Архив новостей

Обзор вирусной активности, май 2007

Позиция Изменение позиции Вредоносная программа Вердикт PDM Доля, проценты
1. No Change
0
Email-Worm.Win32.NetSky.t Trojan.generic 15,31
2. Up
+1
Email-Worm.Win32.NetSky.q Trojan.generic 14,76
3. Up
+1
Email-Worm.Win32.Bagle.gt Trojan.generic 13,46
4. New!
New!
Email-Worm.Win32.Sober.aa Hidden Install 11,86
5. Up
+1
Worm.Win32.Feebs.gen Hidden Data Sending 6,49
6. Up
+6
Email-Worm.Win32.NetSky.aa Trojan.generic 5,44
7. No Change
0
Net-Worm.Win32.Mytob.c Trojan.generic 3,33
8. New!
New!
Trojan-Downloader.Win32.Agent.bqs * 2,44
9. Up
+1
Email-Worm.Win32.Scano.gen Trojan.generic 2,22
10. Down
-1
Email-Worm.Win32.NetSky.b Trojan.generic 2,20
11. New!
New!
Virus.Win32.Grum.a ** 2,18
12. Up
+7
Net-Worm.Win32.Mytob.t Worm.P2P.generic 1,63
13. Up
+4
Email-Worm.Win32.LovGate.w Trojan.generic 1,34
14. Return
Return
Net-Worm.Win32.Mytob.dam [Damaged] 1,18
15. Return
Return
Email-Worm.Win32.NetSky.x Trojan.generic 1,17
16. Down
-3
Email-Worm.Win32.Mydoom.l Trojan.generic 1,12
17. Return
Return
Exploit.Win32.IMG-WMF.y *** 0,99
18. Down
-2
Email-Worm.Win32.Zhelatin.dam [Damaged] 0,72
19. New!
New!
Email-Worm.Win32.Warezov.ns Invader 0,62
20. New!
New!
Virus.Win32.Cheburgen.a ** 0,57
Остальные вредоносные программы 10,97

* — даунлоадер для червя Email-Worm.Win32.Warezov, который детектируется модулем PDM как Invader.
** — модуль PDM не предназначен для борьбы с классическими компьютерными вирусами.
*** — файл графического формата WMF.

Первый взгляд на верхние места майской вирусной двадцатки может заставить некоторых вообразить, что они провалились в дыру во времени и снова оказались в конце 2005 года. Можно сколько угодно протирать глаза и пытаться ущипнуть себя в надежде, что сон развеется, но это ничего не изменит — Netsky, Bagle и Sober снова правят балом, как в старые добрые времена.

Собственно, к этому все и шло. Netsky.t и .q уже давно находятся в числе лидеров наших отчетов, Bagle.gt тоже несколько месяцев подряд подбирался все ближе к первой тройке.

А вот четвертое место неожиданно для всех занял Sober.aa. Первые его экземпляры были обнаружены специалистами «Лаборатории Касперского» 7 апреля 2007 года. Все бы ничего, да вот только предпоследний вариант данного червя — .z — датирован серединой ноября 2005 года! Более полутора лет прошло с того момента. Вариант .z был одним из наиболее распространенных червей в свое время. Казалось, что на след неизвестного автора червя уже вышла полиция Германии и вот-вот мы услышим о его аресте. Но, история подзабылась и вот кто-то (возможно уже другой человек) выпустил в мир новый вариант старого почтового червя. Результат нагляден — примитивный Sober.aa смог потеснить многих гораздо более «технологичных» червей и, возможно, 4-е место далеко не предел для него.

В числе «проигравших» в этой заочной вирусной борьбе оказались черви семейств Warezov и Zhelatin. Обладатель второго места в апреле — Warezov.ms покинул пределы двадцатки, а пришедший ему на смену вариант .ns не смог подняться выше скромного 19-го места.

Впрочем, есть и опасный симптом — на 8-м месте в мае оказался Trojan-Downloader.Win32.Agent.bqs, массовая рассылка которого была зафиксирована 24 мая. Дело в том, что Agent.bqs загружает в пораженные компьютеры новые варианты червя Warezov, подготавливая таким образом очередную площадку для новых эпидемий и создавая очередной гигантский ботнет.

А вот фишеры в мае оказались не столь активны, как в апреле и марте. На этот раз ни одного фишингового письма в двадцатке не оказалось. Впрочем, это явление, очевидно, временное и мы еще не раз увидим фишинговые атаки в числе наиболее распространенных угроз в почтовом трафике.

А вот 10 и 20 места заняли совершенно нетипичные для данного отчета — традиционные файловые вирусы — Grum и Cheburgen. Это связано с интересной особенностью вирусной жизни: перед нами пример паразитирования одной вредоносной программы на другой. Grum и Cheburgen сами по себе неспособны к распространению через электронную почту или локальные сети, однако они настолько агрессивны, что заражают все файлы в компьютере без разбора. В результате заражению подвергаются и файлы почтовых червей, живущих на компьютерах беспечных пользователей. Как следствие — по электронной почте отправляется зараженное письмо, содержащее в себе «бутерброд» — файл червя зараженный поверх еще и классическим вирусом.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 10,97% — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги мая

  • В двадцатке появилось 5 новых вредоносных программ: Email-Worm.Win32.Sober.aa, Trojan-Downloader.Win32.Agent.bqs, Virus.Win32.Grum.a, Email-Worm.Win32.Warezov.ns, Virus.Win32.Cheburgen.a
  • Повысили свои показатели: Email-Worm.Win32.NetSky.q, Email-Worm.Win32.Bagle.gt, Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Scano.gen, Net-Worm.Win32.Mytob.t, Email-Worm.Win32.LovGate.w
  • Понизили свои показатели: Email-Worm.Win32.NetSky.b, Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.Zhelatin.dam
  • Не изменили своего положения: Email-Worm.Win32.NetSky.t, Net-Worm.Win32.Mytob.c
  • Вернулись в двадцатку: Net-Worm.Win32.Mytob.dam, Email-Worm.Win32.NetSky.x, Exploit.Win32.IMG-WMF.y

Обзор вирусной активности, май 2007

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике