Архив новостей

Онлайн-двадцатка, август 2006

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. New!
New!
Email-Worm.Win32.Mydoom.m 4,93
2. New!
New!
Email-Worm.Win32.NetSky.q 0,74
3. Return
Return
Email-Worm.Win32.Nyxem.e 0,31
4. Up
+1
Trojan-Dropper.Win32.Agent.asl 0,22
5. New!
New!
Backdoor.IRC.Zapchast 0,16
6. New!
New!
Email-Worm.Win32.NetSky.aa 0,15
7. New!
New!
Trojan-Downloader.Win32.Agent.arc 0,15
8. New!
New!
Backdoor.Win32.mIRC-based 0,13
9. New!
New!
Trojan-Proxy.Win32.Horst.av 0,12
10. New!
New!
Virus.DOS.PS-MPC-based 0,10
11. Down
-8
Email-Worm.Win32.Rays 0,10
12. Up
+1
not-a-virus:Monitor.Win32.Perflogger.163 0,10
13. New!
New!
not-a-virus:RiskTool.Win32.HideWindows 0,09
14. New!
New!
Email-Worm.Win32.Bagle.fj 0,09
15. Down
-14
Trojan-Spy.Win32.Banker.anv 0,09
16. New!
New!
Net-Worm.Linux.Ramen 0,09
17. Down
-13
Email-Worm.Win32.Brontok.q 0,09
18. Down
-3
Virus.Win32.Parite.b 0,08
19. New!
New!
Backdoor.IRC.Acnuz 0,08
20. New!
New!
Backdoor.IRC.Mimic 0,07
Остальные вредоносные программы 92,11

Августовская двадцатка стала самой необычной за все время публикации нами подобных отчетов. Она, с одной стороны, противоественна текущему положению дел, как мы себе его представляем. С другой стороны, в ней нашли свое отражение многие существующие классы вредоносных программ, которые ранее в статистику не попадали, но заслуживают отдельного внимания.

Примечательно также, что это произошло после того, как июльская двадцатка была признана нами практически эталонной по своему составу. Сейчас же в ней можно четко определить вирусы, которые там находятся по праву и действительно распространенны в интернете, а также вирусы, которые попали в этот рейтинг исключительно из-за особенностей работы онлайн-сканера, и вероятнее всего, в следующем месяце исчезнут из статистики так же быстро, как и появились.

Первая тройка августовской двадцатки скорее походит на данные почтовой статистики начала этого года: сразу три червя, из которых первые два оставили заметный след в 2004-2005 годах. NetSky.q был самым распространенным вирусом на протяжении всего 2004 года. Но в настоящее время оба этих червя уже покинули нашу почтовую двадцатку, что свидетельствует о прекращении их циркуляции в электронной почте. Причин, объясняющих их появление в онлайн-статистике, может быть несколько. Самой главной из них представляется различие между источниками получения статистики в наших двадцатках. Почтовая двадцатка основана на данных работы антивируса на некоторых крупных серверах электронной почты и отражает перехваченные и уничтоженные вредоносные программы. Онлайн-статистика опирается на данные с машин конечных пользователей, которые могут вообще не иметь установленной антивирусной программы, а поэтому «контингент» зловредов на их компьютерах может быть весьма пестрым.

Третье и четвертое место вполне логичны. Nyxem.e в последние месяцы испытывает второе рождение, и мы отмечаем его присутствие в электронной почте. Так что появление его в онлайн-двадцатке было всего лишь делом времени. Trojan-Dropper.Win32.Agent.asl смог даже в условиях падения общего процента своего присутствия подняться на одно место вверх.

Следующие шесть участников вирусного рейтинга представляют собой микс из современных опасных вирусов, вирусов, которые были актуальны несколько лет назад и антикварных зловредов, существование которых на современных операционных системах просто невозможно.

К первому блоку относятся Trojan-Downloader.Win32.Agent.arc и Trojan-Proxy.Win32.Horst.av. Horst.av без сомнения является в настоящее время одной из главных угроз для пользователей. Это довольно сложный многокомпонентный троянец, оснащенный руткитом и использующий различные полиморфные технологии для осложнения детектирования антивирусными программами.

Второй блок состоит из комбинации Backdoor.IRC.Zapchast+Backdoor.Win32.mIRC-based и отдельно от них – червь NetSky.aa. Как можно заметить из наличия в названиях первых двух зловредов слова «IRC» — мы имеем дело с троянской программой, управляемой через IRC. Это один из первых представителей класса «ботнетов». Первые варианты Backdoor.IRC.Zapchast мы стали обнаруживать еще в 2002 году. За это время число известных вариантов перевалило за тысячу. Скорее всего, в августе 2006 года где-то произошла локальная эпидемия одного из таких вариантов.

Virus.DOS.PS-MPC-based — это казус данной двадцатки. Данный вирус является не каким-то конкретным файлом, а множеством вариантов, созданных при помощи вирусного конструктора PS-MPC. Он известен нам более 10 лет, однако как видно — находятся люди, которые считают что им по силам создать при помощи этого конструктора что-то недетектируемое. Отсюда и множественные проверки подобных файлов при помощи онлайн-сканера и нелогичное 10 место.

Зато вторая десятка выглядит гораздо более узнаваемой. Старые знакомые — черви Rays, Brontok, кейлоггер Perflogger, вирус Parite.b и недавний лидер рейтинга и завсегдатай первой пятерки — троянец-шпион Banker.anv. Лидер потерял сразу 14 мест, однако мы считаем, что в сентябре он вновь поднимется к вершине двадцатки.

Чужаками выглядят два последних места, однако не исключено, что они тесно связаны с описанным выше Backdoor.IRC.Zapchast (и тогда все оказывается вполне логичным). А вот червь Ramen, функционирующий на операционной системе Linux, весьма примечателен. Ramen является самым распространенным из всех linux-зловредов. Однако до сих пор мы никогда не отмечали его наличие в масштабах, хотя бы сопоставимых с последними местами наших отчетов. В августе же ему все-таки удалось набрать необходимую критическую массу и обосноваться на 16-м месте. Будет весьма интересно посмотреть на его показатели в сентябре.

Онлайн-итоги августа

  • В двадцатке появилось 13 новых вредоносных и потенциально опасных программ: Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.NetSky.q, Backdoor.IRC.Zapchast, Email-Worm.Win32.NetSky.aa, Trojan-Downloader.Win32.Agent.arc, Backdoor.Win32.mIRC-based., Trojan-Proxy.Win32.Horst.av, Virus.DOS.PS-MPC-based, not-a-virus:RiskTool.Win32.HideWindows, Email-Worm.Win32.Bagle.fj, Net-Worm.Linux.Ramen, Backdoor.IRC.Acnuz., Backdoor.IRC.Mimic.
  • Свои показатели повысили Trojan-Dropper.Win32.Agent.asl, not-a-virus:Monitor.Win32.Perflogger.163.
  • Свои показатели понизили Email-Worm.Win32.Rays, Trojan-Spy.Win32.Banker.anv, Email-Worm.Win32.Brontok.q, Virus.Win32.Parite.b.
  • Вернулся в двадцатку Email-Worm.Win32.Nyxem.e.

Онлайн-двадцатка, август 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике