Архив новостей

Обзор вирусной активности, ноябрь 2004

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up +6 I-Worm.Bagle.at 21,39
2. Up +12 I-Worm.Mydoom.ab 11,52
3. Down -2 I-Worm.NetSky.q 8,70
4. Up +4 I-Worm.Zafi.b 7,83
5. Down -3 I-Worm.NetSky.aa 7,33
6. Up +6 I-Worm.LovGate.w 5,69
7. Down -4 I-Worm.NetSky.b 5,39
8. New! new I-Worm.Bagle.au 4,89
9. Down -4 I-Worm.Bagle.z 2,90
10. Down -4 I-Worm.Mydoom.m 2,60
11. Up +6 I-Worm.Mydoom.r 2,17
12. Down -1 I-Worm.NetSky.y 1,67
13. New! new I-Worm.Bofra.b 1,58
14. New! new I-Worm.Sober.i 1,37
15. Down -5 I-Worm.NetSky.d 1,33
16. Down -3 I-Worm.Mydoom.l 1,33
17. Down -8 I-Worm.NetSky.t 1,21
18. New! new I-Worm.LovGate.ad 0,82
19. Down -4 I-Worm.NetSky.r 0,81
20. Down -4 I-Worm.Bagle.gen 0,57
Прочие вредоносные программы (не вошедшие в двадцать самых распространенных) 8,90

Ноябрь 2004 года ознаменовался сменой лидеров «Вирусной двадцатки». Обнаруженные в конце октября почтовые черви Mydoom.ab и Bagle.at (успевшие попасть в октябрьский рейтинг на 14 и 7 место соответственно) по-настоящему распространились именно в ноябре, оккупировав две верхние строчки. Причем, Mydoom.ab забрался сразу на 12 мест вверх, что является одним из рекордных показателей всего 2004 года.

В целом, по сравнению с несколькими прошлыми месяцами, когда в двадцатке безраздельно властвовали черви семейства NetSky, в ноябре произошло кардинальное изменение вирусной картины. В рейтинге появилось 4 новых вредоносных программы; каждая из них представляет собой отдельное семейство почтовых червей. Наиболее интересными из них, на наш взгляд являются Bofra.b и Sober.i.

Bofra.b представляет собой значительно модифицированный вариант червя Mydoom (основан на его исходных кодах). Из-за этого ряд антивирусных продуктов некоторое время детектировал данного червя как новую версию Mydoom. В итоге, однако, из-за существенных отличий в механизмах размножения, было принято решение о выделении этого червя в самостоятельный вид.

Для своего размножения Bofra использует отличный от Mydoom способ проникновения на компьютеры. Червь запускает на зараженной машине собственный HTTP-сервер, на котором размещает специальным образом сконструированную HTML-страницу, содержащую эксплойт уязвимости в Internet Explorer (iframe buffer overflow), и посылает по электронной почте не себя в виде вложенного файла, а только гиперссылку с адресом зараженного компьютера. При нажатии на ссылку из письма происходит обращение к вредоносной HTML-странице в результате чего червь проникает на новый компьютер.

Другим интересным новичком вирусной двадцатки стал Sober.i. 19 ноября он был разослан на миллионы адресов электронной почты в Западной Европе (в основном, в Германии и Австрии), что позволило ему вызвать кратковременную эпидемию в этих странах. Однако, быстро появившись, он так же быстро и пропал. Вызвано это серьезной ошибкой в коде, присутствующей в семействе Sober с первых обнаруженных в конце 2003 года версий. Из-за этой ошибки червь отправляет по электронной почте не свое тело, а бессмысленный неработоспособный мусор.

Обнаруженный в октябре новый вариант червя Zafi — Zafi.c, так и не проявился в «дикой природе», однако его предшественник — лидер летних рейтингов — Zafi.b, смог набрать четыре позиции и вновь вплотную подобраться к тройке лидеров.

К давно уже находящемуся в нашем «хит-параде» корейскому червю LovGate.w добавилась его новая инкарнация — LovGate.ad. Данный вариант был обнаружен еще в июле этого года, однако до сих пор в нашей статистике не встречался. Эти черви, в отличие от прочих присутствующих в рейтинге, не были разосланы по миллионам email-адресов после своего создания; они расползаются по миру при помощи «классических» способов — начиная с небольшого числа компьютеров и постепенно наращивая свою распространенность. 6 и 18 места рейтинга — очень серьезный показатель для червей такого типа.

Стоит отметить, что весьма заметным явлением прошедшего ноября стали гигантские «фишинг»-рассылки, только зафиксированное число которых превысило 4 десятка. Показатели распространенности многих fraud-писем находятся в непосредственной близости от «Двадцатки», что, учитывая одноразовые случаи их обнаружения в почтовом трафике (в отличие от червей, которые ежедневно рассылают миллионы своих копий), является весьма пугающим фактом — масштабы спам-рассылок подобных писем становятся сопоставимы с масштабами эпидемий большинства сетевых червей.

Возможно, что уже в декабре мы сможем наблюдать некоторых представителей подобных рассылок в очередной вирусной «Двадцатке» (Антивирус Касперского детектирует подобные программы как Trojan-Spy.HTML.*fraud).

Прочие вредоносные программы составили значительное число (8,90%) от общего вирусного трафика в интернете. Всего в почтовом трафике было перехвачено более 200 различных вредоносных программ всех видов и классов.

Итоги ноября

  • В «Двадцатке» появилось 4 новые вредоносные программы: Bagle.au, Bofra.b, Sober.i, LovGate.ad.
  • Повысили свой рейтинг: Bagle.at, Mydoom.ab, Zafi.b, LovGate.w, Mydoom.r.
  • Понизили свои показатели: Netsky.q, Netsky.aa, Netsky.b, Bagle.z, Mydoom.m, Netsky.y, Netsky.d, Mydoom.l, Netsky.t, Netsky.r, Bagle.gen.

Обзор вирусной активности, ноябрь 2004

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике