Первый взгляд на верхние места майской вирусной двадцатки может заставить некоторых вообразить, что они провалились в дыру во времени и снова оказались в конце 2005 года. Можно сколько угодно протирать глаза и пытаться ущипнуть себя в надежде, что сон развеется, но это ничего не изменит — Netsky, Bagle и Sober снова правят балом, как в старые добрые времена.
Собственно, к этому все и шло. Netsky.t и .q уже давно находятся в числе лидеров наших отчетов, Bagle.gt тоже несколько месяцев подряд подбирался все ближе к первой тройке.
А вот четвертое место неожиданно для всех занял Sober.aa. Первые его экземпляры были обнаружены специалистами «Лаборатории Касперского» 7 апреля 2007 года. Все бы ничего, да вот только предпоследний вариант данного червя – .z – датирован серединой ноября 2005 года! Более полутора лет прошло с того момента. Вариант .z был одним из наиболее распространенных червей в свое время. Казалось, что на след неизвестного автора червя уже вышла полиция Германии и вот-вот мы услышим о его аресте. Но, история подзабылась и вот кто-то (возможно уже другой человек) выпустил в мир новый вариант старого почтового червя. Результат нагляден — примитивный Sober.aa смог потеснить многих гораздо более «технологичных» червей и, возможно, 4-е место далеко не предел для него.
В числе «проигравших» в этой заочной вирусной борьбе оказались черви семейств Warezov и Zhelatin. Обладатель второго места в апреле — Warezov.ms покинул пределы двадцатки, а пришедший ему на смену вариант .ns не смог подняться выше скромного 19-го места.
Впрочем, есть и опасный симптом — на 8-м месте в мае оказался Trojan-Downloader.Win32.Agent.bqs, массовая рассылка которого была зафиксирована 24 мая. Дело в том, что Agent.bqs загружает в пораженные компьютеры новые варианты червя Warezov, подготавливая таким образом очередную площадку для новых эпидемий и создавая очередной гигантский ботнет.
А вот фишеры в мае оказались не столь активны, как в апреле и марте. На этот раз ни одного фишингового письма в двадцатке не оказалось. Впрочем, это явление, очевидно, временное и мы еще не раз увидим фишинговые атаки в числе наиболее распространенных угроз в почтовом трафике.
А вот 10 и 20 места заняли совершенно нетипичные для данного отчета — традиционные файловые вирусы — Grum и Cheburgen. Это связано с интересной особенностью вирусной жизни: перед нами пример паразитирования одной вредоносной программы на другой. Grum и Cheburgen сами по себе неспособны к распространению через электронную почту или локальные сети, однако они настолько агрессивны, что заражают все файлы в компьютере без разбора. В результате заражению подвергаются и файлы почтовых червей, живущих на компьютерах беспечных пользователей. Как следствие — по электронной почте отправляется зараженное письмо, содержащее в себе «бутерброд» — файл червя зараженный поверх еще и классическим вирусом.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 10,97% — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
Итоги мая
В двадцатке появилось 5 новых вредоносных программ: Email-Worm.Win32.Sober.aa, Trojan-Downloader.Win32.Agent.bqs, Virus.Win32.Grum.a, Email-Worm.Win32.Warezov.ns, Virus.Win32.Cheburgen.a
Повысили свои показатели: Email-Worm.Win32.NetSky.q, Email-Worm.Win32.Bagle.gt, Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Scano.gen, Net-Worm.Win32.Mytob.t, Email-Worm.Win32.LovGate.w
Понизили свои показатели: Email-Worm.Win32.NetSky.b, Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.Zhelatin.dam
Не изменили своего положения: Email-Worm.Win32.NetSky.t, Net-Worm.Win32.Mytob.c
Вернулись в двадцатку: Net-Worm.Win32.Mytob.dam, Email-Worm.Win32.NetSky.x, Exploit.Win32.IMG-WMF.y
| Позиция | Изменение позиции | Вредоносная программа | Вердикт PDM | Доля, проценты |
| 1. |  0 | Email-Worm.Win32.NetSky.t | Trojan.generic | 15,31 |
| 2. |  +1 | Email-Worm.Win32.NetSky.q | Trojan.generic | 14,76 |
| 3. | +1 | Email-Worm.Win32.Bagle.gt | Trojan.generic | 13,46 |
| 4. |  New! | Email-Worm.Win32.Sober.aa | Hidden Install | 11,86 |
| 5. | +1 | Worm.Win32.Feebs.gen | Hidden Data Sending | 6,49 |
| 6. | +6 | Email-Worm.Win32.NetSky.aa | Trojan.generic | 5,44 |
| 7. | 0 | Net-Worm.Win32.Mytob.c | Trojan.generic | 3,33 |
| 8. | New! | Trojan-Downloader.Win32.Agent.bqs | * | 2,44 |
| 9. | +1 | Email-Worm.Win32.Scano.gen | Trojan.generic | 2,22 |
| 10. |  -1 | Email-Worm.Win32.NetSky.b | Trojan.generic | 2,20 |
| 11. | New! | Virus.Win32.Grum.a | ** | 2,18 |
| 12. | +7 | Net-Worm.Win32.Mytob.t | Worm.P2P.generic | 1,63 |
| 13. | +4 | Email-Worm.Win32.LovGate.w | Trojan.generic | 1,34 |
| 14. |  Return | Net-Worm.Win32.Mytob.dam | [Damaged] | 1,18 |
| 15. | Return | Email-Worm.Win32.NetSky.x | Trojan.generic | 1,17 |
| 16. | -3 | Email-Worm.Win32.Mydoom.l | Trojan.generic | 1,12 |
| 17. | Return | Exploit.Win32.IMG-WMF.y | *** | 0,99 |
| 18. | -2 | Email-Worm.Win32.Zhelatin.dam | [Damaged] | 0,72 |
| 19. | New! | Email-Worm.Win32.Warezov.ns | Invader | 0,62 |
| 20. | New! | Virus.Win32.Cheburgen.a | ** | 0,57 |
| Остальные вредоносные программы | 10,97 | |||
| * — даунлоадер для червя Email-Worm.Win32.Warezov, который детектируется модулем PDM как Invader. ** — модуль PDM не предназначен для борьбы с классическими компьютерными вирусами. *** — файл графического формата WMF. | ||||
