Вы находитесь на странице: 1из 4

Обзор вирусной активности - ноябрь 2005

Изменение Доля,
Позиция Вредоносная программа
позиции проценты
1. 0 Net-Worm.Win32.Mytob.c 18,25
2. 0 Email-Worm.Win32.Doombot.b 8,11
3. 0 Email-Worm.Win32.Zafi.d 7,61
4. 0 Net-Worm.Win32.Mytob.bi 6,03
5. 0 Email-Worm.Win32.LovGate.w 6,02
6. 0 Email-Worm.Win32.NetSky.q 4,15
7. +1 Email-Worm.Win32.NetSky.b 3,73
8. +2 Net-Worm.Win32.Mytob.t 3,17
9. 0 Net-Worm.Win32.Mytob.bk 2,50
10. +4 Net-Worm.Win32.Mytob.u 2,36
11. Return Net-Worm.Win32.Mytob.h 2,16
12. +1 Net-Worm.Win32.Mytob.q 2,15
13. New! Email-Worm.Win32.Sober.y 1,99
14. Return Net-Worm.Win32.Mytob.bt 1,79
15. -4 Net-Worm.Win32.Mytob.y 1,69
16. New! Email-Worm.Win32.Doombot.g 1,52
17. 0 Email-Worm.Win32.Bagle.dx 1,50
18. -3 Email-Worm.Win32.Zafi.b 1,40
19. Return Email-Worm.Win32.NetSky.y 1,12
20. -13 Email-Worm.Win32.Doombot.d 1,09
Остальные вредоносные программы 21,66

Предпоследний месяц года всегда особенно важен для формирования итоговой статистики по уходящему
году в целом. Как правило, если в ноябре не появляется новых лидеров вирусных рейтингов, то можно
считать картину за год практически завершенной. Никакие события декабря, таким образом, уже не могут
повлиять на расстановку сил на вирусной арене.
Ноябрь 2005 года оказался уникальным по своей стабильности. Шесть червей-лидеров октября остались
на своих местах, не сдвинувшись ни вверх, ни вниз. Поразительное постоянство тем более странно, что в
ноябре была одна вирусная эпидемия, которая должна была внести свой вклад в распределение мест в
верхней части таблицы. Однако этого не случилось, и об этом я расскажу далее.
Лидер рейтинга Mytob.c в очередной раз увеличил свой отрыв от преследователей, прибавив за месяц
почти 4% от общего вирусного трафика в электронной почте. Уже можно с уверенностью сказать, что один
из червей Mytob станет «червем года» по количеству занятых им первых мест на протяжении всего
периода наблюдения. Таким образом, Mytob может считаться самой крупной эпидемией 2005 года, что
ставит его в один ряд с такими вирусами, как Sobig (2003) и NetSky (2004).
Однако в целом черви семейства Mytob сдают позиции. В ноябрьском TOP-20 они представлены всего
девятью вариантами. Конечно, для других вирусных кланов такие показатели просто недосягаемы, но,
исходя из того, что еще недавно Mytob-ы занимали 13 мест в рейтинге, можно констатировать их
постепенный уход с вирусной авансцены.
В октябре вирусный рейтинг пополнился двумя вредоносными программами, которые, казалось бы, могли
составить конкуренцию Mytob и изрядно потеснить других червей. Речь идет о вирусах Doombot.b и
Doombot.d. Первый из них за две недели октября смог добраться до второго места, а Doombot.d достиг 7-
го места менее чем за одну неделю. Практически полностью совпадающие по функционалу с семейством
Mytob, они фактически «играли на том же самом поле», но имели более стремительные темпы
распространения. Можно было предположить, что в ноябре Doombot.b способен стать лидером этой
вирусной гонки.
Но нет. Вариант .b застыл на втором месте, даже потеряв два процента, а вариант .d вообще оказался на
грани вылета из рейтинга, опустившись сразу на 13 позиций, до 20-го места.
Даже несмотря на появление в TOP-20 нового представителя Doombot с индексом .g, который занял 16
место, это семейство, скорее всего, не будет играть заметной роли.
Как можно заметить, в ноябре рейтинг пополнился всего лишь двумя новыми участниками. Doombot.g был
уже упомянут выше, поэтому обратим более пристальное внимание на 13 место, где расположился новый
вариант давно присутствующего в TOP-20 семейства Sober. История червей Sober началась два года
назад, в октябре 2003 года, и с тех пор практически каждый новый вариант оказывал заметное влияние на
эпидемиологическую ситуацию в сети. Эпидемии, вызванные червями Sober.e или Sober.c, были одними
из самых заметных в последние годы.
Как правило, основным обьектом атак со стороны этого вируса являются западноевропейские
пользователи интернета. Автор Sober уже давно использует свои творения для пропаганды радикальных
политических взглядов, пользуясь при этом весьма действенными приемами социальной инженерии.
Именно благодаря эффективному применению таких приемов все новые варианты Sober оказываются
столь опасными.
На этот раз в черве был применен уже не новый, испытанный в одном из ранних вариантов трюк с
письмом «от ФБР», когда получателю письма сообщается о том, что он обвиняется в нарушении авторских
прав путем загрузки из файлообменных сетей музыкальных файлов. Пользователю предлагается открыть
приложенный к письму файл с «собранными данными». Что интересно, в теле письма указан контактный
телефон приемной ФБР. Множество пользователей, получивших такие письма, позвонили по данному
номеру, организовав таким образом подобие DoS-атаки на телефон ФБР.
Другой интересный факт: о грядущем появлении нового варианта Sober первым сообщила пресс-служба
полиции Баварии. Эта информация была опубликована за пару дней до действительного появления червя
Sober.y, Возможно, правоохранительными органами проводится расследование, нацеленное на
обнаружение автора червя, и в скором времени может появиться информация о его аресте.
Sober.y был обнаружен 16 ноября и стал причиной одной из крупнейших эпидемий 2005 года в Западной
Европе. Столь скромное 13 место в рейтинге «Лаборатории Касперского» объясняется тем, что он
основывается на данных российских почтовых серверов, в то время как зараженные этим червем письма
попадают в Россию достаточно редко.
Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент
(21,66%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих
червей и троянских программ, относящихся к другим семействам.

