Архив новостей

Обзор вирусной активности, июль 2005

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за июль 2005 года.

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up
+1

Email-Worm.Win32.NetSky.q
14,67
2. Down
-1

Net-Worm.Win32.Mytob.c
13,58
3. Up
+5

Email-Worm.Win32.Zafi.b
8,01
4. Down
-1

Email-Worm.Win32.Zafi.d
6,54
5. Down
-1

Net-Worm.Win32.Mytob.be
6,12
6. No Change
0

Net-Worm.Win32.Mytob.bk
6,07
7. Down
-2

Email-Worm.Win32.NetSky.aa
4,41
8. New!
New!

Net-Worm.Win32.Mytob.bt
2,65
9. Down
-1

Email-Worm.Win32.NetSky.b
2,52
10. Up
+8

Net-Worm.Win32.Mytob.bi
2,11
11. Up
+3

Net-Worm.Win32.Mytob.au
1,85
12. Return
Return

Email-Worm.Win32.NetSky.d
1,73
13. Down
-1

Net-Worm.Win32.Mytob.u
1,62
14. Down
-4

Net-Worm.Win32.Mytob.ar
1,59
15. Down
-8

Email-Worm.Win32.LovGate.w
1,59
16. Down
-5

Net-Worm.Win32.Mytob.q
1,37
17. Down
-1

Net-Worm.Win32.Mytob.t
1,30
18. Down
-1

Email-Worm.Win32.Mydoom.l
1,20
19. Return
Return

Email-Worm.Win32.Mydoom.m
1,17
20. Return
Return

Email-Worm.Win32.Bagle.ah
1,04
Остальные вредоносные программы 18,86

Удивительные вещи происходят порой в мире компьютерных вирусов. Казалось бы, только заметишь устоявшуюся тенденцию появления нового поколения сетевых червей и постепенное исчезновение ветеранов вирусных рейтингов, как «старички» вновь напоминают о себе, причем весьма уверенно.

Нечто подобное случилось в июле. Три месяца на вершине «двадцатки» находился Mytob.c, сместивший с «трона» лидера 2004 года — NetSky.q. Появлялись все новые и новые варианты червей семейства Mytob, и такими темпами «вирусная двадцатка» могла довольно скоро превратиться в топ из двадцати Mytob.

Но внезапно все изменилось. NetSky.q вновь оккупировал первую строчку, своеобразным способом «отметив» вынесение гуманного судебного приговора своему автору Свену Яшану. Несмотря на то, что в двадцатке появился еще один новый представитель Mytob, общее их число сократилось с 13 до 10. И потеснили их как раз не новые черви, а именно «ветераны» из ставших уже классическими семейств Bagle, Zafi, Mydoom и тех же NetSky.

Второй месяц подряд продолжают удивлять Zafi. В июне показатель Zafi.d вырос на 6 пунктов, что вывело его на третье место в рейтинге. В июле абсолютно идентичная ситуация случилась с Zafi.b: рост на 5 пунктов и то же самое третье место. Таким образом, уже два венгерских червя-полиглота (они рассылают зараженные письма на более чем полутора десятках европейских языков) находятся в пределах первой пятерки. У нас по-прежнему нет четкого объяснения данному факту.

Новичок в рейтинге всего один — Mytob.bt. Вариант «bt» практически ничем не отличается от своих предшественников. Авторы Mytob (самоназвание — HELLBOT) продолжают экспериментировать с программами-упаковщиками, стараясь затруднить детектирование, или просто меняют функционал бота, а также список используемых для управления IRC-каналов (старые довольно оперативно закрываются администрацией IRC-серверов).

Черви семейства Mytob уверенно чувствуют себя в первой десятке, занимая 2, 5, 6, 8 и 10 места.

Замыкает десятку Mytob.bi, который стал одним из лидеров месяца по росту показателя — плюс 8 мест. Такой же показатель, только со знаком минус у старожила LovGate.w. Если тенденция падения LovGate.w продолжится, то в следующем месяце мы этого корейского червя уже не увидим.

Но наибольший интерес представляет трио вернувшихся в «двадцатку» червей. Именно они стали причиной потери ряда позиций Mytob, и именно они заняли места трех вытесненных ими Mytob.

В первую очередь это NetSky.d. Замеченный последний раз в мае, на 15-ой позиции, в июне он окончательно покинул пределы двадцатки, чтобы триумфально вернуться сразу на 12-ое место. Четыре представителя семейства NetSky — на первом, седьмом, девятом и двенадцатом местах. Остается еще раз удивиться неожиданной гуманности немецкого суда, приговорившего Свена Яшана к 18-и месяцам условного заключения и 30-и часам общественных работ.

Два других «возвращенца» находятся в самом конце рейтинга на 19-м и 20-м местах, однако если падение Mytob продолжится, то не исключено, что они смогут «забраться» и повыше.

Mydoom.m — один из «старших братьев» семейства Mytob. Все они основываются на одних и тех же исходных кодах Mydoom.a и являются наглядным примером того, к каким последствиям может привести публикация исходных текстов вирусов в интернете. Это не менее опасно, а фактически и более вредно, чем просто распространение одного вируса или червя, потому что это дает толчок массе других вирусописетелей для использования исходных текстов в своих вредоносных программах. Кто знает, если бы в феврале 2004 года исходные коды Mydoom.a не были бы распространены их автором в интернете, насколько сильно бы изменилась вирусная ситуация. Понятно, что никаких новых Mydoom и Mytob в рейтинге бы не было.

Замыкает «двадцатку» один из многочисленных Bagle — на этот раз это Bagle.ah. В июле исполнился год с момента его обнаружения. Еще один необъяснимый всплеск активности старого, хорошо известного вируса.

Остальные вредоносные программы, представленные в почтовом трафике, составили значительный процент (18,86%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги июля

  • В двадцатке появилась 1 новая вредоносная программа — Mytob.bt.
  • В двадцатку вернулись NetSky.d, Mydoom.m и Bagle.ah.
  • Повысили свой рейтинг NetSky.q, Zafi.b, Mytob.bi и Mytob.au.
  • Понизили свои показатели Mytob.c, Zafi.d, Mytob.be, NetSky.aa, NetSky.b, Mytob.u, Mytob.ar, LovGate.w, Mytob.q, Mytob.u, Mytob.t и Mydoom.l.
  • Не изменились показатели у Mytob.bk.

Обзор вирусной активности, июль 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике