Обзор вирусной активности - август 2005
07-09-2005 23:42
к комментариям - к полной версии
- понравилось!
Время от времени в сети Интернет происходят кибервойны. Иногда это войны между «конкурирующими» группами вирусописателей, которые пытаются удалить «врагов» с зараженных компьютеров и стать единственными, кто может управлять такой «зомби-машиной». Эти войны иногда выливаются во взаимный взлом сайтов или атаки хакеров из одной страны на правительственные серверы другой страны. Отголоски этих войн отражаются, в том числе, и в вирусных рейтингах.
Уже который месяц подряд за вершину нашей вирусной двадцатки борются NetSky.q и Mytob.c. Это совершенно разные черви, созданные с разницей в один год и использующие разные уязвимости. NetSky.q вел войну против червей семейства Mydoom и Bagle и, судя по текущим показателям, вышел из этой схватки победителем. Но вот Mytob, в основе которого лежат исходные коды самого первого Mydoom, оказался достойным преемником прародителя. Несомненно, схватка между червями семейств Mytob и NetSky – это наиболее заметная тенденция в наших ежемесячных вирусных отчетах.
13 позиций из 20 – это Mytob. 4 из 20 – это NetSky. Однако, если посмотреть на первую десятку, то там наблюдается практически паритет – 4 Mytob и 3 NetSky.
Июльское наступление на двадцатку со стороны «старых» червей – Zafi, Bagle, Mydoom - практически провалилось. В августе в рейтинге не осталось ни одного варианта Bagle или Mydoom, а два червя Zafi всего лишь сохранили достигнутые позиции. Зато Mytob-ы смогли вернуть себе показатели июня из-за того, что все три новичка двадцатки – это именно очередные модификации Mytob.
Что удивительно, в числе этих новичков внезапно оказался самый первый Mytob – вариант A, который, несмотря на успехи своих клонов, еще ни разу не оказывался в поле нашего зрения. Возможно, изначально он был разослан не при помощи спам-технологий, а путем заражения крайне малого числа компьютеров, и все это время набирал обороты. Подобные примеры уже случались ранее, и 8-е место августовской статистики занимает представитель именно такого подхода к распространению вирусов – LovGate.w. В июле мы делали прогноз о том, что LovGate.w вот-вот покинет двадцатку (15-е место в июле), однако он не только в ней удержался, но и практически полностью вернул себе утраченное, совершив рост сразу на 7 пунктов.
Еще один странный новичок – Mytob.h. Впервые он был обнаружен еще 25 марта этого года и, так же как и Mytob.a, был не заметен в масштабах сети Интернет. И вот сразу 13-е место. Впрочем, в данном случае у нас есть обьяснение произошедшему. Оригинальный Mytob.h был упакован при помощи связки пакеров – Morphine\MEW. В августе кто-то перепаковал оригинальный файл другими пакерами - Upack, UPX и FGS - и выпустил в свет три «новых» варианта. Конечно же, все они детектируются старой процедурой детектирования и под одним и тем же именем.
Стоит отметить также историю с червем “Zotob”. Я умышленно беру это название в кавычки, поскольку в антивирусных базах Антивируса Касперского такого названия вредоносной программы нет, а другие антивирусные компании используют это имя для самых разных червей и ботов, зачастую не имеющих ничего общего. Очевидно, что названия Zotob.a, .b и .c получили черви семейства Mytob (по классификации "Лаборатории Касперского"). Zotob.a соответствует Mytob.cg, Zotob.b – Mytob.cf, Zotob.c – Mytob.ch. Функцией рассылки себя по почте обладают только Mytob.ch и .cg, вариант .cf способен проникать на компьютер только при помощи уязвимости в операционной системе Microsoft Windows MS05-039.
26 августа из Марокко поступило известие об аресте предположительного автора данных червей, которые были написаны им в соавторстве с вирусописателем из Турции (он также был арестован). В данной ситуации имеется четкое разделение обязанностей в преступной группе – один человек был занят написанием вируса, а второй занимался его распространением в сети Интернет. Ряд СМИ обьявил о том, что именно эти черви стали причиной вирусной эпидемии в американских телекомпаниях ABC и CNN, однако по нашим предположениям, виновником тех инцидентов был червь из семейства Bozori, использующий ту же самую уязвимость MS05-039.
Трудно предположить, наблюдали ли бы мы кого-нибудь из этих червей в нашей статистике, если бы они обладали еще и функцией рассылки себя по электронной почте. Единственные из них, имеющие такой функционал, – Mytob.cg и .ch - не попали даже в число сорока наиболее распространенных вирусов в почтовом трафике августа.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (20,36%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
Итоги августа
В двадцатке появились 3 новых вредоносных программы: Mytob.h, Mytob.a, Mytob.bw .
В двадцатку вернулись NetSky.t и Mytob.r.
Повысили свой рейтинг Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q и Mytob.t.
Понизили свои показатели NetSky.q, Mytob.be, Mytob.u, Mytob.au и Mytob.bt.
Не изменились показатели у Zafi.b, Zafi.d, NetSky.aa и Mytob.bi.
© Copyright - Лабаратория Касперского
вверх^
к полной версии
понравилось!
в evernote
| Позиция | Изменение позиции | Вредоносная программа | Доля, проценты |
| 1. |  +1 | Net-Worm.Win32.Mytob.c | 6,28 |
| 2. |  -1 | Email-Worm.Win32.NetSky.q | 11,38 |
| 3. |  - | Email-Worm.Win32.Zafi.b | 8,49 |
| 4. | - | Email-Worm.Win32.Zafi.d | 5,98 |
| 5. | +1 | Net-Worm.Win32.Mytob.bk | 4,45 |
| 6. | +3 | Email-Worm.Win32.NetSky.b | 3,79 |
| 7. | - | Email-Worm.Win32.NetSky.aa | 3,51 |
| 8. | +7 | Email-Worm.Win32.LovGate.w | 3,38 |
| 9. | -4 | Net-Worm.Win32.Mytob.be | 3,37 |
| 10. | - | Net-Worm.Win32.Mytob.bi | 2,72 |
| 11. | +5 | Net-Worm.Win32.Mytob.q | 2,60 |
| 12. | +5 | Net-Worm.Win32.Mytob.t | 2,22 |
| 13. |  New | Net-Worm.Win32.Mytob.h | 2,04 |
| 14. | -1 | Net-Worm.Win32.Mytob.u | 1,68 |
| 15. |  Return | Email-Worm.Win32.NetSky.t | 1,52 |
| 16. | -5 | Net-Worm.Win32.Mytob.au | 1,51 |
| 17. | -9 | Net-Worm.Win32.Mytob.bt | 1,25 |
| 18. | Return | Net-Worm.Win32.Mytob.r | 1,17 |
| 19. | New | Net-Worm.Win32.Mytob.a | 1,15 |
| 20. | New | Net-Worm.Win32.Mytob.bw | 1,15 |
| другие вредоносные программы | 20,36 | ||
Время от времени в сети Интернет происходят кибервойны. Иногда это войны между «конкурирующими» группами вирусописателей, которые пытаются удалить «врагов» с зараженных компьютеров и стать единственными, кто может управлять такой «зомби-машиной». Эти войны иногда выливаются во взаимный взлом сайтов или атаки хакеров из одной страны на правительственные серверы другой страны. Отголоски этих войн отражаются, в том числе, и в вирусных рейтингах.
Уже который месяц подряд за вершину нашей вирусной двадцатки борются NetSky.q и Mytob.c. Это совершенно разные черви, созданные с разницей в один год и использующие разные уязвимости. NetSky.q вел войну против червей семейства Mydoom и Bagle и, судя по текущим показателям, вышел из этой схватки победителем. Но вот Mytob, в основе которого лежат исходные коды самого первого Mydoom, оказался достойным преемником прародителя. Несомненно, схватка между червями семейств Mytob и NetSky – это наиболее заметная тенденция в наших ежемесячных вирусных отчетах.
13 позиций из 20 – это Mytob. 4 из 20 – это NetSky. Однако, если посмотреть на первую десятку, то там наблюдается практически паритет – 4 Mytob и 3 NetSky.
