Архив новостей

Обзор вирусной активности, апрель 2005

.entry-content td img {margin-bottom: 0!important;}
«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за апрель 2005 года.

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up
+3
Net-Worm.Win32.Mytob.c
27,80
2. Down
-1
Email-Worm.Win32.NetSky.q
16,53
3. Down
-1
Email-Worm.Win32.NetSky.aa
6,05
4. Down
-1
Email-Worm.Win32.NetSky.b
5,77
5. No Change
0
Email-Worm.Win32.Lovgate.w
3,65
6. up
+1
Email-Worm.Win32.Zafi.b
3,45
7. New!
New!
Net-Worm.Win32.Mytob.q
3,29
8. Down
-2
Email-Worm.Win32.Zafi.d
2,89
9. New!
New!
Net-Worm.Win32.Mytob.u
2,42
10. Down
-1
Email-Worm.Win32.NetSky.d
2,17
11. Down
-1
Email-Worm.Win32.Mydoom.l
1,99
12. Down
-4
Email-Worm.Win32.Mydoom.m
1,82
13. Down
-1
Email-Worm.Win32.NetSky.x
1,47
14. New!
New!
Net-Worm.Win32.Mytob.r
1,42
15. Down
-1
Email-Worm.Win32.NetSky.t
1,25
16. Down
-5
Email-Worm.Win32.NetSky.y
1,15
17. New!
New!
Net-Worm.Win32.Mytob.t
1,06
18. New!
New!
Net-Worm.Win32.Mytob.h
1,01
19. Down!
-6
Email-Worm.Win32.NetSky.r
0,98
20. Down
-5
Email-Worm.Win32.Bagle.ai
0,81
Остальные вредоносные программы 13,02

В вирусной двадцатке наконец случилось давно ожидаемое и прогнозируемое событие. Лидирующую позицию занял представитель обширного семейства сетевых червей, созданных в 2005 году, — Mytob. Обнаруженный 4 марта червь Mytob.c смог за два месяца оттеснить с первой строчки лидера 2004 года – NetSky.q, причем эта смена фактически произошла еще в конце марта.

Буквально с первых дней своего появления Mytob.c показал, что пришел всерьез и надолго. Основанный на исходных кодах червя Mydoom.a, он также содержит в себе функцию размножения по сетям при помощи уязвимости LSASS, и, кроме того, имеет бот-функционал, что и отражено в его названии, данном антивирусными компаниями, – My(doom) + tob(bot наоборот).

Двойной способ размножения делает невозможным быстрое устранение эпидемии только путем обнаружения и удаления червя в почтовом трафике на крупных почтовых узлах. Для решения «проблемы Mytob» необходимо, чтобы как можно большее число пользователей установило критические обновления для ОС Windows, закрывающие уязвимость в LSASS.

Тревогу вызывает и тот факт, что Mytob.c пришел не один. Кроме него в апрельской 20-ке находятся еще 5(!) представителей данного семейства, что делает его вторым широте охвата в нашем вирусном хит-параде после Netsky (8 вариантов). Отметим, что NetSky для достижения таких показателей понадобилось несколько месяцев, тогда как Mytob добился этого за месяц.

Несомненно, данное семейство червей будет еще долгое время представлено в наших отчетах, да и авторы этих червей не снижают активности (по состоянию на конец апреля новые варианты появлялись раз в два дня). Впрочем, практически все новые варианты не отличаются большими изменениями в функционале. Фактически все отличия между ними сводятся к изменению программы-упаковщика файлов червя. Авторы пытаются именно таким образом обойти большинство антивирусных сканеров.

Семейство червей Mytob, конечно же, было не единственным, появившимся в апреле 2005 года. Было зафиксировано несколько локальных эпидемий, вызванных новыми представителями семейств Sober и Bagle, однако по ряду причин (ошибки в коде, быстрая реакция антивирусных компаний) никому из них не удалось даже попасть в число 20 наиболее распространенных в почтовом трафике вредоносных программ.

Все остальные представители данного рейтинга уступили в массе своей натиску наглых новичков Mytob (рост на один пункт отмечен только у Zafi.b) и потеряли несколько позиций в рейтинге. Не появилось в двадцатке и новых экземпляров из числа различных активно прогрессировавших в прошлые месяцы фишинг-рассылок (Trojan-Spy.HTML) или Trojan-Downloader. Это вызывает определенное удивление, поскольку рассылки подобных программ встречаются довольно часто. Видимо, их авторы не имеют своей целью большую массовость этих рассылок, отдавая предпочтение «таргетингу»: либо атакуя клиентов конкретного банка, либо рассылая троянские программы исключительно по адресам в одной доменной зоне (например, .ua).

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (13.02%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве червей и троянских программ, относящихся к другим семействам.

В двадцатке появились 5 новых вредоносных программ: Mytob.q, Mytob.u, Mytob.r, Mytob.t, Mytob.h
Повысили свой рейтинг: Mytob.c, Zafi.brb
Понизили свои показатели: NetSky.q, NetSky.aa, NetSky.b, Zafi.d, NetSky.d, Mydoom.l, Mydoom.m, NetSky.x, NetSky.t, NetSky.y, NetSky.r, Bagle.ai
Не изменились показатели: LovGate.w

Обзор вирусной активности, апрель 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике