Авторы
| Позиция | Изменение позиции | Вредоносная программа | Доля, проценты |
| 1. |  Return |
Email-Worm.Win32.NetSky.q | 13,14 |
| 2. |  New! |
Email-Worm.Win32.Warezov.dn | 11 |
| 3. | Return |
Email-Worm.Win32.Bagle.gen | 10,43 |
| 4. |  |
Email-Worm.Win32.Scano.gen | 7,97 |
| 5. | New! |
Email-Worm.Win32.Warezov.ev | 6,32 |
| 6. | Return |
Email-Worm.Win32.Bagle.mail | 4,04 |
| 7. | New! |
Email-Worm.Win32.Warezov.dc | 3,65 |
| 8. | Return |
Email-Worm.Win32.Mydoom.l | 2,89 |
| 9. | Return |
Email-Worm.Win32.Mydoom.m | 2,74 |
| 10. | Return |
Email-Worm.Win32.Scano.e | 2,46 |
| 11. | New |
Email-Worm.Win32.Warezov.do | 2,41 |
| 12. | Return |
Email-Worm.Win32.NetSky.aa | 2,08 |
| 13. |  -8 |
Email-Worm.Win32.NetSky.b | 2,04 |
| 14. | -13 |
Net-Worm.Win32.Mytob.c | 2,01 |
| 15. | -2 |
Trojan-Spy.HTML.Bankfraud.od | 1,84 |
| 16. | New! |
Email-Worm.Win32.Warezov.eu | 1,83 |
| 17. | New! |
Email-Worm.Win32.Warezov.gen | 1,26 |
| 18. | Return |
Email-Worm.Win32.Bagle.dx | 1,24 |
| 19. | New! |
Email-Worm.Win32.Warezov.dh | 0,84 |
| 20. | -12 |
Email-Worm.Win32.Scano.aq | 0,8 |
| Остальные вредоносные программы | 19,01 | ||
| Всего из семейства Warezov | 27,31 | ||
Три месяца мы наблюдали за ожесточенной схваткой за первое место между Mytob.c и Nyxem.e. Оба червя упорно отбирали друг у друга доли процентов. Трудно сказать, сколько продолжалась бы подобная возня. Понятно, что все изменить могла любая новая масштабная эпидемия, но в 2006 году мы уже практически забыли о таком биче интернета прошлых лет, как почтовые черви. Гораздо большую активность проявляли обычные троянские программы или сетевые черви, использующие для своего размножения уязвимости в Windows, включая и недавно обнаруженную MS06-040.
Однако в октябре все изменилось буквально в одночасье. Грянул червь Warezov, и это настолько перетряхнуло всю нашу стастистику, что от 20-ти сентябрьских вредоносных программ в ней осталось всего лишь пять! Warezov стал основной причиной головной боли антивирусных компаний всего мира на протяжении всего октября, развернув наибольшую активность в конце месяца, когда за сутки появлялось до 20-ти его новых вариантов. Для того, чтобы четче отслеживать его активность, нам пришлось значительно модернизировать систему сбора статистической информации, что в свою очередь также повлияло на распределение мест в октябрьской двадцатке. Теперь рейтинг составляется в том числе и на основании данных работы нового сервиса «Лаборатории Касперского» Kaspersky Hosted Security.
«Октябрьское безумие» семейства Warezov привело к тому, что отдельные его представители заняли сразу семь мест в рейтинге. Подобный дебют за всю историю наблюдений был только у Mytob. Суммарный процент всех модификаций Warezov, попавших в рейтинг, составляет более 27%, так что если бы мы считали распространенность не по вариантам, а по семействам — он был бы абсолютным лидером октября. А так — второе место у Warezov.dn, и он всего на два процента отстает от лидера 2004 года NetSky.q. Последний снова вернулся на вершину хит-парада, но пока мы затрудняемся сказать — устойчивая это тенденция или единичный всплеск, примеров которых мы видели в прошлом уже довольно много.
Warezov по ряду признаков очень сильно напоминает известный червь Bagle. Хотя в основе Warezov лежат исходные коды червя Mydoom.a, а Bagle был полностью «оригинальной» разработкой неизвестной группы вирусописателей, мы склонны считать этих червей «родственниками». Во-первых, по крайне схожему способу организации эпидемии — массированный выброс множества разных вариантов в течении короткого периода времени, с диффернциацией в том числе и по географическому признаку (в России рассылались одни варианты червя, в Европе другие). Во-вторых, по их функционалу — установка на компьютер любых других модулей с троянских сайтов и сбор адресов электронной почты с последующей отправкой их злоумышленникам. Bagle был первым, кто использовал вирусные технологии для пополнения спамерских баз. Warezov занимается тем же самым. В-третьих, появление Warezov и прекращение выхода новых вариантов Bagle совпадает по времени с точностью до одной недели. Трудно предположить, что авторы Bagle вдруг внезапно «ушли из бизнеса» и их дело оперативно продолжил кто-то другой. Скорее всего оба червя являются творениями одной и той же группировки. В четвертых, Bagle оказал громадное влияние на антивирусную индустрию в целом — заставив антивирусные компании реализовать множество новых способов защиты. Warezov уже сейчас подбросил нам весьма сложную задачу борьбы с обсфуркацией кода — особым приемом вирусописателей, который направлен на обман антивирусных программ, а также необходимость вывести на новый — беспрецедентный — уровень нашу скорость реакции.
Кстати, Bagle из почтового трафика никуда не делся. Его новые версии не появляются, но старые продолжают существовать и активно распространяться. Третье, шестое и восемнадцатое места служат тому наглядным примером.
Еще одним червем, в свое время уже поставившим задачу борьбы с обсфуркацией кода был Scano. Скриптовый полиморфный движок этого червя был успешно побежден нашими аналитиками несколько месяцев назад, но масштабы распространенности Scano по-прежнему остаются довольно широкими. Примечательно, что Scano.gen остался на своем 4-м сентябрьском месте, несмотря на кардинальное изменение нашей системы подсчета статистики.
Довольно печальный факт такого «лидерства» Warezov, Bagle и Scano, дополняется тем, что, по нашему мнению, все эти черви имеют кириллическое происхождение, то есть были созданы либо в России, либо в другой стране бывшего Советского Союза.
Августовская фишинговая атака Bankfraud.od продолжает оставаться самой распространенной и в октябре. В сентябре она потеряла всего одну позицию, в октябре две, но, тем не менее, объем фишинговых писем в почтовом трафике все нарастает, и мы планируем в скором времени приступить к публикации отдельной статистики по фишинговым атакам.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 19,1 — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
Итоги октября
- В двадцатке появились семь новых вредоносных программ: Warezov.dn, Warezov,ev, Warezov.do, Warezov.eu, Warezov.gen, Warezov.dh, Warezov.dc.
- Понизили свои показатели NetSky.b, Mytob.c, Bankfraud.od, Scano.aq.
- Не изменил своего положения Scano.gen.
- Вернулись в двадцатку NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx.
Авторы
От тех же авторов
В той же категории
Обзор вирусной активности, октябрь 2006