Архив новостей

Обзор вирусной активности, март 2005

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за март 2005 года.

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up
+1

Email-Worm.Win32.NetSky.q
21,76
2. Up
+5

Email-Worm.Win32.NetSky.aa
9,01
3. Up
+2

Email-Worm.Win32.NetSky.b
8,84
4. New!
New

Net-Worm.Win32.Mytob.c
8,21
5. Up
+7

Email-Worm.Win32.Lovgate.w
4,48
6. Down
-3

Email-Worm.Win32.Zafi.d
4,47
7. Down
-6

Email-Worm.Win32.Zafi.b
3,86
8. No Change
0

Email-Worm.Win32.Mydoom.m
3,52
9. Up
+4

Email-Worm.Win32.NetSky.d
3,05
10. Up
+1

Email-Worm.Win32.Mydoom.l
2,77
11. Down
-1

Email-Worm.Win32.NetSky.y
2,27
12. Up
+2

Email-Worm.Win32.NetSky.x
1,58
13. Up
+2

Email-Worm.Win32.NetSky.r
1,44
14. Up
+3

Email-Worm.Win32.NetSky.t
1,32
15. Up
+1

Email-Worm.Win32.Bagle.ai
1,03
16. Down
-10

Email-Worm.Win32.Bagle.at
1,00
17. Down
-13

Email-Worm.Win32.Bagle.ay
0,92
18. Return
Return

Email-Worm.Win32.Lovgate.ae
0,91
19. New!
New!

Trojan-Spy.HTML.Bankfraud.dq
0,69
20. Return
Return

Email-Worm.Win32.Bagle.gen
0,59
Остальные вредоносные программы 12,28

Заочное противостояние пяти семейств почтовых червей (Bagle, NetSky, Mydoom, Zafi, Lovgate) длится вот уже несколько месяцев. Март 2005 года вновь изменил состав лидирующей тройки — на этот раз все первые места остались за NetSky, во главе с самым распространенным червем 2004 года — NetSky.q.

Вариант Mytob.с уже находится на четвертом месте и продолжает стремительно распространяться.

Неожиданно в спор вмешался представитель нового, но очень активно распространяющегося семейства — Mytob. Вариант Mytob.с, обнаруженный 1 марта, уже находится на четвертом месте и продолжает стремительно распространяться согласно статистике последних дней месяца. Фактически, именно он является лидером в настоящий момент. На его фоне пока не очень заметны другие черви этого же семейства, которое включает уже 15 представителей.

Анализ Mytob показывает, что в его создании был использован исходный код другого известного червя — Mydoom.a, и к нему была добавлена функция распространения по сетям при помощи уязвимости в LSASS (аналогично червю Sasser). Таким образом, данный гибрид использует два способа размножения, что делает его весьма опасным противником.

Lovgate.w продолжает дрейфовать в пределах двадцатки, то теряя 8 позиций, то набирая сразу 7. Также в двадцатку вернулся еще один представитель азиатских вирусов — вариант Lovgate.ae.

Интересно наблюдать за методичным снижением позиций червей Zafi. В феврале им принадлежали призовые 1 и 3 места, в марте они опустились на 6 и 7. Таким низким рейтинг этих двух венгерских червей еще не был. Вероятно, это может свидетельствовать о постепенном исчезновении их из почтового трафика, хотя пример NetSky и Mydoom показывает, насколько долго могут циркулировать в сети давно известные и хорошо изученные вирусы.

Стоит особо отметить еще несколько позиций мартовской двадцатки.

Это, во-первых, стремительное падение червей Bagle.at и Bagle.ay на 10 и 13 пунктов соответственно. Черви, бывшие в числе лидеров февральского рейтинга, оказались колоссами на глиняных ногах. Все их попытки вызвать глобальную эпидемию были быстро и действенно пресечены антивирусными компаниями и почтовыми провайдерами.

Черви, бывшие в числе лидеров февральского рейтинга, оказались колоссами на глиняных ногах.

В связи с этим можно также вспомнить события начала марта, когда авторы Bagle выпустили в сеть более 10 новых вариантов червя в течение суток, но в итоге ни один из них не вызвал сколько-нибудь заметных случаев заражения. Универсальное детектирование для всех этих вариантов — Bagle.pac — зафиксировало их на 50-м месте среди всех почтовых червей марта, с более чем скромным показателем в 0,12%.

Во-вторых, уже становится традиционным присутствие в двадцатке Trojan-Spy.HTML, относящихся к классу фишинг-рассылок и предназначенных для кражи данных пользователей систем онлайн-банкинга. В феврале представителями этой группы были два письма — Smitfraud — нацеленных на пользователей Smith Barney, а в марте их сменил Bankfraud.dq, атакующий пользователей системы Regions.com.

Прочие вредоносные программы, обнаруженные в почтовом трафике, составили значительный процент (12,28%) от общего числа перехваченных, что свидетельствует о достаточно большом разнообразии червей и троянских программ, относящихся к другим семействам.

Итоги марта

  • В двадцатке появились 2 новые вредоносные программы: Mytob.c, Bankfraud.dq.
  • Повысили свой рейтинг: Netsky.q, Netsky.aa, Netsky.b, Lovgate.w, Netsky.d, Mydoom.l, Netsky.x, Netsky.r, Netsky.t, Bagle.ai.
  • Понизили свои показатели: Zafi.d, Zafi.b, Netsky.y, Bagle.at, Bagle.ay.
  • Не изменились показатели: Mydoom.m.
  • Вернулись в двадцатку: Bagle.gen, Lovgate.ae.

Обзор вирусной активности, март 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике