Обзор вирусной активности, сентябрь 2005

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за сентябрь 2005 года.

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	+3	Email-Worm.Win32.Zafi.d	17,17
2.	-1	Net-Worm.Win32.Mytob.c	16,69
3.	0	Email-Worm.Win32.Zafi.b	11,35
4.	+4	Email-Worm.Win32.LovGate.w	6,64
5.	+1	Email-Worm.Win32.NetSky.b	4,32
6.	+5	Net-Worm.Win32.Mytob.q	3,86
7.	-2	Net-Worm.Win32.Mytob.bk	3,10
8.	-6	Email-Worm.Win32.NetSky.q	2,99
9.	+3	Net-Worm.Win32.Mytob.t	2,53
10.	+4	Net-Worm.Win32.Mytob.u	2,50
11.	+7	Net-Worm.Win32.Mytob.r	2,02
12.	-5	Email-Worm.Win32.NetSky.aa	1,59
13.	+6	Net-Worm.Win32.Mytob.a	1,56
14.	Return	Email-Worm.Win32.NetSky.x	1,46
15.	Return	Net-Worm.Win32.Mytob.y	1,35
16.	Return	Email-Worm.Win32.LovGate.ae	0,97
17.	-8	Net-Worm.Win32.Mytob.be	0,85
18.	-3	Email-Worm.Win32.NetSky.t	0,80
19.	-9	Net-Worm.Win32.Mytob.bi	0,79
20.	Return	Net-Worm.Win32.Mytob.x	0,77
Прочие вредоносные программы			16,69

«Вирусный ренессанс» является одним из наиболее интересных явлений в истории вирусных эпидемий. Очень часто старые, давно появившиеся вирусы, чье время, казалось бы, уже прошло, вдруг вновь восходят на вершину хит-парадов и заставляют антивирусных экспертов строить различные догадки о причинах столь неожиданных «возрождений». Типичным примером подобного процесса является вирусная двадцатка сентября этого года.

Основное событие сентябрьской двадцатки — смена лидера.

Тотальное наступление червей Mytob внезапно сменилось относительным затишьем. Причины этого достаточно очевидны. Во-первых, это обнаружение в августе 2005 года очередной уязвимости в Microsoft Windows (в службе Plug’n’Play) MS05-039, что моментально изменило вектор приложения усилий вирусописателей в сторону сетевых, а не почтовых червей, которые традиционно служили объектами рассмотрения «двадцаток». Во-вторых, упомянутая атака Mytob привлекла внимание и правоохранительных органов, результатом чего стал арест в Марокко и Турции двух молодых людей, которые обвиняются в создании червей семейства Mytob. Являются ли они истинными авторами программы, покажет следствие, но уже сейчас можно констатировать тот факт, что в сентябре, после ареста, количество новых вариантов Mytob снизилось весьма значительно, хотя и не до нулевой отметки.

На этом фоне и случилось основное событие сентябрьской двадцатки — смена лидера. Вопреки всем ожиданиям и логике, им стал Zafi.d. Данный червь впервые был обнаружен в октябре 2004 года и в хит-парадах декабря 2004 — января 2005 года уже лидировал. Затем он постепенно снижал свои показатели и в августе 2005 года занимал всего 6% от общего вирусного трафика. Сентябрьский рост на 3 позиции до 11% стал «вторым рождением» вируса и продемонстрировал, что сдавать позиции этот венгерский червь не собирается.

Третье место удержал еще один представитель семейства Zafi — Zafi.b. Возможно, это как-то связано с обнаружением совершенно нового червя Zafi.e в конце сентября. Новых представителей этой группы вредоносного ПО специалисты не регистрировали почти год, и вот неожиданно произошло пополнение семейства. С большой долей вероятности можно ожидать, что и Zafi.e скоро станет традиционным участником вирусных отчетов «Лаборатории Касперского».

Отдельного рассмотрения заслуживает ситуация вокруг самого распространенного и опасного семейства червей прошлого года — NetSky. Этим летом они вели весьма упорную войну с червями Mytob за долю в почтовом трафике и, похоже, ее проиграли. Нынешние показатели лидера прошлого года NetSky.q — 8 место, 2,99%, минус 6 позиций за месяц — свидетельствуют о том, что в вирусной двадцатке наступает перелом и, несмотря на пятое место еще одного представителя NetSky — варианта «b», в скором времени этот клан может покинуть пределы первой десятки.

Продолжает удивлять LovGate.w: 2004 год — стабильные показатели в пределах десятки, 2005 год — падение до 15 места в июле и ожидание полного исчезновения, но вышло наоборот. Август — 8-е место, сентябрь — уже четвертое. А ведь кроме него в двадцатке оказался еще один LovGate — «ae», неведомо как попавший в список сентябрьских «возвращенцев», где кроме него находятся еще один NetSky и два Mytob.

Семейство последних ведет ротацию своего состава. Практически все варианты, попавшие в двадцатку за последнюю пару месяцев, увеличили свою долю присутствия. В то же время, подавляющее большинство вариантов, появившихся в рейтинге еще в начале лета или весной этого года, снижают свои показатели. Относительно стабильным остается только положение Mytob.c, а вот Mytob.q начинает вплотную подбираться к вершине вирусного хит-парада.

В целом же, конечно, клан Mytob удерживает доминирующие позиции и занимает больше половины всех строчек в двадцатке — 11 мест.

В сентябре было обнаружено более двух десятков новых вариантов червя Bagle.

В сентябре было обнаружено более двух десятков новых вариантов червя Bagle. В отдельные дни они причиняли значительное беспокойство антивирусным компаниям, появляясь партиями по 5-6 вариантов всего за пару часов. Казалось бы, подобная активность и «успех» червей данного семейства в прошлом должны были найти свое отражение в сентябрьском хит-параде. Однако этого не произошло. Трудно определить истинную причину подобного снижения темпов распространения. Их может быть много: и оперативная реакция антивирусных компаний, погасивших эпидемию в стадии зарождения, и внимательность пользователей, не запускавших присланных им копий червя, и ошибки в его коде, из-за которых он мог не работать на некоторых системах. Скорее всего, барьер на пути победного шествия Bagle воздвигла совокупность всех перечисленных факторов. Однако не стоит ослаблять внимание, поскольку авторы этого червя известны своей склонностью к регулярной организации таких кратковременных эпидемий.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (16,69) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги сентября

• В двадцатке не появилось новых вредоносных программ.
• В двадцатку вернулись NetSky.x, Mytob.y, LovGate.ae и Mytob.x.
• Повысили свой рейтинг: Zafi.d, LovGate.w, NetSky.b, Mytob.q, Mytob.t, Mytob.u, Mytob.r, Mytob.a.
• Понизили свои показатели: Mytob.c, Mytob.bk, NetSky.q, NetSky.aa, Mytob.be, NetSky.t, Mytob.bi.
• Не изменились показатели у Zafi.b.