Февраль внес ощутимый вклад в подтверждение прогнозов ряда антивирусных экспертов о постепенном вымирании современных почтовых червей, уступающих пальму первенства разнообразным сетевым червям с троянским функционалом.С одной стороны, это может свидетельствовать о значительных успехах антивирусных компаний в борьбе с эпидемиями email-червей. За последний год антивирусная индустрия смогла представить несколько революционных технологий в области перехвата зараженных писем и остановки эпидемий на самых ранних стадиях (детектирование червей в закрытых паролями архивах, различные способы предварительного анализа писем с исполняемыми вложенными файлами и т.д.).
С другой стороны, угроза пользователям интернета со стороны сетевых червей, проникающих на компьютеры через уязвимости в операционной системе Windows, сейчас является более серьезной. Таким образом, на первый план выходит задача проверки антивирусами всего сетевого трафика, а не только почтового.
В прошедшем феврале черви Zafi продолжали играть друг с другом в детскую игру «царь горы». Сначала вариант «b» находится в самом верху хит-парада, затем его сменяет «d», потом все повторяется. На этот раз вершину все-таки занял Zafi.b. Об этих двух червях мы говорили уже неоднократно, поэтому далее акцентировать на них внимание не будем и, минуя еще одного «ветерана» — Netsky.q, перейдем к 4-му месту вирусной двадцатки.
Bagle.ay, обнаруженный 27 января и сумевший за несколько дней добраться до 8-го места январского рейтинга, в феврале продолжил свое восхождение и финишировал на 4-й позиции. Вообще, из «основных семейств» 20-ки (Netsky, Mydoom, Zafi, Bagle, Lovgate), только создатели Bagle в последнее время проявляют какую-то активность.
1 марта были зафиксированы сразу 12 новых модификаций червей этого семейства (в конечном итоге для всех них был создан специальный детекшен Email-Worm.Win32.Bagle.pac), и некоторые из них, вероятно, встретятся в мартовской двадцатке.
Согласно нашим наблюдениям, вслед за очередной эпидемией Bagle следует ожидать появления нескольких новых вариантов Trojan-Proxy.Win32.Mitglieder (именно они загружаются на зараженные Bagle компьютеры), а затем и очередного роста спам и фишинг-рассылок.
Интересна также метаморфоза, случившаяся с двумя другими червями — Bagle.z и Bagle.at. Первый из них, заняв в январе 7-ое место, в феврале бесследно пропал из двадцатки; зато второй внезапно возник из небытия (он был обнаружен в октябре прошлого года) и фактически сменил Bagle.z на 6-7 месте. Объяснения этим странным перестановкам у нас пока нет.
В остальном февральская двадцатка не сильно отличается от январской. Наибольший «урон» в этом месяце понесли черви семейства LovGate – вариант «w» упал на 8 мест, с 4-го на 12-е, а «ad» и «ae» окончательно выбыли за пределы двадцатки.
Показательная история произошла в феврале с червем Mydoom.m. Во второй половине месяца появилось несколько вариантов данного червя, упакованных при помощи новой программы-упаковщика. Как выяснилось, данный упаковщик оказался неизвестным ряду антивирусных компаний, в связи с чем ими были добавлены новые процедуры детектирования этих вариантов как совсем новых червей семейства Mydoom.
Фишинговые письма, нацеленные на пользователей крупнейших банковских онлайн-систем, продолжают присутствовать в трафике в значительных количествах. Smitfraud.a находится в двадцатке уже второй месяц подряд, а в феврале к нему присоединился еще один вариант, получивший версию «c».
Прочие обнаруженные в почтовом трафике вредоносные программы составили значительный процент (7,58%) от общего числа перехваченных зараженных писем, однако если учитывать абсолютные показатели, то февраль в целом стал одним из наиболее спокойных месяцев за предыдущий год.
Итоги февраля
В двадцатке появились две новые вредоносные программы: Bagle.ba, Smitfraud.c.
Повысили свой рейтинг: Zafi.b, Netsky.q, Bagle.ay, Mydoom.m, Netsky.y, Mydoom.l, Netsky.d, Netsky.r, Bagle.ai.
Понизили свои показатели: Zafi.d, Netsky.aa, LovGate.w, Netsky.t, Smitfraud.a.
Не изменились показатели у Netsky.b.
Вернулись в двадцатку: Bagle.at, NetSky.x, NetSky.af.