Архив новостей

Обзор вирусной активности, февраль 2005

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за февраль 2005 года.

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up
+2

Email-Worm.Win32.Zafi.b
21,71
2. Up
+1

Email-Worm.Win32.NetSky.q
18,30
3. Down
-2

Email-Worm.Win32.Zafi.d
13,31
4. Up
+4

Email-Worm.Win32.Bagle.ay
7,03
5. No Change
0

Email-Worm.Win32.NetSky.b
6,94
6. Return
Return

Email-Worm.Win32.Bagle.at
4,68
7. Down
-1

Email-Worm.Win32.NetSky.aa
3,29
8. Up
+1

Email-Worm.Win32.Mydoom.m
2,67
9. New!
New!

Email-Worm.Win32.Bagle.ba
2,45
10. Up
+3

Email-Worm.Win32.NetSky.y
2,08
11. Up
+1

Email-Worm.Win32.Mydoom.l
1,83
12. Down
-8

Email-Worm.Win32.LovGate.w
1,74
13. Up
+1

Email-Worm.Win32.NetSky.d
1,39
14. Return
Return

Email-Worm.Win32.NetSky.x
0,96
15. Up
+2

Email-Worm.Win32.NetSky.r
0,91
16. Up
+2

Email-Worm.Win32.Bagle.ai
0,81
17. Down
-2

Email-Worm.Win32.NetSky.t
0,79
18. New!
New!

Trojan-Spy.HTML.Smitfraud.c
0,55
19. Down
-9

Trojan-Spy.HTML.Smitfraud.a
0,49
20. Return
Return

Email-Worm.Win32.NetSky.af
0,49
Остальные вредоносные программы 7,58

Февраль внес ощутимый вклад в подтверждение прогнозов ряда антивирусных экспертов о постепенном вымирании современных почтовых червей, уступающих пальму первенства разнообразным сетевым червям с троянским функционалом.

Угроза пользователям интернета со стороны сетевых червей сейчас является более серьезной.

С одной стороны, это может свидетельствовать о значительных успехах антивирусных компаний в борьбе с эпидемиями email-червей. За последний год антивирусная индустрия смогла представить несколько революционных технологий в области перехвата зараженных писем и остановки эпидемий на самых ранних стадиях (детектирование червей в закрытых паролями архивах, различные способы предварительного анализа писем с исполняемыми вложенными файлами и т.д.).

С другой стороны, угроза пользователям интернета со стороны сетевых червей, проникающих на компьютеры через уязвимости в операционной системе Windows, сейчас является более серьезной. Таким образом, на первый план выходит задача проверки антивирусами всего сетевого трафика, а не только почтового.

В прошедшем феврале черви Zafi продолжали играть друг с другом в детскую игру «царь горы». Сначала вариант «b» находится в самом верху хит-парада, затем его сменяет «d», потом все повторяется. На этот раз вершину все-таки занял Zafi.b. Об этих двух червях мы говорили уже неоднократно, поэтому далее акцентировать на них внимание не будем и, минуя еще одного «ветерана» — Netsky.q, перейдем к 4-му месту вирусной двадцатки.

Bagle.ay, обнаруженный 27 января и сумевший за несколько дней добраться до 8-го места январского рейтинга, в феврале продолжил свое восхождение и финишировал на 4-й позиции. Вообще, из «основных семейств» двадцатки (Netsky, Mydoom, Zafi, Bagle, Lovgate), только создатели Bagle в последнее время проявляют какую-то активность.

1 марта мы зафиксировали сразу 12 новых модификаций червей семейства Bagle.

1 марта мы зафиксировали сразу 12 новых модификаций червей этого семейства (в конечном итоге для всех них был создан специальный детекшен Email-Worm.Win32.Bagle.pac), и некоторые из них, вероятно, встретятся нам в мартовской двадцатке.

Согласно нашим наблюдениям, вслед за очередной эпидемией Bagle следует ожидать появления нескольких новых вариантов Trojan-Proxy.Win32.Mitglieder (именно они загружаются на зараженные Bagle компьютеры), а затем и очередного роста спам и фишинг-рассылок.

Интересна также метаморфоза, случившаяся с двумя другими червями — Bagle.z и Bagle.at. Первый из них, заняв в январе 7-ое место, в феврале бесследно пропал из двадцатки; зато второй внезапно возник из небытия (он был обнаружен в октябре прошлого года) и фактически сменил Bagle.z на 6-7 месте. Объяснения этим странным перестановкам у нас пока нет.

В остальном февральская двадцатка не сильно отличается от январской. Наибольший «урон» в этом месяце понесли черви семейства LovGate: вариант «w» упал на 8 мест, с 4-го на 12-е, а «ad» и «ae» окончательно выбыли за пределы двадцатки.

Антивирус Касперского в этой ситуации оказался на высоте и продолжал детектировать «новые» варианты без дополнительных сигнатур.

Показательная история произошла в феврале с червем Mydoom.m. Во второй половине месяца появилось несколько вариантов данного червя, упакованных при помощи новой программы-упаковщика. Как выяснилось, данный упаковщик оказался неизвестным ряду антивирусных компаний, в связи с чем ими были добавлены новые процедуры детектирования этих вариантов как совсем новых червей семейства Mydoom.

Антивирус Касперского в этой ситуации оказался на высоте и продолжал детектировать «новые» варианты без дополнительных сигнатур. Таким образом, пользователи KAV даже не заметили того, что в мире происходит очередная эпидемия, которая, впрочем, в итоге оказалась и не эпидемией вовсе — Mydoom.m поднялся всего на 1 место вверх в нашем февральском рейтинге.

Фишинговые письма, нацеленные на пользователей крупнейших банковских онлайн-систем, продолжают присутствовать в трафике в значительных количествах. Smitfraud.a находится в двадцатке уже второй месяц подряд, а в феврале к нему присоединился еще один вариант, получивший версию «c».

Прочие обнаруженные в почтовом трафике вредоносные программы составили значительный процент (7,58%) от общего числа перехваченных зараженных писем, однако если учитывать абсолютные показатели, то февраль в целом стал одним из наиболее спокойных месяцев за предыдущий год.

Итоги февраля

  • В двадцатке появились две новые вредоносные программы: Bagle.ba, Smitfraud.c.
  • Повысили свой рейтинг: Zafi.b, Netsky.q, Bagle.ay, Mydoom.m, Netsky.y, Mydoom.l, Netsky.d, Netsky.r, Bagle.ai.
  • Понизили свои показатели: Zafi.d, Netsky.aa, LovGate.w, Netsky.t, Smitfraud.a.
  • Не изменились показатели у Netsky.b.
  • Вернулись в двадцатку: Bagle.at, NetSky.x, NetSky.af.

Обзор вирусной активности, февраль 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике