Обзор вирусной активности - февраль 2005

Заочное противостояние пяти семейств почтовых червей (Bagle, NetSky, Mydoom, Zafi, Lovgate) длится вот уже несколько месяцев. Март 2005 года вновь изменил состав лидирующей тройки - на этот раз все первые места остались за NetSky, во главе с самым распространенным червем 2004 года - NetSky.q.

Неожиданно в спор вмешался представитель нового, но очень активно распространяющегося семейства - Mytob. Вариант Mytob.с, обнаруженный 1 марта, уже находится на четвертом месте и продолжает стремительно распространяться согласно статистике последних дней месяца. Фактически, именно он является лидером в настоящий момент. На его фоне пока не очень заметны другие черви этого же семейства, которое включает уже 15 представителей.

Анализ Mytob показывает, что в его создании был использован исходный код другого известного червя - Mydoom.a, и к нему была добавлена функция распространения по сетям при помощи уязвимости в LSASS (аналогично червю Sasser). Таким образом, данный гибрид использует два способа размножения, что делает его весьма опасным противником.

Lovgate.w продолжает дрейфовать в пределах двадцатки, то теряя 8 позиций, то набирая сразу 7. Также в двадцатку вернулся еще один представитель азиатских вирусов - вариант Lovgate.ae.

Интересно наблюдать за методичным снижением позиций червей Zafi. В феврале им принадлежали призовые 1 и 3 места, в марте они опустились на 6 и 7. Таким низким рейтинг этих двух венгерских червей еще не был. Вероятно, это может свидетельствовать о постепенном исчезновении их из почтового трафика, хотя пример NetSky и Mydoom показывает, насколько долго могут циркулировать в сети давно известные и хорошо изученные вирусы.

Стоит особо отметить еще две позиции мартовской двадцатки.

Это, во-первых, стремительное падение червей Bagle.at и Bagle.ay на 10 и 13 пунктов соответственно. Черви, бывшие в числе лидеров февральского рейтинга, оказались колоссами на глиняных ногах. Все их попытки вызвать глобальную эпидемию были быстро и действенно пресечены антивирусными компаниями и почтовыми провайдерами.

В связи с этим можно также вспомнить события начала марта, когда авторы Bagle выпустили в сеть более 10 новых вариантов червя в течение суток, но в итоге ни один из них не вызвал сколько-нибудь заметных случаев заражения. Универсальное детектирование для всех этих вариантов - Bagle.pac - зафиксировало их на 50-м месте среди всех почтовых червей марта, с более чем скромным показателем в 0,12%.

Во-вторых, уже становится традиционным присутствие в двадцатке Trojan-Spy.HTML, относящихся к классу фишинг-рассылок и предназначенных для кражи данных пользователей систем онлайн-банкинга. В феврале представителями этой группы были два письма - Smitfraud - нацеленных на пользователей Smith Barney, а в марте их сменил Bankfraud.dq, атакующий пользователей системы Regions.com.

Прочие вредоносные программы, обнаруженные в почтовом трафике, составили значительный процент (12,28%) от общего числа перехваченных, что свидетельствует о достаточно большом разнообразии червей и троянских программ, относящихся к другим семействам.

В двадцатке появились 2 новые вредоносные программы: Mytob.c, Bankfraud.dq
Повысили свой рейтинг: Netsky.q, Netsky.aa, Netsky.b, Lovgate.w, Netsky.d, Mydoom.l, Netsky.x, Netsky.r, Netsky.t, Bagle.ai
Понизили свои показатели: Zafi.d, Zafi.b, Netsky.y, Bagle.at, Bagle.ay
Не изменились показатели: Mydoom.m
Вернулись в двадцатку: Bagle.gen, Lovgate.ae

©1997-2024 Компьютерная газета