Обзор вирусной активности — июль 2005

«Лаборатория Касперского» предлагает вашему вниманию обзор вирусной активности за июль 2005 года.

Изменение Доля,
Позиция Вредоносная программа
позиции проценты
1. +1 Email-Worm.Win32.NetSky.q 14,67
2. -1 Net-Worm.Win32.Mytob.c 13,58
3. +5 Email-Worm.Win32.Zafi.b 8,01
4. -1 Email-Worm.Win32.Zafi.d 6,54
5. -1 Net-Worm.Win32.Mytob.be 6,12
6. 0 Net-Worm.Win32.Mytob.bk 6,07
7. -2 Email-Worm.Win32.NetSky.aa 4,41
8. New! Net-Worm.Win32.Mytob.bt 2,65
9. -1 Email-Worm.Win32.NetSky.b 2,52
10. +8 Net-Worm.Win32.Mytob.bi 2,11
11. +3 Net-Worm.Win32.Mytob.au 1,85
12. Return Email-Worm.Win32.NetSky.d 1,73
13. -1 Net-Worm.Win32.Mytob.u 1,62
14. -4 Net-Worm.Win32.Mytob.ar 1,59
15. -8 Email-Worm.Win32.LovGate.w 1,59
16. -5 Net-Worm.Win32.Mytob.q 1,37
17. -1 Net-Worm.Win32.Mytob.t 1,30
18. -1 Email-Worm.Win32.Mydoom.l 1,20
19. Return Email-Worm.Win32.Mydoom.m 1,17
20. Return Email-Worm.Win32.Bagle.ah 1,04
Остальные вредоносные программы 18,86

Удивительные вещи происходят порой в мире компьютерных вирусов. Казалось бы, только заметишь
устоявшуюся тенденцию появления нового поколения сетевых червей и постепенное исчезновение
ветеранов вирусных рейтингов, как «старички» вновь напоминают о себе, причем весьма уверенно.
Нечто подобное случилось в июле. Три месяца на вершине «двадцатки» находился Mytob.c, сместивший с
«трона» лидера 2004 года — NetSky.q. Появлялись все новые и новые варианты червей семейства Mytob,
и такими темпами «вирусная двадцатка» могла довольно скоро превратиться в топ из двадцати Mytob.
Но внезапно все изменилось. NetSky.q вновь оккупировал первую строчку, своеобразным способом
«отметив» вынесение гуманного судебного приговора своему автору Свену Яшану. Несмотря на то, что в
двадцатке появился еще один новый представитель Mytob, общее их число сократилось с 13 до 10. И
потеснили их как раз не новые черви, а именно «ветераны» из ставших уже классическими семейств
Bagle, Zafi, Mydoom и тех же NetSky.
Второй месяц подряд продолжают удивлять Zafi. В июне показатель Zafi.d вырос на 6 пунктов, что вывело
его на третье место в рейтинге. В июле абсолютно идентичная ситуация случилась с Zafi.b: рост на 5
пунктов и то же самое третье место. Таким образом, уже два венгерских червя-полиглота (они рассылают
зараженные письма на более чем полутора десятках европейских языков) находятся в пределах первой
пятерки. У нас по-прежнему нет четкого объяснения данному факту.
Новичок в рейтинге всего один — Mytob.bt. Вариант «bt» практически ничем не отличается от своих
предшественников. Авторы Mytob (самоназвание — HELLBOT) продолжают экспериментировать с
программами-упаковщиками, стараясь затруднить детектирование, или просто меняют функционал бота, а
также список используемых для управления IRC-каналов (старые довольно оперативно закрываются
администрацией IRC-серверов).
Черви семейства Mytob уверенно чувствуют себя в первой десятке, занимая 2, 5, 6, 8 и 10 места.
Замыкает десятку Mytob.bi, который стал одним из лидеров месяца по росту показателя — плюс 8 мест.
Такой же показатель, только со знаком минус у старожила LovGate.w. Если тенденция падения LovGate.w
продолжится, то в следующем месяце мы этого корейского червя уже не увидим.
Но наибольший интерес представляет трио вернувшихся в «двадцатку» червей. Именно они стали
причиной потери ряда позиций Mytob, и именно они заняли места трех вытесненных ими Mytob.
В первую очередь это NetSky.d. Замеченный последний раз в мае, на 15-ой позиции, в июне он
окончательно покинул пределы двадцатки, чтобы триумфально вернуться сразу на 12-ое место. Четыре
представителя семейства NetSky — на первом, седьмом, девятом и двенадцатом местах. Остается еще
раз удивиться неожиданной гуманности немецкого суда, приговорившего Свена Яшана к 18-и месяцам
условного заключения и 30-и часам общественных работ.
Два других «возвращенца» находятся в самом конце рейтинга на 19-м и 20-м местах, однако если падение
Mytob продолжится, то не исключено, что они смогут «забраться» и повыше.
Mydoom.m — один из «старших братьев» семейства Mytob. Все они основываются на одних и тех же
исходных кодах Mydoom.a и являются наглядным примером того, к каким последствиям может привести
публикация исходных текстов вирусов в интернете. Это не менее опасно, а фактически и более вредно,
чем просто распространение одного вируса или червя, потому что это дает толчок массе других
вирусописетелей для использования исходных текстов в своих вредоносных программах. Кто знает, если
бы в феврале 2004 года исходные коды Mydoom.a не были бы распространены их автором в интернете,
насколько сильно бы изменилась вирусная ситуация. Понятно, что никаких новых Mydoom и Mytob в
рейтинге бы не было.
Замыкает «двадцатку» один из многочисленных Bagle — на этот раз это Bagle.ah. В июле исполнился год с
момента его обнаружения. Еще один необъяснимый всплеск активности старого, хорошо известного
вируса.
Остальные вредоносные программы, представленные в почтовом трафике, составили значительный
процент (18,86%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве
прочих червей и троянских программ, относящихся к другим семействам.

Итоги июля

• В двадцатке появилась 1 новая вредоносная программа — Mytob.bt.

• В двадцатку вернулись NetSky.d, Mydoom.m и Bagle.ah.
• Повысили свой рейтинг NetSky.q, Zafi.b, Mytob.bi и Mytob.au.
• Понизили свои показатели Mytob.c, Zafi.d, Mytob.be, NetSky.aa, NetSky.b, Mytob.u, Mytob.ar,
LovGate.w, Mytob.q, Mytob.u, Mytob.t и Mydoom.l.
• Не изменились показатели у Mytob.bk.
 Kahjurprogrammide Top 20. Juuli 2005

KOht Kohamuutus Nimetus Protsent

1. +1 Email-Worm.Win32.NetSky.q 14,67
2. -1 Net-Worm.Win32.Mytob.c 13,58
3. +5 Email-Worm.Win32.Zafi.b 8,01
4. -1 Email-Worm.Win32.Zafi.d 6,54
5. -1 Net-Worm.Win32.Mytob.be 6,12
6. 0 Net-Worm.Win32.Mytob.bk 6,07
7. -2 Email-Worm.Win32.NetSky.aa 4,41
8. Uus! Net-Worm.Win32.Mytob.bt 2,65
9. -1 Email-Worm.Win32.NetSky.b 2,52
10. +8 Net-Worm.Win32.Mytob.bi 2,11
11. +3 Net-Worm.Win32.Mytob.au 1,85
12. Uuesti tabelis Email-Worm.Win32.NetSky.d 1,73
13. -1 Net-Worm.Win32.Mytob.u 1,62
14. -4 Net-Worm.Win32.Mytob.ar 1,59
15. -8 Email-Worm.Win32.LovGate.w 1,59
16. -5 Net-Worm.Win32.Mytob.q 1,37
17. -1 Net-Worm.Win32.Mytob.t 1,30
18. -1 Email-Worm.Win32.Mydoom.l 1,20
19. Uuesti tabelis Email-Worm.Win32.Mydoom.m 1,17
20. Uuesti tabelis Email-Worm.Win32.Bagle.ah 1,04
Muud kahjurprogrammid 18,86

Mõnikord toimuvad viiruste maailmas imetabased asjad. Tundub, et oled just märganud võrguusside uue
põlvkonna ilmumist ja püsima jäämist ning edetabeli veteranide vaikset hääbumist, kui vanakesed annavad
endast jälle üsna enesekindlalt märku.

Midagi sarnast juulis juhtuski. Kolm kuud oli tabeli tipus Mytob.c, olles eelnevalt troonilt tõuganud 2004. aasta liidri
NetSky.q. Ilmusid uha uued ja uued variandid Mytob´i perekonna ussidest ning sellise tempoga oleks viiruste TOP
20 muutunud üsna pea Mytob´i edetabeliks.

Kuid kõik muutus ootamatult. NetSky.q hõivas uuesti esikoha, tähistades sellega omamoodi oma autorile - Sven
Jaschan´ile - välja kuulutatud humaanset kohtuotsust. Vaatamata sellele, et tabelisse ilmus veel üks Mytob´i
esindaja, vähenes nende koguarv 13-lt 10-le. Ja tabelist ei tõrjunud neid välja mitte uued ussid, vaid just veteranid
klassikalistest perekondadest nagu Bagle, Zafi, Mydoom ja NetSky.

Teist kuud järjest üllatab meid Zafi. Juunis tõusis Zafi.d näitaja kuue punkti võrra, mis viis ta tabelis kolmandale
kohale. Juulis juhtus täpselt sama lugu Zafi.b-ga: tõus viie punkti võrra ja ka kolmandale kohale. Sellisel moel on
juba kaks Ungari päritolu polüglotist ussi (nad saadavad nakatunud kirju laiali pea kahekümnes Euroopa keeles)
meie tabeli esiviisikus. Me ei oska siiani seda fakti rahuldavalt seletada.

Uustulnukaid on tabelis vaid üks – Mytob.bt. Variant .bt ei erine tegelikult millegagi oma eelkäijatest. Mytob´i
autorid (ise nad nimetavad end – HELLBOT) jätkavad tuvastuse raskendamiseks eksperimente erinevate
pakkimisprogrammidega või siis muudavad boti funktsionaalsust, samuti juhtimiseks vajalike uute IRC-kanalite
nimekirja (vanad kanalid suletakse suhteliselt kiiresti IRC-serverite administraatorite poolt).

Mytob´i perekonda esindavad ussid tunnevad end kindlalt esikümnes, hõivates vastavalt 2, 5, 6, 8 ja 10 koha.
Esikümne sulgeb Mytob.bi, mis sai sellel kuul liidriks näitajate tõusu poolest – pluss kaheksa kohta. Samasugune
näitaja, ainult et miinusmärgiga, on tabeli veteranil – ussil Lovgate.w. Kui LowGate´i langustrend jätkub, siis me
seda Korea päritolu ussi järgmisel kuul enam tabelis ei näe.

Kuid kõige rohkem pakub huvi tabelisse tagasipöördunud ussikolmik. Just nemad põhjustasid Mytob´i
positsioonide kao ja just nemad hõivasid nende poolt väljatõrjutud kolme Mytob´i kohad.

Eelkõige on see NetSky.d. Märgatud viimati maikuu tabeli 15. kohal, kadus ta juunikuisest tabelist sootuks, et siis
võidukalt tabeli 12. kohale naasta. Tabelis on neli NetSky perekonna esindajat – esimesel, seitsmendal,
üheksandal ja kaheteistkümnendal kohal. Jääb üle vaid imestada Saksa kohtu ootamatu humaansuse üle: Sven
Jaschan´it karistati 18-kuulise tingimisi vangistuse ja 30 tunni ühiskondlikult kasuliku tööga.

Kaks ülejäänud tagasipöördujat asuvad tabeli viimastel kohtadel, kuid, kui Mytob´i langus jätkub, pole välistatud
ka nende liikumine ülespoole.

Mydoom.m on üks Mytob´i pere vanematest vennastest. Kõik nad põhinevad ühel ja samal Mydoom.a lähtekoodil
ja on selle ilmekaks näiteks, mis juhtub siis, kui viiruse lähtekood internetis avaldada. See pole vähem ohtlik ja on
isegi kahjulikum, kui lihtsalt ühe ussi või viiruse levitamine, sest annab paljudele viirusekirjutajatele tõuke selle
lähtekoodi kasutamiseks oma kahjurprogrammides. Kes teab, kuidas oleks muutunud viirussituatsioon, kui
Mydoom´i autor poleks oma viiruse lähtekoodi internetis levitanud. Arusaadavalt poleks mingeid uusi Mydoom´e
ja Mytob´e reitingus olnud.

Edetabeli sulgeb üks Bagle´i arvukatest variantidest – seekord on selleks Bagle.ah. Juulis täitub aasta tema
avastamisest. Vana ja hästi tuntud viiruse veel üks aktiivsusevälgatus.

Postiliikluses esindatud ülejäänud kahjurprogrammid moodustasid tabatute üldarvust märkimisväärse osa

(18,86%), mis näitab teistest perekondadest pärit usside ja trooja programmide küllalt suurt hulka.

Juulikuu kokkuvõte

Tabelisse ilmus üks uus kahjurprogramm: Mytob.bt.

Tabelisse pöördusid tagasi: NetSky.d, Mydoom.m ja Bagle.ah.

Reitingus tõusid: NetSky.q, Zafi.b, Mytob.bi ja Mytob.au.

Reitingus langesid: Mytob.c, Zafi.d, Mytob.be, NetSky.aa, NetSky.b, Mytob.u, Mytob.ar, LovGate.w, Mytob.q,
Mytob.u, Mytob.t ja Mydoom.l.

Kohta ei muutnud: Mytob.bk.