Архив новостей

Обзор вирусной активности, август 2005

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up
+1

Net-Worm.Win32.Mytob.c
16,28
2. Down
-1

Email-Worm.Win32.NetSky.q
11,38
3. No Change

Email-Worm.Win32.Zafi.b
8,49
4. No Change

Email-Worm.Win32.Zafi.d
5,98
5. Up
+1

Net-Worm.Win32.Mytob.bk
4,45
6. Up
+3

Email-Worm.Win32.NetSky.b
3,79
7. No Change

Email-Worm.Win32.NetSky.aa
3,51
8. Up
+7

Email-Worm.Win32.LovGate.w
3,38
9. Down
-4

Net-Worm.Win32.Mytob.be
3,37
10. No Change
Net-Worm.Win32.Mytob.bi
2,72
11. Up
+5

Net-Worm.Win32.Mytob.q
2,60
12. Up
+5

Net-Worm.Win32.Mytob.t
2,22
13. New!
New

Net-Worm.Win32.Mytob.h
2,04
14. Down
-1

Net-Worm.Win32.Mytob.u
1,68
15. Return
Return

Email-Worm.Win32.NetSky.t
1,52
16. Down
-5

Net-Worm.Win32.Mytob.au
1,51
17. Down
-9

Net-Worm.Win32.Mytob.bt
1,25
18. Return
Return

Net-Worm.Win32.Mytob.r
1,17
19. New!
New

Net-Worm.Win32.Mytob.a
1,15
20. New!
New

Net-Worm.Win32.Mytob.bw
1,15
другие вредоносные программы 20,36

Время от времени в сети Интернет происходят кибервойны. Иногда это войны между «конкурирующими» группами вирусописателей, которые пытаются удалить «врагов» с зараженных компьютеров и стать единственными, кто может управлять такой «зомби-машиной». Эти войны иногда выливаются во взаимный взлом сайтов или атаки хакеров из одной страны на правительственные серверы другой страны. Отголоски этих войн отражаются, в том числе, и в вирусных рейтингах.

Уже который месяц подряд за вершину нашей вирусной двадцатки борются NetSky.q и Mytob.c. Это совершенно разные черви, созданные с разницей в один год и использующие разные уязвимости. NetSky.q вел войну против червей семейства Mydoom и Bagle и, судя по текущим показателям, вышел из этой схватки победителем. Но вот Mytob, в основе которого лежат исходные коды самого первого Mydoom, оказался достойным преемником прародителя. Несомненно, схватка между червями семейств Mytob и NetSky – это наиболее заметная тенденция в наших ежемесячных вирусных отчетах.

13 позиций из 20 – это Mytob. 4 из 20 – это NetSky. Однако, если посмотреть на первую десятку, то там наблюдается практически паритет – 4 Mytob и 3 NetSky.

Июльское наступление на двадцатку со стороны «старых» червей – Zafi, Bagle, Mydoom — практически провалилось. В августе в рейтинге не осталось ни одного варианта Bagle или Mydoom, а два червя Zafi всего лишь сохранили достигнутые позиции. Зато Mytob-ы смогли вернуть себе показатели июня из-за того, что все три новичка двадцатки – это именно очередные модификации Mytob.

Что удивительно, в числе этих новичков внезапно оказался самый первый Mytob – вариант A, который, несмотря на успехи своих клонов, еще ни разу не оказывался в поле нашего зрения. Возможно, изначально он был разослан не при помощи спам-технологий, а путем заражения крайне малого числа компьютеров, и все это время набирал обороты. Подобные примеры уже случались ранее, и 8-е место августовской статистики занимает представитель именно такого подхода к распространению вирусов – LovGate.w. В июле мы делали прогноз о том, что LovGate.w вот-вот покинет двадцатку (15-е место в июле), однако он не только в ней удержался, но и практически полностью вернул себе утраченное, совершив рост сразу на 7 пунктов.

Еще один странный новичок – Mytob.h. Впервые он был обнаружен еще 25 марта этого года и, так же как и Mytob.a, был не заметен в масштабах сети Интернет. И вот сразу 13-е место. Впрочем, в данном случае у нас есть обьяснение произошедшему. Оригинальный Mytob.h был упакован при помощи связки пакеров – MorphineMEW. В августе кто-то перепаковал оригинальный файл другими пакерами — Upack, UPX и FGS — и выпустил в свет три «новых» варианта. Конечно же, все они детектируются старой процедурой детектирования и под одним и тем же именем.

Стоит отметить также историю с червем «Zotob». Я умышленно беру это название в кавычки, поскольку в антивирусных базах Антивируса Касперского такого названия вредоносной программы нет, а другие антивирусные компании используют это имя для самых разных червей и ботов, зачастую не имеющих ничего общего.
Очевидно, что названия Zotob.a, .b и .c получили черви семейства Mytob (по классификации «Лаборатории Касперского»). Zotob.a соответствует Mytob.cg, Zotob.b – Mytob.cf, Zotob.c – Mytob.ch. Функцией рассылки себя по почте обладают только Mytob.ch и .cg, вариант .cf способен проникать на компьютер только при помощи уязвимости в операционной системе Microsoft Windows MS05-039.

26 августа из Марокко поступило известие об аресте предположительного автора данных червей, которые были написаны им в соавторстве с вирусописателем из Турции (он также был арестован). В данной ситуации имеется четкое разделение обязанностей в преступной группе – один человек был занят написанием вируса, а второй занимался его распространением в сети Интернет. Ряд СМИ обьявил о том, что именно эти черви стали причиной вирусной эпидемии в американских телекомпаниях ABC и CNN, однако по нашим предположениям, виновником тех инцидентов был червь из семейства Bozori, использующий ту же самую уязвимость MS05-039.

Трудно предположить, наблюдали ли бы мы кого-нибудь из этих червей в нашей статистике, если бы они обладали еще и функцией рассылки себя по электронной почте. Единственные из них, имеющие такой функционал, – Mytob.cg и .ch — не попали даже в число сорока наиболее распространенных вирусов в почтовом трафике августа.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (20,38%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги августа

  • В двадцатке появились 3 новых вредоносных программы: Mytob.h, Mytob.a, Mytob.bw
  • В двадцатку вернулись NetSky.t и Mytob.r.
  • Повысили свой рейтинг Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q и Mytob.t.
  • Понизили свои показатели NetSky.q, Mytob.be, Mytob.u, Mytob.au и Mytob.bt
  • Не изменились показатели у Zafi.b, Zafi.d, NetSky.aa и Mytob.bi.

Обзор вирусной активности, август 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике