Вы находитесь на странице: 1из 4

Обзор вирусной активности (декабрь 2004)

Доля в общем
Изменение
Название вредоносной программы числе вирусных
позиции
инцидентов (%)
1 New Email-Worm.Win32.Zafi.d 17,85%
2 +2 I-Worm.Zafi.b 13,42%
3 - I-Worm.NetSky.q 10,85%
4 +2 I-Worm.LovGate.w 9,77%
5 - I-Worm.NetSky.aa 9,50%
6 -4 I-Worm.Mydoom.ab 4,69%
7 - I-Worm.NetSky.b 4,46%
8 +6 I-Worm.Sober.i 4,19%
9 - I-Worm.Bagle.z 3,24%
10 - I-Worm.Mydoom.m 1,84%
11 +1 I-Worm.NetSky.y 1,56%
12 -11 I-Worm.Bagle.at 1,29%
13 +4 I-Worm.NetSky.t 1,21%
14 +1 I-Worm.NetSky.d 1,14%
15 +1 I-Worm.Mydoom.l 1,07%
16 New TrojanDownloader.Win32.Agent.bq 0,96%
17 New Trojan-Spy.HTML.Bankfraud.w 0,87%
18 - I-Worm.LovGate.ad 0,68%
19 - I-Worm.NetSky.r 0,57%
20 - I-Worm.Bagle.gen 0,57%
Другие вредоносные программы* 9,90%
* не вошедшие в 20 наиболее распространенных

2004 год завершился довольно необычно. На протяжении 11 месяцев


составлявшие львиную долю всего хит-парада черви семейств NetSky, Bagle и Mydoom
были безжалостно потеснены венгерскими "близнецами" Zafi. В первую очередь стоит
отметить последнего лидера ушедшего года - им стал Zafi.d, впервые обнаруженный
еще в октябре. Весь ноябрь он тщательно набирал критическую массу, чтобы в декабре
сразу же вырваться на первую строчку вирусного рейтинга.

Не отставал от него и предшественник - Zafi.b. Бывший лидером на протяжении


нескольких летних месяцев, осенью он сдал позиции, однако в ноябре-декабре смог
снова отвоевать утраченное место. Также любопытно, что впервые за долгое время обе
верхние строчки рейтинга заняты не представителями большой тройки <Mydoom,
Bagle, Netsky>.
Ноябрьские лидеры Mydoom.ab и Bagle.at начали свое падение также
стремительно, как и восхождение. Bagle.at опустился с 1 сразу на 11 мест, а Mydoom.ab
на 4.

Стоит также отметить продолжающееся восхождение корейского червя


LovGate.w. Месяц за месяцем он набирает по несколько пунктов, и в декабре дополз
уже 4-го места в вирусной двадцатке. Его новый вариант LovGate.ad остался на своих
ноябрьских позициях, и точно спрогнозировать его развитие сейчас не представляется
возможным. Напомним, что данные черви, в отличие от прочих присутствующих в
рейтинге, не были массово разосланы по миллионам адресов при помощи спам-
технологий. Очевидно, что они расползаются по миру при помощи <классических>
способов - начиная с небольшого числа компьютеров и постепенно наращивая обороты.

Sober.i внезапно снова стал распространяться в <дикой природе>. Несмотря на


огромное количество своих поврежденных копий из-за ошибки в коде он, вместо
ожидаемого исчезновения из рейтинга, смог пробиться в десятку лидеров.

Прочие почтовые черви практически не изменили свои показатели. Кто-то


остался на прежних позициях, кто-то чуть-чуть поднялся в таблице. К счастью, декабрь
прошел без заметных эпидемий почтовых червей, поскольку основной упор
вирусописатели сделали на использование различных уязвимостей в Internet Explorer, а
также создание различных программ-шпионов и Adware.Именно к таким классам
относятся два других новичка нашей статистики - Trojan-Downloader.Win32.Agent.bq и
Trojan-Spy.HTML.Bankfraud.w.

Первый из них был неоднократно разослан миллионам получателей по


электронной почте, и в ходе своей работы устанавливает в зараженную систему
разнообразные программы класса AdWare, а также собирает информацию о
посещаемых пользователем ресурсах.

Второй - типичный представитель становящегося все более популярным класса


"phishing"-программ. Он представляет собой письмо, отправленное якобы от службы
поддержки Washington Mutual Internet Banking, и в лучших традициях социальной
инженерии предлагает срочно зайти на сайт и ввести свои учетные данные для работы с
этой системой интернет-банкинга. Пользователи, нажавшие на ссылку, попадают на
поддельный сайт, визуально совпадающий с оригинальным. Введя на ложном сайте
свои учетные данные, они фактически сами отдают их в руки злоумышленников.

В двадцатке появились 3 новых вредоносных программы: Zafi.d, Agent,bq,


Bankfraud.w.
Повысили свой рейтинг: Zafi.b, Lovgate.w, Sober.i, Netsky.y, Netsky.t, Netsky.d,
Mydoom.l.
Понизили свои показатели: Mydoom.ab, Bagle.at
Не изменились показатели: Netsky.q, Netsky.aa, Netsky.b, Bagle.z, Mydoom.m,
LovGate.ad, Netsky.r, Bagle.gen.

