Ожидания августовской битвы за первое место в рейтинге между ветераном Mytob.c и возмутителем спокойствия Nyxem.e не оправдались. Практически сравнявшись с лидером в июле и на пару с ним же захватив половину всего вирусного трафика месяц назад, в августе Nyxem.e откатился на 10 процентов назад, а Mytob.c остался недвижим как скала.
Летний период отпусков и каникул неизменно отражается и на мире компьютерных вирусов. В нашей вирусной двадцатке в августе установилось удивительное затишье, выраженное в неизменности первых четырех мест рейтинга. Да и в целом первая десятка претерпела изменения скорее косметические, чем статистические. Пару мест вверх, пару мест вниз — все в пределах математических допущений.
По сравнению с июлем, когда черви совершали подьемы на 7 позиций вверх и на 12 вниз, августовские показатели в +4 (Mytob.cg) и -5 (Mytob.r) выглядят весьма незначительными.
Тем не менее, антивирусные компании все-таки с опаской ожидали августа. Это было обусловлено тем, что на протяжении уже нескольких лет подряд август становится одним из самых «горячих» периодов. В нашей прошлой двадцатке мы говорили о том, что ответ на вопрос «будет ли в августе эпидемия?» зависит только от того, будут ли найдены новые уязвимости в Windows.
Уязвимости были найдены — и как раз такие, которые могли привести к появлению очередного червя типа Lovesan или Mytob. Недавно обнаруженная уязвимость MS06-040 весьма похожа по своей природе на ошибки MS03-26 (Lovesan) и MS04-011 (Sasser). К счастью, компания Microsoft смогла добиться того, что информация об ошибке не попала в публичные источники до момента выхода обновления. Появившийся затем эксплоит работал только под небольшим количеством версий Windows и не привлек большого внимания вирусописателей. Таким образом, августовская эпидемия не состоялась.
Вирусописатели ограничивались лишь массовыми рассылками «фишинговых» писем. Если летнее затишье характерно для червей, то для фишинга это правило неприменимо. В августе произошло сразу несколько мощных фишинг-атак, наиболее сильная из которых — рассылка в Западной Европе Bankfraud.od. Это фишинговое письмо, ориентированное на пользователей немецкого Volksbank, первый раз встретилось нам еще в марте этого года. В июле-августе его авторы внесли некоторые изменения и провели повторную атаку. Bankfraud.od забрался на 12-ю строчку нашей двадцатки и один первая фишинговая атака в рейтинге за последние несколько месяцев.
Из остальных событий двадцатки стоит отметить исчезновение полиморфного скрипт-червя Scano и отсутствие в списке другого похожего по функционалу червя, Feebs.
LovGate.ad выбыл из рейтинга — и это могло бы означать полное поражение этого семейства в заочной войне с другими червями. Из некогда трех представителей в 20-ке оставался бы только LovGate.w, однако очередной раз эти азиатские черви продемонстрировали поразительную живучесть — в двадцатку вернулся LovGate.ae. Будем следить за их дальнейшей судьбой в сентябре.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (14,7%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
Позиция | Изменение позиции | Вредоносная программа | Доля, проценты |
1. | 0 | Net-Worm.Win32.Mytob.c | 26,43 |
2. | 0 | Email-Worm.Win32.Nyxem.e | 14,42 |
3. | 0 | Email-Worm.Win32.NetSky.b | 8,06 |
4. | 0 | Email-Worm.Win32.LovGate.w | 6,36 |
5. | +2 | Net-Worm.Win32.Mytob.u | 3,26 |
6. | -1 | Net-Worm.Win32.Mytob.q | 3,04 |
7. | +2 | Net-Worm.Win32.Mytob.w | 2,90 |
8. | -2 | Email-Worm.Win32.NetSky.y | 2,69 |
9. | -1 | Net-Worm.Win32.Mytob.t | 2,63 |
10. | +4 | Net-Worm.Win32.Mytob.cg | 1,98 |
11. | +1 | Net-Worm.Win32.Mytob.a | 1,97 |
12. | New! | Trojan-Spy.HTML.Bankfraud.od | 1,91 |
13. | -2 | Email-Worm.Win32.NetSky.x | 1,71 |
14. | +2 | Email-Worm.Win32.NetSky.af | 1,31 |
15. | -5 | Net-Worm.Win32.Mytob.r | 1,31 |
16. | Return | Email-Worm.Win32.NetSky.t | 1,11 |
17. | Return | Net-Worm.Win32.Mytob.h | 1,10 |
18. | -3 | Net-Worm.Win32.Mytob.x | 1,04 |
19. | Return | Email-Worm.Win32.LovGate.ae | 1,04 |
20. | Return | Net-Worm.Win32.Mytob.j | 1,03 |
Остальные вредоносные программы | 14,7 |
Итоги августа
- В двадцатке появилась одна новая вредоносная программа: Bankfraud.od.
