Отчеты о вредоносном ПО

Обзор вирусной активности, август 2006

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. No Change
0
Net-Worm.Win32.Mytob.c 26,43
2. No Change
0
Email-Worm.Win32.Nyxem.e 14,42
3. No Change
0
Email-Worm.Win32.NetSky.b 8,06
4. No Change
0
Email-Worm.Win32.LovGate.w 6,36
5. Up
+2
Net-Worm.Win32.Mytob.u 3,26
6. Down
-1
Net-Worm.Win32.Mytob.q 3,04
7. Up
+2
Net-Worm.Win32.Mytob.w 2,90
8. Down
-2
Email-Worm.Win32.NetSky.y 2,69
9. Down
-1
Net-Worm.Win32.Mytob.t 2,63
10. Up
+4
Net-Worm.Win32.Mytob.cg 1,98
11. Up
+1
Net-Worm.Win32.Mytob.a 1,97
12. New!
New!
Trojan-Spy.HTML.Bankfraud.od 1,91
13. Down
-2
Email-Worm.Win32.NetSky.x 1,71
14. Up
+2
Email-Worm.Win32.NetSky.af 1,31
15. Down
-5
Net-Worm.Win32.Mytob.r 1,31
16. Return
Return
Email-Worm.Win32.NetSky.t 1,11
17. Return
Return
Net-Worm.Win32.Mytob.h 1,10
18. Down
-3
Net-Worm.Win32.Mytob.x 1,04
19. Return
Return
Email-Worm.Win32.LovGate.ae 1,04
20. Return
Return
Net-Worm.Win32.Mytob.j 1,03
Остальные вредоносные программы 14,7

Ожидания августовской битвы за первое место в рейтинге между ветераном Mytob.c и возмутителем спокойствия Nyxem.e не оправдались. Практически сравнявшись с лидером в июле и на пару с ним же захватив половину всего вирусного трафика месяц назад, в августе Nyxem.e откатился на 10 процентов назад, а Mytob.c остался недвижим как скала.

Летний период отпусков и каникул неизменно отражается и на мире компьютерных вирусов. В нашей вирусной двадцатке в августе установилось удивительное затишье, выраженное в неизменности первых четырех мест рейтинга. Да и в целом первая десятка претерпела изменения скорее косметические, чем статистические. Пару мест вверх, пару мест вниз — все в пределах математических допущений.

По сравнению с июлем, когда черви совершали подьемы на 7 позиций вверх и на 12 вниз, августовские показатели в +4 (Mytob.cg) и -5 (Mytob.r) выглядят весьма незначительными.

Тем не менее, антивирусные компании все-таки с опаской ожидали августа. Это было обусловлено тем, что на протяжении уже нескольких лет подряд август становится одним из самых «горячих» периодов. В нашей прошлой двадцатке мы говорили о том, что ответ на вопрос «будет ли в августе эпидемия?» зависит только от того, будут ли найдены новые уязвимости в Windows.

Уязвимости были найдены — и как раз такие, которые могли привести к появлению очередного червя типа Lovesan или Mytob. Недавно обнаруженная уязвимость MS06-040 весьма похожа по своей природе на ошибки MS03-26 (Lovesan) и MS04-011 (Sasser). К счастью, компания Microsoft смогла добиться того, что информация об ошибке не попала в публичные источники до момента выхода обновления. Появившийся затем эксплоит работал только под небольшим количеством версий Windows и не привлек большого внимания вирусописателей. Таким образом, августовская эпидемия не состоялась.

Вирусописатели ограничивались лишь массовыми рассылками «фишинговых» писем. Если летнее затишье характерно для червей, то для фишинга это правило неприменимо. В августе произошло сразу несколько мощных фишинг-атак, наиболее сильная из которых — рассылка в Западной Европе Bankfraud.od. Это фишинговое письмо, ориентированное на пользователей немецкого Volksbank, первый раз встретилось нам еще в марте этого года. В июле-августе его авторы внесли некоторые изменения и провели повторную атаку. Bankfraud.od забрался на 12-ю строчку нашей двадцатки и один первая фишинговая атака в рейтинге за последние несколько месяцев.

Из остальных событий двадцатки стоит отметить исчезновение полиморфного скрипт-червя Scano и отсутствие в списке другого похожего по функционалу червя, Feebs.

LovGate.ad выбыл из рейтинга — и это могло бы означать полное поражение этого семейства в заочной войне с другими червями. Из некогда трех представителей в 20-ке оставался бы только LovGate.w, однако очередной раз эти азиатские черви продемонстрировали поразительную живучесть — в двадцатку вернулся LovGate.ae. Будем следить за их дальнейшей судьбой в сентябре.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (14,7%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги августа

  • В двадцатке появилась одна новая вредоносная программа: Bankfraud.od.
  • Повысили свой рейтинг Mytob.u, Mytob.w, Mytob.cg, Mytob.a, NetSky.af.
  • Понизили свои показатели Mytob.q, NetSky.y, Mytob.t, NetSky.x, Mytob.r, Mytob.x.
  • Вернулись в двадцатку NetSky.t, Mytob.h, LovGate.ae и Mytob.j.
  • Не изменили своих позиций Mytob.c, Nyxem.e, NetSky.b и LovGate.w.

Обзор вирусной активности, август 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике