"Горячая двадцатка" компьютерных вирусов – NetSky на "пьедестале"

01.04 15:53 MIGnews.com

"Лаборатория Касперского" представляет двадцатку самых распространенных вредоносных программ (мат 2005 года).

(в % от общего числа зарегистрированных инцидентов)

1 Email-Worm.Win32.NetSky.q 27.76%
2 Email-Worm.Win32.NetSky.aa 9.01%
3 Email-Worm.Win32.NetSky.b 8.84%
4 Net-Worm.Win32.Mytob.c 8.21%
5 Email-Worm.Win32.Lovgate.w 4.48%
6 Email-Worm.Win32.Zafi.d 4.47%
7 Email-Worm.Win32.Zafi.b 3.86%
8 Email-Worm.Win32.Mydoom.m 3.52%
9 Email-Worm.Win32.NetSky.d 3.05%
10 Email-Worm.Win32.Mydoom.l 2.77%
11 Email-Worm.Win32.NetSky.y 2.27%
12 Email-Worm.Win32.NetSky.x 1.58%
13 Email-Worm.Win32.NetSky.r 1.44%
14 Email-Worm.Win32.NetSky.t 1.32%
15 Email-Worm.Win32.Bagle.ai 1.03%
16 Email-Worm.Win32.Bagle.at 1.00%
17 Email-Worm.Win32.Bagle.ay 0.92%
18 Email-Worm.Win32.Lovgate.ae 0.91%
19 Trojan-Spy.HTML.Bankfraud.dq 0.69%
20 Email-Worm.Win32.Bagle.gen 0.59%
Прочие вредоносные программы12.28%

Заочное противостояние пяти семейств почтовых червей (Bagle, NetSky, Mydoom, Zafi, Lovgate), длится вот уже несколько месяцев. Март 2005 года вновь изменил состав лидирующей тройки – на этот раз все первые места остались за NetSky, во главе с самым распространенным червем 2004 года – NetSky.q.

Неожиданно в спор вмешался представитель нового, но очень активно распространяющегося семейства – Mytob. Вариант .C, обнаруженный 1 марта, уже находится на 4 месте и, согласно статистике последних дней марта, очень стремительно распространяется. Фактически, именно он является лидером в настоящий момент. На его фоне пока не очень заметны другие черви этого же семейства, которое насчитывает уже 15 различных вариантов.

Анализ Mytob показывает, что в его создании были использованы исходные коды другого известного червя – Mydoom.a, к которым была добавлена функция распространения по сетям при помощи уязвимости в LSASS (аналогично червю Sasser). Таким образом, данный гибрид объединяет в себе два способа размножения, что делает его весьма опасным противником.

Lovgate.w продолжает дрейфовать в пределах 20-ки, то теряя 8 позиций, то набирая сразу 7. Также в 20-ку вернулся еще один представитель этих азиатских вирусов – вариант .ae.

Очень интересно наблюдать за методичным падением Zafi. Бывшие в феврале на 1 и 3 месте, в марте они опустились на 6 и 7 места. Так низко в рейтинге эти два венгерских червя еще не падали.
Вероятно, это может свидетельствовать о постепенном исчезновении их из почтового трафика, хотя пример NetSky и Mydoom показывает, как долго могут циркулировать в сети, казалось бы, хорошо и давно известные вирусы.

Среди остальных позиций мартовской вирусной двадцатки стоит особо отметить еще две.

Во-первых, это стремительное падение Bagle.at и .ay на 10 и 13 мест соответственно. Черви, бывшие в числе лидеров февраля, оказались колоссами на глиняных ногах, и все их попытки вызвать глобальную эпидемию были очень быстро и действенно пресечены антивирусными компаниями и провайдерами электронной почты.

В этой связи можно обратиться к тому периоду марта, когда авторы Bagle выпускали в сеть более 10 новых вариантов червя в течении суток, но в итоге ни один из них не вызвал сколько-нибудь заметных случаев заражения. Универсальное детектирование для всех этих вариантов – Bagle.pac, зафиксировало их на 50-м месте среди всех почтовых червей в марте месяце, с более чем скромным показателем в 0.12%.

Во-вторых, уже становится традиционным присутствие в 20-ке Trojan-Spy.HTML – относящихся к классу <фишинг>-рассылок и предназначенных для кражи данных пользователей систем онлайн-банкинга. В феврале это было два письма – Smitfraud, нацеленных на пользователей Smith Barney, а в марте их сменил Bankfraud.dq – атакующий пользователей системы Regions.com.

Прочие вредоносные программы, обнаруженные в почтовом трафике, составили значительный процент (12.28%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

В двадцатке появились 2 новые вредоносные программы: Mytob.c, Bankfraud.dq

Повысили свой рейтинг:Netsky.q, Netsky.aa, Netsky.b, Lovgate.w, Netsky.d, Mydoom.l, Netsky.x, Netsky.r, Netsky.t, Bagle.ai

Понизили свои показатели: Zafi.d, Zafi.b, Netsky.y, Bagle.at, Bagle.ay

Не изменились показатели: Mydoom.m

Вернулись в двадцатку: Bagle.gen, Lovgate.ae