Архив новостей

Обзор вирусной активности, июль 2007

Позиция Изменение позиции Вредоносная программа Вердикт PDM Доля, проценты
1. New!
New
Email-Worm.Win32.Warezov.pk not detected – Downloader* 22.72
2. Down
-1
Email-Worm.Win32.NetSky.q Trojan.generic 14.22
3. Down
-1
Email-Worm.Win32.Bagle.gt Trojan.generic 8.67
4. Down
-1
Email-Worm.Win32.NetSky.t Trojan.generic 6.79
5. Up
+1
Worm.Win32.Feebs.gen Hidden Data Sending 6.47
6. Down
-2
Email-Worm.Win32.NetSky.aa Trojan.generic 6.22
7. No Change
0
Net-Worm.Win32.Mytob.c Trojan.generic 4.04
8. Up+2 Email-Worm.Win32.Mydoom.l Trojan.generic 3.57
9. Up+2 Email-Worm.Win32.Nyxem.e Trojan.generic 3.38
10. Up
+7
Exploit.Win32.IMG-WMF.y ** 2.58
11. Up+1 Email-Worm.Win32.NetSky.b Trojan.generic 2.57
12. Up+7 Email-Worm.Win32.NetSky.x Trojan.generic 1.60
13. Up+3 Net-Worm.Win32.Mytob.t Worm.P2P.generic 1,53
14. Up+4 Net-Worm.Win32.Mytob.u Worm.P2P.generic 1,34
15. ReturnReturn Email-Worm.Win32.Mydoom.m Trojan.generic 1,23
16. New!New Email-Worm.Win32.Womble.d Trojan.generic 1.21
17. ReturnReturn Email-Worm.Win32.Scano.gen Trojan.generic 1.20
18. Return
Return
Email-Worm.Win32.Zhelatin.dam [Damaged] 1.00
19. Down
-6
Virus.Win32.Grum.a not detected – Virus*** 0.92
20. ReturnReturn Email-Worm.Win32.LovGate.w Trojan.generic 0.62
Остальные вредоносные программы 8.12


* — Downloader, при отсутствии файла на сайте завершается с ошибкой.
** — модуль PDM не предназначен для борьбы с классическими компьютерными вирусами.
*** — файл графического формата WMF.
[Damaged] — повреждено.

 

Ботнет, подготовленный в мае при помощи троянской программы Agent.bqs и в июне 2007 года только выходивший на «проектную мощность», в июле заработал уже в полную силу. Первое место и 22% от общего вредоносного трафика заняты очередным Warezov, распространенным с помощью этой зомби-сети.

Несмотря, на то, что в июне в рейтинге присутствовали 4 варианта Warezov, а в июле мы видим только один – это не значит, что уровень угрозы стал ниже. Наоборот, первое место в июле повлечет за собой организацию все новых и новых спам-вирусных рассылок и, скорее всего, через несколько месяцев начнется очередное «варезное безумие», сравнимое с тем, что случилось в октябре прошлого года. Тогда мы фиксировали более двух десятков новых вариантов этого червя почти каждый день.

Ветераны вирусной сцены – NetSky.q и .t – уступили по одной позиции, однако в процентном отношении их присутствие в почтовом трафике осталось почти на уровне прошлого месяца – 14 и 6% соответственно. Bagle.gt также уступил одну позицию, но остался в лидирующей тройке.

Однако, несмотря на стремительный взлет Warezov.pk (впервые он был обнаружен 26 июня, а пик его рассылки случился в начале июля), в целом, ситуация продолжает оставаться стабильной. Предпосылок для глобальных эпидемий нет, и основную угрозу представляют только локальные атаки, нацеленные на пользователей отдельных стран.

Warezov.pk оказался одним из двух новичков в вирусной двадцатке июля – это крайне редкий случай такой стабильности рейтинга. В целом, в пределах первых пятнадцати мест наблюдается только незначительное движение старых червей – кто-то чуть вверх, кто-то чуть вниз. Наиболее значительный рост по итогам июля показал Exploit.Win32.IMG-WMF.y (+7 позиций) и тому есть основание: на 16-м месте находится второй новичок отчета – почтовый червь Womble.d, распространяющийся, в том числе, при помощи именно этого эксплоита. Червь довольно старый, «выпуска» сентября 2006 года, но вот каким-то образом ему удалось довольно значительно распространиться именно сейчас.

Из других событий двадцатки стоит отметить возвращение червей Scano.gen и LovGate.w. Большого влияния на события будущих месяцев они не окажут, а вот очередное появление в отчете варианта Zhelatin.dam может свидетельствовать о том, что это семейство не собирается исчезать в ближайшее время.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 8,12% — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги июля:

  • В двадцатке появилось 2 новые вредоносные программы: Email-Worm.Win32.Warezov.pk, Email-Worm.Win32.Womble.d
  • Повысили свои показатели: Worm.Win32.Feebs.gen, Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.Nyxem.e, Exploit.Win32.IMG-WMF.y, Email-Worm.Win32.NetSky.b, Email-Worm.Win32.NetSky.x, Net-Worm.Win32.Mytob.t, Net-Worm.Win32.Mytob.u
  • Понизили свои показатели: Email-Worm.Win32.NetSky.q, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.t, Email-Worm.Win32.NetSky.aa, Virus.Win32.Grum.a
  • Вернулись в двадцатку: Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Scano.gen, Email-Worm.Win32.Zhelatin.dam, Email-Worm.Win32.LovGate.w

Обзор вирусной активности, июль 2007

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике