"Лаборатория Касперского": число новых вирусов в октябре значительно возросло

«Лаборатория Касперского», российский производитель средств защиты от вирусов и спама, представляет октябрьский рейтинг наиболее вредоносных программ с соответствующим показателем встречаемости.

 
  
     1. +1 Net-Worm.Win32.Mytob.c 14,56%
     2. New Email-Worm.Win32.Doombot.b 10,27%
     3. -2 Email-Worm.Win32.Zafi.d 7,92%
     4. +15 Net-Worm.Win32.Mytob.bi 6,80%
     5. -1 Email-Worm.Win32.LovGate.w 5,27%
     6. +2 Email-Worm.Win32.NetSky.q 3,66%
     7. New Email-Worm.Win32.Doombot.d 3,27%
     8. -3 Email-Worm.Win32.NetSky.b 3,08%
     9. -2 Net-Worm.Win32.Mytob.bk 3,03%
    10. -1 Net-Worm.Win32.Mytob.t 2,51%
    11. +4 Net-Worm.Win32.Mytob.y 2,35%
    12. +5 Net-Worm.Win32.Mytob.be 2,22%
    13. -7 Net-Worm.Win32.Mytob.q 2,10%
    14. -4 Net-Worm.Win32.Mytob.u 2,08%
    15. -12 Email-Worm.Win32.Zafi.b 1,59%
    16. New Email-Worm.Win32.Fanbot.f 1,46%
    17. New Email-Worm.Win32.Bagle.dx 1,24%
    18. New Trojan-Spy.HTML.Bayfraud.hn 1,22%
    19. -8 Net-Worm.Win32.Mytob.r 1,20%
    20. -8 Email-Worm.Win32.NetSky.aa 1,16%
    21. Прочие вредоносные программы 23,01% 

Напомним, что в конце августа в Марокко и Турции были арестованы два лица по подозрению в создании червей семейства Mytob. В целом, октябрь 2005 оказался весьма «богатым» на новые вредоносные программы. Специалисты «Лаборатории Касперского» зафиксировали своеобразный рекорд, добавив за одну неделю в антивирусные базы более 1400 новых вирусов.

В вирусной двадцатке в очередной раз сменился лидер. И в очередной раз им стал Mytob.c. Скорее всего, именно этот червь станет самым распространенным вирусом по итогам всего 2005 года.

На втором месте расположился новичок двадцатки, представитель того самого «нового» поколения сетевых червей, о которых упоминалось выше, — Doombot.b. Данный червь очень похож на Mytob по своему функционалу. Он также совмещает в себе функции почтового червя и IRC-бота. Как и Mytob, он основан на исходных кодах червя Mydoom. Однако, ряд отличий в реализации многих важных компонентов червя заставляет считать его отдельным самостоятельным семейством. Необходимо отметить, что вариант .b был обнаружен 16 октября, а значит, смог добраться до второго места всего за две недели с момента обнаружения. Не исключено, что в ноябре он окажется лидером вирусной двадцатки.

Не менее впечатляющий рост продемонстрировал Mytob.bi. Занимавший в сентябре 19-ое место и уже фактически исчезнувший из поля зрения, в октябре он смог вернуть себе сразу 15 мест и оккупировать 4-ое. Причем в процентном отношении его показатель также весьма высок.

Из других интересных событий в первой десятке рейтинга отдельного упоминания заслуживает еще один представитель семейства Doombot — Doombot.d. Изначально он был классифицирован как Mytob.dc, однако наличие фирменной строки H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H, присущей исключительно Doombot-ам, помогло в итоге восстановить истину. Вообще, подобные пограничные случаи весьма трудны для точной классификации, поскольку общий набор функций и структура программы у большинства подобных червей-ботов очень схожи. Что неудивительно — ведь, по большому счету, все они являются клонами червя Mydoom, которому скоро исполнится два года.

Это хороший пример того, что распространение исходных кодов вирусов зачастую наносит даже больший ущерб, чем выпуск в свет одного червя, созданного из этих кодов, — ведь при наличии исходного кода любой script-kiddie может очень быстро создать собственную разновидность червя путем простой модификации кода, даже не разбираясь досконально в тонкостях программирования.

В остальной части двадцатки внимания заслуживают три новых вредоносных программы, разместившиеся на местах с 16 по 18. Они все очень разные — и тем интересней. 16 место занимает еще один представитель «нового» поколения. Червь Fanbot.f, созданный опять-таки на основе Mydoom и бэкдора SdBot, пытается устроить заочную кибервойну с автором Doombot, о чем недвусмысленно свидетельствуют текстовые строки в теле вируса: «HellBot3 have BackDoor in ’HellMsn.h’. The HellBot3 author is an idiot!!! [Phantom] 2005 Made By Evil[xiaou]. Greetz to good friend x140d4n. Based On sdbot&&mydoom».

Автор Fanbot также выражает свое недовольство действиями антивирусных компаний, назвавших этот вирус не так, как хотелось автору: «MSG to Kaspersky&Norton: can u make it difficulty next time!!! stupid. dont call me Fanbot,i am [Phantom]!!! SHIT!!! Play with The best, Die like the rest».

Fanbot — довольно многочисленное семейство. В настоящее время нам известно 11 вариантов этого червя и, скорее всего, именно они и Doombot будут одними из наиболее активных вирусов в ближайшие месяцы.

Решили не отставать от общей тенденции и авторы червей Bagle. В сентябре было обнаружено более 20 новых вариантов. В октябре активность была снижена в пользу «качества» и обнаруженный 20 октября Bagle.dx смог все-таки стать заметным событием в вирусной статистике. Как всегда в случае Bagle, основной целью вирусописателей является не размножение червя, а установка на зараженные компьютеры троянских прокси-серверов для рассылки спама, а также программ для сбора адресов электронной почты. По нашему мнению, именно «благодаря» Bagle и его последним локальным эпидемиям и был вызван стремительный рост спам-рассылок по всему миру в последние недели.

Помимо рассылки обычных спам-писем, через зараженные компьютеры организовываются и фишинг-атаки. Одной из самых массированных атак октября стала рассылка Trojan-Spy.HTML.Bayfraud.hn, нацеленная на пользователей системы eBay. Именно данное письмо занимает 18 место в приведенной статистике, очередной раз напоминая об опасности фишинга.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (23,01%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

В двадцатке появилось пять новых вредоносных программ: Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn. Повысили свой рейтинг: Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be. Понизили свои показатели: Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r, NetSky.aa.