Обзор вирусной активности, декабрь 2004

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	New!	I-Worm.Zafi.d	17,85
2.	+2	I-Worm.Zafi.b	13,42
3.	0	I-Worm.NetSky.q	10,85
4.	+2	I-Worm.LovGate.w	9,77
5.	0	I-Worm.NetSky.aa	9,50
6.	-4	I-Worm.Mydoom.ab	4,69
7.	0	I-Worm.NetSky.b	4,46
8.	+6	I-Worm.Sober.i	4,19
9.	0	I-Worm.Bagle.z	3,24
10.	0	I-Worm.Mydoom.m	1,84
11.	+1	I-Worm.NetSky.y	1,56
12.	-11	I-Worm.Bagle.at	1,29
13.	+4	I-Worm.NetSky.t	1,21
14.	+1	I-Worm.NetSky.d	1,14
15.	+1	I-Worm.Mydoom.l	1,07
16.	New!	TrojanDownloader.Win32.Agent.bq	0,96
17.	New!	Trojan-Spy.HTML.Bankfraud.w	0,94
18.	0	I-Worm.LovGate.ad	0,87
19.	0	I-Worm.NetSky.r	0,68
20.	0	I-Worm.Bagle.gen	0,57
Остальные вредоносные программы			9,90

2004 год завершился довольно необычно. На протяжении 11 месяцев составлявшие львиную долю всего хит-парада черви семейств NetSky, Bagle и Mydoom были безжалостно потеснены венгерскими «близнецами» Zafi. В первую очередь стоит отметить последнего лидера ушедшего года — им стал Zafi.d, впервые обнаруженный еще в октябре. Весь ноябрь он тщательно набирал критическую массу, чтобы в декабре сразу же вырваться на первую строчку вирусного рейтинга.

Не отставал от него и предшественник — Zafi.b. Бывший лидером на протяжении нескольких летних месяцев, осенью он сдал позиции, однако в ноябре-декабре смог снова отвоевать утраченное место. Также любопытно, что впервые за долгое время обе верхние строчки рейтинга заняты не представителями большой тройки «Mydoom, Bagle, Netsky».

Ноябрьские лидеры Mydoom.ab и Bagle.at начали свое падение так же стремительно, как и восхождение. Bagle.at опустился с 1 сразу на 11 мест, а Mydoom.ab на 4.

Стоит также отметить продолжающееся восхождение корейского червя LovGate.w. Месяц за месяцем он набирает по несколько пунктов, и в декабре дополз уже 4-го места в вирусной двадцатке. Его новый вариант LovGate.ad остался на своих ноябрьских позициях, и точно спрогнозировать его развитие сейчас не представляется возможным. Напомним, что данные черви, в отличие от прочих присутствующих в рейтинге, не были массово разосланы по миллионам адресов при помощи спам-технологий. Очевидно, что они расползаются по миру при помощи «классических» способов — начиная с небольшого числа компьютеров и постепенно наращивая обороты.

Sober.i внезапно снова стал распространяться в «дикой природе». Несмотря на огромное количество своих поврежденных копий из-за ошибки в коде он, вместо ожидаемого исчезновения из рейтинга, смог пробиться в десятку лидеров.

Прочие почтовые черви практически не изменили свои показатели. Кто-то остался на прежних позициях, кто-то чуть-чуть поднялся в таблице. К счастью, декабрь прошел без заметных эпидемий почтовых червей, поскольку основной упор вирусописатели сделали на использование различных уязвимостей в Internet Explorer, а также создание различных программ-шпионов и Adware.

Именно к таким классам относятся два других новичка нашей статистики — Trojan-Downloader.Win32.Agent.bq и Trojan-Spy.HTML.Bankfraud.w.

Первый из них был неоднократно разослан миллионам получателей по электронной почте; в ходе своей работы он устанавливает в зараженную систему разнообразные программы класса AdWare, а также собирает информацию о посещаемых пользователем веб-ресурсах.

Второй — типичный представитель становящегося все более популярным класса phishing-программ. Он представляет собой письмо, отправленное якобы от службы поддержки Washington Mutual Internet Banking, и в лучших традициях социального инжиниринга предлагает срочно зайти на сайт и ввести свои учетные данные для работы с этой системой интернет-банкинга. Пользователи, нажавшие на ссылку, попадают на поддельный сайт, визуально идентичный оригинальному. Введя на ложном сайте свои учетные данные, пользователи фактически сами отдают их в руки злоумышленников.

Итоги месяца

• В двадцатке появились 3 новых вредоносных программы: Zafi.d, Agent,bq, Bankfraud.w
• Повысили свой рейтинг: Zafi.b, Lovgate.w, Sober.i, Netsky.y, Netsky.t, Netsky.d, Mydoom.l
• Понизили свои показатели: Mydoom.ab, Bagle.at
• Не изменились показатели: Netsky.q, Netsky.aa, Netsky.b, Bagle.z, Mydoom.m, LovGate.ad, Netsky.r, Bagle.gen