Обзор вирусной активности - сентябрь 2007

Позиция Изменение позиции Вредоносная программа Вердикт PDM Доля, проценты

1. 0 Email-Worm.Win32.NetSky.q spanojan.generic 25,22
2. +1 Email-Worm.Win32.NetSky.aa spanojan.generic 10,83
3. +3 Email-Worm.Win32.Mydoom.l spanojan.generic 10,04
4. -2 Email-Worm.Win32.Bagle.gt spanojan.generic 7,62
5. Return Email-Worm.Win32.Nyxem.e spanojan.generic 6,03
6. -2 Net-Worm.Win32.Mytob.c spanojan.generic 5,18
7. -2 Worm.Win32.Feebs.gen Hidden Data Sending 4,69
8. -1 Email-Worm.Win32.NetSky.t spanojan.generic 3,03
9. New spanojan-Spy.HTML.Paylap.bg [HTML] 2,62
10. 0 Email-Worm.Win32.NetSky.b spanojan.generic 2,62
11. 0 Email-Worm.Win32.NetSky.x spanojan.generic 2,35
12. 0 Email-Worm.Win32.Scano.gen spanojan.generic 1,72
13. -5 Exploit.Win32.IMG-WMF.y [WMF] 1,58
14. -5 Net-Worm.Win32.Mytob.t Worm.P2P.generic 1,38
15. +3 Net-Worm.Win32.Mytob.dam [Damaged] 1,35
16. 0 Email-Worm.Win32.Womble.a spanojan.generic 1,06
17. Return Email-Worm.Win32.NetSky.d spanojan.generic 1,03
18. -5 Net-Worm.Win32.Mytob.u Worm.P2P.generic 0,97
19. Return Email-Worm.Win32.Mydoom.e spanojan.generic 0,93
20. Return Email-Worm.Win32.NetSky.y spanojan.generic 0,83
Остальные вредоносные программы 8,92


Наши прогнозы на сентябрь не оправдались. Активное распространение в августе троянца-загрузчика spanojan-Downloader.Win32.Agent.brk не привело к последующей активизации созданного им ботнета. Как следствие, ни одного нового представителя семейства Warezov в сентябрьской 20-ке не появилось.

Сбавили обороты своей активности и авторы другого почтового червя — Zhelatin, также известного как Storm Worm. В августе мы регулярно слышали от различных компаний по обеспечению информационной безопасности самые разные оценки ботнета, якобы созданного «штормовыми червями». Порой он оценивался в два миллиона зараженных компьютеров по всему миру. Подобные данные свидетельствовали о возможном начале новой грандиозной эпидемии. В сентябре ничего не случилось. Либо эксперты ошиблись в размере ботнета, либо авторы Zhelatin решили взять паузу до лучших времен — ведь сейчас к ним приковано самое пристальное внимание правоохранительных органов многих стран мира.

Снова на первом месте остался NetSky.q. Этот червь окончательно закрепил за собой статус «самая распространенная вредоносная программа за всю историю Интернета». И если по масштабам — в момент пика своей эпидемии (8 из 10 писем в трафике) — недосягаемым лидером остается Mydoom.a (январь 2004 года), то с точки зрения масштабов на протяжении всего срока существования NetSky лидирует с многократным отрывом.

Компанию лидеру в первой пятерке составляют такие же ветераны — NetSky.aa, Mydoom.l, Bagle.gt и (это, конечно, сюрприз) внезапно вернувшийся Nyxem.e (дата первого обнаружения — январь 2006 года, пик эпидемии — лето-осень 2006 года). Мы уже столько раз «хоронили» этого червя, наблюдая его исчезновение из двадцаток, а он все возвращался и возвращался. И продолжает возвращаться — причем на весьма высокие позиции.

Чуть-чуть снизились объемы распространения Exploit.Win32.IMG-WMF.y. За августовским ростом на 7 позиций последовал спад на 5. Однако место его основного «партнера» — червя Womble.a — осталось незыблемым (16-е место). Это говорит о том, что в октябре как минимум нам еще предстоит встречать эту пару среди самых распространенных вредоносных программ в почтовом трафике.

Скриптовые черви Feebs.gen и Scano.gen практически смогли удержаться на своих позициях. Feebs.gen уступил всего два пункта, а Scano.gen показал неплохую живучесть. Нынешняя его задержка на 12-м месте (после августовских +5) может означать только паузу перед дальнейшим ростом.

Единственным новичком рейтинга стала фишинговая атака на пользователей платежной системы PayPal с использованием spanojan-Spy.HTML.Paylap.bg. Первые образцы таких фишинговых писем были зафиксированы еще в январе 2005 года! Два с половиной года спустя неизвестные злоумышленники взяли готовое решение и попытались вдохнуть в него новую жизнь. Получилось не слишком удачно — Антивирус Касперского остановил массовую спам-рассылку даже без обновления антивирусных баз — старыми детектирующими записями 2005 года.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 8,92% — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги сентября

В двадцатке появилась 1 новая вредоносная программа: spanojan-Spy.HTML.Paylap.bg
Повысили свои показатели: Email-Worm.Win32.NetSky.aa, Net-Worm.Win32.Mydoom.l, Net-Worm.Win32.Mytob.dam
Понизили свои показатели: Email-Worm.Win32.Bagle.gt, Net-Worm.Win32.Mytob.c, Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.t, Exploit.Win32.IMG-WMF.y, Email-Worm.Win32.Mytob.t, Email-Worm.Win32.Mytob.u
Вернулись в двадцатку: Email-Worm.Win32.Nyxem.e, Email-Worm.Win32.NetSky.d, Email-Worm.Win32.Mydoom.e, Email-Worm.Win32.NetSky.y