Вы находитесь на странице: 1из 4

Top 20 вредоносных программ за апрель 2005

Change in
Position Name Percentage
position
1. +3 Net-Worm.Win32.Mytob.c 27.80
2. -1 Email-Worm.Win32.NetSky.q 16.53
3. -1 Email-Worm.Win32.NetSky.aa 6.05
4. -1 Email-Worm.Win32.NetSky.b 5.77
5. - Email-Worm.Win32.Lovgate.w 3.65
6. +1 Email-Worm.Win32.Zafi.b 3.45
7. New Net-Worm.Win32.Mytob.q 3.29
8. -2 Email-Worm.Win32.Zafi.d 2.89
9. New Net-Worm.Win32.Mytob.u 2.42
10. -1 Email-Worm.Win32.NetSky.d 2.17
11. -1 Email-Worm.Win32.Mydoom.l 1.99
12. -4 Email-Worm.Win32.Mydoom.m 1.82
13. -1 Email-Worm.Win32.NetSky.x 1.47
14. New Net-Worm.Win32.Mytob.r 1.42
15. -1 Email-Worm.Win32.NetSky.t 1.25
16. -5 Email-Worm.Win32.NetSky.y 1.15
17. New Net-Worm.Win32.Mytob.t 1.06
18. New Net-Worm.Win32.Mytob.h 1.01
19. -6 Email-Worm.Win32.NetSky.r 0.98
20. -5 Email-Worm.Win32.Bagle.ai 0.81
Other malicious programs 13.02

В вирусной двадцатке наконец случилось давно ожидаемое и прогнозируемое


событие. Лидирующую позицию занял представитель многочисленного семейства
сетевых червей, созданных в 2005 году, – Mytob. Обнаруженный 4 марта червь Mytob.c
смог за два месяца оттеснить с первой строчки лидера 2004 года – NetSky.q, причем эта
смена лидера фактически произошла еще в конце марта.

Буквально с первых дней своего появления Mytob.c показал, что пришел всерьез
и надолго. Основанный на исходных кодах червя Mydoom.a, он также содержит в себе
функцию размножения по сетям при помощи уязвимости LSASS, кроме того, он имеет
бот-функционал, что и отражено в его названии, данном антивирусными компаниями, –
My(doom) + tob(bot наоборот).

Двойной способ размножения делает невозможным быстрое устранение


эпидемии только путем обнаружения и удаления червя в почтовом трафике на крупных
почтовых узлах. Для решения "проблемы Mytob” необходимо, чтобы как можно
большее число пользователей установило критические обновления для ОС Windows,
закрывающие уязвимость в LSASS.

Тревогу вызывает и тот факт, что Mytob.c пришел не один. Кроме него в
апрельской 20-ке находятся еще 5(!) представителей данного семейства, что делает его
вторым по представительству в нашем вирусном хит-параде после Netsky (8 вариантов).
Отметим, что NetSky для достижения таких показателей понадобилось несколько
месяцев, тогда как Mytob добился этого за месяц.

Несомненно, данное семейство червей будет еще долгое время представлено в


наших отчетах, да и авторы этих червей не снижают активности (по состоянию на
конец апреля новый вариант появлялся раз в два дня). Впрочем, практически все новые
варианты не отличаются большими изменениями в функционале. Фактически все
отличия между ними сводятся в изменении программы-упаковщика файлов червя.
Авторы пытаются именно таким образом обойти большинство антивирусных сканеров.

Семейство Mytob, конечно же, было не единственными червями, появившимися


в апреле 2005 года. Было зафиксировано несколько локальных вспышек эпидемий,
вызванных новыми представителями семейств Sober и Bagle, однако по ряду причин
(ошибки в коде, быстрая реакция антивирусных компаний) никому из них не удалось
даже попасть в число 20 наиболее распространенных в почтовом трафике вредоносных
программ.

Все остальные представители данного рейтинга уступили в массе своей натиску


наглых новичков Mytob (рост на один пункт отмечен только у Zafi.b) и потеряли
несколько позиций в рейтинге. Не появилось в двадцатке и новых экземпляров из числа
различных активно прогрессировавших в прошлые месяцы фишинг-рассылок (Trojan-
Spy.HTML) или Trojan-Downloader. Это вызывает определенное удивление, поскольку
рассылки подобных программ встречаются довольно часто. Видимо, их авторы не
нацелены на слишком большую массовость этих рассылок, отдавая предпочтение
«таргетингу»: либо атакуя клиентов конкретного банка, либо рассылая троянские
программы исключительно по адресам в одной доменной зоне (например, .ua).

Прочие вредоносные программы, представленные в почтовом трафике,


составили значительный процент (13.02%) от общего числа перехваченных, что
свидетельствует о достаточно большом количестве прочих червей и троянских
программ, относящихся к другим семействам.

В двадцатке появились 5 новых вредоносных программ: Mytob.q, Mytob.u,


Mytob.r, Mytob.t, Mytob.h

Повысили свой рейтинг: Mytob.c, Zafi.b


Понизили свои показатели: NetSky.q, NetSky.aa, NetSky.b, Zafi.d, NetSky.d,
Mydoom.l, Mydoom.m, NetSky.x, NetSky.t, NetSky.y, NetSky.r, Bagle.ai
Не изменились показатели: LovGate.w

Kahjurprogrammide Top 20. Aprill 2005


Positsiooni Protsenti
Positsioon Nimetus
muutus üldarvust
1. +3 Net-Worm.Win32.Mytob.c 27.80
2. -1 Email-Worm.Win32.NetSky.q 16.53
3. -1 Email-Worm.Win32.NetSky.aa 6.05
4. -1 Email-Worm.Win32.NetSky.b 5.77
5. - Email-Worm.Win32.Lovgate.w 3.65
6. +1 Email-Worm.Win32.Zafi.b 3.45
7. Uus Net-Worm.Win32.Mytob.q 3.29
8. -2 Email-Worm.Win32.Zafi.d 2.89
9. Uus Net-Worm.Win32.Mytob.u 2.42
10. -1 Email-Worm.Win32.NetSky.d 2.17
11. -1 Email-Worm.Win32.Mydoom.l 1.99
12. -4 Email-Worm.Win32.Mydoom.m 1.82
13. -1 Email-Worm.Win32.NetSky.x 1.47
14. Uus Net-Worm.Win32.Mytob.r 1.42
15. -1 Email-Worm.Win32.NetSky.t 1.25
16. -5 Email-Worm.Win32.NetSky.y 1.15
17. Uus Net-Worm.Win32.Mytob.t 1.06
18. Uus Net-Worm.Win32.Mytob.h 1.01
19. -6 Email-Worm.Win32.NetSky.r 0.98
20. -5 Email-Worm.Win32.Bagle.ai 0.81
Muud kahjurprogrammid 13.02

Viiruste edetabelis toimus lõpuks kaua oodatud ja ennustatud sündmus. Liidrirolli


hõivas 2005. aastal loodud arvuka võrguusside perekonna Mytob esindaja. Uss Mytob.c
avastati 4. märtsil ning kahe kuu jooksul suutis ta 2004. aasta liidrikohalt välja tõrjuda
NetSky.q, kusjuures liidrivahetus toimuski tegelikult märtsi lõpus.

Juba oma esimestest päevadest näitab Mytob.c, et ta tuli kauaks ja tõsiste


kavatsustega. Põhinedes ussi Mydoom.a lähtekoodil, sisaldab ta ka võrgus levimise
funktsiooni turvaaugu LSASS kaudu. Peale selle on tal veel bot-funktsioon, mis kajastub tema
viirusetõrjefirmade poolt antud nimetuseski - My(doom) + tob(bot tagurpidi).

Topelt levivõime teeb võimatuks epideemia kiire likvideerimise ainult ussi avastamise
ja kõrvaldamise teel postiliiklusest suurtes postisõlmedes. Mytob-i probleemi lahendamiseks
on vajalik, et võimalikult suur hulk arvutikasutajaid paigaldaks operatsioonisüsteemi
Windows kriitilised uuendused, mis lapiksid LSASS turvaaugu.

Muret tekitab ka fakt, et Mytob.c ei tulnud üksi. Peale tema asub aprillikuises tabelis
veel viis (!) sama pere esindajat, mis tõstab selle perekonna meie viiruste hittparaadis
arvukuselt teisele kohale Netsky (8 varianti) järel. Tuleb märkida, et selliste näitajate
saavutamiseks läks Netsky-l vaja mitu kuud Mytob-i ühe kuu vastu.

Kahtlemata jääb nimetatud ussiperekond veel kauaks meie aruandeisse pidama ja


pealegi on tema autorid endiselt aktiivsed (aprilli lõpuni ilmus uus variant iga kahe päeva
järel). Siiski ei erine uued variandid suurte funktsioonimuutuste poolest. Enam-vähem kõik
omavahelised erinevused seisnevad ussi failipakkimisprogrammi muutustes. Autorid püüavad
just sel teel vältida enamikku viirusetõrjeskannereid.

Loomulikult ei olnud Mytob-i pesakonna ussid ainsad, mis ilmusid 2005. aasta aprillis.
Fikseeriti mitu kohalikku epideemiapuhangut, mille kutsusid esile perekondade Sober ja
Bagle uued liikmed, kuid mitmel põhjusel (koodivead, viirusetõrjefirmade kiire reageering) ei
õnnestunud neist ühelgi pääseda 20 postiliikluses enamlevinud kahjurprogrammi hulka.

Kõik selle reitingu ülejäänud esindajad jäid arvukuselt alla ülbetele uustulnukatele -
Mytob-idele (ainult Zafi.b puhul märgiti ühepunktist tõusu) ja kaotasid reitingus mitu kohta.
Edetabelisse ei tulnud ka eelmistel kuudel aktiivselt progresseerunud erinevate fishing-
saadetiste (Trojan-Spy.HTML) või Trojan-Downloader uusi eksemplare. See tekitab
mõnevõrra hämmingut, kuna taoliste programmide saadetisi esineb küllalt tihti. Nähtavasti ei
taotle nende autorid saadetiste liigsuurt massi ja eelistavad ”eesmärgindust” - nad kas
ründavad konkreetse panga kliente või saadavad trooja programme ainult ühe doomenitsooni
(näiteks .ua) aadressidele.

Ülejäänud postiliikluses esindatud kahjurprogrammid moodustasid märkimisväärse


osa (13,02%) tabatute üldarvust, mis tunnistab teistest perekondadest pärit usside ja trooja
programmide küllalt suurt hulka.

Tabelisse ilmusid viis uut kahjurprogrammi: Mytob.q, Mytob.u, Mytob.r, Mytob.t,


Mytob.h

Reitingus tõusid: Mytob.c, Zafi.b

Reitingus langesid: NetSky.q, NetSky.aa, NetSky.b, Zafi.d, NetSky.d, Mydoom.l,


Mydoom.m, NetSky.x, NetSky.t, NetSky.y, NetSky.r, Bagle.ai

Kohta ei muutnud: LovGate.w

Оценить