Обзор вирусной активности, январь 2005

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	0	Email-Worm.Win32.Zafi.d	26,57
2.	0	Email-Worm.Win32.Zafi.b	19,10
3.	0	Email-Worm.Win32.NetSky.q	13,97
4.	0	Email-Worm.Win32.LovGate.w	6,13
5.	+2	Email-Worm.Win32.NetSky.b	4,47
6.	-1	Email-Worm.Win32.NetSky.aa	3,25
7.	+2	Email-Worm.Win32.Bagle.z	3,08
8.	New!	Email-Worm.Win32.Bagle.ay	2,77
9.	+1	Email-Worm.Win32.Mydoom.m	2,54
10.	New!	Trojan-Spy.HTML.Smitfraud.a	1,75
11.	New!	Trojan-Spy.HTML.Bankfraud.ca	1,63
12.	+3	Email-Worm.Win32.Mydoom.l	1,45
13.	-2	Email-Worm.Win32.NetSky.y	1,28
14.	0	Email-Worm.Win32.NetSky.d	1,27
15.	-2	Email-Worm.Win32.NetSky.t	0,87
16.	+4	Email-Worm.Win32.Bagle.gen	0,74
17.	+2	Email-Worm.Win32.NetSky.r	0,72
18.	Re-entry	Email-Worm.Win32.Bagle.ai	0,66
19.	-1	Email-Worm.Win32.Lovgate.ad	0,58
20.	New!	Email-Worm.Win32.Lovgate.ae	0,49
Остальные вредоносные программы			6,68

Январь 2005 года не внес каких-то значительных изменений в расстановку вредоносных программ в почтовом трафике. По-прежнему первые два места занимают черви семейства Zafi, а за ними следует самый распространенный червь 2004 года — Netsky.q.

Другой ветеран вирусного хит-парада — Lovgate.w, не отдает завоеванных позиций, продолжая удивлять своей живучестью. Кстати, в самом конце вирусной двадцатки находятся еще два червя из этого же семейства и, учитывая историю развития более ранних вариантов, можно предположить, что они еще весьма долгое время будут присутствовать в наших отчетах.

Отдельно остановимся на новичке рейтинга — Bagle.ay. В январе 2005 года исполняется ровно год с момента обнаружения первого варианта червя данного семейства. И снова, как и год назад, Bagle оказался первой серьезной эпидемией наступившего года, удостоившись в нашей системе предупреждений «красного» уровня опасности. Появившаяся на свет 27 января версия Bagle.ay за несколько дней смогла забраться на 8-е место вирусной двадцатки. Как и более ранние варианты, этот Bagle также устанавливает на зараженную машину троянский прокси-сервер, позволяя злоумышленникам в дальнейшем рассылать через нее спам или новые версии червя.

Эпидемия Bagle.ay протекала по традиционному для современных червей сценарию — сначала стремительный всплеск активности и наличия в почтовом трафике, вызванный массовой рассылкой копий червя на миллионы адресов электронной почты, а затем такое же стремительное падение спустя несколько дней. Можно предположить, что в февральском отчете Bagle.ay будет занимать место ниже январского.

Появившийся в декабрьском рейтинге первый представитель класса Trojan-Spy.HTML оказался лишь первой ласточкой. В январе сразу две новых фишинг-атаки на пользователей систем интернет-банкинга — Smitfraud.a и Bankfraud.ca — оказались по своим масштабам вполне сравнимы с эпидемиями почтовым червей. Занятые ими 10 и 11 места являются тому подтверждением.

Можно попытаться связать эти факты в единое представление о происходящем. А именно — в январе было зафиксировано очень большое количество новых троянских программ, позволяющих объединять зараженные компьютеры в гигантские сети (т. н. ботнеты). Подобным функционалом оснащен, в том числе, и Bagle.ay. По некоторым оценкам, число таких «зомби-машин» в январе превысило 350 тысяч. Как следствие, был отмечен 40% рост спам-трафика и множество фишинг-атак.

Наконец, внезапно из 20-ки пропал червь Sober.i. Правда, одновременно с этим был обнаружен новый вариант — Sober.j, однако о какой-либо заметной эпидемии данного червя говорить пока не приходится.

Итоги месяца

• В двадцатке появились 4 новых вредоносных программы: Bagle.ay, Smitfraud.a, Bankfraud.ca, Lovgate.ae.
• Повысили свой рейтинг: NetSky.b, Bagle.z, Mydoom.m, Mydoom.l, Bagle.gen, NetSky.r.
• Понизили свои показатели: NetSky.aa, NetSky.y, NetSky.t, Lovgate.ad.
• Не изменились показатели: Zafi.d, Zafi.b, NetSky.q, Lovgate.w, NetSky.d.