Отчеты о вредоносном ПО

Обзор вирусной активности, октябрь 2004

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за октябрь 2004 года.

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. No Change 0 I-Worm.NetSky.q 15.95
2. No Change 0 I-Worm.NetSky.aa 14.45
3. Up +1 I-Worm.NetSky.b 10.52
4. Up +8 I-Worm.Bagle.as 7.43
5. Up +1 I-Worm.Bagle.z 6.59
6. Down -1 I-Worm.Mydoom.m 5.90
7. New! new I-Worm.Bagle.at 4.01
8. Down -5 I-Worm.Zafi.b 3.03
9. No Change 0 I-Worm.NetSky.t 2.90
10. Down -3 I-Worm.NetSky.d 2.83
11. Down -1 I-Worm.NetSky.y 2.31
12. Down -1 I-Worm.LovGate.w 2.30
13. No Change 0 I-Worm.Mydoom.l 1.82
14. New! new I-Worm.Mydoom.ab 1.75
15. Down -1 I-Worm.NetSky.r 1.39
16. No Change 0 I-Worm.Bagle.gen 1.37
17. Return re-entry I-Worm.Mydoom.r 1.31
18. Down -1 I-Worm.NetSky.c 0.95
19. No Change 0 I-Worm.Bagle.ah 0.87
20. Return re-entry Backdoor.Win32.Rbot.gen 0.68
Прочие вредоносные программы (не вошедшие в двадцать самых распространенных) 11.64

Сентябрьская тенденция появления новых вариантов червей Mydoom и Bagle получила свое продолжение и в октябре. С разницей в несколько дней миру были явлены новые экземпляры — Mydoom.ab и Bagle.at. Причем, последний появился не один, а вместе со своим клоном — вариантом «au», однако в «вирусную двадцатку» смог попасть только один из них.

Масштабы спам-рассылки новых Bagle были столь велики, что буквально за пару дней вариант «at» смог попасть в десятку и закрепиться на 7-м месте. С другой стороны, в последние дни наблюдается стремительное падение показателей его присутствия в почтовом трафике, и возможно, что он уже не попадет в итоги ноября.

В промежутке между эпидемиями Mydoom.ab и Bagle.at был обнаружен новый вариант венгерского червя — Zafi.c. Третий представитель семейства пока еще никак не проявил себя в «дикой природе», однако, учитывая то, как долго находится в рейтинге вариант «b», существует опасность возникновения новой эпидемии.

В остальном октябрьская «двадцатка» почти полностью повторяет предыдущий месяц. По-прежнему лидируют три варианта NetSky, а их безуспешно пытаются потеснить их «заклятые враги» — различные Bagle и Mydoom. Наиболее интересен стремительный рост сентябрьской вариации Bagle — «as». За месяц он смог набрать сразу 8 позиций.

С другой стороны, продолжает свое падение летний лидер Zafi.b — сразу минус 5 мест и неплохие шансы на окончательное прощание с «хит-парадом» в следующем месяце. Если это произойдет, то есть вероятность, что единственной вредоносной программой в «двадцатке» не из «Большой Тройки», станет LovGate.w, демонстрирующая чудеса стабильности своего рейтинга.

На этот раз в хит-параде нет TrojanDownloader.JS.gen и TrojanDropper.VBS.Zerolin. Массовые спам-рассылки писем, содержащих данные троянские программы, были зафиксированы, однако они оказались практически незаметны на более высоком вирусном фоне прошедшего месяца.

Зато в конце таблицы снова наблюдается Backdoor.Win32.Rbot.gen — яркий представитель семейства ботов, управляемых через IRC-каналы и распространяющихся по сетям, при помощи различных уязвимостей Windows (RPC DCOM, LSASS и т.д.). Вероятно, выход SP2 для Windows XP, повлиял на ситуацию таким образом, что вирусописателям стало проще рассылать Rbot по электронной почте, чем использовать «обычный» для ботов путь размножения.

К сожалению, не приходится говорить о скором прощании с червями Bagle и Mydoom. Исходные коды нескольких вариантов данных червей были распространены в глобальной сети, в том числе и при помощи самих же червей. Наблюдающийся сейчас всплеск вирусописательской активности выражается именно в создании разнообразных вариантов этих же червей, а точнее — перекомпиляции уже готовых вариантов.

Прочие вредоносные программы составили значительное число от общего вирусного трафика в интернете. Всего было зафиксировано около 200 различных вредоносных программ всех видов и классов.

Итоги октября

  • В двадцатке появилось две новых вредоносных программы: I-Worm.Bagle.at, I-Worm.Mydoom.ab.

  • Повысили свой рейтинг: I-Worm.NetSky.b, I-Worm.Bagle.as, I-Worm.Bagle.z.

  • Понизили свои показатели: I-Worm.Mydoom.m, I-Worm.Zafi.b,

  • Не изменился показатель: I-Worm.NetSky.q, I-Worm.NetSky.aa, I-Worm.NetSky.t, I-Worm.Mydoom.l, I-Worm.Bagle.gen, I-Worm.Bagle.ah.

  • Вернулись в двадцатку: I-Worm.Mydoom.r, Backdoor.Win32.Rbot.gen.

Обзор вирусной активности, октябрь 2004

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике