20 лет
Обзор вирусной активности - февраль 2005
"Лаборатория Касперского" предлагает вашему вниманию обзор вирусной активности за февраль 2005 года.
Февраль внес ощутимый вклад в подтверждение прогнозов ряда антивирусных экспертов о постепенном вымирании современных почтовых червей, уступающих пальму первенства разнообразным сетевым червям с троянским функционалом.
С одной стороны, это может свидетельствовать о значительных успехах антивирусных компаний в борьбе с эпидемиями email-червей. За последний год антивирусная индустрия смогла представить несколько революционных технологий в области перехвата зараженных писем и остановки эпидемий на самых ранних стадиях (детектирование червей в закрытых паролями архивах, различные способы предварительного анализа писем с исполняемыми вложенными файлами и т.д.).
С другой стороны, угроза пользователям интернета со стороны сетевых червей, проникающих на компьютеры через уязвимости в операционной системе Windows, сейчас является более серьезной. Таким образом, на первый план выходит задача проверки антивирусами всего сетевого трафика, а не только почтового.
В прошедшем феврале черви Zafi продолжали играть друг с другом в детскую игру "царь горы". Сначала вариант "b" находится в самом верху хит-парада, затем его сменяет "d", потом все повторяется. На этот раз вершину все-таки занял Zafi.b. Об этих двух червях мы говорили уже неоднократно, поэтому далее акцентировать на них внимание не будем и, минуя еще одного "ветерана" - Netsky.q, перейдем к 4-му месту вирусной двадцатки.
Bagle.ay, обнаруженный 27 января и сумевший за несколько дней добраться до 8-го места январского рейтинга, в феврале продолжил свое восхождение и финишировал на 4-й позиции. Вообще, из "основных семейств" 20-ки (Netsky, Mydoom, Zafi, Bagle, Lovgate), только создатели Bagle в последнее время проявляют какую-то активность.
1 марта мы зафиксировали сразу 12 новых модификаций червей этого семейства (в конечном итоге для всех них был создан специальный детекшен Email-Worm.Win32.Bagle.pac), и некоторые из них, вероятно, встретятся нам в мартовской двадцатке.
Согласно нашим наблюдениям, вслед за очередной эпидемией Bagle следует ожидать появления нескольких новых вариантов Trojan-Proxy.Win32.Mitglieder (именно они загружаются на зараженные Bagle компьютеры), а затем и очередного роста спам и фишинг-рассылок.
Интересна также метаморфоза, случившаяся с двумя другими червями - Bagle.z и Bagle.at. Первый из них, заняв в январе 7-ое место, в феврале бесследно пропал из двадцатки; зато второй внезапно возник из небытия (он был обнаружен в октябре прошлого года) и фактически сменил Bagle.z на 6-7 месте. Объяснения этим странным перестановкам у нас пока нет.
В остальном февральская двадцатка не сильно отличается от январской. Наибольший "урон" в этом месяце понесли черви семейства LovGate - вариант "w" упал на 8 мест, с 4-го на 12-е, а "ad" и "ae" окончательно выбыли за пределы двадцатки.
Показательная история произошла в феврале с червем Mydoom.m. Во второй половине месяца появилось несколько вариантов данного червя, упакованных при помощи новой программы-упаковщика. Как выяснилось, данный упаковщик оказался неизвестным ряду антивирусных компаний, в связи с чем ими были добавлены новые процедуры детектирования этих вариантов как совсем новых червей семейства Mydoom.
Антивирус Касперского в этой ситуации оказался на высоте и продолжал детектировать "новые" варианты без дополнительных сигнатур. Таким образом, пользователи KAV даже не заметили того, что в мире происходит очередная эпидемия, которая, впрочем, в итоге оказалась и не эпидемией вовсе - Mydoom.m поднялся всего на 1 место вверх в нашем февральском рейтинге.
Фишинговые письма, нацеленные на пользователей крупнейших банковских онлайн-систем, продолжают присутствовать в трафике в значительных количествах. Smitfraud.a находится в двадцатке уже второй месяц подряд, а в феврале к нему присоединился еще один вариант, получивший версию "c".
Прочие обнаруженные в почтовом трафике вредоносные программы составили значительный процент (7,58%) от общего числа перехваченных зараженных писем, однако если учитывать абсолютные показатели, то февраль в целом стал одним из наиболее спокойных месяцев за предыдущий год.
Итоги февраля
В двадцатке появились две новые вредоносные программы: Bagle.ba, Smitfraud.c.
Повысили свой рейтинг: Zafi.b, Netsky.q, Bagle.ay, Mydoom.m, Netsky.y, Mydoom.l, Netsky.d, Netsky.r, Bagle.ai.
Понизили свои показатели: Zafi.d, Netsky.aa, LovGate.w, Netsky.t, Smitfraud.a.
Не изменились показатели у Netsky.b.
Вернулись в двадцатку: Bagle.at, NetSky.x, NetSky.af.
