Вы находитесь на странице: 1из 4

Обзор вирусной активности - октябрь 2005

Изменение Доля,
Позиция Вредоносная программа
позиции проценты
1. +1 Net-Worm.Win32.Mytob.c 14,56
2. New! Email-Worm.Win32.Doombot.b 10,27
3. -2 Email-Worm.Win32.Zafi.d 7,92
4. +15 Net-Worm.Win32.Mytob.bi 6,80
5. -1 Email-Worm.Win32.LovGate.w 5,27
6. +2 Email-Worm.Win32.NetSky.q 3,66
7. New! Email-Worm.Win32.Doombot.d 3,27
8. -3 Email-Worm.Win32.NetSky.b 3,08
9. -2 Net-Worm.Win32.Mytob.bk 3,03
10. -1 Net-Worm.Win32.Mytob.t 2,51
11. +4 Net-Worm.Win32.Mytob.y 2,35
12. +5 Net-Worm.Win32.Mytob.be 2,22
13. -7 Net-Worm.Win32.Mytob.q 2,10
14. -4 Net-Worm.Win32.Mytob.u 2,08
15. -12 Email-Worm.Win32.Zafi.b 1,59
16. New! Email-Worm.Win32.Fanbot.f 1,46
17. New! Email-Worm.Win32.Bagle.dx 1,24
18. New! Trojan-Spy.HTML.Bayfraud.hn 1,22
19. -8 Net-Worm.Win32.Mytob.r 1,20
20. -8 Email-Worm.Win32.NetSky.aa 1,16
Остальные вредоносные программы 23,01

Мы уже писали о том, что в конце августа в Марокко и Турции по подозрению в создании червей семейства
Mytob были арестованы два молодых человека. Виновны они или нет, покажет следствие, однако заметное
падение количества новых версий Mytob в сентябре было налицо.
Но, как известно, природа не терпит пустоты, а природа мира компьютерных вирусов — тем более.
Воспользоваться ситуацией не преминули другие киберпреступники, тут же выпустившие на волю сразу
несколько новых семейств опасных червей, в результате чего октябрь 2005 года оказался весьма богатым
на новые вредоносные программы. Специалисты «Лаборатории Касперского» поставили своеобразный
рекорд, добавив за одну неделю в антивирусные базы более 1400 новых записей.
В вирусной двадцатке опять сменился лидер. И в очередной раз, уже не вспомнить, в какой по счету, им
стал Mytob.c. Скорее всего, именно этот червь станет самым распространенным вирусом по итогам всего
года.
На втором месте расположился новичок двадцатки, представитель новых сетевых червей, о которых
говорилось выше — Doombot.b. Данный червь очень похож на Mytob по своему функционалу. Он также
совмещает в себе черты почтового червя и IRC-бота. Как и Mytob, он основан на исходных кодах червя
Mydoom. Однако ряд отличий в реализации многих важных компонентов червя заставляет нас считать его
представителем отдельного самостоятельного семейства. Необходимо отметить, что вариант «b» был
обнаружен 16 октября, а значит, смог добраться до второго места нашего рейтинга всего за две недели с
момента обнаружения. Не исключено, что в ноябре он окажется лидером вирусной двадцатки.
Не менее впечатляющий рост продемонстрировал Mytob.bi. Занимавший в сентябре 19-е место и уже
фактически исчезнувший из нашего поля зрения, в октябре он смог отыграть сразу 15 мест и оккупировать
4-ю строчку. Причем в процентном отношении его показатель также весьма высок.
Из других интересных событий в первой десятке рейтинга отдельного упоминания заслуживает еще один
представитель семейства Doombot — Doombot.d. Изначально он был классифицирован как Mytob.dc,
однако наличие фирменной строки «H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H», присущей исключительно червям
Doombot, помогло в итоге восстановить истину.
Такие пограничные случаи весьма трудны для точной классификации, поскольку общий набор функций и
структура программы у большинства подобных червей-ботов очень схожи. Что неудивительно — ведь, по
большому счету, все они являются клонами червя Mydoom, которому скоро исполнится два года.
Это хороший пример того, что распространение исходных кодов вирусов зачастую наносит даже больший
ущерб, чем выпуск в свет одного червя, созданного из этих кодов. При наличии исходного кода любой
«script-kiddie» может очень быстро создать собственную разновидность червя путем простой модификации
кода, даже не разбираясь досконально в тонкостях программирования.
Во второй части двадцатки внимания достойны три новые вредоносные программы, разместившиеся с 16
по 18 строчки. Они все очень разные — и тем интересней.
16 место занимает еще один представитель нового поколения. Червь Fanbot.f, созданный опять-таки на
основе Mydoom и бэкдора SdBot, пытается устроить заочную кибервойну с автором Doombot, о чем
недвусмысленно свидетельствуют текстовые строки в теле вируса:
HellBot3 have BackDoor in 'HellMsn.h'. The HellBot3 author is an idiot!!! [Phantom] 2005 Made By Evil[xiaou].
Greetz to good friend x140d4n. Based On sdbot&&mydoom.
Автор Fanbot также выражает свое недовольство действиями антивирусных компаний, назвавших этот
вирус не так как, хотелось его создателю:
MSG to Kaspersky&Norton: can u make it difficulty next time!!! stupid. dont call me Fanbot,i am [Phantom]!!!
SHIT!!! Play with The best, Die like the rest.
К слову, Fanbot — довольно многочисленное семейство. В настоящее время нам известно 11 вариантов
этого червя и, скорее всего, именно они и Doombot будут одними из наиболее активных вирусов в
ближайшие месяцы.
Решили не отставать от новичков и авторы червей Bagle. Мы уже писали о том, что в сентябре было
обнаружено более 20 новых вариантов. В октябре активность была снижена в пользу «качества», и
обнаруженный 20 октября Bagle.dx смог все-таки стать заметным событием в вирусной статистике. Как
всегда в случае с Bagle, основной целью вирусописателей является не размножение червя, а установка на
зараженные компьютеры троянских прокси-серверов для рассылки спама, а также программ для сбора
адресов электронной почты. По нашему мнению, именно Bagle и его локальными эпидемиями был вызван
стремительный рост спам-рассылок по всему миру в последние недели.
Помимо рассылки обычных спам-писем, через зараженные компьютеры организовываются и фишинг-
атаки: одной из самых крупных в октябре стала рассылка Trojan-Spy.HTML.Bayfraud.hn, нацеленная на
пользователей системы eBay. Именно это письмо занимает 18 место в нашей статистике, в очередной раз
напоминая об опасности фишинга.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент
(23,01%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве червей и
троянских программ, относящихся к другим семействам.

Итоги октября

• В двадцатке появилось пять новых вредоносных программ: Doombot.b, Doombot.d, Fanbot.f,


Bagle.dx, Bayfraud.hn.
• Повысили свой рейтинг: Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be.

Понизили свои показатели: Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r,
NetSky.aa.
Kahjurprogrammide Top 20. Oktoober 2005

Koha Protsenti
Koht Kahjurprogramm
muutus üldarvust
1. +1 Net-Worm.Win32.Mytob.c 14,56
2. New! Email-Worm.Win32.Doombot.b 10,27
3. -2 Email-Worm.Win32.Zafi.d 7,92
4. +15 Net-Worm.Win32.Mytob.bi 6,80
5. -1 Email-Worm.Win32.LovGate.w 5,27
6. +2 Email-Worm.Win32.NetSky.q 3,66
7. New! Email-Worm.Win32.Doombot.d 3,27
8. -3 Email-Worm.Win32.NetSky.b 3,08
9. -2 Net-Worm.Win32.Mytob.bk 3,03
10. -1 Net-Worm.Win32.Mytob.t 2,51
11. +4 Net-Worm.Win32.Mytob.y 2,35
12. +5 Net-Worm.Win32.Mytob.be 2,22
13. -7 Net-Worm.Win32.Mytob.q 2,10
14. -4 Net-Worm.Win32.Mytob.u 2,08
15. -12 Email-Worm.Win32.Zafi.b 1,59
16. New! Email-Worm.Win32.Fanbot.f 1,46
17. New! Email-Worm.Win32.Bagle.dx 1,24
18. New! Trojan-Spy.HTML.Bayfraud.hn 1,22
19. -8 Net-Worm.Win32.Mytob.r 1,20
20. -8 Email-Worm.Win32.NetSky.aa 1,16
Muud kahjurprogrammid 23,01

Me juba oleme kirjutanud sellest, et augustis vahistati Marokos ja Türgis - kahtlustatuna Mytob´i ussiperekonna
loomises - kaks noormeest. Kas nad on süüdi või mitte, näitab juurdlus, kuid Mytob´i uute versioonide ilmumine
vähenes oluliselt.
Kuid, nagu teada, loodus tühja kohta ei salli, seda enam ei salli veel arvutiviiruste maailm. Juhust ei jätnud
kasutamata teised küberpätid, kes lasid vabadusse korraga mitu uut ohtlikku ussiperekonda, mistõttu 2005. aasta
oktoober osutus uute viiruste poolest küllaltki rikkalikuks. Kaspersky Lab´i spetsialistid püstitasid omamoodi
rekordi, lisades ühe nädala jooksul viirusetõrjebaasidesse 1400 uut kirjet.
Edetabelis vahetus jälle liider. Ja järjekordselt, kes teab mitmendat korda, sai selleks Mytob.c. Tõenäoliselt saab
just see uss selle aasta levinuimaks viiruseks.
Teisele kohale asus edetabeli uustulnuk, võrguusside ülalmainitud uue perekonna esindaja — Doombot.b. See
uss on oma funktsionaalsuselt väga sarnane ussiga Mytob. Samasse ussi on segatud ka postiusside ja IRC-
bottide omadused. Nagu Mytob baseerub ta ussi Mydoom lähtekoodil. Kuid terve hulk erisusi tähtsate
komponentide lahendustes sunnib teda pidama iseseisva perekonna esindajaks. Tuleb märkida, et variant ”b”
avastati 16. oktoobril, mis tähendab, et ta suutis meie tabeli teisele kohale tõusta kõigest kahe nädala jooksul
pärast avastamist. Pole välistatud, et novembris on ta edetabeli liider.
Pea samasugust muljetavaldavat tõusu demonstreeris Mytob.bi. Hõivates septembris 19. koha ning olles meie
vaateväljalt juba peaaegu kadunud, suutis ta oktoobris tõusta korraga 15 kohta ja hõivas 4. koha. Kusjuures
protsentuaalselt on tema näitajad samuti üsna kõrged.
Reitingu esikümnes toimunud teistest huvitavatest sündmustest väärib eraldi esiletõstmist veel üks perekonna
Doombot esindaja — Doombot.d. Algselt klassifitseeriti teda kui ussi Mytob.dc, kuid eranditult ussidele Doombot
kuuluva firmanime «H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H» olemasolu aitas tõe lõpuks jalule seada.
Sellised piiripealsed juhtumid on täpseks klassifitseerimiseks võrdlemisi keerukad, kuna funktsioonide üldine
kogum ja programmi struktuur on taoliste usside enamusel väga sarnased. Pole ka imestada — enamasti on tegu
ju ussi Mydoom, mis saab varsti kaheaastaseks, kloonidega.
See on heaks näiteks sellest, et viiruste lähtekoodide levitamine toob tihtipeale suuremat kahju, kui selle koodiga
loodud üksainus uss. Lähtekoodi põhjal võib suvaline «script-kiddie» luua koodi muutes kiiresti oma ussivariandi,
orienteerumata seejuures programmeerimise peensustes.
Tabeli teises pooles pälvivad tähelepanu kolm uut kahjurprogrammi 16. kuni 18. kohani. Nad kõik on väga
erinevad ning seda huvitavamad.
16. kohal on veel üks uue põlvkonna esindaja. Uss Fanbot.f, mis on jällegi loodud Mydoom´i ja tagaukse
programmi SdBot baasil, üritab pidada kübersõda Doombot´i autoriga, Sellele viitavad otseselt tekstiread viiruse
kehas:
HellBot3 have BackDoor in 'HellMsn.h'. The HellBot3 author is an idiot!!! [Phantom] 2005 Made By Evil[xiaou].
Greetz to good friend x140d4n. Based On sdbot&&mydoom.
Fanbot´i autor väljendab ka oma rahulolematust viirusetõrjefirmadega, kes ei nimetanud viirust nii, nagu oleks
tahtnud selle looja:
MSG to Kaspersky&Norton: can u make it difficulty next time!!! stupid. dont call me Fanbot,i am [Phantom]!!!
SHIT!!! Play with The best, Die like the rest.
Fanbot on suhteliselt rohkearvuline perekond. Praegu teame selle ussi 11varianti. Ilmselt on need ja Doombot
lähikuude kõige aktiivsemad ussid.
Uustulnukatest ei jäänud maha ka Bagle´i autorid. Me oleme juba kirjutanud sellest, et septembris avastati üle 20
uue variandi. Oktoobris langes aktiivsus kvaliteedi kasuks ja 20. oktoobril avastatud Bagle.dx suutis siiski viiruste
statistikas saada tähelepanuväärseks sündmuseks. Nagu Bagle´i puhul kombeks, pole autorite eesmärgiks mitte
viiruse paljunemine, vaid nakatunud arvutitesse rämpsposti saatmiseks troojalastest puhverserverite ja e-posti
aadresside kogumiseks vastavate programmide paigaldamine. Meie arvates on just Bagle´i ja tema lokaalsete
epideemiate poolt esile kutsutud rämpsposti lauspostituse tõus kogu maailmas.
Peale tavalise rämpsposti saatmise organiseeritakse nende arvutite kaudu ka phishing-ründeid: üheks oktoobri
suurimaks sai Trojan-Spy.HTML.Bayfraud.hn lauspostitamine, mis oli suunatud eBay süsteemi kasutajate vastu.
Just see kiri hõivab meie tabeli 18. koha, meenutades veel kord phishingu ohtlikkust.

Postiliikluses esindatud muud kahjurprogrammid moodustasid tabatute üldarvust märkimisväärse osa (23,01%),
mis näitab teistest perekondadest pärit usside ja trooja programmide küllalt suurt hulka.

Oktoobri kokkuvõte

• Tabelisse ilmusid viis uut kahjurprogrammi: Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn.
• Reitingus tõusid: Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be.
• Reitingus langesid: Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r,
NetSky.aa.