Обзор вирусной активности, октябрь 2006

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Return
Return
Email-Worm.Win32.NetSky.q 13,14
2. New!
New!
Email-Worm.Win32.Warezov.dn 11
3. Return
Return
Email-Worm.Win32.Bagle.gen 10,43
4. No Change Email-Worm.Win32.Scano.gen 7,97
5. New!
New!
Email-Worm.Win32.Warezov.ev 6,32
6. Return
Return
Email-Worm.Win32.Bagle.mail 4,04
7. New!
New!
Email-Worm.Win32.Warezov.dc 3,65
8. Return
Return
Email-Worm.Win32.Mydoom.l 2,89
9. Return
Return
Email-Worm.Win32.Mydoom.m 2,74
10. Return
Return
Email-Worm.Win32.Scano.e 2,46
11. New!
New
Email-Worm.Win32.Warezov.do 2,41
12. Return
Return
Email-Worm.Win32.NetSky.aa 2,08
13. Down
-8
Email-Worm.Win32.NetSky.b 2,04
14. Down
-13
Net-Worm.Win32.Mytob.c 2,01
15. Down
-2
Trojan-Spy.HTML.Bankfraud.od 1,84
16. New!
New!
Email-Worm.Win32.Warezov.eu 1,83
17. New!
New!
Email-Worm.Win32.Warezov.gen 1,26
18. Return
Return
Email-Worm.Win32.Bagle.dx 1,24
19. New!
New!
Email-Worm.Win32.Warezov.dh 0,84
20. Down
-12
Email-Worm.Win32.Scano.aq 0,8
Остальные вредоносные программы 19,01
Всего из семейства Warezov 27,31

Три месяца мы наблюдали за ожесточенной схваткой за первое место между Mytob.c и Nyxem.e. Оба червя упорно отбирали друг у друга доли процентов. Трудно сказать, сколько продолжалась бы подобная возня. Понятно, что все изменить могла любая новая масштабная эпидемия, но в 2006 году мы уже практически забыли о таком биче интернета прошлых лет, как почтовые черви. Гораздо большую активность проявляли обычные троянские программы или сетевые черви, использующие для своего размножения уязвимости в Windows, включая и недавно обнаруженную MS06-040.

Однако в октябре все изменилось буквально в одночасье. Грянул червь Warezov, и это настолько перетряхнуло всю нашу стастистику, что от 20-ти сентябрьских вредоносных программ в ней осталось всего лишь пять! Warezov стал основной причиной головной боли антивирусных компаний всего мира на протяжении всего октября, развернув наибольшую активность в конце месяца, когда за сутки появлялось до 20-ти его новых вариантов. Для того, чтобы четче отслеживать его активность, нам пришлось значительно модернизировать систему сбора статистической информации, что в свою очередь также повлияло на распределение мест в октябрьской двадцатке. Теперь рейтинг составляется в том числе и на основании данных работы нового сервиса «Лаборатории Касперского» Kaspersky Hosted Security.

«Октябрьское безумие» семейства Warezov привело к тому, что отдельные его представители заняли сразу семь мест в рейтинге. Подобный дебют за всю историю наблюдений был только у Mytob. Суммарный процент всех модификаций Warezov, попавших в рейтинг, составляет более 27%, так что если бы мы считали распространенность не по вариантам, а по семействам — он был бы абсолютным лидером октября. А так — второе место у Warezov.dn, и он всего на два процента отстает от лидера 2004 года NetSky.q. Последний снова вернулся на вершину хит-парада, но пока мы затрудняемся сказать — устойчивая это тенденция или единичный всплеск, примеров которых мы видели в прошлом уже довольно много.

Warezov по ряду признаков очень сильно напоминает известный червь Bagle. Хотя в основе Warezov лежат исходные коды червя Mydoom.a, а Bagle был полностью «оригинальной» разработкой неизвестной группы вирусописателей, мы склонны считать этих червей «родственниками». Во-первых, по крайне схожему способу организации эпидемии — массированный выброс множества разных вариантов в течении короткого периода времени, с диффернциацией в том числе и по географическому признаку (в России рассылались одни варианты червя, в Европе другие). Во-вторых, по их функционалу — установка на компьютер любых других модулей с троянских сайтов и сбор адресов электронной почты с последующей отправкой их злоумышленникам. Bagle был первым, кто использовал вирусные технологии для пополнения спамерских баз. Warezov занимается тем же самым. В-третьих, появление Warezov и прекращение выхода новых вариантов Bagle совпадает по времени с точностью до одной недели. Трудно предположить, что авторы Bagle вдруг внезапно «ушли из бизнеса» и их дело оперативно продолжил кто-то другой. Скорее всего оба червя являются творениями одной и той же группировки. В четвертых, Bagle оказал громадное влияние на антивирусную индустрию в целом — заставив антивирусные компании реализовать множество новых способов защиты. Warezov уже сейчас подбросил нам весьма сложную задачу борьбы с обсфуркацией кода — особым приемом вирусописателей, который направлен на обман антивирусных программ, а также необходимость вывести на новый — беспрецедентный — уровень нашу скорость реакции.

Кстати, Bagle из почтового трафика никуда не делся. Его новые версии не появляются, но старые продолжают существовать и активно распространяться. Третье, шестое и восемнадцатое места служат тому наглядным примером.

Еще одним червем, в свое время уже поставившим задачу борьбы с обсфуркацией кода был Scano. Скриптовый полиморфный движок этого червя был успешно побежден нашими аналитиками несколько месяцев назад, но масштабы распространенности Scano по-прежнему остаются довольно широкими. Примечательно, что Scano.gen остался на своем 4-м сентябрьском месте, несмотря на кардинальное изменение нашей системы подсчета статистики.

Довольно печальный факт такого «лидерства» Warezov, Bagle и Scano, дополняется тем, что, по нашему мнению, все эти черви имеют кириллическое происхождение, то есть были созданы либо в России, либо в другой стране бывшего Советского Союза.

Августовская фишинговая атака Bankfraud.od продолжает оставаться самой распространенной и в октябре. В сентябре она потеряла всего одну позицию, в октябре две, но, тем не менее, объем фишинговых писем в почтовом трафике все нарастает, и мы планируем в скором времени приступить к публикации отдельной статистики по фишинговым атакам.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 19,1 — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги октября

  • В двадцатке появились семь новых вредоносных программ: Warezov.dn, Warezov,ev, Warezov.do, Warezov.eu, Warezov.gen, Warezov.dh, Warezov.dc.
  • Понизили свои показатели NetSky.b, Mytob.c, Bankfraud.od, Scano.aq.
  • Не изменил своего положения Scano.gen.
  • Вернулись в двадцатку NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *