Обзор вирусной активности, ноябрь 2005

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	0	Net-Worm.Win32.Mytob.c	18,25
2.	0	Email-Worm.Win32.Doombot.b	8,11
3.	0	Email-Worm.Win32.Zafi.d	7,61
4.	0	Net-Worm.Win32.Mytob.bi	6,03
5.	0	Email-Worm.Win32.LovGate.w	6,02
6.	0	Email-Worm.Win32.NetSky.q	4,15
7.	+1	Email-Worm.Win32.NetSky.b	3,73
8.	+2	Net-Worm.Win32.Mytob.t	3,17
9.	0	Net-Worm.Win32.Mytob.bk	2,50
10.	+4	Net-Worm.Win32.Mytob.u	2,36
11.	Return	Net-Worm.Win32.Mytob.h	2,16
12.	+1	Net-Worm.Win32.Mytob.q	2,15
13.	New!	Email-Worm.Win32.Sober.y	1,99
14.	Return	Net-Worm.Win32.Mytob.bt	1,79
15.	-4	Net-Worm.Win32.Mytob.y	1,69
16.	New!	Email-Worm.Win32.Doombot.g	1,52
17.	0	Email-Worm.Win32.Bagle.dx	1,50
18.	-3	Email-Worm.Win32.Zafi.b	1,40
19.	Return	Email-Worm.Win32.NetSky.y	1,12
20.	-13	Email-Worm.Win32.Doombot.d	1,09
Остальные вредоносные программы			21,66

Предпоследний месяц года всегда особенно важен для формирования итоговой статистики по уходящему году в целом. Как правило, если в ноябре не появляется новых лидеров вирусных рейтингов, то можно считать картину за год практически завершенной. Никакие события декабря, таким образом, уже не могут повлиять на расстановку сил на вирусной арене.

Ноябрь 2005 года оказался уникальным по своей стабильности. Шесть червей-лидеров октября остались на своих местах, не сдвинувшись ни вверх, ни вниз. Поразительное постоянство тем более странно, что в ноябре была одна вирусная эпидемия, которая должна была внести свой вклад в распределение мест в верхней части таблицы. Однако этого не случилось, и об этом я расскажу далее.

Лидер рейтинга Mytob.c в очередной раз увеличил свой отрыв от преследователей, прибавив за месяц почти 4% от общего вирусного трафика в электронной почте. Уже можно с уверенностью сказать, что один из червей Mytob станет «червем года» по количеству занятых им первых мест на протяжении всего периода наблюдения. Таким образом, Mytob может считаться самой крупной эпидемией 2005 года, что ставит его в один ряд с такими вирусами, как Sobig (2003) и NetSky (2004).

Однако в целом черви семейства Mytob сдают позиции. В ноябрьском TOP-20 они представлены всего девятью вариантами. Конечно, для других вирусных кланов такие показатели просто недосягаемы, но, исходя из того, что еще недавно Mytob-ы занимали 13 мест в рейтинге, можно констатировать их постепенный уход с вирусной авансцены.

В октябре вирусный рейтинг пополнился двумя вредоносными программами, которые, казалось бы, могли составить конкуренцию Mytob и изрядно потеснить других червей. Речь идет о вирусах Doombot.b и Doombot.d. Первый из них за две недели октября смог добраться до второго места, а Doombot.d достиг 7-го места менее чем за одну неделю. Практически полностью совпадающие по функционалу с семейством Mytob, они фактически «играли на том же самом поле», но имели более стремительные темпы распространения. Можно было предположить, что в ноябре Doombot.b способен стать лидером этой вирусной гонки.

Но нет. Вариант .b застыл на втором месте, даже потеряв два процента, а вариант .d вообще оказался на грани вылета из рейтинга, опустившись сразу на 13 позиций, до 20-го места.

Даже несмотря на появление в TOP-20 нового представителя Doombot с индексом .g, который занял 16 место, это семейство, скорее всего, не будет играть заметной роли.

Как можно заметить, в ноябре рейтинг пополнился всего лишь двумя новыми участниками. Doombot.g был уже упомянут выше, поэтому обратим более пристальное внимание на 13 место, где расположился новый вариант давно присутствующего в TOP-20 семейства Sober. История червей Sober началась два года назад, в октябре 2003 года, и с тех пор практически каждый новый вариант оказывал заметное влияние на эпидемиологическую ситуацию в сети. Эпидемии, вызванные червями Sober.e или Sober.c, были одними из самых заметных в последние годы.

Как правило, основным обьектом атак со стороны этого вируса являются западноевропейские пользователи интернета. Автор Sober уже давно использует свои творения для пропаганды радикальных политических взглядов, пользуясь при этом весьма действенными приемами социальной инженерии. Именно благодаря эффективному применению таких приемов все новые варианты Sober оказываются столь опасными.

На этот раз в черве был применен уже не новый, испытанный в одном из ранних вариантов трюк с письмом «от ФБР», когда получателю письма сообщается о том, что он обвиняется в нарушении авторских прав путем загрузки из файлообменных сетей музыкальных файлов. Пользователю предлагается открыть приложенный к письму файл с «собранными данными». Что интересно, в теле письма указан контактный телефон приемной ФБР. Множество пользователей, получивших такие письма, позвонили по данному номеру, организовав таким образом подобие DoS-атаки на телефон ФБР.

Другой интересный факт: о грядущем появлении нового варианта Sober первым сообщила пресс-служба полиции Баварии. Эта информация была опубликована за пару дней до действительного появления червя Sober.y, Возможно, правоохранительными органами проводится расследование, нацеленное на обнаружение автора червя, и в скором времени может появиться информация о его аресте.

Sober.y был обнаружен 16 ноября и стал причиной одной из крупнейших эпидемий 2005 года в Западной Европе. Столь скромное 13 место в рейтинге «Лаборатории Касперского» объясняется тем, что он основывается на данных российских почтовых серверов, в то время как зараженные этим червем письма попадают в Россию достаточно редко.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (21,66%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги ноября

• В двадцатке появились две новые вредоносные программы: Doombot.g, Sober.y.
• Повысили свой рейтинг: NetSky.b, Mytob.t, Mytob.u, Mytob.q.
• Понизили свои показатели: Mytob.y, Zafi.b, Doombot.d.
• Вернулись в двадцатку: Mytob.h, Mytob.bt, NetSky.y.
• Не изменили своего положения: Mytob.c, Doombot.b, Zafi.d, Mytob.bi, LovGate.w, NetSky.q, Mytob.bk, Bagle.dx.