Архив новостей

Обзор вирусной активности, декабрь 2005

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. top20_up.gif+2
Email-Worm.Win32.Zafi.d
29,17
2. top20_down.gif-1
Net-Worm.Win32.Mytob.c
17,30
3. top20_up.gif+2
Email-Worm.Win32.LovGate.w
6,07
4. top20_up.gif+9
Email-Worm.Win32.Sober.y
4,92
5. top20_up.gif +13
Email-Worm.Win32.Zafi.b
3,73
6. top20_up.gif+1
Email-Worm.Win32.NetSky.b
3,58
7. top20_down.gif-1
Email-Worm.Win32.NetSky.q
2,75
8. top20_noch.gif0
Net-Worm.Win32.Mytob.t
2,29
9. top20_up.gif+1
Net-Worm.Win32.Mytob.u
2,28
10. top20_up.gif+2
Net-Worm.Win32.Mytob.q
1,79
11. top20_down.gif-2
Net-Worm.Win32.Mytob.bk
1,54
12. top20_down.gif-1
Net-Worm.Win32.Mytob.h
1,45
13. top20_new.gifNew!
Trojan-Spy.HTML.Bayfraud.hn
1,36
14. top20_ret.gifReturn
Email-Worm.Win32.LovGate.ae
1,35
15. top20_up.gif+4
Email-Worm.Win32.NetSky.y
1,00
16. top20_ret.gifReturn
Net-Worm.Win32.Mytob.w
0,96
17. top20_ret.gifReturn
Net-Worm.Win32.Mytob.a
0,96
18. top20_down.gif-1
Email-Worm.Win32.Bagle.dx
0,83
19. top20_down.gif-4
Net-Worm.Win32.Mytob.y
0,81
20. top20_ret.gifReturn
Net-Worm.Win32.Mytob.x
0,79
Остальные вредоносные программы 15,07

В отличие от стабильного положения лидеров вирусного рейтинга в ноябре, декабрь 2005 года оказался весьма активным. Первые шесть позиций претерпели значительные изменения, а также в очередной раз сменился лидер двадцатки. Вопреки ожиданиям им стал не представитель семейства Mytob или Doombot. Им оказался Zafi.d, уже почти полтора года циркулирующий в сети. На этот раз его показатель оказался весьма впечатляющим – почти 30% от всего вирусного трафика.

Лидер последних месяцев, Mytob.c, опустился на второе место, хотя его показатели фактически остались на прежнем уровне. А вот дальше начинается самое интересное.

Черви семейства Doombot, активно вторгнувшиеся в двадцатку пару месяцев назад и составлявшие серьезную конкуренцию Mytob-ам, вдруг бесследно пропали. Пропали не только занимавшие 16 и 20 места Doombot.g и .d, но и вариант .b, бывший в ноябре на втором месте!

Если бы в рейтинге появились новые вредоносные программы, то такое исчезновение Doombot можно было бы объяснить обычным вытеснением со стороны более активных вирусов. Однако ничего подобного в декабре не произошло.

Дальше еще интересней. Lovgate.w, старожил и ветеран вирусных боев, забрался на третье место. Мы уже давно перестали удивляться тем показателям стабильности, которые уже несколько лет выдерживает этот азиатский червь. Появлялись новые и сменялись лидеры вирусной двадцатки, были Mydoom, Bagle, Sober, NetSky, сейчас они уже давно отошли в небытие, а LovGate.w как находился в числе самых распространенных червей, так им и остается. Кроме этого, в двадцатку смог вернуться еще один из LovGate. Вариант .ae обосновался на 14-м месте.

Самый нашумевший вирус ноября – Sober.y. В ноябре в нашей статистике он занимал скромное 13 место во многом из-за того, что был ориентирован на рассылку себя по адресам электронной почты западноевропейских пользователей, оставляя Россию в относительной безопасности. Однако масштабы эпидемии были столь огромны, что рано или поздно он должен был выйти на эпидемиологический показатель и у нас. В декабре это случилось. Sober.y набрал прибавил сразу 9 позиций и занял 4-ое место. Примерно в середине декабря он перестал рассылать себя по почте, затаившись до лучших времен. По некоторым данным, эти «лучшие времена» для Sober.y настанут 5-6 января, когда он попытается загрузить свой новый вариант на уже зараженные компьютеры. Мы призываем пользователей быть максимально внимательными в эти дни и с повышенным подозрением относиться ко всем письмам с вложениями тем более, если они пришли якобы от какой-то важной государственной службы, например, ФБР. Также возможно, что автор Sober использует новую версию червя для рассылки миллионов писем праворадикального характера с пропагандой нацизма.

Zafi.b – один из самых распространенных почтовых червей последних двух лет. Он неоднократно лидировал в наших рейтингах, однако в последние месяцы его показатели весьма ощутимо шли на убыль. В ноябре он занимал уже 18 место и по всем оценкам в декабре должен был окончательно распрощаться с двадцаткой. Однако, стремительный рывок в лидеры со стороны его младшего брата Zafi.d не мог не отразиться на показателях Zafi.b. Как следствие этого – рост сразу на 13 позиций вверх, что является одним из самых внушительных показателей в 2005 году, и почетное пятое место.

Итого, в первой пятерке мы наблюдаем сразу два червя семейства Zafi и по одному из Mytob, Sober и LovGate. От былого превосходства Mytob над остальными не осталось и следа. И, несмотря на то, что целых 10 вариантов Mytob по-прежнему находятся в числе 20-и самых распространенных вирусов, очевидно, что в самом скором времени они будут окончательно вытеснены новыми червями, которые появятся уже в 2006 году.

Весьма символично 13 место, занятое не червем, не вирусом, а письмом. Trojan-Spy.HTML.Bayfraud.hn – одно из сотен вариантов фишинговых писем, которые были разосланы злоумышленниками в декабре 2005 года. Данная фишинг-атака была направлена на пользователей системы eBay, и показатель в 1,36% от общего вирусного трафика является весьма солидным. Все чаще и чаще в наших отчетах попадаются представители класса Trojan-Spy.HTML, а это говорит о том, что фишинг-атаки не только не идут на убыль, но и испытывают постоянный рост. Фишинг и в 2006 году останется одной из главных проблем компьютерной безопасности.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент – 15,07 — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги декабря

  • В двадцатке появилась одна новая вредоносная программа: Trojan-Spy.HTML.Bayfraud.hn.
  • Повысили свой рейтинг: Zafi.d, LovGate.w, Sober.y, Zafi.b, NetSky.b, Mytob.u, Mytob.q, NetSky.y.
  • Понизили свои показатели: Mytob.c, NetSky.q, Mytob.bk, Mytob.h, Bagle.dx, Mytob.y.
  • Вернулись в двадцатку: LovGate.ae, Mytob.w, Mytob.a, Mytob.x.
  • Не изменил своего положения Net-Worm.Win32.Mytob.t.

Обзор вирусной активности, декабрь 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике