Отчеты о вредоносном ПО

Обзор вирусной активности, март 2006

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за март 2006 года.

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. No Change
0
Net-Worm.Win32.Mytob.c 32,97
2. Up
+2
Email-Worm.Win32.NetSky.t 10,89
3. Down
-1
Email-Worm.Win32.LovGate.w 9,07
4. Up
+1
Email-Worm.Win32.NetSky.b 4,31
5. Up
+2
Net-Worm.Win32.Mytob.u 3,34
6. Up
+6
Email-Worm.Win32.Zafi.b 3,08
7. Up
+2
Email-Worm.Win32.NetSky.q 2,68
8. No Change
0
Net-Worm.Win32.Mytob.q 2,61
9. Up
+1
Net-Worm.Win32.Mytob.t 2,54
10. Up
+5
Email-Worm.Win32.LovGate.ae 2,40
11. No Change
0
Net-Worm.Win32.Mytob.a 2,17
12. Down
-9
Email-Worm.Win32.Zafi.d 1,95
13. New!
New!
Email-Worm.Win32.LovGate.ad 1,75
14. No Change
0
Email-Worm.Win32.NetSky.y 1,57
15. Return
Return
Net-Worm.Win32.Mytob.w 1,07
16. Return
Return
Net-Worm.Win32.Mytob.h 0,99
17. Down
-1
Net-Worm.Win32.Mytob.y 0,97
18. Up
+2
Net-Worm.Win32.Mytob.x 0,90
19. New!
New!
Email-Worm.Win32.LovGate.ah 0,88
20. Down
-1
Net-Worm.Win32.Mytob.ar 0,83
Остальные вредоносные программы 13,03

По сравнению со значительными изменениями в составе участников Top 20 в ходе февраля, когда в рейтинг вернулись сразу 5 червей и появился один новый, март 2006 года оказался более спокойным месяцем.

На протяжении марта вирусными аналитиками не было зарегистрировано ни одной заметной эпидемии вредоносной программы, не говоря уже о крупных. Самый заметный новичок февраля, Bagle.fj, забравшийся месяц назад сразу на 6-е место, в марте окончательно покинул данные статистики проверки почтового трафика.

Впрочем, состав тройки лидеров изменился. И, хотя первое место в рейтинге активности вредоносных программ продолжает удерживать Mytob.c, то следующую позицию занял NetSky.t, находившийся на четвертом месте месяц назад. Второе место — это максимальный показатель, достигнутый данным червем за всю историю наблюдений за ним. В феврале NetSky.t набрал сразу 15 позиций, установив абсолютный рекорд для последних месяцев. После столь оглушительного «успеха» этого вредоносного кода аналитикам осталось подождать результатов марта, чтобы получить ответ на вопрос о том, было ли столь резкое восхождение наверх случайным, или же является проявлением устойчивой тенденции? Занятое NetSky.t второе место подтверждает последний вывод. Если же попробовать спрогнозировать дальнейший ход развития эпидемии NetSky.t, то, скорее всего, пределы роста интенсивности его распространения исчерпаны, и далее его показатели будут снижаться.

Занимавший в феврале третью строчку рейтинга Zafi.d снизил свои показатели на 9 позиций и находится на 12-й строчке, а его место занял LovGate.w, ранее бывший вторым. Напомним, что в январе Zafi.d возглавлял Top 20. В целом, с семейством Zafi, которое также представлено вариантом «.b», уже больше года происходят различные события, необъяснимые с точки зрения логики и статистики. Все это время «звездная пара» то совместно оккупирует верхние строчки рейтинга, то опускается на грань исключения из состава участников рейтинга. Причем в течение двух месяцев их показатели изменялись в весьма широком диапазоне.

То, что Zafi.d опустился на 9 строчек вниз, уже было отмечено. Что любопытно, другой представитель этого семейства, Zafi.b, наоборот, улучшил свои показатели на шесть позиций, перейдя с 12 на 6 строчку.

В целом, по результатам марта первая десятка Top 20 подверглась значительным изменениям. 8 из десяти червей, занимавших верхние строчки, так или иначе изменили свои позиции. Помимо Zafi.b, в десятку ворвался LovGate.ae (10 место, +5), лишь месяц назад вернувшийся из небытия.

LovGate продолжает оставаться одним из наиболее загадочных семейств почтовых червей. Он никогда не становился причиной громких эпидемий, о нем не пишут средства массовой информации. Несмотря на это, в мартовскую двадцатку вошли уже 4 представителя этого семейства, двое из которых появились именно в марте. Семейство LovGate составляют старожил LovGate.w, который уже долгое время находится в числе неизменных лидеров, его клон LovGate.ae, периодически появляющийся в двадцатке и так же периодически из нее вылетающий, и новички — варианты «.ad» и «.ah».

Любопытно, что черви LovGate имеют азиатское происхождение и довольно широко распространены в Китае и Южной Корее, однако для европейских и американских пользователей большой опасности не представляют.

Теперь рассмотрим семейство червей, которому удалось оккупировать половину всего рейтинга Top 20 — Mytob. В январе Mytob.a набрал 7 позиций, в феврале потерял одну и в марте окончательно закрепился на 11-м месте.

А вот Mytob.x перемещается в рейтинге довольно резко — январь +5, февраль -5, март +2. Такое положение нельзя назвать стабильным и, вероятнее всего, в апреле этот червь покинет двадцатку.

Однако отмеченная на протяжении последних месяцев тенденция к возвращению в рейтинг червей, покинувших его несколько месяцев назад, получила свое продолжение и в марте. «Возвращенцами» стали опять-таки Mytob — варианты «.w» и «.h».

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (13,03%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги марта

В двадцатке появилась две новые вредоносные программы:

  • LovGate.ad
  • LovGate.ah

Повысили свой рейтинг:

  • LovGate.ae
  • Mytob.t
  • Mytob.u
  • Mytob.x
  • NetSky.b
  • NetSky.q
  • NetSky.t
  • Zafi.b

Понизили свои показатели:

  • LovGate.w
  • Mytob.y
  • Mytob.ar
  • Zafi.d

Вернулись в двадцатку:

  • Mytob.h
  • Mytob.w

Обзор вирусной активности, март 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике