Обзор вирусной активности, октябрь 2005

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за октябрь 2005 года.

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	+1	Net-Worm.Win32.Mytob.c	14,56
2.	New!	Email-Worm.Win32.Doombot.b	10,27
3.	-2	Email-Worm.Win32.Zafi.d	7,92
4.	+15	Net-Worm.Win32.Mytob.bi	6,80
5.	-1	Email-Worm.Win32.LovGate.w	5,27
6.	+2	Email-Worm.Win32.NetSky.q	3,66
7.	New!	Email-Worm.Win32.Doombot.d	3,27
8.	-3	Email-Worm.Win32.NetSky.b	3,08
9.	-2	Net-Worm.Win32.Mytob.bk	3,03
10.	-1	Net-Worm.Win32.Mytob.t	2,51
11.	+4	Net-Worm.Win32.Mytob.y	2,35
12.	+5	Net-Worm.Win32.Mytob.be	2,22
13.	-7	Net-Worm.Win32.Mytob.q	2,10
14.	-4	Net-Worm.Win32.Mytob.u	2,08
15.	-12	Email-Worm.Win32.Zafi.b	1,59
16.	New!	Email-Worm.Win32.Fanbot.f	1,46
17.	New!	Email-Worm.Win32.Bagle.dx	1,24
18.	New!	Trojan-Spy.HTML.Bayfraud.hn	1,22
19.	-8	Net-Worm.Win32.Mytob.r	1,20
20.	-8	Email-Worm.Win32.NetSky.aa	1,16
Остальные вредоносные программы			23,01

Мы уже писали о том, что в конце августа в Марокко и Турции по подозрению в создании червей семейства Mytob были арестованы два молодых человека. Виновны они или нет, покажет следствие, однако заметное падение количества новых версий Mytob в сентябре было налицо.

Но, как известно, природа не терпит пустоты, а природа мира компьютерных вирусов — тем более. Воспользоваться ситуацией не преминули другие киберпреступники, тут же выпустившие на волю сразу несколько новых семейств опасных червей, в результате чего октябрь 2005 года оказался весьма богатым на новые вредоносные программы. Специалисты «Лаборатории Касперского» поставили своеобразный рекорд, добавив за одну неделю в антивирусные базы более 1400 новых записей.

В вирусной двадцатке опять сменился лидер. И в очередной раз, уже не вспомнить, в какой по счету, им стал Mytob.c. Скорее всего, именно этот червь станет самым распространенным вирусом по итогам всего года.

На втором месте расположился новичок двадцатки, представитель новых сетевых червей, о которых говорилось выше — Doombot.b. Данный червь очень похож на Mytob по своему функционалу. Он также совмещает в себе черты почтового червя и IRC-бота. Как и Mytob, он основан на исходных кодах червя Mydoom. Однако ряд отличий в реализации многих важных компонентов червя заставляет нас считать его представителем отдельного самостоятельного семейства. Необходимо отметить, что вариант «b» был обнаружен 16 октября, а значит, смог добраться до второго места нашего рейтинга всего за две недели с момента обнаружения. Не исключено, что в ноябре он окажется лидером вирусной двадцатки.

Не менее впечатляющий рост продемонстрировал Mytob.bi. Занимавший в сентябре 19-е место и уже фактически исчезнувший из нашего поля зрения, в октябре он смог отыграть сразу 15 мест и оккупировать 4-ю строчку. Причем в процентном отношении его показатель также весьма высок.

Из других интересных событий в первой десятке рейтинга отдельного упоминания заслуживает еще один представитель семейства Doombot — Doombot.d. Изначально он был классифицирован как Mytob.dc, однако наличие фирменной строки «H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H», присущей исключительно червям Doombot, помогло в итоге восстановить истину.

Такие пограничные случаи весьма трудны для точной классификации, поскольку общий набор функций и структура программы у большинства подобных червей-ботов очень схожи. Что неудивительно — ведь, по большому счету, все они являются клонами червя Mydoom, которому скоро исполнится два года.

Это хороший пример того, что распространение исходных кодов вирусов зачастую наносит даже больший ущерб, чем выпуск в свет одного червя, созданного из этих кодов. При наличии исходного кода любой «script-kiddie» может очень быстро создать собственную разновидность червя путем простой модификации кода, даже не разбираясь досконально в тонкостях программирования.

Во второй части двадцатки внимания достойны три новые вредоносные программы, разместившиеся с 16 по 18 строчки. Они все очень разные — и тем интересней.

16 место занимает еще один представитель нового поколения. Червь Fanbot.f, созданный опять-таки на основе Mydoom и бэкдора SdBot, пытается устроить заочную кибервойну с автором Doombot, о чем недвусмысленно свидетельствуют текстовые строки в теле вируса:

Автор Fanbot также выражает свое недовольство действиями антивирусных компаний, назвавших этот вирус не так как, хотелось его создателю:

К слову, Fanbot — довольно многочисленное семейство. В настоящее время нам известно 11 вариантов этого червя и, скорее всего, именно они и Doombot будут одними из наиболее активных вирусов в ближайшие месяцы.

Решили не отставать от новичков и авторы червей Bagle. Мы уже писали о том, что в сентябре было обнаружено более 20 новых вариантов. В октябре активность была снижена в пользу «качества», и обнаруженный 20 октября Bagle.dx смог все-таки стать заметным событием в вирусной статистике. Как всегда в случае с Bagle, основной целью вирусописателей является не размножение червя, а установка на зараженные компьютеры троянских прокси-серверов для рассылки спама, а также программ для сбора адресов электронной почты. По нашему мнению, именно Bagle и его локальными эпидемиями был вызван стремительный рост спам-рассылок по всему миру в последние недели.

Помимо рассылки обычных спам-писем, через зараженные компьютеры организовываются и фишинг-атаки: одной из самых крупных в октябре стала рассылка Trojan-Spy.HTML.Bayfraud.hn, нацеленная на пользователей системы eBay. Именно это письмо занимает 18 место в нашей статистике, в очередной раз напоминая об опасности фишинга.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (23,01%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве червей и троянских программ, относящихся к другим семействам.

Итоги октября

• В двадцатке появилось пять новых вредоносных программ: Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn.
• Повысили свой рейтинг: Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be.
• Понизили свои показатели: Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r, NetSky.aa.