Viirusaktiivsuse ülevaade (detsember 2004)


Protsenti
Koht Muutus Viirus
koguarvust
1 Uus Email-Worm.Win32.Zafi.d 17,85%
2 +2 I-Worm.Zafi.b 13,42%
3 - I-Worm.NetSky.q 10,85%
4 +2 I-Worm.LovGate.w 9,77%
5 - I-Worm.NetSky.aa 9,50%
6 -4 I-Worm.Mydoom.ab 4,69%
7 - I-Worm.NetSky.b 4,46%
8 +6 I-Worm.Sober.i 4,19%
9 - I-Worm.Bagle.z 3,24%
10 - I-Worm.Mydoom.m 1,84%
11 +1 I-Worm.NetSky.y 1,56%
12 -11 I-Worm.Bagle.at 1,29%
13 +4 I-Worm.NetSky.t 1,21%
14 +1 I-Worm.NetSky.d 1,14%
15 +1 I-Worm.Mydoom.l 1,07%
16 Uus TrojanDownloader.Win32.Agent.bq 0,96%
17 Uus Trojan-Spy.HTML.Bankfraud.w 0,87%
18 - I-Worm.LovGate.ad 0,68%
19 - I-Worm.NetSky.r 0,57%
20 - I-Worm.Bagle.gen 0,57%
Muud kahjurprogrammid 9,90%

2004. aasta lõppes üpris ebatavaliselt. Võrguussid perekondadest NetSky, Bagle ja


Mydoom, mis moodustasid 11 kuu jooksul lõviosa kogu edetabelist, tõrjuti armutult välja
Ungari kaksikute Zafi.d ja Zafi.b poolt. Eelkõige võib välja tuua möödunud aasta liidri –
selleks sai juba oktoobris avastatud Zafi.d. Kogu novembrikuu kogus ta usinalt kriitilist
massi, et detsembris end viiruste edetabelis esikohale rebida.

Ei jäänud temast maha ka eelkäija – Zafi.b. Mitme suvekuu kestel oli ta esikohal,
sügisel loovutas oma koha, kuid novembris–detsembris suutis kaotatud koha uuesti kätte
võidelda. Samuti on huvipakkuv, et esmakordselt pika aja järel ei leia reitingu ülemistes
ridades suure kolmiku (Mydoom, Bagle, Netsky) esindajaid.

Novembriliidrid Mydoom.ab ja Bagle.at alustasid oma langust sama hoogsalt kui


tõusugi. Bagle.at langes esikohalt korraga 11 koha võrra, Mydoom.ab aga 4 koha võrra.

Äramärkimist väärib ka Korea ussi LovGate.w jätkuv tõus. Kuu kuu järel kogub ta
lisapunkte ning novembriks oli ta roomanud edetabeli neljanda kohani. Tema uus variant
LovGate.ad jäi püsima oma novembri positsioonile ja tema arengut täpselt ette ennustada pole
praegu võimalik. Tuletame meelde, et neid usse, erinevalt edetabeli teistest asukatest ei
saadetud rämpspostitehnoloogia abil massiliselt miljonitele aadressidele laiali. Ilmselgelt
roomavad nad üle ilma ”klassikaliste” vahendite abil – alates vähesest hulgast arvutitest,
tasapisi tuure kogudes.

Sober.i hakkas uuesti ”vabas looduses” levima. Vaatamata tohutule hulgale oma
koodivea tõttu rikutud koopiatele, suutis ta oodatud kadumise kiuste tõusta reitingus
esikümnesse.

Muud postiussid pole põhimõtteliselt oma näitajaid muutnud. Mõni säilitas senised
positsioonid, mõni tõusis pisut tabelis. Õnneks möödus detsember ilma märgatavate
postiusside poolt tekitatud epideemiateta, kuna viiruseloojad tegid peamise panuse Internet
Exploreri erinevate turvaaukude ärakasutamisele, samuti mitmesuguste spiooniprogrammide
ja Adware’i loomisele. Just sellisesse liiki kuuluvad kaks uustulnukat meie statistikas -
Trojan-Downloader.Win32.Agent.bq ja Trojan-Spy.HTML.Bankfraud.w.

Esimest neist saadeti mitmel korral e-postiga miljonitele adressaatidele. Oma töö
käigus paigaldab ta nakatunud süsteemi mitmesugused Adware-klassi programmid, samuti
kogub teavet arvutikasutaja poolt külastatud ressursside kohta.

Teine neist on üha suuremat populaarsust koguvate ”fishing”-tüüpi programmide


tüüpiline esindaja. Ta kujutab endast kirja, mille on väidetavalt saatnud Washington Mutual
Internet Banking-u tugiteenistus ning soovitab sotsiaalse mõjutamise parimaid traditsioone
järgides minna kähku internetilehele ja sisestada oma andmed, mis on vajalikud selle
internetipangandussüsteemiga töötamiseks. Kasutajad, kes lingile klikkavad, satuvad
libalehele, mis visuaalselt kattub originaaliga. Sisestades oma andmed libalehele, annavad nad
end põhimõtteliselt ise kurjategijate kätesse.

Tabelisse ilmusid kolm uut kahjurprogrammi: Zafi.d, Agent,bq, Bankfraud.w.

Reitingus tõusid: Zafi.b, Lovgate.w, Sober.i, Netsky.y, Netsky.t, Netsky.d, Mydoom.l.

Reitingus langesid: Mydoom.ab, Bagle.at

Kohta ei muutnud: Netsky.q, Netsky.aa, Netsky.b, Bagle.z, Mydoom.m, LovGate.ad,


Netsky.r, Bagle.gen.