Вы находитесь на странице: 1из 4

Top 20 вредоносных программ за октябрь 2004

Доля в общем
Изменение
Название вредоносной программы числе вирусных
позиции
инцидентов (%)
1 - I-Worm.NetSky.q 15,59%
2 - I-Worm.NetSky.aa 14,45%
3 +1 I-Worm.NetSky.b 10,52%
4 +8 I-Worm.Bagle.as 7,43%
5 +1 I-Worm.Bagle.z 6,59%
6 -1 I-Worm.Mydoom.m 5,90%
7 New I-Worm.Bagle.at 4,01%
8 -5 I-Worm.Zafi.b 3,03%
9 - I-Worm.NetSky.t 2,90%
10 -3 I-Worm.NetSky.d 2,83%
11 -1 I-Worm.NetSky.y 2,31%
12 -1 I-Worm.LovGate.w 2,30%
13 - I-Worm.Mydoom.l 1,82%
14 New I-Worm.Mydoom.ab 1,75%
15 -1 I-Worm.NetSky.r 1,39%
16 - I-Worm.Bagle.gen 1,37%
17 Re-entry I-Worm.MyDoom.r 1,31%
18 -1 I-Worm.NetSky.c 0,95%
19 - I-Worm.Bagle.ah 0,87%
20 Re-entry Backdoor.Win32.Rbot.gen 0,68%
Другие вредоносные программы* 12%
* не вошедшие в 20 наиболее распространенных

Сентябрьская тенденция появления новых вариантов червей Mydoom и Bagle


получила свое продолжение в октябре. С разницей в несколько дней миру были явлены
новые экземпляры - Mydoom.ab (Swash.a) и Bagle.at. Причем последний появился не
один, а вместе со своим клоном - вариантом .au, однако в вирусную 20-ку смог попасть
только один из них. Масштабы спам-рассылки новых Bagle были столь велики, что
буквально за пару дней вариант .at смог попасть в десятку и закрепиться на 7-м месте.
С другой стороны, в последние дни уже отмечено стремительное падение его
показателей и возможно, по итогам ноября, он окажется не столь заметным. В
промежутке между Mydoom.ab и Bagle.at был обнаружен новый вариант венгерского
червя - Zafi.С. Третий представитель семейства пока еще никак не проявил себя в
"дикой природе", однако учитывая, то как долго находится в рейтинге вариант .B,
существует опасность возникновения новой эпидемии.
Во всем остальном, октябрьская двадцатка почти полностью повторяет
предыдущий месяц. По-прежнему лидируют три варианта NetSky, а их безуспешно
пытаются потеснить их "заклятые враги" - различные Bagle и Mydoom. Наиболее
интерес стремительный рост сентябрьской вариации Bagle - .as. За месяц он смог
набрать сразу 8 позиций. С другой стороны, продолжает свое падение летний лидер -
Zafi.b, сразу минус 5 мест и неплохие шансы на окончательное прощание с хит-парадом
уже в ноябре. Если это произойдет, то пожалуй, единственным не из "Большой Тройки",
кто останется в двадцатке, будет LovGate.w, показывающий просто чудеса
стабильности.

На этот раз в хит-параде отсутствуют такие заметные вирусы, как


TrojanDownloader.JS.Gen и TrojanDropper.VBS.Zerolin. Массовые спам-рассылки писем,
содержащих данных троянцев, отмечены были, однако на более высоком вирусном
фоне, чем ранее, они оказались практически незаметны.

Зато снова в конце таблицы наблюдается Backdoor.Win32.Rbot.gen - яркий


представитель семейства ботов, управляемых через IRC-каналы и распространяющихся
по сетям при помощи различных уязвимостей в Windows (RPC DCOM, LSASS и т.д.).
Вероятно, выход SP2 для Windows XP повлиял на ситуацию таким образом, что
вирусописателям стало проще разослать Rbot по электронной почте, чем использовать
"обычный> для ботов путь размножения.

К сожалению, не приходится говорить о скором прощании с червями Bagle и


Mydoom. Исходные коды нескольких вариантов данных червей были распространены в
глобальной сети, в том числе и при помощи самих же червей. Наблюдающийся сейчас
всплеск активности вирусописателей выражается именно в создании разнообразных
вариантов этих же червей, а точнее - перекомпиляции уже готовых вариантов.

Прочие вредоносные программы составили значительное число от общего


вирусного трафика в интернете. Всего было зафиксировано более около 200 различных
вредоносных программ , всех видов и классов.

В двадцатке появилась 2 новые вредоносные программы: Bagle.at, Mydoom.ab

Повысили свой рейтинг: NetSky.b, Bagle.as, Bagle.z

Понизили свои показатели: Mydoom.m, Zafi.b, NetSky.d, NetSky.y, LovGate.w,


NetSky.r, NetSky.c

Не изменился показатель: NetSky.q, NetSky.aa, NetSky.t, Mydoom.l, Bagle.gen,


Bagle.ah

Вернулись в двадцатку: Mydoom.r, Rbot.gen

Информационная служба "Лаборатории Касперского"

Kahjurprogrammide TOP-20. Oktoober 2004

Koht Viirus Protsent


1 - I-Worm.NetSky.q 15,59%
2 - I-Worm.NetSky.aa 14,45%
3 +1 I-Worm.NetSky.b 10,52%
4 +8 I-Worm.Bagle.as 7,43%
5 +1 I-Worm.Bagle.z 6,59%
6 -1 I-Worm.Mydoom.m 5,90%
7 Uus I-Worm.Bagle.at 4,01%
8 -5 I-Worm.Zafi.b 3,03%
9 - I-Worm.NetSky.t 2,90%
10 -3 I-Worm.NetSky.d 2,83%
11 -1 I-Worm.NetSky.y 2,31%
12 -1 I-Worm.LovGate.w 2,30%
13 - I-Worm.Mydoom.l 1,82%
14 Uus I-Worm.Mydoom.ab 1,75%
15 -1 I-Worm.NetSky.r 1,39%
16 - I-Worm.Bagle.gen 1,37%
17 Re-entry I-Worm.MyDoom.r 1,31%
18 -1 I-Worm.NetSky.c 0,95%
19 - I-Worm.Bagle.ah 0,87%
20 Re-entry Backdoor.Win32.Rbot.gen 0,68%
Muud kahjurprogrammid* 12%

Septembri tendents, et tekivad võrguusside Mydoom ja Bagle uued variandid, jätkus


oktoobris. Paaripäevase vahega nägid ilmavalgust uued eksemplarid - Mydoom.ab (Swash.a)
ja Bagle.at. Seejuures ilmus viimane mitte üksi, vaid koos klooniga – variandiga Bagle.au,
kuid viiruste TOP-20-sse mahtus neist ainult üks. Bagle uute versioonidega levivate
rämpspostisaadetiste mastaabid olid niivõrd suured, et variant Bagle.at jõudis kõigest paari
päevaga esikümnesse ja kinnistus seitsmendal kohal. Teisest küljest on viimastel päevadel
juba märgata tema näitajate hoogsat langust ja on võimalik, et novembri kokkuvõttes ei pälvi
ta enam tähelepanu. Mydoom.ab ja Bagle.at vahel avastati ungari päritolu võrguussi Zafi.C
uus variant. Perekonna kolmas esindaja ei ole end veel ”vabas looduses“ mingil erilisel moel
näidanud, kuid võttes arvesse variandi Zafi.B kauast reitingus püsimist, on siiski olemas uue
epideemia puhkemise võimalus.

Kõiges ülejäänus kordab oktoobri edetabel peaaegu täielikult eelmist kuud. Endiselt
püsivad esikohtadel kolm NetSky varianti, mida “verivaenlased“ (erinevad Bagle´id ja
Mydoom´id) püüavad edutult välja suruda. Enim pakub huvi Bagle’i septembris tekkinud
variandi Bagle.as kiire tõus. Kuuga on ta suutnud kaheksa koha võrra tõusta. Teisest küljest
jätkab suvine liider – Zafi.b langemist, maandudes viis kohta allpool ja omades väljavaadet
juba novembris edetabeliga hüvasti jätta. Kui tõesti peaks nii juhtuma, siis oleks ainsaks TOP-
20-sse jäänud ja väljapoole „Suurt Kolmikut“ kuuluvaks tegelaseks Lovgate.w, mis paistab
silma imetlust äratava stabiilsusega.
Seekord puuduvad edetabelis niisugused väljapaistvad viirused nagu
TrojanDownloader.JS.Gen ja TrojanDropper.VBS.Zerolin. Ulatuslikumaid
rämpspostisaadetisi nimetatud troojalasi sisaldavate kirjadega registreeriti, kuid varasemast
tunduvalt kõrgemal viirusefoonil jäid nad tegelikult märkamatuks.

See-eest võib tabeli lõpust jälle leida Backdoor.Win32.Rbot.gen-i – IRC-kanaleid pidi


juhitava ja võrgus levimiseks Windows-i erinevaid turvaauke (RPC DCOM, LSASS jne)
kasutava bot-perekonnakonna värvikas esindaja. Võimalik, et SP2 for WindowsXP väljatulek
mõjutas olukorda sel moel, et viiruseloojate jaoks muutus lihtsamaks saata Rbot laiali e-
postiga ja mitte tavalist bot’ide levitamisteed kasutada.

Kahjuks ei saa rääkida peatsest hüvastijätust ussidega Bagle ja Mydoom. Nende usside
mitme variandi lähtekoodid levisid globaalvõrku, sealhulgas ka usside endi abil. Praegu
täheldatav viirusekirjutajate aktiivsuse tõus väljendub nimelt mainitud usside mitmesuguste
variantide loomises, veelgi täpsemalt - juba valmisvariantide ümberkompileerimises.

Muud kahjurprogrammid moodustasid põhilise osa üldisest viiruseliiklusest internetis.


Ühtekokku registreeriti kõikidest liikidest ja klassidest rohkem kui 200 erinevat
kahjurprogrammi.

Edetabelisse ilmus kaks uut kahjurprogrammi: Bagle.at, Mydoom.ab

Reitingus tõusid: NetSky.b, Bagle.as, Bagle.z

Reitingus langesid: Mydoom.m, Zafi.b, NetSky.d, NetSky.y, LovGate.w, NetSky.r,


NetSky.c

Kohta ei muutnud: NetSky.q, NetSky.aa, NetSky.t, Mydoom.l, Bagle.gen, Bagle.ah

Tabelisse pöördus tagasi: Mydoom.r, Rbot.gen

Kaspersky Labi infoteenistus