Программы от Касперского...

[[USSR]ARIEtZ]

Обзор вирусной активности - август 2005

Время от времени в сети Интернет происходят кибервойны. Иногда это
войны между "конкурирующими" группами вирусописателей, которые пытаются
удалить "врагов" с зараженных компьютеров и стать единственными, кто
может управлять такой "зомби-машиной". �*ти войны иногда выливаются во
взаимный взлом сайтов или атаки хакеров из одной страны на
правительственные серверы другой страны. Отголоски этих войн отражаются,
в том числе, и в вирусных рейтингах.

Уже который месяц подряд за вершину нашей вирусной двадцатки борются
NetSky.q и Mytob.c. �*то совершенно разные черви, созданные с разницей в
один год и использующие разные уязвимости. NetSky.q вел войну против
червей семейства Mydoom и Bagle и, судя по текущим показателям, вышел из
этой схватки победителем. Но вот Mytob, в основе которого лежат исходные
коды самого первого Mydoom, оказался достойным преемником прародителя.
Несомненно, схватка между червями семейств Mytob и NetSky - это
наиболее заметная тенденция в наших ежемесячных вирусных отчетах.

13 позиций из 20 - это Mytob. 4 из 20 - это NetSky.
Однако, если посмотреть на первую десятку, то там наблюдается
практически паритет - 4 Mytob и 3 NetSky.

Июльское наступление на двадцатку со стороны "старых" червей -
Zafi, Bagle, Mydoom - практически провалилось. В августе в рейтинге не
осталось ни одного варианта Bagle или Mydoom, а два червя Zafi всего
лишь сохранили достигнутые позиции. Зато Mytob-ы смогли вернуть себе
показатели июня из-за того, что все три новичка двадцатки - это
именно очередные модификации Mytob.

Что удивительно, в числе этих новичков внезапно оказался самый
первый Mytob - вариант A, который, несмотря на успехи своих
клонов, еще ни разу не оказывался в поле нашего зрения. Возможно,
изначально он был разослан не при помощи спам-технологий, а путем
заражения крайне малого числа компьютеров, и все это время набирал
обороты. Подобные примеры уже случались ранее, и 8-е место августовской
статистики занимает представитель именно такого подхода к
распространению вирусов - LovGate.w. В июле мы делали прогноз о
том, что LovGate.w вот-вот покинет двадцатку (15-е место в июле), однако
он не только в ней удержался, но и практически полностью вернул себе
утраченное, совершив рост сразу на 7 пунктов.

Еще один странный новичок - Mytob.h. Впервые он был обнаружен
еще 25 марта этого года и, так же как и Mytob.a, был не заметен в
масштабах сети Интернет. И вот сразу 13-е место. Впрочем, в данном
случае у нас есть обьяснение произошедшему. Оригинальный Mytob.h был
упакован при помощи связки пакеров - Morphine\MEW. В августе
кто-то перепаковал оригинальный файл другими пакерами - Upack, UPX и FGS
- и выпустил в свет три "новых" варианта. Конечно же, все они
детектируются старой процедурой детектирования и под одним и тем же
именем.

Стоит отметить также историю с червем 'Zotob'. Я
умышленно беру это название в кавычки, поскольку в антивирусных базах
Антивируса Касперского такого названия вредоносной программы нет, а
другие антивирусные компании используют это имя для самых разных червей
и ботов, зачастую не имеющих ничего общего. Очевидно, что названия
Zotob.a, .b и .c получили черви семейства Mytob (по классификации
"Лаборатории Касперского"). Zotob.a соответствует Mytob.cg, Zotob.b
- Mytob.cf, Zotob.c - Mytob.ch. Функцией рассылки себя по
почте обладают только Mytob.ch и .cg, вариант .cf способен проникать на
компьютер только при помощи уязвимости в операционной системе Microsoft
Windows MS05-039.

26 августа из Марокко поступило известие об аресте
предположительного автора данных червей, которые были написаны им в
соавторстве с вирусописателем из Турции (он также был арестован). В
данной ситуации имеется четкое разделение обязанностей в преступной
группе - один человек был занят написанием вируса, а второй
занимался его распространением в сети Интернет. �*яд СМИ обьявил о том,
что именно эти черви стали причиной вирусной эпидемии в американских
телекомпаниях ABC и CNN, однако по нашим предположениям, виновником тех
инцидентов был червь из семейства Bozori, использующий ту же самую
уязвимость MS05-039.

Трудно предположить, наблюдали ли бы мы кого-нибудь из этих червей в
нашей статистике, если бы они обладали еще и функцией рассылки себя по
электронной почте. Единственные из них, имеющие такой функционал,
- Mytob.cg и .ch - не попали даже в число сорока наиболее
распространенных вирусов в почтовом трафике августа.

Прочие вредоносные программы, представленные в почтовом трафике,
составили значительный процент (20,36%) от общего числа перехваченных,
что свидетельствует о достаточно большом количестве прочих червей и
троянских программ, относящихся к другим семействам.

Итоги августа
В двадцатке появились 3 новых вредоносных программы: Mytob.h, Mytob.a,
Mytob.bw
В двадцатку вернулись NetSky.t и Mytob.r.
Повысили свой рейтинг Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q и Mytob.t.
Понизили свои показатели NetSky.q, Mytob.be, Mytob.u, Mytob.au и Mytob.bt
Не изменились показатели у Zafi.b, Zafi.d, NetSky.aa и Mytob.bi.