Обзор вирусной активности, октябрь 2006

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	Return	Email-Worm.Win32.NetSky.q	13,14
2.	New!	Email-Worm.Win32.Warezov.dn	11
3.	Return	Email-Worm.Win32.Bagle.gen	10,43
4.		Email-Worm.Win32.Scano.gen	7,97
5.	New!	Email-Worm.Win32.Warezov.ev	6,32
6.	Return	Email-Worm.Win32.Bagle.mail	4,04
7.	New!	Email-Worm.Win32.Warezov.dc	3,65
8.	Return	Email-Worm.Win32.Mydoom.l	2,89
9.	Return	Email-Worm.Win32.Mydoom.m	2,74
10.	Return	Email-Worm.Win32.Scano.e	2,46
11.	New	Email-Worm.Win32.Warezov.do	2,41
12.	Return	Email-Worm.Win32.NetSky.aa	2,08
13.	-8	Email-Worm.Win32.NetSky.b	2,04
14.	-13	Net-Worm.Win32.Mytob.c	2,01
15.	-2	Trojan-Spy.HTML.Bankfraud.od	1,84
16.	New!	Email-Worm.Win32.Warezov.eu	1,83
17.	New!	Email-Worm.Win32.Warezov.gen	1,26
18.	Return	Email-Worm.Win32.Bagle.dx	1,24
19.	New!	Email-Worm.Win32.Warezov.dh	0,84
20.	-12	Email-Worm.Win32.Scano.aq	0,8
Остальные вредоносные программы			19,01
Всего из семейства Warezov			27,31

Три месяца мы наблюдали за ожесточенной схваткой за первое место между Mytob.c и Nyxem.e. Оба червя упорно отбирали друг у друга доли процентов. Трудно сказать, сколько продолжалась бы подобная возня. Понятно, что все изменить могла любая новая масштабная эпидемия, но в 2006 году мы уже практически забыли о таком биче интернета прошлых лет, как почтовые черви. Гораздо большую активность проявляли обычные троянские программы или сетевые черви, использующие для своего размножения уязвимости в Windows, включая и недавно обнаруженную MS06-040.

Однако в октябре все изменилось буквально в одночасье. Грянул червь Warezov, и это настолько перетряхнуло всю нашу стастистику, что от 20-ти сентябрьских вредоносных программ в ней осталось всего лишь пять! Warezov стал основной причиной головной боли антивирусных компаний всего мира на протяжении всего октября, развернув наибольшую активность в конце месяца, когда за сутки появлялось до 20-ти его новых вариантов. Для того, чтобы четче отслеживать его активность, нам пришлось значительно модернизировать систему сбора статистической информации, что в свою очередь также повлияло на распределение мест в октябрьской двадцатке. Теперь рейтинг составляется в том числе и на основании данных работы нового сервиса «Лаборатории Касперского» Kaspersky Hosted Security.

«Октябрьское безумие» семейства Warezov привело к тому, что отдельные его представители заняли сразу семь мест в рейтинге. Подобный дебют за всю историю наблюдений был только у Mytob. Суммарный процент всех модификаций Warezov, попавших в рейтинг, составляет более 27%, так что если бы мы считали распространенность не по вариантам, а по семействам — он был бы абсолютным лидером октября. А так — второе место у Warezov.dn, и он всего на два процента отстает от лидера 2004 года NetSky.q. Последний снова вернулся на вершину хит-парада, но пока мы затрудняемся сказать — устойчивая это тенденция или единичный всплеск, примеров которых мы видели в прошлом уже довольно много.

Warezov по ряду признаков очень сильно напоминает известный червь Bagle. Хотя в основе Warezov лежат исходные коды червя Mydoom.a, а Bagle был полностью «оригинальной» разработкой неизвестной группы вирусописателей, мы склонны считать этих червей «родственниками». Во-первых, по крайне схожему способу организации эпидемии — массированный выброс множества разных вариантов в течении короткого периода времени, с диффернциацией в том числе и по географическому признаку (в России рассылались одни варианты червя, в Европе другие). Во-вторых, по их функционалу — установка на компьютер любых других модулей с троянских сайтов и сбор адресов электронной почты с последующей отправкой их злоумышленникам. Bagle был первым, кто использовал вирусные технологии для пополнения спамерских баз. Warezov занимается тем же самым. В-третьих, появление Warezov и прекращение выхода новых вариантов Bagle совпадает по времени с точностью до одной недели. Трудно предположить, что авторы Bagle вдруг внезапно «ушли из бизнеса» и их дело оперативно продолжил кто-то другой. Скорее всего оба червя являются творениями одной и той же группировки. В четвертых, Bagle оказал громадное влияние на антивирусную индустрию в целом — заставив антивирусные компании реализовать множество новых способов защиты. Warezov уже сейчас подбросил нам весьма сложную задачу борьбы с обсфуркацией кода — особым приемом вирусописателей, который направлен на обман антивирусных программ, а также необходимость вывести на новый — беспрецедентный — уровень нашу скорость реакции.

Кстати, Bagle из почтового трафика никуда не делся. Его новые версии не появляются, но старые продолжают существовать и активно распространяться. Третье, шестое и восемнадцатое места служат тому наглядным примером.

Еще одним червем, в свое время уже поставившим задачу борьбы с обсфуркацией кода был Scano. Скриптовый полиморфный движок этого червя был успешно побежден нашими аналитиками несколько месяцев назад, но масштабы распространенности Scano по-прежнему остаются довольно широкими. Примечательно, что Scano.gen остался на своем 4-м сентябрьском месте, несмотря на кардинальное изменение нашей системы подсчета статистики.

Довольно печальный факт такого «лидерства» Warezov, Bagle и Scano, дополняется тем, что, по нашему мнению, все эти черви имеют кириллическое происхождение, то есть были созданы либо в России, либо в другой стране бывшего Советского Союза.

Августовская фишинговая атака Bankfraud.od продолжает оставаться самой распространенной и в октябре. В сентябре она потеряла всего одну позицию, в октябре две, но, тем не менее, объем фишинговых писем в почтовом трафике все нарастает, и мы планируем в скором времени приступить к публикации отдельной статистики по фишинговым атакам.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 19,1 — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги октября

• В двадцатке появились семь новых вредоносных программ: Warezov.dn, Warezov,ev, Warezov.do, Warezov.eu, Warezov.gen, Warezov.dh, Warezov.dc.
• Понизили свои показатели NetSky.b, Mytob.c, Bankfraud.od, Scano.aq.
• Не изменил своего положения Scano.gen.
• Вернулись в двадцатку NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx.