Обзор вирусной активности, апрель 2006

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	0	Net-Worm.Win32.Mytob.c	26,37
2.	0	Email-Worm.Win32.NetSky.t	9,00
3.	0	Email-Worm.Win32.LovGate.w	8,22
4.	+3	Email-Worm.Win32.NetSky.q	5,47
5.	+8	Email-Worm.Win32.LovGate.ad	4,69
6.	-2	Email-Worm.Win32.NetSky.b	4,09
7.	+10	Net-Worm.Win32.Mytob.y	3,36
8.	+1	Net-Worm.Win32.Mytob.t	3,31
9.	-4	Net-Worm.Win32.Mytob.u	3,25
10.	-2	Net-Worm.Win32.Mytob.q	2,48
11.	+4	Net-Worm.Win32.Mytob.w	2,29
12.	+8	Net-Worm.Win32.Mytob.a	2,26
13.	-3	Email-Worm.Win32.LovGate.ae	1,75
14.	New!	Email-Worm.Win32.Scano.e	1,45
15.	Return	Email-Worm.Win32.NetSky.aa	1,32
16.	New!	Net-Worm.Win32.Mytob.v	1,09
17.	-3	Email-Worm.Win32.NetSky.y	1,05
18.	Return	Email-Worm.Win32.Mydoom.l	1,04
19.	New!	Email-Worm.Win32.NetSky.af	0,89
20.	New!	Net-Worm.Win32.Mytob.cg	0,89
Остальные вредоносные программы			15,73

Даже при беглом сравнении очередной, апрельской, вирусной «двадцатки» с тем же рейтингом полугодовой давности может показаться, что мир компьютерных вирусов застыл на месте. Уж чересчур много его участников, почтовых червей, присутствует в рейтинге на протяжении довольно большого периода времени.Однако, это не так. Лидеру последних месяцев, Mytob.c, еще далеко до показателей своих предшественников – таких как легендарные Klez, Sobig или Mydoom.a. Им удавалось держать пользователей электронной почты в постоянном напряжении на протяжении нескольких лет кряду.

И, хотя «двадцатка» представлена, в основном, различными вариантами Mytob, другие вирусные семейства не собираются уходить в тень и ведут непрерывную борьбу за компьютеры пользователей.

С точки зрения вирусной статистики, апрель 2006 года интересен тем, что в этом месяце наконец-то произошло давно ожидаемое и прогнозируемое аналитиками «Лаборатории Касперского» событие – рейтинг покинули два червя семейства Zafi. В свое время они были лидерами рейтинга, затем хаотично перемещались по списку участников в обоих направлениях, иногда вновь приближаясь к его вершине.С начала 2006 года было отмечено стремительное исчезновение данного червя, которое привело к тому, что сейчас представители данного семейства не наблюдаются в рельных условиях. Такая многолетняя, крайне высокая степень «живучести» данных червей обьясняется тем, что для своего размножения Zafi использовал очень интересный трюк. Этот червь – настоящий полиглот. Он способен рассылать свои письма на более чем пятнадцати языках Европы! Язык исполнения текста письма определяется червем, исходя из доменной принадлежности адреса электронной почты получателя. Таким образом, содержащие Zafi письма приходили французским пользователям на французском языке, а в Россию – на русском.

Если Zafi имел венгерское происхождение, то LovGate был написан где-то в Азии, предположительно, в Южной Корее. LovGate – это еще один ветеран вирусной сцены, начинавший свою карьеру вместе с Mydoom, Bagle, NetSky и тем же Zafi. При этом NetSky, хотя и продолжает уступать позиции под натиском десятков вариантов Mytob, но в статистике все еще держится, а Mydoom и Bagle практически полностью исчезли.

LovGate, наоборот, постоянно наращивает свое присутствие в рейтингах, причем с каждым месяцем новые его варианты забираются все выше. По результатам апреля два червя из семейства LovGate находятся в пятерке лидеров. Примечательна судьба создателей известных вредоносных программ и их «шедевров» -авторы LovGate продолжают упорно гнуть свою линию, создавая новые варианты классических почтовых червей, в то время как создатель NetSky уже давно был арестован и осужден, авторы Bagle предпочитают устраивать кратковременные локальные эпидемии троянских программ, а Mydoom просто «мутировал» в Mytob. В апреле Mytob заметно активизировался – это отражено не только в лидерстве варианта .с, но и в прочих восьми позициях, занимаемых представителями этого семейства в апрельском выпуске «Top20». Отмечено появление новых опасных вариантов этого клана, один из которых, Mytob.cg, уже появился на 20-м месте. Вероятно, в мае количество представителей Mytob в двадцатке вырастет вновь.

Однако не все позиции апрельской «двадцатки» статичны — в рейтинге появилось исовсем новое семейство червей. Scano.e – один из нескольких вариантов Scano, вызывавших головную боль у пользователей и экспертов антивирусных компаний. Для экспертов он интересен тем, что распространяется в виде JavaScript-файла, используя довольно мощный полиморфный код, что осложняет создание детектирования. В плане скриптового полиморфизма он очень похож на еще одного червя, Feebs, который хотя и не присутствует в рейтинге, однако регулярно фигурирует в обращениях пользователей антивирусов. Создается ощущение того, что полиморфизм как функциональная составляющая червей будет одной из самых актуальных тем в ближайшие месяцы.

В остальной части рейтинга можно отметить лишь внушительный рывок (+10 позиций) червя Mytob.y, и возвращение в «двадцатку» Mydoom.l.

Итоги апреля

• В двадцатке появились две новые вредоносные программы: Scano.e, NetSky.af, Mytob.cg.
• Повысили свой рейтинг: NetSky NetSky.q, LovGate.ad, Mytob.y, Mytob.t, Mytob.w, Mytob.a.
• Понизили свои показатели: NetSky.b, Mytob.u, Mytob.q, LovGate.ae, NetSky.y.
• Вернулись в двадцатку:Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.NetSky.aa.