"Лаборатория Касперского" публикует обзор вирусной активности за май 2007 года

"Лаборатория Касперского" публикует обзор вирусной активности за май 2007 года

1  Email-Worm.Win32.NetSky.t  Trojan.generic

15.31%

2   +1 Email-Worm.Win32.NetSky.q  Trojan.generic        14.76%

3   +1 Email-Worm.Win32.Bagle.gt  Trojan.generic        13.46%

4   New Email-Worm.Win32.Sober.aa  Hidden Install      11.86%

5   +1 Worm.Win32.Feebs.gen   Hidden Data Sending   6.49%

6   +6 Email-Worm.Win32.NetSky.aa  Trojan.generic        5.44%

7  Net-Worm.Win32.Mytob.c   Trojan.generic

3.33%

8   New Trojan-Downloader.Win32.Agent.bqs. *                     2.44%

9   +1 Email-Worm.Win32.Scano.gen  Trojan.generic        2.22%

10  -1 Email-Worm.Win32.NetSky.b  Trojan.generic        2.20%

11  New Virus.Win32.Grum.a   **                    2.18%

12  +7 Net-Worm.Win32.Mytob.t   Worm.P2P.generic      1.63%

13  +4 Email-Worm.Win32.LovGate.w  Trojan.generic        1.34%

14  Return Net-Worm.Win32.Mytob.dam  <Damaged>

1.18%

15  Return Email-Worm.Win32.NetSky.x  Trojan.generic

1.17%

16  -3 Email-Worm.Win32.Mydoom.l  Trojan.generic        1.12%

17  Return Exploit.Win32.IMG-WMF.y   N/A (файл формата

WMF)0.99%

18  -2 Email-Worm.Win32.Zhelatin.dam  <Damaged>             0.72%

19  New Email-Worm.Win32.Warezov.ns  Invader               0.62%

20  New Virus.Win32.Cheburgen.a   **                    0.57%

  Прочие вредоносные программы

10,97%

* - это загрузчик для Email-Worm.Win32.Warezov, мы уже детектируем его как Invader.

** - это классические вирусы, на детектирование которых PDM ранее не был рассчитан.

Первый взгляд на верхние места майской вирусной двадцатки может заставить некоторых вообразить, что они провалились в дыру во времени и снова оказались в конце 2005 года. Можно сколько угодно протирать глаза и пытаться ущипнуть себя в надежде, что сон развеется, но это ничего не изменит - Netsky, Bagle и Sober снова правят балом, как в старые добрые времена.

Собственно, к этому все и шло. Netsky.t и .q уже давно находятся в числе лидеров наших отчетов, Bagle.gt тоже несколько месяцев подряд подбирался все ближе к первой тройке.

А вот четвертое место неожиданно для всех занял Sober.aa. Первые его экземпляры были обнаружены специалистами "Лаборатории Касперского" 7 апреля 2007 года. Все бы ничего, да вот только предпоследний вариант данного червя

- .z - датирован серединой ноября 2005 года! Более полутора лет прошло с того момента. Вариант .z был одним из наиболее распространенных червей в свое время. Казалось, что на след неизвестного автора червя уже вышла полиция Германии и вот-вот мы услышим о его аресте. Но, история подзабылась и вот кто-то (возможно уже другой человек) выпустил в мир новый вариант старого почтового червя. Результат нагляден - примитивный Sober.aa смог потеснить многих гораздо более "технологичных" червей и, возможно, 4-е место далеко не предел для него.

В числе "проигравших"в этой заочной вирусной борьбе оказались черви семейств Warezov и Zhelatin. Обладатель второго места в апреле - Warezov.ms покинул пределы двадцатки, а пришедший ему на смену вариант .ns не смог подняться выше скромного 19-го места.

Впрочем, есть и опасный симптом - на 8-м месте в мае оказался Trojan-Downloader.Win32.Agent.bqs, массовая рассылка которого была зафиксирована 24 мая. Дело в том, что Agent.bqs загружает в пораженные компьютеры новые варианты червя Warezov, подготавливая таким образом очередную площадку для новых эпидемий и создавая очередной гигантский ботнет.

А вот фишеры в мае оказались не столь активны, как в апреле и марте. На этот раз ни одного фишингового письма в двадцатке не оказалось. Впрочем, это явление, очевидно, временное и мы еще не раз увидим фишинговые атаки в числе наиболее распространенных угроз в почтовом трафике.

А вот 10 и 20 места заняли совершенно нетипичные для данного отчета - традиционные файловые вирусы - Grum и Cheburgen. Это связано с интересной особенностью вирусной жизни: перед нами пример паразитирования одной вредоносной программы на другой. Grum и Cheburgen сами по себе неспособны к распространению через электронную почту или локальные сети, однако они настолько агрессивны, что заражают все файлы в компьютере без разбора. В результате заражению подвергаются и файлы почтовых червей, живущих на компьютерах беспечных пользователей. Как следствие - по электронной почте отправляется зараженное письмо, содержащее в себе "бутерброд" - файл червя зараженный поверх еще и классическим вирусом.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент - 10,97% - от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

В двадцатке появилось 5 новых вредоносных программ:

Email-Worm.Win32.Sober.aa, Trojan-Downloader.Win32.Agent.bqs,

Virus.Win32.Grum.a, Email-Worm.Win32.Warezov.ns, Virus.Win32.Cheburgen.a Повысили свои показатели: Email-Worm.Win32.NetSky.q, Email-Worm.Win32.Bagle.gt, Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Scano.gen, Net-Worm.Win32.Mytob.t, Email-Worm.Win32.LovGate.w Понизили свои показатели:

Email-Worm.Win32.NetSky.b, Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.Zhelatin.dam Не изменили своего положения:

Email-Worm.Win32.NetSky.t, Net-Worm.Win32.Mytob.c Вернулись в двадцатку:

Net-Worm.Win32.Mytob.dam, Email-Worm.Win32.NetSky.x, Exploit.Win32.IMG-WMF.y

С результатами работы онлайн-сканера за май можно ознакомиться на информационно-аналитическом портале Viruslist.com:

http://www.viruslist.com/ru/analysis?pubid=204007550

Источник: иформационная служба "Лаборатории Касперского"