Архив новостей

Обзор вирусной активности, февраль 2004

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за февраль 2004 года.

Двадцатка наиболее распространенных вредоносных программ

  Изменение позиции Название вредоносной программы Доля в общем числе вирусных инцидентов (%)
1 0 I-Worm.Mydoom.a 69,21%
2 New I-Worm.Moodown.b 18,68%
3 -1 I-Worm.Swen 3,20%
4 New I-Worm.Mydoom.e 2,15%
5 -1 I-Worm.Sober.c 1,92%
6 +3 I-Worm.Sobig.f 0,82%
7 -2 I-Worm.Mimail.a 0,47%
8 -1 I-Worm.Klez.h 0,44%
9 +11 I-Worm.Mimail.j 0,30%
10 New I-Worm.Mimail.q 0,27%
11 +8 I-Worm.Dumaru.j 0,24%
12 -9 I-Worm.Mimail.c 0,22%
13 +2 I-Worm.Dumaru.a 0,19%
14 -1 I-Worm.Lentin.m 0,17%
15 New I-Worm.Netsky.c 0,11%
16 New I-Worm.Bagle.b 0,10%
17 New I-Worm.Mydoom.b 0,10%
18 Re-entry Win32.FunLove.4070 0,10%
19 -5 Macro.Word97.Swatch.b 0,08%
20 -10 I-Worm.Tanatos.b 0,07%
Другие вредоносные программы* 1,16%
* не вошедшие в 20 наиболее распространенных

Февраль 2004 года оказался, пожалуй, самым вирусоактивным месяцем за последние несколько лет. Такого количества новых разнообразных почтовых червей, одновременно циркулирующих в почтовом трафике, не было уже давно.

Прежде всего, лидер января — Mydoom.a, который сохранил и весьма незначительно ослабил свои позиции. Несмотря на то, что с 12 февраля червь прекратил свое саморазмножение, количество писем посланных им до этой даты, а также значительная часть зараженных машин с «неправильной датой», позволили этому червю удержать за собой первое место в вирусной двадцатке.

Отдельно отметим новичков, которые, очевидно, будут задавать тон в мартовском «хит-параде». Их сразу шесть, относящихся к четырем разным семействам.

Во-первых, I-Worm.Moodown.b (Netsky.b), призванный, по воле автора, удалять с зараженных машин червя Mydoom.a, а заодно противодействовать антивирусным программам.

Вторым новичком стал новый вариант червя Mydoom, получивший буквенный идентификатор «e». В отличие от своего прародителя, этот вариант удаляет различные документы MS Office. По всей видимости, данная разновидность написана на основе оригинальных исходных текстов Mydoom.a.

Наш старый знакомый, червь Mimail, приобрел новое свойство — полиморфизм — и теперь распространяется в виде полиморфного дроппера. Первым из таких Mimail’ов стал вариант «q», который сразу же забрался на 10-е место в «вирусной двадцатке».
Автор червей Moodown (Netsky), видимо воодушевленный успехом второй версии червя, внес незначительные изменения в код вируса и выпустил в свет еще одну версию — «c», которая находится на скромном 15-м месте, но вероятно еще долгое время будет портить жизнь пользователям.

Один из январских лидеров — червь Bagle.a, покинул вирусный рейтинг, но его место заняла новая версия — Bagle.b. В последние дни февраля появилось огромное количество новых модификаций семейства Bagle, от «c» до «f», с весомыми показателями присутствия в почтовом трафике. Полагаем, что более близкое «знакомство» с ними произойдет в марте.

Наконец, последним новичком 20-ки стал еще один представитель семейства Mydoom, вариант «b». Обнаруженный в конце января, он долгое время пребывал в тени и полностью проявился только в феврале.

Остальные вредоносные программы являются старыми завсегдатаями двадцатки, периодически поднимаясь на несколько строчек вверх, а затем опускаясь вниз. Прошлогодние черви Swen и Sober.c достойно держат удар со стороны дерзких новичков и позиций своих сдавать не собираются.

Вернулся в «хит-парад» файловый вирус Win32.FunLove.4070. У этого факта довольно простое объяснение: в подавляющем большинстве случаев FunLove.4070 прибывает на компьютеры пользователей с почтовыми червями, предварительно заразив собой их файлы.

Итоги февраля

  • В двадцатке появилось шесть новых вредоносных программ: черви Mydoom.b и Mydoom.e, Bagle.b, Moodown.b и Netsky.c, Mimail.q.
  • Повысили свой рейтинг Sobig.f, Mimail.j, Dumaru.j, Dumaru.a.
  • Понизили свои показатели Swen, Sober.c, Mimail.a, Klez.h, Tanatos.b, Lentin.m, Mimail.c, Macro.Word97.Swatch.b.
  • В хит-парад вернулcя Win32.Funlove.4070.
  • Обзор вирусной активности, февраль 2004

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    MosaicRegressor: угроза в недрах UEFI

    Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике