«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за июль 2005 года.
Позиция | Изменение позиции | Вредоносная программа | Доля, проценты |
1. | +1 |
Email-Worm.Win32.NetSky.q |
14,67 |
2. | -1 |
Net-Worm.Win32.Mytob.c |
13,58 |
3. | +5 |
Email-Worm.Win32.Zafi.b |
8,01 |
4. | -1 |
Email-Worm.Win32.Zafi.d |
6,54 |
5. | -1 |
Net-Worm.Win32.Mytob.be |
6,12 |
6. | 0 |
Net-Worm.Win32.Mytob.bk |
6,07 |
7. | -2 |
Email-Worm.Win32.NetSky.aa |
4,41 |
8. | New! |
Net-Worm.Win32.Mytob.bt |
2,65 |
9. | -1 |
Email-Worm.Win32.NetSky.b |
2,52 |
10. | +8 |
Net-Worm.Win32.Mytob.bi |
2,11 |
11. | +3 |
Net-Worm.Win32.Mytob.au |
1,85 |
12. | Return |
Email-Worm.Win32.NetSky.d |
1,73 |
13. | -1 |
Net-Worm.Win32.Mytob.u |
1,62 |
14. | -4 |
Net-Worm.Win32.Mytob.ar |
1,59 |
15. | -8 |
Email-Worm.Win32.LovGate.w |
1,59 |
16. | -5 |
Net-Worm.Win32.Mytob.q |
1,37 |
17. | -1 |
Net-Worm.Win32.Mytob.t |
1,30 |
18. | -1 |
Email-Worm.Win32.Mydoom.l |
1,20 |
19. | Return |
Email-Worm.Win32.Mydoom.m |
1,17 |
20. | Return |
Email-Worm.Win32.Bagle.ah |
1,04 |
Остальные вредоносные программы | 18,86 |
Удивительные вещи происходят порой в мире компьютерных вирусов. Казалось бы, только заметишь устоявшуюся тенденцию появления нового поколения сетевых червей и постепенное исчезновение ветеранов вирусных рейтингов, как «старички» вновь напоминают о себе, причем весьма уверенно.
Нечто подобное случилось в июле. Три месяца на вершине «двадцатки» находился Mytob.c, сместивший с «трона» лидера 2004 года — NetSky.q. Появлялись все новые и новые варианты червей семейства Mytob, и такими темпами «вирусная двадцатка» могла довольно скоро превратиться в топ из двадцати Mytob.
Но внезапно все изменилось. NetSky.q вновь оккупировал первую строчку, своеобразным способом «отметив» вынесение гуманного судебного приговора своему автору Свену Яшану. Несмотря на то, что в двадцатке появился еще один новый представитель Mytob, общее их число сократилось с 13 до 10. И потеснили их как раз не новые черви, а именно «ветераны» из ставших уже классическими семейств Bagle, Zafi, Mydoom и тех же NetSky.
Второй месяц подряд продолжают удивлять Zafi. В июне показатель Zafi.d вырос на 6 пунктов, что вывело его на третье место в рейтинге. В июле абсолютно идентичная ситуация случилась с Zafi.b: рост на 5 пунктов и то же самое третье место. Таким образом, уже два венгерских червя-полиглота (они рассылают зараженные письма на более чем полутора десятках европейских языков) находятся в пределах первой пятерки. У нас по-прежнему нет четкого объяснения данному факту.
Новичок в рейтинге всего один — Mytob.bt. Вариант «bt» практически ничем не отличается от своих предшественников. Авторы Mytob (самоназвание — HELLBOT) продолжают экспериментировать с программами-упаковщиками, стараясь затруднить детектирование, или просто меняют функционал бота, а также список используемых для управления IRC-каналов (старые довольно оперативно закрываются администрацией IRC-серверов).
Черви семейства Mytob уверенно чувствуют себя в первой десятке, занимая 2, 5, 6, 8 и 10 места.
Замыкает десятку Mytob.bi, который стал одним из лидеров месяца по росту показателя — плюс 8 мест. Такой же показатель, только со знаком минус у старожила LovGate.w. Если тенденция падения LovGate.w продолжится, то в следующем месяце мы этого корейского червя уже не увидим.
Но наибольший интерес представляет трио вернувшихся в «двадцатку» червей. Именно они стали причиной потери ряда позиций Mytob, и именно они заняли места трех вытесненных ими Mytob.
В первую очередь это NetSky.d. Замеченный последний раз в мае, на 15-ой позиции, в июне он окончательно покинул пределы двадцатки, чтобы триумфально вернуться сразу на 12-ое место. Четыре представителя семейства NetSky — на первом, седьмом, девятом и двенадцатом местах. Остается еще раз удивиться неожиданной гуманности немецкого суда, приговорившего Свена Яшана к 18-и месяцам условного заключения и 30-и часам общественных работ.
Два других «возвращенца» находятся в самом конце рейтинга на 19-м и 20-м местах, однако если падение Mytob продолжится, то не исключено, что они смогут «забраться» и повыше.
Mydoom.m — один из «старших братьев» семейства Mytob. Все они основываются на одних и тех же исходных кодах Mydoom.a и являются наглядным примером того, к каким последствиям может привести публикация исходных текстов вирусов в интернете. Это не менее опасно, а фактически и более вредно, чем просто распространение одного вируса или червя, потому что это дает толчок массе других вирусописетелей для использования исходных текстов в своих вредоносных программах. Кто знает, если бы в феврале 2004 года исходные коды Mydoom.a не были бы распространены их автором в интернете, насколько сильно бы изменилась вирусная ситуация. Понятно, что никаких новых Mydoom и Mytob в рейтинге бы не было.
Замыкает «двадцатку» один из многочисленных Bagle — на этот раз это Bagle.ah. В июле исполнился год с момента его обнаружения. Еще один необъяснимый всплеск активности старого, хорошо известного вируса.
Остальные вредоносные программы, представленные в почтовом трафике, составили значительный процент (18,86%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
Итоги июля
- В двадцатке появилась 1 новая вредоносная программа — Mytob.bt.
- В двадцатку вернулись NetSky.d, Mydoom.m и Bagle.ah.
- Повысили свой рейтинг NetSky.q, Zafi.b, Mytob.bi и Mytob.au.
- Понизили свои показатели Mytob.c, Zafi.d, Mytob.be, NetSky.aa, NetSky.b, Mytob.u, Mytob.ar, LovGate.w, Mytob.q, Mytob.u, Mytob.t и Mydoom.l.
- Не изменились показатели у Mytob.bk.
Обзор вирусной активности, июль 2005