Архив новостей

Обзор вирусной активности, октябрь 2005

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за октябрь 2005 года.

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up
+1

Net-Worm.Win32.Mytob.c
14,56
2. New!
New!

Email-Worm.Win32.Doombot.b
10,27
3. Down
-2

Email-Worm.Win32.Zafi.d
7,92
4. Up
+15

Net-Worm.Win32.Mytob.bi
6,80
5. Down
-1

Email-Worm.Win32.LovGate.w
5,27
6. Up
+2

Email-Worm.Win32.NetSky.q
3,66
7. New!
New!

Email-Worm.Win32.Doombot.d
3,27
8. Down
-3

Email-Worm.Win32.NetSky.b
3,08
9. Down
-2

Net-Worm.Win32.Mytob.bk
3,03
10. Down
-1

Net-Worm.Win32.Mytob.t
2,51
11. Up
+4

Net-Worm.Win32.Mytob.y
2,35
12. Up
+5

Net-Worm.Win32.Mytob.be
2,22
13. Down
-7

Net-Worm.Win32.Mytob.q
2,10
14. Down
-4

Net-Worm.Win32.Mytob.u
2,08
15. Down
-12

Email-Worm.Win32.Zafi.b
1,59
16. New!
New!

Email-Worm.Win32.Fanbot.f
1,46
17. New!
New!

Email-Worm.Win32.Bagle.dx
1,24
18. New!
New!

Trojan-Spy.HTML.Bayfraud.hn
1,22
19. Down
-8

Net-Worm.Win32.Mytob.r
1,20
20. Down
-8

Email-Worm.Win32.NetSky.aa
1,16
Остальные вредоносные программы 23,01

Мы уже писали о том, что в конце августа в Марокко и Турции по подозрению в создании червей семейства Mytob были арестованы два молодых человека. Виновны они или нет, покажет следствие, однако заметное падение количества новых версий Mytob в сентябре было налицо.

Но, как известно, природа не терпит пустоты, а природа мира компьютерных вирусов — тем более. Воспользоваться ситуацией не преминули другие киберпреступники, тут же выпустившие на волю сразу несколько новых семейств опасных червей, в результате чего октябрь 2005 года оказался весьма богатым на новые вредоносные программы. Специалисты «Лаборатории Касперского» поставили своеобразный рекорд, добавив за одну неделю в антивирусные базы более 1400 новых записей.

В вирусной двадцатке опять сменился лидер. И в очередной раз, уже не вспомнить, в какой по счету, им стал Mytob.c. Скорее всего, именно этот червь станет самым распространенным вирусом по итогам всего года.

На втором месте расположился новичок двадцатки, представитель новых сетевых червей, о которых говорилось выше — Doombot.b. Данный червь очень похож на Mytob по своему функционалу. Он также совмещает в себе черты почтового червя и IRC-бота. Как и Mytob, он основан на исходных кодах червя Mydoom. Однако ряд отличий в реализации многих важных компонентов червя заставляет нас считать его представителем отдельного самостоятельного семейства. Необходимо отметить, что вариант «b» был обнаружен 16 октября, а значит, смог добраться до второго места нашего рейтинга всего за две недели с момента обнаружения. Не исключено, что в ноябре он окажется лидером вирусной двадцатки.

Не менее впечатляющий рост продемонстрировал Mytob.bi. Занимавший в сентябре 19-е место и уже фактически исчезнувший из нашего поля зрения, в октябре он смог отыграть сразу 15 мест и оккупировать 4-ю строчку. Причем в процентном отношении его показатель также весьма высок.

Из других интересных событий в первой десятке рейтинга отдельного упоминания заслуживает еще один представитель семейства Doombot — Doombot.d. Изначально он был классифицирован как Mytob.dc, однако наличие фирменной строки «H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H», присущей исключительно червям Doombot, помогло в итоге восстановить истину.

Такие пограничные случаи весьма трудны для точной классификации, поскольку общий набор функций и структура программы у большинства подобных червей-ботов очень схожи. Что неудивительно — ведь, по большому счету, все они являются клонами червя Mydoom, которому скоро исполнится два года.

Это хороший пример того, что распространение исходных кодов вирусов зачастую наносит даже больший ущерб, чем выпуск в свет одного червя, созданного из этих кодов. При наличии исходного кода любой «script-kiddie» может очень быстро создать собственную разновидность червя путем простой модификации кода, даже не разбираясь досконально в тонкостях программирования.

Во второй части двадцатки внимания достойны три новые вредоносные программы, разместившиеся с 16 по 18 строчки. Они все очень разные — и тем интересней.

16 место занимает еще один представитель нового поколения. Червь Fanbot.f, созданный опять-таки на основе Mydoom и бэкдора SdBot, пытается устроить заочную кибервойну с автором Doombot, о чем недвусмысленно свидетельствуют текстовые строки в теле вируса:

HellBot3 have BackDoor in ‘HellMsn.h’. The HellBot3 author is an idiot!!!
[Phantom] 2005 Made By Evil[xiaou]. Greetz to good friend x140d4n. Based On sdbot&&mydoom.

Автор Fanbot также выражает свое недовольство действиями антивирусных компаний, назвавших этот вирус не так как, хотелось его создателю:

MSG to Kaspersky&Norton: can u make it difficulty next time!!! stupid. dont call me Fanbot,i am [Phantom]!!! SHIT!!! Play with The best, Die like the rest.

К слову, Fanbot — довольно многочисленное семейство. В настоящее время нам известно 11 вариантов этого червя и, скорее всего, именно они и Doombot будут одними из наиболее активных вирусов в ближайшие месяцы.

Решили не отставать от новичков и авторы червей Bagle. Мы уже писали о том, что в сентябре было обнаружено более 20 новых вариантов. В октябре активность была снижена в пользу «качества», и обнаруженный 20 октября Bagle.dx смог все-таки стать заметным событием в вирусной статистике. Как всегда в случае с Bagle, основной целью вирусописателей является не размножение червя, а установка на зараженные компьютеры троянских прокси-серверов для рассылки спама, а также программ для сбора адресов электронной почты. По нашему мнению, именно Bagle и его локальными эпидемиями был вызван стремительный рост спам-рассылок по всему миру в последние недели.

Помимо рассылки обычных спам-писем, через зараженные компьютеры организовываются и фишинг-атаки: одной из самых крупных в октябре стала рассылка Trojan-Spy.HTML.Bayfraud.hn, нацеленная на пользователей системы eBay. Именно это письмо занимает 18 место в нашей статистике, в очередной раз напоминая об опасности фишинга.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (23,01%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве червей и троянских программ, относящихся к другим семействам.

Итоги октября

  • В двадцатке появилось пять новых вредоносных программ: Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn.
  • Повысили свой рейтинг: Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be.
  • Понизили свои показатели: Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r, NetSky.aa.

Обзор вирусной активности, октябрь 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике