Вы находитесь на странице: 1из 4

Обзор вирусной активности - сентябрь 2005

Изменение Доля,
Позиция Вредоносная программа
позиции проценты
1. +3 Email-Worm.Win32.Zafi.d 17,17
2. -1 Net-Worm.Win32.Mytob.c 16,69
3. 0 Email-Worm.Win32.Zafi.b 11,35
4. +4 Email-Worm.Win32.LovGate.w 6,64
5. +1 Email-Worm.Win32.NetSky.b 4,32
6. +5 Net-Worm.Win32.Mytob.q 3,86
7. -2 Net-Worm.Win32.Mytob.bk 3,10
8. -6 Email-Worm.Win32.NetSky.q 2,99
9. +3 Net-Worm.Win32.Mytob.t 2,53
10. +4 Net-Worm.Win32.Mytob.u 2,50
11. +7 Net-Worm.Win32.Mytob.r 2,02
12. -5 Email-Worm.Win32.NetSky.aa 1,59
13. +6 Net-Worm.Win32.Mytob.a 1,56
14. Return Email-Worm.Win32.NetSky.x 1,46
15. Return Net-Worm.Win32.Mytob.y 1,35
16. Return Email-Worm.Win32.LovGate.ae 0,97
17. -8 Net-Worm.Win32.Mytob.be 0,85
18. -3 Email-Worm.Win32.NetSky.t 0,80
19. -9 Net-Worm.Win32.Mytob.bi 0,79
20. Return Net-Worm.Win32.Mytob.x 0,77
Прочие вредоносные программы 16,69

«Вирусный ренессанс» является одним из наиболее интересных явлений в истории вирусных эпидемий.
Очень часто старые, давно появившиеся вирусы, чье время, казалось бы, уже прошло, вдруг вновь
восходят на вершину хит-парадов и заставляют антивирусных экспертов строить различные догадки о
причинах столь неожиданных «возрождений».Типичным примером подобного процесса является вирусная
двадцатка сентября этого года.
Тотальное наступление червей Mytob внезапно сменилось относительным затишьем. Причины этого
достаточно очевидны. Во-первых, это обнаружение в августе 2005 года очередной уязвимости в Microsoft
Windows (в службе Plug'n'Play) MS05-039, что моментально изменило вектор приложения усилий
вирусописателей в сторону сетевых, а не почтовых червей, которые традиционно служили объектами
рассмотрения «двадцаток». Во-вторых, упомянутая атака Mytob привлекла внимание и
правоохранительных органов, результатом чего стал арест в Марокко и Турции двух молодых людей,
которые обвиняются в создании червей семейства Mytob. Являются ли они истинными авторами
программы, покажет следствие, но уже сейчас можно констатировать тот факт, что в сентябре, после
ареста, количество новых вариантов Mytob снизилось весьма значительно, хотя и не до нулевой отметки.
На этом фоне и случилось основное событие сентябрьской двадцатки — смена лидера. Вопреки всем
ожиданиям и логике, им стал Zafi.d. Данный червь впервые был обнаружен в октябре 2004 года и в хит-
парадах декабря 2004—января 2005 года уже лидировал. Затем он постепенно снижал свои показатели и
в августе 2005 года занимал всего 6% от общего вирусного трафика. Сентябрьский рост на 3 позиции до
11% стал «вторым рождением» вируса и продемонстрировал, что сдавать позиции этот венгерский червь
не собирается.
Третье место удержал еще один представитель семейства Zafi – Zafi.b. Возможно, это как-то связано с
обнаружением совершенно нового червя Zafi.e в конце сентября. Новых представителей этой группы
вредоносного ПО специалисты не регистрировали почти год, и вот неожиданно произошло пополнение
семейства. С большой долей вероятности можно ожидать, что и Zafi.e скоро станет традиционным
участником вирусных отчетов «Лаборатории Касперского».
Отдельного рассмотрения заслуживает ситуация вокруг самого распространенного и опасного семейства
червей прошлого года – NetSky. Этим летом они вели весьма упорную войну с червями Mytob за долю в
почтовом трафике и, похоже, ее проиграли. Нынешние показатели лидера прошлого года NetSky.q — 8
место, 2.99%, минус 6 позиций за месяц — свидетельствуют о том, что в вирусной двадцатке наступает
перелом и, несмотря на пятое место еще одного представителя NetSky – варианта .b, в скором времени
этот клан может покинуть пределы первой десятки.
Продолжает удивлять LovGate.w: 2004 год – стабильные показатели в пределах десятки, 2005 год –
падение до 15 места в июле и ожидание полного исчезновения, но вышло наоборот. Август – 8-е место,
сентябрь – уже четвертое. А ведь кроме него в двадцатке оказался еще один LovGate — .ae, неведомо как
попавший в список сентябрьских «возвращенцев», где кроме него находятся еще один NetSky и два Mytob.
Семейство последних ведет ротацию своего состава. Практически все варианты, попавшие в двадцатку за
последнюю пару месяцев, увеличили свою долю присутствия. В то же время, подавляющее большинство
вариантов, появившихся в рейтинге еще в начале лета или весной этого года, снижают свои показатели.
Относительно стабильным остается только положение Mytob.c, а вот Mytob.q начинает вплотную
подбираться к вершине вирусного хит-парада.
В целом же, конечно, клан Mytob удерживает доминирующие позиции и занимает больше половины всех
строчек в двадцатке – 11 мест.
В сентябре было обнаружено более двух десятков новых вариантов червя Bagle. В отдельные дни они
причиняли значительное беспокойство антивирусным компаниям, появляясь партиями по 5-6 вариантов
всего за пару часов. Казалось бы, подобная активность и «успех» червей данного семейства в прошлом
должны были найти свое отражение в сентябрьском хит-параде. Однако этого не произошло. Трудно
определить истинную причину подобного снижения темпов распространения. Их может быть много: и
оперативная реакция антивирусных компаний, погасивших эпидемию в стадии зарождения, и
внимательность пользователей, не запускавших присланных им копий червя, и ошибки в его коде, из-за
которых он мог не работать на некоторых системах. Скорее всего, барьер на пути победного шествия
Bagle воздвигла совокупность всех перечисленных факторов. Однако не стоит ослаблять внимание,
поскольку авторы этого червя известны своей склонностью к регулярной организации таких
кратковременных эпидемий.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент
(16,69) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих
червей и троянских программ, относящихся к другим семействам.

Итоги сентября:

• В двадцатке не появилось новых вредоносных программ.


• В двадцатку вернулись: NetSky.x, Mytob.y, LovGate.ae, Mytob.x.
• Повысили свой рейтинг: Zafi.d, LovGate.w, NetSky.b, Mytob.q, Mytob.t, Mytob.u, Mytob.r, Mytob.a.
• Понизили свои показатели: Mytob.c, Mytob.bk, NetSky.q, NetSky.aa, Mytob.be, NetSky.t, Mytob.bi.
• Не изменились показатели: Zafi.b.
Kahjurprogrammide Top 20. September 2005

Koha Protsenti
Koht Kahjurprogramm
muutus üldarvust
1. +3 Email-Worm.Win32.Zafi.d 17,17
2. -1 Net-Worm.Win32.Mytob.c 16,69
3. 0 Email-Worm.Win32.Zafi.b 11,35
4. +4 Email-Worm.Win32.LovGate.w 6,64
5. +1 Email-Worm.Win32.NetSky.b 4,32
6. +5 Net-Worm.Win32.Mytob.q 3,86
7. -2 Net-Worm.Win32.Mytob.bk 3,10
8. -6 Email-Worm.Win32.NetSky.q 2,99
9. +3 Net-Worm.Win32.Mytob.t 2,53
10. +4 Net-Worm.Win32.Mytob.u 2,50
11. +7 Net-Worm.Win32.Mytob.r 2,02
12. -5 Email-Worm.Win32.NetSky.aa 1,59
13. +6 Net-Worm.Win32.Mytob.a 1,56
14. Tagasi Email-Worm.Win32.NetSky.x 1,46
15. Tagasi Net-Worm.Win32.Mytob.y 1,35
16. Tagasi Email-Worm.Win32.LovGate.ae 0,97
17. -8 Net-Worm.Win32.Mytob.be 0,85
18. -3 Email-Worm.Win32.NetSky.t 0,80
19. -9 Net-Worm.Win32.Mytob.bi 0,79
20. Tagasi Net-Worm.Win32.Mytob.x 0,77
Muud kahjurprogrammid 16,69

Viiruste renessanss on üks huvitavamaid nähtusi viiruseepideemiate ajaloos. Väga tihti tõusevad vanad,
ammukadunud viirused, kelle aeg oleks nagu möödunud, uuesti tabelite tippu ja sunnivad viirusetõrjeanalüütikuid
välja mõtlema erinevaid versioone sellise ootamatu taassünni põhjuste kohta. Taolise protsessi tüüpiliseks näiteks
on selle aasta septembrikuu kahjurprogrammide TOP20.
Mytob´i usside totaalne pealetung vahetus äkki suhtelise vaikusega, mille põhjused on küllaltki ilmsed. Esiteks
avastati selle aasta augustis Microsoft Windowsi järjekordne turvaauk (teenuses Plug’n’Play) MS05-039, mis
suunas viirusekirjutajate jõupingutused kohe võrguusside, mitte aga postiusside loomisele. Viimased olid
traditsiooniliselt edetabelite vaatlusobjektideks. Teiseks tõmbas ülalmainitud Mytob´i rünnak endale ka
õiguskaitseorganite tähelepanu. Selle tulemuseks oli Marokos ja Türgis kahe noormehe arreteerimine, keda
süüdistati ussiperekonna Mytob loomises. Kas nad on selle kahjurprogrammi tõelised autorid, näitab juurdlus,
kuid juba nüüd võib konstateerida fakti, et septembris, pärast aresti, vähenes Mytob´i uute variantide hulk
märgatavalt, ehkki mitte päris nullini.
Sellel foonil toimuski septembri tabeli põhisündmus – liidri vahetus. Vastupidiselt kõikidele ootustele ja loogikale
sai selleks Zafi.d. See uss avastati esmakordselt 2004. aasta oktoobris ning oli 2004.aasta detsembrist kuni 2005.
aasta jaanuarini tabelis liidripositsioonil. Seejärel tema näitajad järk-järgult langesid ning 2005. aasta augustis
hõivas ta vaid 6% kogu viiruseliiklusest. Septembri kasv kolme koha võrra kuni 11%-ni sai viiruse taasünniks ning
demonstreeris, et positsioone see Ungari uss niisama lihtsalt käest ei anna.
Kolmandat kohta hoiab veel üks Zafi perekonna esindaja – Zafi.b. Võimalik, et see on kuidagi seotud täiesti uue
ussi – Zafi.e avastamisega septembri lõpus. Pea aasta jooksul ei registreerinud spetsialistid selle
kahjurprogrammide grupi uusi esindajaid, kuid järsku perekond täienes. Üsna kindlalt võib väita, et Zafi.e saab
varsti Kaspersky Lab´i edetabeli traditsiooniliseks liikmeks.
Eraldi ülevaadet väärib eelmise aasta kõige levinuma ja ohtlikuma perekonna – NetSky ümber tekkinud
situatsioon. Sel suvel sõdis see visalt perekonnaga Mytob osaluse eest postiliikluses ning näib, et kaotas.
Eelmise aasta liidri NetSky.q praegused näitajad – 8 koht, 2,99%, miinus kuus kohta kuu jooksul – tunnistavad
seda, et tabelis saabub murrang ja vaatamata veel ühe NetSky esindaja – variant .b - viiendale kohale, lahkub
see klann tabeli esikümnest.
Jätkuvalt hämmastab LovGate.w: 2004. aasta – stabiilsed näitajad esikümnes, 2005. aasta - langus 15. kohale
juulis ja oodatav täielik kadu, kuid juhtus teisiti. Augustis kaheksas koht, septembris juba neljas. Kuid koos
temaga jäi tabelisse veel üks LovGate - .ae, tont teab kuidas septembrikuu naasjate hulka sattunud. Tagasitulijate
hulgas on peale tema veel üks NetSky ja kaks Mytob´i.
Mytob´is toimub pereliikmete rotatsioon. Tegelikult kõik viimase paari kuu jooksul tabelisse sattunud variandid
suurendasid oma osalust. Samas vähendas oma näitajaid suurem osa selle aasta kevadel ja suve algul tabelisse
sattunud variantidest. Suhteliselt stabiilseks on jäänud vaid Mytob.c positsioon, aga Mytob.q alustab kiiret tõusu
tabeli ülaossa.
Tervikuna hoiab perekond Mytob muidugi juhtpositsiooni ning hõivab rohkem kui poole tabelikohtadest – 11 kohta.
Septembris avastati rohkem kui kakskümmend Bagle´i uut varianti. Mõnel päeval häirisid nad tõsiselt
viirusetõrjefirmasid, ilmudes 5-6 variandiliste partiidena kõigest paari tunni jooksul. Tundus, et selle perekonna
usside taoline aktiivsus ja minevikuedu peaks kajastuma juba septembritabelis, kuid seda ei juhtunud. Raske on
leida levikutempo niisuguse languse tõelist põhjust. Põhjusi võib olla mitu: viirusetõrjefirmade operatiivne
reageering, mis lämmatas epideemia juba selle algjärgus, ja kasutajate tähelepanelikkus, (ei käivitanud neile
saadetud ussi koopiat) ning vead ussi koodis, mille tõttu ta ei saanud mõnedes süsteemides töötada. Tõenäoliselt
said takistuseks Bagle´i võidukäigul kõik ülalnimetatud põhjused. Kuid valvsust ei tohi kaotada, kuna ussi autorid
on tuntud oma kalduvusega korraldada regulaarselt sellised lühiajalisi epideemiaid.

Postiliikluses esindatud ülejäänud kahjurprogrammid moodustasid tabatute üldarvust märkimisväärse osa


(16,69%), mis näitab teistest perekondadest pärit usside ja trooja programmide küllalt suurt hulka.

Septembrikuu kokkuvõte:

• Tabelisse ei ilmunud ühtegi uut kahjurprogrammi.


• Uuesti tabelis: NetSky.x, Mytob.y, LovGate.ae, Mytob.x.
• Reitingus tõusid: Zafi.d, LovGate.w, NetSky.b, Mytob.q, Mytob.t, Mytob.u, Mytob.r, Mytob.a.
• Reitingus langesid: Mytob.c, Mytob.bk, NetSky.q, NetSky.aa, Mytob.be, NetSky.t, Mytob.bi.
• Kohta ei muutnud: Zafi.b.