Обзор вирусной активности, август 2005

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	+1	Net-Worm.Win32.Mytob.c	16,28
2.	-1	Email-Worm.Win32.NetSky.q	11,38
3.	—	Email-Worm.Win32.Zafi.b	8,49
4.	—	Email-Worm.Win32.Zafi.d	5,98
5.	+1	Net-Worm.Win32.Mytob.bk	4,45
6.	+3	Email-Worm.Win32.NetSky.b	3,79
7.	—	Email-Worm.Win32.NetSky.aa	3,51
8.	+7	Email-Worm.Win32.LovGate.w	3,38
9.	-4	Net-Worm.Win32.Mytob.be	3,37
10.	—	Net-Worm.Win32.Mytob.bi	2,72
11.	+5	Net-Worm.Win32.Mytob.q	2,60
12.	+5	Net-Worm.Win32.Mytob.t	2,22
13.	New	Net-Worm.Win32.Mytob.h	2,04
14.	-1	Net-Worm.Win32.Mytob.u	1,68
15.	Return	Email-Worm.Win32.NetSky.t	1,52
16.	-5	Net-Worm.Win32.Mytob.au	1,51
17.	-9	Net-Worm.Win32.Mytob.bt	1,25
18.	Return	Net-Worm.Win32.Mytob.r	1,17
19.	New	Net-Worm.Win32.Mytob.a	1,15
20.	New	Net-Worm.Win32.Mytob.bw	1,15
другие вредоносные программы			20,36

Время от времени в сети Интернет происходят кибервойны. Иногда это войны между «конкурирующими» группами вирусописателей, которые пытаются удалить «врагов» с зараженных компьютеров и стать единственными, кто может управлять такой «зомби-машиной». Эти войны иногда выливаются во взаимный взлом сайтов или атаки хакеров из одной страны на правительственные серверы другой страны. Отголоски этих войн отражаются, в том числе, и в вирусных рейтингах.

Уже который месяц подряд за вершину нашей вирусной двадцатки борются NetSky.q и Mytob.c. Это совершенно разные черви, созданные с разницей в один год и использующие разные уязвимости. NetSky.q вел войну против червей семейства Mydoom и Bagle и, судя по текущим показателям, вышел из этой схватки победителем. Но вот Mytob, в основе которого лежат исходные коды самого первого Mydoom, оказался достойным преемником прародителя. Несомненно, схватка между червями семейств Mytob и NetSky – это наиболее заметная тенденция в наших ежемесячных вирусных отчетах.

13 позиций из 20 – это Mytob. 4 из 20 – это NetSky. Однако, если посмотреть на первую десятку, то там наблюдается практически паритет – 4 Mytob и 3 NetSky.

Июльское наступление на двадцатку со стороны «старых» червей – Zafi, Bagle, Mydoom — практически провалилось. В августе в рейтинге не осталось ни одного варианта Bagle или Mydoom, а два червя Zafi всего лишь сохранили достигнутые позиции. Зато Mytob-ы смогли вернуть себе показатели июня из-за того, что все три новичка двадцатки – это именно очередные модификации Mytob.

Что удивительно, в числе этих новичков внезапно оказался самый первый Mytob – вариант A, который, несмотря на успехи своих клонов, еще ни разу не оказывался в поле нашего зрения. Возможно, изначально он был разослан не при помощи спам-технологий, а путем заражения крайне малого числа компьютеров, и все это время набирал обороты. Подобные примеры уже случались ранее, и 8-е место августовской статистики занимает представитель именно такого подхода к распространению вирусов – LovGate.w. В июле мы делали прогноз о том, что LovGate.w вот-вот покинет двадцатку (15-е место в июле), однако он не только в ней удержался, но и практически полностью вернул себе утраченное, совершив рост сразу на 7 пунктов.

Еще один странный новичок – Mytob.h. Впервые он был обнаружен еще 25 марта этого года и, так же как и Mytob.a, был не заметен в масштабах сети Интернет. И вот сразу 13-е место. Впрочем, в данном случае у нас есть обьяснение произошедшему. Оригинальный Mytob.h был упакован при помощи связки пакеров – MorphineMEW. В августе кто-то перепаковал оригинальный файл другими пакерами — Upack, UPX и FGS — и выпустил в свет три «новых» варианта. Конечно же, все они детектируются старой процедурой детектирования и под одним и тем же именем.

Стоит отметить также историю с червем «Zotob». Я умышленно беру это название в кавычки, поскольку в антивирусных базах Антивируса Касперского такого названия вредоносной программы нет, а другие антивирусные компании используют это имя для самых разных червей и ботов, зачастую не имеющих ничего общего.
Очевидно, что названия Zotob.a, .b и .c получили черви семейства Mytob (по классификации «Лаборатории Касперского»). Zotob.a соответствует Mytob.cg, Zotob.b – Mytob.cf, Zotob.c – Mytob.ch. Функцией рассылки себя по почте обладают только Mytob.ch и .cg, вариант .cf способен проникать на компьютер только при помощи уязвимости в операционной системе Microsoft Windows MS05-039.

26 августа из Марокко поступило известие об аресте предположительного автора данных червей, которые были написаны им в соавторстве с вирусописателем из Турции (он также был арестован). В данной ситуации имеется четкое разделение обязанностей в преступной группе – один человек был занят написанием вируса, а второй занимался его распространением в сети Интернет. Ряд СМИ обьявил о том, что именно эти черви стали причиной вирусной эпидемии в американских телекомпаниях ABC и CNN, однако по нашим предположениям, виновником тех инцидентов был червь из семейства Bozori, использующий ту же самую уязвимость MS05-039.

Трудно предположить, наблюдали ли бы мы кого-нибудь из этих червей в нашей статистике, если бы они обладали еще и функцией рассылки себя по электронной почте. Единственные из них, имеющие такой функционал, – Mytob.cg и .ch — не попали даже в число сорока наиболее распространенных вирусов в почтовом трафике августа.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (20,38%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги августа

• В двадцатке появились 3 новых вредоносных программы: Mytob.h, Mytob.a, Mytob.bw
• В двадцатку вернулись NetSky.t и Mytob.r.
• Повысили свой рейтинг Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q и Mytob.t.
• Понизили свои показатели NetSky.q, Mytob.be, Mytob.u, Mytob.au и Mytob.bt
• Не изменились показатели у Zafi.b, Zafi.d, NetSky.aa и Mytob.bi.