Июльское наступление на двадцатку со стороны «старых» червей – Zafi, Bagle, Mydoom - практически провалилось. В августе в рейтинге не осталось ни одного варианта Bagle или Mydoom, а два червя Zafi всего лишь сохранили достигнутые позиции. Зато Mytob-ы смогли вернуть себе показатели июня из-за того, что все три новичка двадцатки – это именно очередные модификации Mytob.
Что удивительно, в числе этих новичков внезапно оказался самый первый Mytob – вариант A, который, несмотря на успехи своих клонов, еще ни разу не оказывался в поле нашего зрения. Возможно, изначально он был разослан не при помощи спам-технологий, а путем заражения крайне малого числа компьютеров, и все это время набирал обороты. Подобные примеры уже случались ранее, и 8-е место августовской статистики занимает представитель именно такого подхода к распространению вирусов – LovGate.w. В июле мы делали прогноз о том, что LovGate.w вот-вот покинет двадцатку (15-е место в июле), однако он не только в ней удержался, но и практически полностью вернул себе утраченное, совершив рост сразу на 7 пунктов.
Еще один странный новичок – Mytob.h. Впервые он был обнаружен еще 25 марта этого года и, так же как и Mytob.a, был не заметен в масштабах сети Интернет. И вот сразу 13-е место. Впрочем, в данном случае у нас есть обьяснение произошедшему. Оригинальный Mytob.h был упакован при помощи связки пакеров – Morphine\MEW. В августе кто-то перепаковал оригинальный файл другими пакерами - Upack, UPX и FGS - и выпустил в свет три «новых» варианта. Конечно же, все они детектируются старой процедурой детектирования и под одним и тем же именем.
Стоит отметить также историю с червем “Zotob”. Я умышленно беру это название в кавычки, поскольку в антивирусных базах Антивируса Касперского такого названия вредоносной программы нет, а другие антивирусные компании используют это имя для самых разных червей и ботов, зачастую не имеющих ничего общего. Очевидно, что названия Zotob.a, .b и .c получили черви семейства Mytob (по классификации "Лаборатории Касперского"). Zotob.a соответствует Mytob.cg, Zotob.b – Mytob.cf, Zotob.c – Mytob.ch. Функцией рассылки себя по почте обладают только Mytob.ch и .cg, вариант .cf способен проникать на компьютер только при помощи уязвимости в операционной системе Microsoft Windows MS05-039.
26 августа из Марокко поступило известие об аресте предположительного автора данных червей, которые были написаны им в соавторстве с вирусописателем из Турции (он также был арестован). В данной ситуации имеется четкое разделение обязанностей в преступной группе – один человек был занят написанием вируса, а второй занимался его распространением в сети Интернет. Ряд СМИ обьявил о том, что именно эти черви стали причиной вирусной эпидемии в американских телекомпаниях ABC и CNN, однако по нашим предположениям, виновником тех инцидентов был червь из семейства Bozori, использующий ту же самую уязвимость MS05-039.
Трудно предположить, наблюдали ли бы мы кого-нибудь из этих червей в нашей статистике, если бы они обладали еще и функцией рассылки себя по электронной почте. Единственные из них, имеющие такой функционал, – Mytob.cg и .ch - не попали даже в число сорока наиболее распространенных вирусов в почтовом трафике августа.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (20,36%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
Итоги августа
В двадцатке появились 3 новых вредоносных программы: Mytob.h, Mytob.a, Mytob.bw .
В двадцатку вернулись NetSky.t и Mytob.r.
Повысили свой рейтинг Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q и Mytob.t.
Понизили свои показатели NetSky.q, Mytob.be, Mytob.u, Mytob.au и Mytob.bt.
Не изменились показатели у Zafi.b, Zafi.d, NetSky.aa и Mytob.bi.
© Copyright - Лабаратория Касперского
Вы сейчас не можете прокомментировать это сообщение.
Дневник Обзор вирусной активности - август 2005 | BumbaRUSS2004 - BoombaRASH |
Лента друзей BumbaRUSS2004
/ Полная версия
Добавить в друзья
Страницы:
раньше»