Итоги ноября

• В двадцатке появились две новые вредоносные программы: Doombot.G, Sober.y.


• Повысили свой рейтинг: NetSky.b, Mytob.t, Mytob.u, Mytob.q.
• Понизили свои показатели: Mytob.y, Zafi.b, Doombot.d.
• Вернулись в двадцатку: Mytob.h, Mytob.bt, NetSky.y.
• Не изменили своего положения: Mytob.c, Doombot.b, Zafi.d, Mytob.bi, LovGate.w, NetSky.q, Mytob.bk,
Bagle.dx.
Kahjurprogrammide Top 20. November 2005

Positsiooni Protsenti
Positsioon Kahjurprogramm
muutus üldarvust
1. 0 Net-Worm.Win32.Mytob.c 18,25
2. 0 Email-Worm.Win32.Doombot.b 8,11
3. 0 Email-Worm.Win32.Zafi.d 7,61
4. 0 Net-Worm.Win32.Mytob.bi 6,03
5. 0 Email-Worm.Win32.LovGate.w 6,02
6. 0 Email-Worm.Win32.NetSky.q 4,15
7. +1 Email-Worm.Win32.NetSky.b 3,73
8. +2 Net-Worm.Win32.Mytob.t 3,17
9. 0 Net-Worm.Win32.Mytob.bk 2,50
10. +4 Net-Worm.Win32.Mytob.u 2,36
11. Return Net-Worm.Win32.Mytob.h 2,16
12. +1 Net-Worm.Win32.Mytob.q 2,15
13. New! Email-Worm.Win32.Sober.y 1,99
14. Return Net-Worm.Win32.Mytob.bt 1,79
15. -4 Net-Worm.Win32.Mytob.y 1,69
16. New! Email-Worm.Win32.Doombot.g 1,52
17. 0 Email-Worm.Win32.Bagle.dx 1,50
18. -3 Email-Worm.Win32.Zafi.b 1,40
19. Return Email-Worm.Win32.NetSky.y 1,12
20. -13 Email-Worm.Win32.Doombot.d 1,09
Muud kahjurprogrammid 21,66

