Первый взгляд на верхние места майской вирусной двадцатки может заставить некоторых вообразить, что они провалились в дыру во времени и снова оказались в конце 2005 года. Можно сколько угодно протирать глаза и пытаться ущипнуть себя в надежде, что сон развеется, но это ничего не изменит - Netsky, Bagle и Sober снова правят балом, как в старые добрые времена.
Собственно, к этому все и шло. Netsky.t и .q уже давно находятся в числе лидеров наших отчетов, Bagle.gt тоже несколько месяцев подряд подбирался все ближе к первой тройке.
А вот четвертое место неожиданно для всех занял Sober.aa. Первые его экземпляры были обнаружены специалистами <Лаборатории Касперского> 7 апреля 2007 года. Все бы ничего, да вот только предпоследний вариант данного червя - .z - датирован серединой ноября 2005 года! Более полутора лет прошло с того момента. Вариант .z был одним из наиболее распространенных червей в свое время. Казалось, что на след неизвестного автора червя уже вышла полиция Германии и вот-вот мы услышим о его аресте. Но, история подзабылась и вот кто-то (возможно уже другой человек) выпустил в мир новый вариант старого почтового червя. Результат нагляден - примитивный Sober.aa смог потеснить многих гораздо более <технологичных> червей и, возможно, 4-е место далеко не предел для него.
В числе <проигравших> в этой заочной вирусной борьбе оказались черви семейств Warezov и Zhelatin. Обладатель второго места в апреле - Warezov.ms покинул пределы двадцатки, а пришедший ему на смену вариант .ns не смог подняться выше скромного 19-го места.
Впрочем, есть и опасный симптом - на 8-м месте в мае оказался spanojan-Downloader.Win32.Agent.bqs, массовая рассылка которого была зафиксирована 24 мая. Дело в том, что Agent.bqs загружает в пораженные компьютеры новые варианты червя Warezov, подготавливая таким образом очередную площадку для новых эпидемий и создавая очередной гигантский ботнет.
А вот фишеры в мае оказались не столь активны, как в апреле и марте. На этот раз ни одного фишингового письма в двадцатке не оказалось. Впрочем, это явление, очевидно, временное и мы еще не раз увидим фишинговые атаки в числе наиболее распространенных угроз в почтовом трафике.
А вот 10 и 20 места заняли совершенно нетипичные для данного отчета - традиционные файловые вирусы - Grum и Cheburgen. Это связано с интересной особенностью вирусной жизни: перед нами пример паразитирования одной вредоносной программы на другой. Grum и Cheburgen сами по себе неспособны к распространению через электронную почту или локальные сети, однако они настолько агрессивны, что заражают все файлы в компьютере без разбора. В результате заражению подвергаются и файлы почтовых червей, живущих на компьютерах беспечных пользователей. Как следствие - по электронной почте отправляется зараженное письмо, содержащее в себе <бутерброд> - файл червя зараженный поверх еще и классическим вирусом.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент - 10,97% - от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
В двадцатке появилось 5 новых вредоносных программ: Email-Worm.Win32.Sober.aa, spanojan-Downloader.Win32.Agent.bqs, Virus.Win32.Grum.a, Email-Worm.Win32.Warezov.ns, Virus.Win32.Cheburgen.a
Повысили свои показатели: Email-Worm.Win32.NetSky.q, Email-Worm.Win32.Bagle.gt, Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Scano.gen, Net-Worm.Win32.Mytob.t, Email-Worm.Win32.LovGate.w
Понизили свои показатели: Email-Worm.Win32.NetSky.b, Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.Zhelatin.dam
Не изменили своего положения: Email-Worm.Win32.NetSky.t, Net-Worm.Win32.Mytob.c
Вернулись в двадцатку: Net-Worm.Win32.Mytob.dam, Email-Worm.Win32.NetSky.x, Exploit.Win32.IMG-WMF.y
1 Email-Worm.Win32.NetSky.t spanojan.generic 15.31%
2 +1 Email-Worm.Win32.NetSky.q spanojan.generic 14.76%
3 +1 Email-Worm.Win32.Bagle.gt spanojan.generic 13.46%
4 New Email-Worm.Win32.Sober.aa Hidden Install 11.86%
5 +1 Worm.Win32.Feebs.gen Hidden Data Sending 6.49%
6 +6 Email-Worm.Win32.NetSky.aa spanojan.generic 5.44%
7 Net-Worm.Win32.Mytob.c spanojan.generic 3.33%
8 New spanojan-Downloader.Win32.Agent.bqs. * 2.44%
9 +1 Email-Worm.Win32.Scano.gen spanojan.generic 2.22%
10 -1 Email-Worm.Win32.NetSky.b spanojan.generic 2.20%
11 New Virus.Win32.Grum.a ** 2.18%
12 +7 Net-Worm.Win32.Mytob.t Worm.P2P.generic 1.63%
13 +4 Email-Worm.Win32.LovGate.w spanojan.generic 1.34%
14 Return Net-Worm.Win32.Mytob.dam <Damaged> 1.18%
15 Return Email-Worm.Win32.NetSky.x spanojan.generic 1.17%
16 -3 Email-Worm.Win32.Mydoom.l spanojan.generic 1.12%
17 Return Exploit.Win32.IMG-WMF.y N/A (файл формата WMF)0.99%
18 -2 Email-Worm.Win32.Zhelatin.dam <Damaged> 0.72%
19 New Email-Worm.Win32.Warezov.ns Invader 0.62%
20 New Virus.Win32.Cheburgen.a ** 0.57%
Прочие вредоносные программы 10,97%
* - это загрузчик для Email-Worm.Win32.Warezov, мы уже детектируем его как Invader.
** - это классические вирусы, на детектирование которых PDM ранее не был рассчитан