Авторы
| Позиция | Изменение позиции | Вредоносная программа | Доля, проценты |
| 1. |  +6 |
I-Worm.Bagle.at | 21,39 |
| 2. | +12 |
I-Worm.Mydoom.ab | 11,52 |
| 3. |  -2 |
I-Worm.NetSky.q | 8,70 |
| 4. | +4 |
I-Worm.Zafi.b | 7,83 |
| 5. | -3 |
I-Worm.NetSky.aa | 7,33 |
| 6. | +6 |
I-Worm.LovGate.w | 5,69 |
| 7. | -4 |
I-Worm.NetSky.b | 5,39 |
| 8. |  new |
I-Worm.Bagle.au | 4,89 |
| 9. | -4 |
I-Worm.Bagle.z | 2,90 |
| 10. | -4 |
I-Worm.Mydoom.m | 2,60 |
| 11. | +6 |
I-Worm.Mydoom.r | 2,17 |
| 12. | -1 |
I-Worm.NetSky.y | 1,67 |
| 13. | new |
I-Worm.Bofra.b | 1,58 |
| 14. | new |
I-Worm.Sober.i | 1,37 |
| 15. | -5 |
I-Worm.NetSky.d | 1,33 |
| 16. | -3 |
I-Worm.Mydoom.l | 1,33 |
| 17. | -8 |
I-Worm.NetSky.t | 1,21 |
| 18. | new |
I-Worm.LovGate.ad | 0,82 |
| 19. | -4 |
I-Worm.NetSky.r | 0,81 |
| 20. | -4 |
I-Worm.Bagle.gen | 0,57 |
| Прочие вредоносные программы (не вошедшие в двадцать самых распространенных) | 8,90 | ||
Ноябрь 2004 года ознаменовался сменой лидеров «Вирусной двадцатки». Обнаруженные в конце октября почтовые черви Mydoom.ab и Bagle.at (успевшие попасть в октябрьский рейтинг на 14 и 7 место соответственно) по-настоящему распространились именно в ноябре, оккупировав две верхние строчки. Причем, Mydoom.ab забрался сразу на 12 мест вверх, что является одним из рекордных показателей всего 2004 года.
В целом, по сравнению с несколькими прошлыми месяцами, когда в двадцатке безраздельно властвовали черви семейства NetSky, в ноябре произошло кардинальное изменение вирусной картины. В рейтинге появилось 4 новых вредоносных программы; каждая из них представляет собой отдельное семейство почтовых червей. Наиболее интересными из них, на наш взгляд являются Bofra.b и Sober.i.
Bofra.b представляет собой значительно модифицированный вариант червя Mydoom (основан на его исходных кодах). Из-за этого ряд антивирусных продуктов некоторое время детектировал данного червя как новую версию Mydoom. В итоге, однако, из-за существенных отличий в механизмах размножения, было принято решение о выделении этого червя в самостоятельный вид.
Для своего размножения Bofra использует отличный от Mydoom способ проникновения на компьютеры. Червь запускает на зараженной машине собственный HTTP-сервер, на котором размещает специальным образом сконструированную HTML-страницу, содержащую эксплойт уязвимости в Internet Explorer (iframe buffer overflow), и посылает по электронной почте не себя в виде вложенного файла, а только гиперссылку с адресом зараженного компьютера. При нажатии на ссылку из письма происходит обращение к вредоносной HTML-странице в результате чего червь проникает на новый компьютер.
Другим интересным новичком вирусной двадцатки стал Sober.i. 19 ноября он был разослан на миллионы адресов электронной почты в Западной Европе (в основном, в Германии и Австрии), что позволило ему вызвать кратковременную эпидемию в этих странах. Однако, быстро появившись, он так же быстро и пропал. Вызвано это серьезной ошибкой в коде, присутствующей в семействе Sober с первых обнаруженных в конце 2003 года версий. Из-за этой ошибки червь отправляет по электронной почте не свое тело, а бессмысленный неработоспособный мусор.
Обнаруженный в октябре новый вариант червя Zafi — Zafi.c, так и не проявился в «дикой природе», однако его предшественник — лидер летних рейтингов — Zafi.b, смог набрать четыре позиции и вновь вплотную подобраться к тройке лидеров.
К давно уже находящемуся в нашем «хит-параде» корейскому червю LovGate.w добавилась его новая инкарнация — LovGate.ad. Данный вариант был обнаружен еще в июле этого года, однако до сих пор в нашей статистике не встречался. Эти черви, в отличие от прочих присутствующих в рейтинге, не были разосланы по миллионам email-адресов после своего создания; они расползаются по миру при помощи «классических» способов — начиная с небольшого числа компьютеров и постепенно наращивая свою распространенность. 6 и 18 места рейтинга — очень серьезный показатель для червей такого типа.
Стоит отметить, что весьма заметным явлением прошедшего ноября стали гигантские «фишинг»-рассылки, только зафиксированное число которых превысило 4 десятка. Показатели распространенности многих fraud-писем находятся в непосредственной близости от «Двадцатки», что, учитывая одноразовые случаи их обнаружения в почтовом трафике (в отличие от червей, которые ежедневно рассылают миллионы своих копий), является весьма пугающим фактом — масштабы спам-рассылок подобных писем становятся сопоставимы с масштабами эпидемий большинства сетевых червей.
Возможно, что уже в декабре мы сможем наблюдать некоторых представителей подобных рассылок в очередной вирусной «Двадцатке» (Антивирус Касперского детектирует подобные программы как Trojan-Spy.HTML.*fraud).
Прочие вредоносные программы составили значительное число (8,90%) от общего вирусного трафика в интернете. Всего в почтовом трафике было перехвачено более 200 различных вредоносных программ всех видов и классов.
Итоги ноября
- В «Двадцатке» появилось 4 новые вредоносные программы: Bagle.au, Bofra.b, Sober.i, LovGate.ad.
- Повысили свой рейтинг: Bagle.at, Mydoom.ab, Zafi.b, LovGate.w, Mydoom.r.
- Понизили свои показатели: Netsky.q, Netsky.aa, Netsky.b, Bagle.z, Mydoom.m, Netsky.y, Netsky.d, Mydoom.l, Netsky.t, Netsky.r, Bagle.gen.
Авторы
От тех же авторов
В той же категории
Обзор вирусной активности, ноябрь 2004