Aasta eelviimane kuu on alati eriti tähtis kogu aasta viirusetõrjestatistika kokkuvõtete koostamisel. Kui novembris
edetabelisse uusi liidreid ei ilmu, võib kogu aasta pildi peaaegu lõpetatuks lugeda. Mitte mingid detsembris
toimunud sündmused ei suuda seega jõudude vahekorda viiruste areenil enam muuta.
2005. aasta november on eriline oma stabiilsuse poolest. Oktoobrikuu kuus liidrit jäid oma kohtadele, üles või
allapoole nihkumata. Hämmastav seisak on seda enam kummaline, et novembris oli üks viiruseepideemia, mis
pidi oma panuse andma tabeli ülaosa kohtade paigutusse. Kuid seda ei juhtunud ning sellest räägime allpool.
Tabeli liider, Mytob.c, suurendas järjekordselt vahet jälitajatega, lisades kuu jooksul pea 4% üldisest e-posti
viiruseliiklusest. Nüüd võib juba enam-vähem kindlalt öelda, et üks Mytob´i ussidest saab aastaussiks tema poolt
hõivatud esikohtade poolest terve vaatlusaja jooksul. Seega võib Mytob´i pidada 2005. aasta kõige suuremaks
epideemiaks, mis seab ta ühte ritta selliste viirustega nagu Sobig (2003) ja NetSky (2004).
Kuid tervikuna annavad Mytob´i perekonna ussid kohti käest. Novembri TOP-20-s on nad esindatud vaid 9
variandiga. Muidugi on teiste perekondade jaoks need arvud lihtsalt kättesaamatud, kuid lähtudes sellest, et alles
hiljaaegu hõivasid Mytob´i esindajad tabelis 13 kohta, võib konstateerida nende lahkumist viiruste eeslavalt.
Oktoobris täienes edetabel kahe uue kahjurprogrammiga, mis oleks võinud Mytob´ile konkurentsi pakkuda ning
tublisti ka teisi usse koomale suruda. Jutt käib viirustest Doombot.b ja Doombot.d. Esimene neist suutis oktoobri
kahe nädalaga pääseda teisele kohale, aga Doombot.d saavutas 7. koha vähem kui nädalaga. Nende
funktsionaalsus langes Mytob´i omaga peaaegu kokku ning nad mängisid ühel ja samal väljakul, kuid nende
levikutempod olid tunduvalt hoogsamad. Võis arvata, et novembris saab Doombot.b edetabeli liidriks.
Kuid ei. Variant .b jäi teisele kohale kinni, kaotades seejuures isegi paar protsenti, aga variant .d oli üldse tabelist
väljakukkumise piiril, langedes korraga kolmteist kohta ja jäädes peatuma 20. positsioonil.
Vaatamata isegi Doombot´i uue esindaja – variandi .g ilmumisele 16. kohale, ei mängi see perekond meie tabelis
kuigi märgatavat osa.
Nagu mainitud, ilmus novembri edetabelisse kõigest kaks uut tegijat. Doombot.g oli kõne all juba ülalpool,
seepärast pöörame tähelepanu 13. kohale, kus on end sisse seadnud tabeli vana perekonna Sober uus esindaja.
Soberi ajalugu algas kaks aastat tagasi – 2003. aasta oktoobris, ja sellest peale on pea iga uus variant avaldanud
tuntavat mõju võrgu epidemioloogilisele olukorrale. Sober.e või Sober.c poolt esilekutsutud epideemiad olid
viimaste aastate ühed silmapaistvamad.
Tavaliselt on selle viiruse rünnakute objektiks Lääne-Euroopa internetikasutajad. Sober´i autor kasutab oma
loomingut juba ammu radikaalse poliitika propagandaks, rakendades seejuures vägagi tõhusaid sotsiaalse
katsetuse võtteid. Just tänu selliste vahendite efektiivsele kasutusele ongi Sober´i kõik uued variandid nii ohtlikud.
Seekord oli ussis kasutatud vana, ühes varasemas ussis järeleproovitud trikki kirjaga FBI-st. Kirja saajat
teavitatakse sellest, et teda süüdistatakse autoriõiguste rikkumises failivahetusvõrkudest muusikafailide
allalaadimise teel. Kasutajale tehakse ettepanek avada manustatud fail, milles sisalduvad kogutud andmed.
Huvitav on see, et kirjas on näidatud FBI vastuvõtutoa telefoninumber. Paljud sellise kirja saajad helistasid sellele
numbrile organiseerides sellega FBI telefonidele DoS-ründega sarnase rünnaku.
Teine huvitav fakt: Sober´i uue versiooni peatsest ilmumisest teatas Baieri politsei pressitalitus. See teave trükiti
ära paar päeva enne ussi tegelikku ilmumist. Ilmselt toimetab politsei ussi autori suhtes juurdlust ning varsti võib
ilmuda info tema arestist.
Sober.y avastati 16. novembril ja sai 2005. aastal Lääne-Euroopas toimunud ühe suurema epideemia
põhjustajaks. Meie tabeli tagasihoidlik 13. koht seletub sellega, et meie tabel põhineb Venemaa postiserverite
andmetel, samas kui selle ussiga nakatunud kirjad satuvad Venemaale suhteliselt harva.

Postiliikluses esindatud ülejäänud kahjurprogrammid moodustasid tabatute üldarvust märkimisväärse osa


(21,66%), mis näitab teistest perekondadest pärit usside ja trooja programmide küllalt suurt hulka.

Novembrikuu kokkuvõte:

• Tabelisse ilmusid kaks uut kahjurprogrammi: Doombot.G, Sober.y.


• Reitingus tõusid: NetSky.b, Mytob.t, Mytob.u, Mytob.q.
• Reitingus langesid: Mytob.y, Zafi.b, Doombot.d.
• Uuesti tabelis: Mytob.h, Mytob.bt, NetSky.y.
• Kohta ei muutnud: Mytob.c, Doombot.b, Zafi.d, Mytob.bi, LovGate.w, NetSky.q, Mytob.bk, Bagle.dx.