exploit.JS.Pdfka.byp | 69606 |
| 11 | -8
| Trojan.JS.Redirector.l | 68361 |
| 12 | جديد
| Trojan-Dropper.Win32.VB.amlh | 60318 |
| 13 | جديد
| Exploit.JS.Pdfka.byq | 60184 |
| 14 | -10
| Trojan-Clicker.JS.Iframe.ea | 57922 |
| 15 | -8
| not-a-virus:AdWare.Win32.Boran.z | 56660 |
| 16 | جديد
| Exploit.JS.CVE-2010-0806.e | 53989 |
| 17 | -11
| Trojan.JS.Agent.aui | 52703 |
| 18 | 0
| not-a-virus:AdWare.Win32.Shopper.l | 50252 |
| 19 | جديد
| Packed.Win32.Krap.gy | 46489 |
| 20 | جديد
| Trojan.HTML.Fraud.am | 42592 |
بالمقابل يلاحظ أن التصنيف الثاني متغير وغير مستقر كالعادة. ويلاحظ غياب رائد التصيف للشهرين الفائتين وهو Gumblar.x: فنشاطه قد انخفض بشدة فجأة. وكما لاحظنا في التصنيف السابق بدأ وباء Gumblar بالانتشار سريعا ووصل إلى ذروته في فبراير حين تم تسجيل نحو 450 ألف إصابة في موارد الانترنت وانخفضت بشكل كبير بعد شهرين. إن سلوك Gumblar.x يذكر بالوضع الذي تحدثنا عنه في شهر فبراير.. حتى الآن لا نعرف متى ستبدأ الموجة الثانية من الوباء وهل ستحدث غير أننا سنراقب الوضع عن كثب.
وقد أدى الانتشار السريع للبرنامج المستغل CVE-2010-0806 في هذا الشهر إلى أنه احتل المركز الاول في التصنيف الثاني. وعادة ما يتم تحميل البرامج المستغلة CVE-2010-0806 على الحواسيب الفريسة من قبل برامج التحميل التي تمثل العائلات التالية: Trojan-Downloader.Win32.Small، Trojan-Dropper.Win32.Agent، Trojan.Win32.Inject، Trojan.Win32.Sasfis وغيرها. هذه البرامج من نوع أحصنة طروادة تقوم بدورها بتحميل برامج ضارة على الحواسيب. وغالبا ما تقوم بتحميل نسخا من Trojan-GameTheif.Win32.Magania، Trojan-GameTheif.Win32.WOW و Backdoor.Win32.Torr. ويمكن التكهن أنه في أبريل استهدف مجرمو الانترنت الذين يستخدمون البرنامج المستغل CVE-2010-0806، البيانات الخاصة للمستحدمين الذين لهم حسابات في ألعاب الانترنت. وبلغ عدد محاولات التحميل للنسخ الثلاثة من المستغل التي احتل المراكز الأول والثالث والسادس عشر أكثر من 350 ألفا.
ومن بين البرامج الجديدة التي دخلت التصنيف لأول مرة في أبريل (المراكز الثاني والعاشر والثالث عشر) هي برامج مستغلة للثغرات في منتجات Adobe Reader و Acrobat. وتجدر الإشارة إلى أن الثغرات التي تستغلها هذه البرامج هي ثغرات قديمة نسبيا وظهرت لأول مرة في عام 2009. هذه البرامج المستغلة تعتبر وثائق في نسق PDF التي تتضمن سيناريوهات بلغة Java Script. اما البرامج المستغلة من فئة Trojan-Downloader المحملة من قبلها قامت بتحميل نماذج كثيرة من البرامج الضارة. ومن بين البرامج الضارة التي تم تحميلها بمساعدة البرنامج المستغل Pdfka.cab (المركز الثاني) على الحواسيب الضحية تم اكتشاف نماذج معدلة من عائلة PSWTool.Win32.MailPassView. جميع برامج هذه العائلة تستخدم لسرقة كلمات الدخول وكلمات السر الخاصة بالبريد الالكتروني.
أما برنامج Packed.Win32.Krap.gy (المركز 19) فشأنه شأن غالبية ممثلي هذه العائلة من برامج التعبئة من حيث إخفائها برامج مكافحة الفيروسات المزيفة. أحد مصادر نشر البرامج المزيفة صفحة HTML التي تشخصها شركة "كاسبرسكي لاب" على أنها Trojan.HTML.Fraud.am (المركز 20).
وبلغ عدد محاولات تحميل Twetti.c (المركز الخامس) 90 ألفا. ولا يختلف هذا البرنامج عن سلفه المشوش Twetti.a كثيرا. وتظهر لنا تصنيفات شهر أبريل أن النزعة السائدة في الفترة الأخيرة هي استخدام المجرمين الالكترونيين البرامج المستغلة التي تنشر شيفراتها الأصلية بكثرة. في غالبية الأحيان يعتبر الهدف الرئيسي لمثل هذه الهجمات سرقة البيانات السرية للمستخدمين.
ويحاول المجرمون الالكترونيون جاهدين الاستيلاء على حسابات أنظمة البريد ومواقع الانترنت المختلفة. ووبلغ عدد هذه المحاولات في شهر أبريل مئات الآلاف. بالإمكان إعادة بيع او استخدام البيانات المسروقة في نشر البرامج الضارة.
الدول التي شهدت العدد الأكبر من محاولات الإصابة عبر الانترنت:
