Вирусная двадцатка за ноябрь 2004

Вебпланета

≡ Архив | архивная статья | 02.12.2004 16:44

«Лаборатория Касперского» опубликовала свой очередной рейтинг вирусной активности.

1. I-Worm.Bagle.at — 21,39%
2. I-Worm.Mydoom.ab — 11,52%
3. I-Worm.NetSky.q — 8,70%
4. I-Worm.Zafi.b — 7,83%
5. I-Worm.NetSky.aa — 7,33%
6. I-Worm.LovGate.w — 5,69%
7. I-Worm.NetSky.b — 5,39%
8. I-Worm.Bagle.au — 4,89%
9. I-Worm.Bagle.z — 2,90%
10. I-Worm.Mydoom.m — 2,60%
11. I-Worm.MyDoom.r — 2,17%
12. I-Worm.NetSky.y — 1,67%
13. I-Worm.Bofra.b — 1,58%
14. I-Worm.Sober.i — 1,37%
15. I-Worm.NetSky.d — 1,33%
16. I-Worm.Mydoom.l — 1,33%
17. I-Worm.NetSky.t — 1,21%
18. I-Worm.LovGate.ad — 0,82%
19. I-Worm.NetSky.r — 0,81%
20. I-Worm.Bagle.gen — 0,57%
Прочие вредоносные программы — 8,89%

Ноябрь 2004 года ознаменовался сменой лидеров вирусной двадцатки. Обнаруженные в самом конце октября почтовые черви Mydoom.ab и Bagle.at (успевшие попасть в октябрьский рейтинг на 14 и 7 место соответственно), настоящие обороты набрали именно в ноябре и оккупировали две верхние строчки. Причем, Mydoom.ab переместился вверх сразу на 12 позиций, что является одним из рекордных показателей всего 2004 года в целом.

В целом же, по сравнению с прошлыми месяцами, в рейтинге наблюдается резкое изменение ситуации. В рейтинге появилось 4 новых вредоносных программы, причем каждая из них представляет собой отдельное семейство почтовых червей. Наиболее интересными из них, на наш взгляд, являются Bofra.b и Sober.i.

Bofra.b представляет собой значительно модифицированный вариант червя Mydoom (основан на его исходных кодах). Из-за этого ряд антивирусных компаний некоторое время идентифицировал данного червя как очередную разновидность Mydoom, однако в итоге было принято решение о выделении его в самостоятельный вид. Вызвано это было тем, что для своего размножения Bofra использует отличный от Mydoom способ проникновения на компьютеры. Червь запускает на зараженной машине собственный http-сервер, на котором размещает специальным образом сконструированную html-страницу, содержащую эксплойт уязвимости в Internet Explorer (Iframe buffer overflow) и посылает по электронной почте не себя в виде вложенного файла, а только гиперссылку с адресом зараженного компьютера. При нажатии на ссылку из письма происходит обращение к вредоносной html-странице, в результате чего червь проникает на новый компьютер.

Другим интересным новичком вирусной двадцатки стал Sober.i. 19 ноября он был разослан на миллионы адресов электронной почты в Западной Европе (в основном, в Германии и Австрии), что позволило ему вызвать кратковременную эпидемию в этих странах. Однако, быстро появившись, он так же быстро и пропал. Связано это с хронической ошибкой в коде червя, наблюдаемой еще в первых его версиях (конец 2003 года), из-за которой червь посылает по электронной почте не свое тело, а бессмысленный набор данных.

Обнаруженный в октябре новый вариант червя Zafi.c так и не был обнаружен в «дикой природе», однако его предшественник (и лидер летних рейтингов) — Zafi.b, смог набрать четыре позиции и вновь вплотную подобраться к тройке лидеров.

К давно уже находящемуся в нашем хит-параде, корейскому червю LovGate.w, добавилась его реинкарнация — LovGate.ad. Что интересно — данный вариант был обнаружен еще в июле этого года, однако до сих пор в нашей статистике не встречался. Данные черви, в отличие от прочих присутствующих в рейтинге, не были массово разосланы по миллионам адресов после создания. Очевидно, что они расползаются по миру при помощи «классических» способов — начиная с небольшого числа компьютеров и постепенно наращивая обороты. 6 и 18 места рейтинге — очень серьезный показатель для червей такого типа.

Стоит отметить, что весьма заметным явлением ноября стали гигантские «фишинг»-рассылки, зафиксированное число которых превысило 4 десятка. Многие из этих «fraud»-писем находятся в непосредственной близости от TOP20, что, учитывая единичные случаи их обнаружения в почтовом трафике (в отличии от червей, которые рассылают миллионы своих копий) — является весьма пугающим фактом, поскольку масштабы спам-рассылок данных писем уже становятся сопоставимы с масштабами эпидемией большинства червей.

Возможно, что уже в декабре мы сможем наблюдать некоторых представителей данного вида вредоносных программ в очередной вирусной двадцатке.

Всего в антивирусную коллекцию «Лаборатории Касперского» добавлено 3700 новых вредоносных программ, включая ПО класса Adware, Riskware, Pornware.

комментарии(0)

разделы: Архив