Авторы
«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за февраль 2005 года.
| Позиция | Изменение позиции | Вредоносная программа | Доля, проценты |
| 1. |  +2 |
Email-Worm.Win32.Zafi.b |
21,71 |
| 2. | +1 |
Email-Worm.Win32.NetSky.q |
18,30 |
| 3. |  -2 |
Email-Worm.Win32.Zafi.d |
13,31 |
| 4. | +4 |
Email-Worm.Win32.Bagle.ay |
7,03 |
| 5. |  0 |
Email-Worm.Win32.NetSky.b |
6,94 |
| 6. |  Return |
Email-Worm.Win32.Bagle.at |
4,68 |
| 7. | -1 |
Email-Worm.Win32.NetSky.aa |
3,29 |
| 8. | +1 |
Email-Worm.Win32.Mydoom.m |
2,67 |
| 9. |  New! |
Email-Worm.Win32.Bagle.ba |
2,45 |
| 10. | +3 |
Email-Worm.Win32.NetSky.y |
2,08 |
| 11. | +1 |
Email-Worm.Win32.Mydoom.l |
1,83 |
| 12. | -8 |
Email-Worm.Win32.LovGate.w |
1,74 |
| 13. | +1 |
Email-Worm.Win32.NetSky.d |
1,39 |
| 14. | Return |
Email-Worm.Win32.NetSky.x |
0,96 |
| 15. | +2 |
Email-Worm.Win32.NetSky.r |
0,91 |
| 16. | +2 |
Email-Worm.Win32.Bagle.ai |
0,81 |
| 17. | -2 |
Email-Worm.Win32.NetSky.t |
0,79 |
| 18. | New! |
Trojan-Spy.HTML.Smitfraud.c |
0,55 |
| 19. | -9 |
Trojan-Spy.HTML.Smitfraud.a |
0,49 |
| 20. | Return |
Email-Worm.Win32.NetSky.af |
0,49 |
| Остальные вредоносные программы | 7,58 | ||
Февраль внес ощутимый вклад в подтверждение прогнозов ряда антивирусных экспертов о постепенном вымирании современных почтовых червей, уступающих пальму первенства разнообразным сетевым червям с троянским функционалом.
Угроза пользователям интернета со стороны сетевых червей сейчас является более серьезной.
С одной стороны, это может свидетельствовать о значительных успехах антивирусных компаний в борьбе с эпидемиями email-червей. За последний год антивирусная индустрия смогла представить несколько революционных технологий в области перехвата зараженных писем и остановки эпидемий на самых ранних стадиях (детектирование червей в закрытых паролями архивах, различные способы предварительного анализа писем с исполняемыми вложенными файлами и т.д.).
С другой стороны, угроза пользователям интернета со стороны сетевых червей, проникающих на компьютеры через уязвимости в операционной системе Windows, сейчас является более серьезной. Таким образом, на первый план выходит задача проверки антивирусами всего сетевого трафика, а не только почтового.
В прошедшем феврале черви Zafi продолжали играть друг с другом в детскую игру «царь горы». Сначала вариант «b» находится в самом верху хит-парада, затем его сменяет «d», потом все повторяется. На этот раз вершину все-таки занял Zafi.b. Об этих двух червях мы говорили уже неоднократно, поэтому далее акцентировать на них внимание не будем и, минуя еще одного «ветерана» — Netsky.q, перейдем к 4-му месту вирусной двадцатки.
Bagle.ay, обнаруженный 27 января и сумевший за несколько дней добраться до 8-го места январского рейтинга, в феврале продолжил свое восхождение и финишировал на 4-й позиции. Вообще, из «основных семейств» двадцатки (Netsky, Mydoom, Zafi, Bagle, Lovgate), только создатели Bagle в последнее время проявляют какую-то активность.
1 марта мы зафиксировали сразу 12 новых модификаций червей семейства Bagle.
1 марта мы зафиксировали сразу 12 новых модификаций червей этого семейства (в конечном итоге для всех них был создан специальный детекшен Email-Worm.Win32.Bagle.pac), и некоторые из них, вероятно, встретятся нам в мартовской двадцатке.
Согласно нашим наблюдениям, вслед за очередной эпидемией Bagle следует ожидать появления нескольких новых вариантов Trojan-Proxy.Win32.Mitglieder (именно они загружаются на зараженные Bagle компьютеры), а затем и очередного роста спам и фишинг-рассылок.
Интересна также метаморфоза, случившаяся с двумя другими червями — Bagle.z и Bagle.at. Первый из них, заняв в январе 7-ое место, в феврале бесследно пропал из двадцатки; зато второй внезапно возник из небытия (он был обнаружен в октябре прошлого года) и фактически сменил Bagle.z на 6-7 месте. Объяснения этим странным перестановкам у нас пока нет.
В остальном февральская двадцатка не сильно отличается от январской. Наибольший «урон» в этом месяце понесли черви семейства LovGate: вариант «w» упал на 8 мест, с 4-го на 12-е, а «ad» и «ae» окончательно выбыли за пределы двадцатки.
Антивирус Касперского в этой ситуации оказался на высоте и продолжал детектировать «новые» варианты без дополнительных сигнатур.
Показательная история произошла в феврале с червем Mydoom.m. Во второй половине месяца появилось несколько вариантов данного червя, упакованных при помощи новой программы-упаковщика. Как выяснилось, данный упаковщик оказался неизвестным ряду антивирусных компаний, в связи с чем ими были добавлены новые процедуры детектирования этих вариантов как совсем новых червей семейства Mydoom.
Антивирус Касперского в этой ситуации оказался на высоте и продолжал детектировать «новые» варианты без дополнительных сигнатур. Таким образом, пользователи KAV даже не заметили того, что в мире происходит очередная эпидемия, которая, впрочем, в итоге оказалась и не эпидемией вовсе — Mydoom.m поднялся всего на 1 место вверх в нашем февральском рейтинге.
Фишинговые письма, нацеленные на пользователей крупнейших банковских онлайн-систем, продолжают присутствовать в трафике в значительных количествах. Smitfraud.a находится в двадцатке уже второй месяц подряд, а в феврале к нему присоединился еще один вариант, получивший версию «c».
Прочие обнаруженные в почтовом трафике вредоносные программы составили значительный процент (7,58%) от общего числа перехваченных зараженных писем, однако если учитывать абсолютные показатели, то февраль в целом стал одним из наиболее спокойных месяцев за предыдущий год.
Итоги февраля
- В двадцатке появились две новые вредоносные программы: Bagle.ba, Smitfraud.c.
- Повысили свой рейтинг: Zafi.b, Netsky.q, Bagle.ay, Mydoom.m, Netsky.y, Mydoom.l, Netsky.d, Netsky.r, Bagle.ai.
- Понизили свои показатели: Zafi.d, Netsky.aa, LovGate.w, Netsky.t, Smitfraud.a.
- Не изменились показатели у Netsky.b.
- Вернулись в двадцатку: Bagle.at, NetSky.x, NetSky.af.
Авторы
От тех же авторов
В той же категории
Обзор вирусной активности, февраль 2005