Обзор вирусной активности, октябрь 2004

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за октябрь 2004 года.

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	0	I-Worm.NetSky.q	15.95
2.	0	I-Worm.NetSky.aa	14.45
3.	+1	I-Worm.NetSky.b	10.52
4.	+8	I-Worm.Bagle.as	7.43
5.	+1	I-Worm.Bagle.z	6.59
6.	-1	I-Worm.Mydoom.m	5.90
7.	new	I-Worm.Bagle.at	4.01
8.	-5	I-Worm.Zafi.b	3.03
9.	0	I-Worm.NetSky.t	2.90
10.	-3	I-Worm.NetSky.d	2.83
11.	-1	I-Worm.NetSky.y	2.31
12.	-1	I-Worm.LovGate.w	2.30
13.	0	I-Worm.Mydoom.l	1.82
14.	new	I-Worm.Mydoom.ab	1.75
15.	-1	I-Worm.NetSky.r	1.39
16.	0	I-Worm.Bagle.gen	1.37
17.	re-entry	I-Worm.Mydoom.r	1.31
18.	-1	I-Worm.NetSky.c	0.95
19.	0	I-Worm.Bagle.ah	0.87
20.	re-entry	Backdoor.Win32.Rbot.gen	0.68
Прочие вредоносные программы (не вошедшие в двадцать самых распространенных)			11.64

Сентябрьская тенденция появления новых вариантов червей Mydoom и Bagle получила свое продолжение и в октябре. С разницей в несколько дней миру были явлены новые экземпляры — Mydoom.ab и Bagle.at. Причем, последний появился не один, а вместе со своим клоном — вариантом «au», однако в «вирусную двадцатку» смог попасть только один из них.

Масштабы спам-рассылки новых Bagle были столь велики, что буквально за пару дней вариант «at» смог попасть в десятку и закрепиться на 7-м месте. С другой стороны, в последние дни наблюдается стремительное падение показателей его присутствия в почтовом трафике, и возможно, что он уже не попадет в итоги ноября.

В промежутке между эпидемиями Mydoom.ab и Bagle.at был обнаружен новый вариант венгерского червя — Zafi.c. Третий представитель семейства пока еще никак не проявил себя в «дикой природе», однако, учитывая то, как долго находится в рейтинге вариант «b», существует опасность возникновения новой эпидемии.

В остальном октябрьская «двадцатка» почти полностью повторяет предыдущий месяц. По-прежнему лидируют три варианта NetSky, а их безуспешно пытаются потеснить их «заклятые враги» — различные Bagle и Mydoom. Наиболее интересен стремительный рост сентябрьской вариации Bagle — «as». За месяц он смог набрать сразу 8 позиций.

С другой стороны, продолжает свое падение летний лидер Zafi.b — сразу минус 5 мест и неплохие шансы на окончательное прощание с «хит-парадом» в следующем месяце. Если это произойдет, то есть вероятность, что единственной вредоносной программой в «двадцатке» не из «Большой Тройки», станет LovGate.w, демонстрирующая чудеса стабильности своего рейтинга.

На этот раз в хит-параде нет TrojanDownloader.JS.gen и TrojanDropper.VBS.Zerolin. Массовые спам-рассылки писем, содержащих данные троянские программы, были зафиксированы, однако они оказались практически незаметны на более высоком вирусном фоне прошедшего месяца.

Зато в конце таблицы снова наблюдается Backdoor.Win32.Rbot.gen — яркий представитель семейства ботов, управляемых через IRC-каналы и распространяющихся по сетям, при помощи различных уязвимостей Windows (RPC DCOM, LSASS и т.д.). Вероятно, выход SP2 для Windows XP, повлиял на ситуацию таким образом, что вирусописателям стало проще рассылать Rbot по электронной почте, чем использовать «обычный» для ботов путь размножения.

К сожалению, не приходится говорить о скором прощании с червями Bagle и Mydoom. Исходные коды нескольких вариантов данных червей были распространены в глобальной сети, в том числе и при помощи самих же червей. Наблюдающийся сейчас всплеск вирусописательской активности выражается именно в создании разнообразных вариантов этих же червей, а точнее — перекомпиляции уже готовых вариантов.

Прочие вредоносные программы составили значительное число от общего вирусного трафика в интернете. Всего было зафиксировано около 200 различных вредоносных программ всех видов и классов.

Итоги октября

• В двадцатке появилось две новых вредоносных программы: I-Worm.Bagle.at, I-Worm.Mydoom.ab.

• Повысили свой рейтинг: I-Worm.NetSky.b, I-Worm.Bagle.as, I-Worm.Bagle.z.

• Понизили свои показатели: I-Worm.Mydoom.m, I-Worm.Zafi.b,

• Не изменился показатель: I-Worm.NetSky.q, I-Worm.NetSky.aa, I-Worm.NetSky.t, I-Worm.Mydoom.l, I-Worm.Bagle.gen, I-Worm.Bagle.ah.

• Вернулись в двадцатку: I-Worm.Mydoom.r, Backdoor.Win32.Rbot.gen.