- Повысили свой рейтинг Mytob.u, Mytob.w, Mytob.cg, Mytob.a, NetSky.af.
- Понизили свои показатели Mytob.q, NetSky.y, Mytob.t, NetSky.x, Mytob.r, Mytob.x.
- Вернулись в двадцатку NetSky.t, Mytob.h, LovGate.ae и Mytob.j.
- Не изменили своих позиций Mytob.c, Nyxem.e, NetSky.b и LovGate.w.
Обзор вирусной активности – Top20 Online – август 2006
Августовская двадцатка стала самой необычной за все время публикации нами подобных отчетов. Она, с одной стороны, противоественна текущему положению дел, как мы себе его представляем. С другой стороны, в ней нашли свое отражение многие существующие классы вредоносных программ, которые ранее в статистику не попадали, но заслуживают отдельного внимания.
Примечательно также, что это произошло после того, как июльская двадцатка была признана нами практически эталонной по своему составу. Сейчас же в ней можно четко определить вирусы, которые там находятся по праву и действительно распространенны в интернете, а также вирусы, которые попали в этот рейтинг исключительно из-за особенностей работы онлайн-сканера, и вероятнее всего, в следующем месяце исчезнут из статистики так же быстро, как и появились.
Первая тройка августовской двадцатки скорее походит на данные почтовой статистики начала этого года: сразу три червя, из которых первые два оставили заметный след в 2004-2005 годах. NetSky.q был самым распространенным вирусом на протяжении всего 2004 года. Но в настоящее время оба этих червя уже покинули нашу почтовую двадцатку, что свидетельствует о прекращении их циркуляции в электронной почте. Причин, объясняющих их появление в онлайн-статистике, может быть несколько. Самой главной из них представляется различие между источниками получения статистики в наших двадцатках. Почтовая двадцатка основана на данных работы антивируса на некоторых крупных серверах электронной почты и отражает перехваченные и уничтоженные вредоносные программы. Онлайн-статистика опирается на данные с машин конечных пользователей, которые могут вообще не иметь установленной антивирусной программы, а поэтому «контингент» зловредов на их компьютерах может быть весьма пестрым.
Третье и четвертое место вполне логичны. Nyxem.e в последние месяцы испытывает второе рождение, и мы отмечаем его присутствие в электронной почте. Так что появление его в онлайн-двадцатке было всего лишь делом времени. Trojan-Dropper.Win32.Agent.asl смог даже в условиях падения общего процента своего присутствия подняться на одно место вверх.
Следующие шесть участников вирусного рейтинга представляют собой микс из современных опасных вирусов, вирусов, которые были актуальны несколько лет назад и антикварных зловредов, существование которых на современных операционных системах просто невозможно.
К первому блоку относятся Trojan-Downloader.Win32.Agent.arc и Trojan-Proxy.Win32.Horst.av. Horst.av без сомнения является в настоящее время одной из главных угроз для пользователей. Это довольно сложный многокомпонентный троянец, оснащенный руткитом и использующий различные полиморфные технологии для осложнения детектирования антивирусными программами.
Второй блок состоит из комбинации Backdoor.IRC.Zapchast+Backdoor.Win32.mIRC-based и отдельно от них – червь NetSky.aa. Как можно заметить из наличия в названиях первых двух зловредов слова «IRC» — мы имеем дело с троянской программой, управляемой через IRC. Это один из первых представителей класса «ботнетов». Первые варианты Backdoor.IRC.Zapchast мы стали обнаруживать еще в 2002 году. За это время число известных вариантов перевалило за тысячу. Скорее всего, в августе 2006 года где-то произошла локальная эпидемия одного из таких вариантов.
Virus.DOS.PS-MPC-based — это казус данной двадцатки. Данный вирус является не каким-то конкретным файлом, а множеством вариантов, созданных при помощи вирусного конструктора PS-MPC. Он известен нам более 10 лет, однако как видно — находятся люди, которые считают что им по силам создать при помощи этого конструктора что-то недетектируемое. Отсюда и множественные проверки подобных файлов при помощи онлайн-сканера и нелогичное 10 место.
Зато вторая десятка выглядит гораздо более узнаваемой. Старые знакомые — черви Rays, Brontok, кейлоггер Perflogger, вирус Parite.b и недавний лидер рейтинга и завсегдатай первой пятерки — троянец-шпион Banker.anv. Лидер потерял сразу 14 мест, однако мы считаем, что в сентябре он вновь поднимется к вершине двадцатки.
Чужаками выглядят два последних места, однако не исключено, что они тесно связаны с описанным выше Backdoor.IRC.Zapchast (и тогда все оказывается вполне логичным). А вот червь Ramen, функционирующий на операционной системе Linux, весьма примечателен. Ramen является самым распространенным из всех linux-зловредов. Однако до сих пор мы никогда не отмечали его наличие в масштабах, хотя бы сопоставимых с последними местами наших отчетов. В августе же ему все-таки удалось набрать необходимую критическую массу и обосноваться на 16-м месте. Будет весьма интересно посмотреть на его показатели в сентябре.
Позиция | Изменение позиции | Вредоносная программа | Доля, проценты |
1. | New! | Email-Worm.Win32.Mydoom.m | 4,93 |
2. | New! | Email-Worm.Win32.NetSky.q | 0,74 |
3. | Return | Email-Worm.Win32.Nyxem.e | 0,31 |
4. | +1 | Trojan-Dropper.Win32.Agent.asl | 0,22 |
5. | New! | Backdoor.IRC.Zapchast | 0,16 |
6. | New! | Email-Worm.Win32.NetSky.aa | 0,15 |
7. | New! | Trojan-Downloader.Win32.Agent.arc | 0,15 |
8. | New! | Backdoor.Win32.mIRC-based | 0,13 |
9. | New! | Trojan-Proxy.Win32.Horst.av | 0,12 |
10. | New! | Virus.DOS.PS-MPC-based | 0,10 |
11. | -8 | Email-Worm.Win32.Rays | 0,10 |
12. | +1 | not-a-virus:Monitor.Win32.Perflogger.163 | 0,10 |
13. | New! | not-a-virus:RiskTool.Win32.HideWindows | 0,09 |
14. | New! | Email-Worm.Win32.Bagle.fj | 0,09 |
15. | -14 | Trojan-Spy.Win32.Banker.anv | 0,09 |
16. | New! | Net-Worm.Linux.Ramen | 0,09 |
17. | -13 | Email-Worm.Win32.Brontok.q | 0,09 |
18. | -3 | Virus.Win32.Parite.b | 0,08 |
19. | New! | Backdoor.IRC.Acnuz | 0,08 |
20. | New! | Backdoor.IRC.Mimic | 0,07 |
Остальные вредоносные программы | 92,11 |
Онлайн-итоги августа
- В двадцатке появилось 13 новых вредоносных и потенциально опасных программ: Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.NetSky.q, Backdoor.IRC.Zapchast, Email-Worm.Win32.NetSky.aa, Trojan-Downloader.Win32.Agent.arc, Backdoor.Win32.mIRC-based., Trojan-Proxy.Win32.Horst.av, Virus.DOS.PS-MPC-based, not-a-virus:RiskTool.Win32.HideWindows, Email-Worm.Win32.Bagle.fj, Net-Worm.Linux.Ramen, Backdoor.IRC.Acnuz., Backdoor.IRC.Mimic.
- Свои показатели повысили Trojan-Dropper.Win32.Agent.asl, not-a-virus:Monitor.Win32.Perflogger.163.
- Свои показатели понизили Email-Worm.Win32.Rays, Trojan-Spy.Win32.Banker.anv, Email-Worm.Win32.Brontok.q, Virus.Win32.Parite.b.
- Вернулся в двадцатку Email-Worm.Win32.Nyxem.e.