Обзор вирусной активности за апрель
Лаборатория Касперского предлагает вашему вниманию обзор вирусной активности за апрель 2005 года. В вирусной двадцатке наконец случилось давно ожидаемое и прогнозируемое событие. Лидирующую позицию занял представитель обширного семейства сетевых червей, созданных в 2005 году, - Mytob (Net-Worm.Win32.Mytob.c).
Обнаруженный 4 марта червь Mytob.c смог за два месяца оттеснить с первой строчки лидера 2004 года - NetSky.q, причем эта смена фактически произошла еще в конце марта. Буквально с первых дней своего появления Mytob.c показал серьёзность своих намерений. Основанный на исходных кодах червя Mydoom.a, он также содержит в себе функцию размножения по сетям при помощи уязвимости LSASS, и, кроме того, имеет бот-функционал, что и отражено в его названии, данном антивирусными компаниями, - My(doom) + tob(bot наоборот).
Двойной способ размножения делает невозможным быстрое устранение эпидемии только путем обнаружения и удаления червя в почтовом трафике на крупных почтовых узлах. Для решения "проблемы Mytob' необходимо, чтобы как можно большее число пользователей установило критические обновления для ОС Windows, закрывающие уязвимость в LSASS.
Тревогу вызывает и тот факт, что Mytob.c пришел не один. Кроме него в апрельской 20-ке находятся еще 5(!) представителей данного семейства, что делает его вторым широте охвата в вирусном хит-параде после Netsky (8 вариантов). Но NetSky для достижения таких показателей понадобилось несколько месяцев, тогда как Mytob добился этого за месяц.
Несомненно, данное семейство червей будет еще долгое время представлено в отчетах, да и авторы этих червей не снижают активности (по состоянию на конец апреля новые варианты появлялись раз в два дня). Впрочем, практически все новые варианты не отличаются большими изменениями в функционале. Все отличия между ними сводятся к изменению программы-упаковщика файлов червя. Авторы пытаются именно таким образом обойти большинство антивирусных сканеров.
Семейство червей Mytob было не единственным, появившимся в апреле 2005 года. Было зафиксировано несколько локальных эпидемий, вызванных новыми представителями семейств Sober и Bagle, однако по ряду причин (ошибки в коде, быстрая реакция антивирусных компаний) никому из них не удалось даже попасть в число 20 наиболее распространенных в почтовом трафике вредоносных программ.
Все остальные представители данного рейтинга уступили в массе своей натиску наглых новичков Mytob (рост на один пункт отмечен только у Zafi.b) и потеряли несколько позиций в рейтинге. Не появилось в двадцатке и новых экземпляров из числа различных активно прогрессировавших в прошлые месяцы фишинг-рассылок (Trojan-Spy.HTML) или Trojan-Downloader. Это вызывает определенное удивление, поскольку
рассылки подобных программ встречаются довольно часто. Видимо, их авторы не имеют своей целью большую массовость этих рассылок, отдавая предпочтение "таргетингу": либо атакуя клиентов конкретного банка, либо рассылая троянские программы исключительно по адресам в одной доменной зоне (например, .ua).
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (13.02%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве червей и троянских программ, относящихся к другим семействам.
В двадцатке появились 5 новых вредоносных программ: Mytob.q, Mytob.u, Mytob.r, Mytob.t, Mytob.h.
Повысили свой рейтинг: Mytob.c, Zafi.brb.
Понизили свои показатели: NetSky.q, NetSky.aa, NetSky.b, Zafi.d, NetSky.d, Mydoom.l, Mydoom.m, NetSky.x, NetSky.t, NetSky.y, NetSky.r, Bagle.ai.
Не изменились показатели: LovGate.w
Обнаруженный 4 марта червь Mytob.c смог за два месяца оттеснить с первой строчки лидера 2004 года - NetSky.q, причем эта смена фактически произошла еще в конце марта. Буквально с первых дней своего появления Mytob.c показал серьёзность своих намерений. Основанный на исходных кодах червя Mydoom.a, он также содержит в себе функцию размножения по сетям при помощи уязвимости LSASS, и, кроме того, имеет бот-функционал, что и отражено в его названии, данном антивирусными компаниями, - My(doom) + tob(bot наоборот).
Двойной способ размножения делает невозможным быстрое устранение эпидемии только путем обнаружения и удаления червя в почтовом трафике на крупных почтовых узлах. Для решения "проблемы Mytob' необходимо, чтобы как можно большее число пользователей установило критические обновления для ОС Windows, закрывающие уязвимость в LSASS.
Тревогу вызывает и тот факт, что Mytob.c пришел не один. Кроме него в апрельской 20-ке находятся еще 5(!) представителей данного семейства, что делает его вторым широте охвата в вирусном хит-параде после Netsky (8 вариантов). Но NetSky для достижения таких показателей понадобилось несколько месяцев, тогда как Mytob добился этого за месяц.
Несомненно, данное семейство червей будет еще долгое время представлено в отчетах, да и авторы этих червей не снижают активности (по состоянию на конец апреля новые варианты появлялись раз в два дня). Впрочем, практически все новые варианты не отличаются большими изменениями в функционале. Все отличия между ними сводятся к изменению программы-упаковщика файлов червя. Авторы пытаются именно таким образом обойти большинство антивирусных сканеров.
Семейство червей Mytob было не единственным, появившимся в апреле 2005 года. Было зафиксировано несколько локальных эпидемий, вызванных новыми представителями семейств Sober и Bagle, однако по ряду причин (ошибки в коде, быстрая реакция антивирусных компаний) никому из них не удалось даже попасть в число 20 наиболее распространенных в почтовом трафике вредоносных программ.
Все остальные представители данного рейтинга уступили в массе своей натиску наглых новичков Mytob (рост на один пункт отмечен только у Zafi.b) и потеряли несколько позиций в рейтинге. Не появилось в двадцатке и новых экземпляров из числа различных активно прогрессировавших в прошлые месяцы фишинг-рассылок (Trojan-Spy.HTML) или Trojan-Downloader. Это вызывает определенное удивление, поскольку
рассылки подобных программ встречаются довольно часто. Видимо, их авторы не имеют своей целью большую массовость этих рассылок, отдавая предпочтение "таргетингу": либо атакуя клиентов конкретного банка, либо рассылая троянские программы исключительно по адресам в одной доменной зоне (например, .ua).
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (13.02%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве червей и троянских программ, относящихся к другим семействам.
В двадцатке появились 5 новых вредоносных программ: Mytob.q, Mytob.u, Mytob.r, Mytob.t, Mytob.h.
Повысили свой рейтинг: Mytob.c, Zafi.brb.
Понизили свои показатели: NetSky.q, NetSky.aa, NetSky.b, Zafi.d, NetSky.d, Mydoom.l, Mydoom.m, NetSky.x, NetSky.t, NetSky.y, NetSky.r, Bagle.ai.
Не изменились показатели: LovGate.w
