Обзор вирусной активности, ноябрь 2004

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	+6	I-Worm.Bagle.at	21,39
2.	+12	I-Worm.Mydoom.ab	11,52
3.	-2	I-Worm.NetSky.q	8,70
4.	+4	I-Worm.Zafi.b	7,83
5.	-3	I-Worm.NetSky.aa	7,33
6.	+6	I-Worm.LovGate.w	5,69
7.	-4	I-Worm.NetSky.b	5,39
8.	new	I-Worm.Bagle.au	4,89
9.	-4	I-Worm.Bagle.z	2,90
10.	-4	I-Worm.Mydoom.m	2,60
11.	+6	I-Worm.Mydoom.r	2,17
12.	-1	I-Worm.NetSky.y	1,67
13.	new	I-Worm.Bofra.b	1,58
14.	new	I-Worm.Sober.i	1,37
15.	-5	I-Worm.NetSky.d	1,33
16.	-3	I-Worm.Mydoom.l	1,33
17.	-8	I-Worm.NetSky.t	1,21
18.	new	I-Worm.LovGate.ad	0,82
19.	-4	I-Worm.NetSky.r	0,81
20.	-4	I-Worm.Bagle.gen	0,57
Прочие вредоносные программы (не вошедшие в двадцать самых распространенных)			8,90

Ноябрь 2004 года ознаменовался сменой лидеров «Вирусной двадцатки». Обнаруженные в конце октября почтовые черви Mydoom.ab и Bagle.at (успевшие попасть в октябрьский рейтинг на 14 и 7 место соответственно) по-настоящему распространились именно в ноябре, оккупировав две верхние строчки. Причем, Mydoom.ab забрался сразу на 12 мест вверх, что является одним из рекордных показателей всего 2004 года.

В целом, по сравнению с несколькими прошлыми месяцами, когда в двадцатке безраздельно властвовали черви семейства NetSky, в ноябре произошло кардинальное изменение вирусной картины. В рейтинге появилось 4 новых вредоносных программы; каждая из них представляет собой отдельное семейство почтовых червей. Наиболее интересными из них, на наш взгляд являются Bofra.b и Sober.i.

Bofra.b представляет собой значительно модифицированный вариант червя Mydoom (основан на его исходных кодах). Из-за этого ряд антивирусных продуктов некоторое время детектировал данного червя как новую версию Mydoom. В итоге, однако, из-за существенных отличий в механизмах размножения, было принято решение о выделении этого червя в самостоятельный вид.

Для своего размножения Bofra использует отличный от Mydoom способ проникновения на компьютеры. Червь запускает на зараженной машине собственный HTTP-сервер, на котором размещает специальным образом сконструированную HTML-страницу, содержащую эксплойт уязвимости в Internet Explorer (iframe buffer overflow), и посылает по электронной почте не себя в виде вложенного файла, а только гиперссылку с адресом зараженного компьютера. При нажатии на ссылку из письма происходит обращение к вредоносной HTML-странице в результате чего червь проникает на новый компьютер.

Другим интересным новичком вирусной двадцатки стал Sober.i. 19 ноября он был разослан на миллионы адресов электронной почты в Западной Европе (в основном, в Германии и Австрии), что позволило ему вызвать кратковременную эпидемию в этих странах. Однако, быстро появившись, он так же быстро и пропал. Вызвано это серьезной ошибкой в коде, присутствующей в семействе Sober с первых обнаруженных в конце 2003 года версий. Из-за этой ошибки червь отправляет по электронной почте не свое тело, а бессмысленный неработоспособный мусор.

Обнаруженный в октябре новый вариант червя Zafi — Zafi.c, так и не проявился в «дикой природе», однако его предшественник — лидер летних рейтингов — Zafi.b, смог набрать четыре позиции и вновь вплотную подобраться к тройке лидеров.

К давно уже находящемуся в нашем «хит-параде» корейскому червю LovGate.w добавилась его новая инкарнация — LovGate.ad. Данный вариант был обнаружен еще в июле этого года, однако до сих пор в нашей статистике не встречался. Эти черви, в отличие от прочих присутствующих в рейтинге, не были разосланы по миллионам email-адресов после своего создания; они расползаются по миру при помощи «классических» способов — начиная с небольшого числа компьютеров и постепенно наращивая свою распространенность. 6 и 18 места рейтинга — очень серьезный показатель для червей такого типа.

Стоит отметить, что весьма заметным явлением прошедшего ноября стали гигантские «фишинг»-рассылки, только зафиксированное число которых превысило 4 десятка. Показатели распространенности многих fraud-писем находятся в непосредственной близости от «Двадцатки», что, учитывая одноразовые случаи их обнаружения в почтовом трафике (в отличие от червей, которые ежедневно рассылают миллионы своих копий), является весьма пугающим фактом — масштабы спам-рассылок подобных писем становятся сопоставимы с масштабами эпидемий большинства сетевых червей.

Возможно, что уже в декабре мы сможем наблюдать некоторых представителей подобных рассылок в очередной вирусной «Двадцатке» (Антивирус Касперского детектирует подобные программы как Trojan-Spy.HTML.*fraud).

Прочие вредоносные программы составили значительное число (8,90%) от общего вирусного трафика в интернете. Всего в почтовом трафике было перехвачено более 200 различных вредоносных программ всех видов и классов.

Итоги ноября

• В «Двадцатке» появилось 4 новые вредоносные программы: Bagle.au, Bofra.b, Sober.i, LovGate.ad.
• Повысили свой рейтинг: Bagle.at, Mydoom.ab, Zafi.b, LovGate.w, Mydoom.r.
• Понизили свои показатели: Netsky.q, Netsky.aa, Netsky.b, Bagle.z, Mydoom.m, Netsky.y, Netsky.d, Mydoom.l, Netsky.t, Netsky.r, Bagle.gen.