Описание вредоносного ПО

Обзор вирусной активности, июль 2004

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за июль 2004 года.

Двадцатка наиболее распространенных вредоносных программ

  Изменение позиции Название вредоносной программы Доля в общем числе вирусных инцидентов (%)
1 0 I-Worm.Zafi.b 57,41%
2 0 I-Worm.NetSky.aa 11,71%
3 0 I-Worm.NetSky.b 10,72%
4 0 I-Worm.NetSky.q 2,94%
5 0 I-Worm.Bagle.z 2,34%
6 +3 I-Worm.NetSky.t 2,08%
7 0 I-Worm.NetSky.y 1,72%
8 -2 I-Worm.NetSky.d 1,25%
9 -1 I-Worm.LovGate.w 1,18%
10 new I-Worm.Bagle.gen 0,75%
11 +4 I-Worm.NetSky.o 0,40%
12 new I-Worm.Bagle.ah 0,35%
13 re-entry I-Worm.Sobig.f 0,31%
14 new Backdoor.Rbot.gen 0,28%
15 new I-Worm.Bagle.ai 0,27%
16 -2 I-Worm.Mydoom.g 0,26%
17 +3 I-Worm.NetSky.m 0,25%
18 -7 I-Worm.NetSky.r 0,25%
19 -9 I-Worm.Mydoom.e 0,24%
20 -8 I-Worm.Swen 0,24%
Другие вредоносные программы* 5,07%
* не вошедшие в 20 наиболее распространенных

Специалистами антивирусных компаний уже давно подмечено, что существуют несколько месяцев года, когда активность вирусописателей минимальна. Это июнь-июль и декабрь. Можно предположить, что связано это с традиционным для большинства людей временем отдыха. Летом вирусописатели отправляются в теплые страны, погреться на солнышке или просто уезжают на каникулы, забывая взять с собой компьютеры.

Июль 2004 года, в целом, еще раз доказал эту закономерность и незначительно отличается от июня. Первая пятерка нашей «вирусной двадцатки» полностью повторяет предыдущую, отличаясь от ее только статистическими числами масштабов присутствия каждого из вирусов в почтовом трафике. Абсолютный летний лидер — Zafi.b, еще больше упрочил свое положение в рейтинге, достигнув показателя в 57%, что вывело его на второе место среди самых распространенных вредоносных программ 2004 года. Он уступил только абсолютному чемпиону — Mydoom.a, которому удалось набрать почти 80%.

Совершенно средний и малоинтересный по сложности кода и уровню методов социальной инженерии Zafi.b смог обойти гораздо более «технологичные» вирусы, и это является одним из парадоксов текущей ситуации на вирусном фронте. Да, метод составления текста письма (используется текст на языке страны получателя письма) довольно оригинален, но это практически единственная заметная черта этого интернет-червя. Возможно, что наступление лета также негативно отразилось на большинстве пользователей, которые снизили внимание к элементарным мерам предосторожности.

Новичков в рейтинге немного — это, в первую очередь, Bagle.gen — семейство червей Bagle, размножающихся в виде файлов-архивов, защищенных паролем. Одновременно, после длительного перерыва, появилось и несколько новых вариантов червей данного семейства. Сначала Bagle.aa, который распространялся вместе с исходными кодам своих ранних вариантов. Затем кто-то (вполне возможно, что уже не первоначальный автор) запустил в глобальную сеть несколько новых «изделий» — Bagle.ai и Bagle.ah. Пока их показатели довольно скромны, но не исключено, что в будущем мы еще встретимся с различными «ремейками» этой опасной вредоносной программы. Еще более опасным представляется то, что технология рассылки себя в закрытых архивах, пароль к которым указывается в приложенной к письму картинке (bmp или jpg), стала доступной широким массам вирусописателей.

Стоит отметить присутствие на 14-м месте не обычного почтового червя, а представителя семейства Backdoor (программа-шпион), которое уже давно не встречались в почтовом трафике. Backdoor.Rbot.gen — это семейство (несколько десятков) однотипных программ, класса worm-backdoor, проникающих на компьютер через различные уязвимости в ОС Windows и предоставляющих злоумышленнику полный контроль над пораженной системой. Rbot обладает свойством рассылки своих копий по электронной почте (по команде) и, скорее всего, именно этим и объясняется его наличие в «двадцатке».

Как птица феникс из пепла воскрес и снова напомнил о себе лидер прошлого года — Sobig.f. Казалось, уже давно безнадежно покинувший рейтинг, он каким-то образом смог-таки вернуться на почетное 13-е место.

Прочие вредоносные программы составили незначительное число от общего вирусного трафика в интернет — всего 5,07%.

Итоги июля

Всего было зафиксировано более 1000 различных вредоносных программ (что почти в три раза больше, чем в июне) всех видов и классов.

  • В двадцатке появилось 3 новых вредоносных программы: I-Worm.Bagle.ai, I-Worm.Bagle.ah, I-Worm.Bagle.gen.

  • Повысили свой рейтинг: I-Worm.NetSky.t, I-Worm.NetSky.o, I-Worm.NetSky.m.

  • Понизили свои показатели: I-Worm.NetSky.d, I-Worm.LovGate.w, I-Worm.Mydoom.g, I-Worm.NetSky.r, I-Worm.Mydoom.e, I-Worm.Swen.

  • Не изменился показатель у I-Worm.Zafi.b, I-Worm.NetSky.aa, I-Worm.NetSky.b, I-Worm.NetSky.q, I-Worm.Bagle.z, I-Worm.NetSky.y.

  • Вернулся в рейтинг I-Worm.Sobig.f.

Обзор вирусной активности, июль 2004

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике