"Лаборатория Касперского": Mytob удерживает "пальму первенства"
"Лаборатория Касперского", разработчик систем защиты от вирусов, хакерских атак и спама, опубликовала отчет о вирусной активности за май 2006 года.
Объединенный вирусный рейтинг, составленный на основе рейтинга почтовой активности, описывает наиболее часто встречающиеся в почтовом трафике вредоносные программы, и рейтинга самых популярных вирусов по статистике онлайн-сканера "Лаборатории Касперского".
Net-Worm.Win32.Mytob.c 27,61% +1 Email-Worm.Win32.LovGate.w 10,01% +1 Email-Worm.Win32.NetSky.q 6,13% +1 Email-Worm.Win32.LovGate.ad 5,83% -3 Email-Worm.Win32.NetSky.t 4,77% Email-Worm.Win32.NetSky.b 4,30% +2 Net-Worm.Win32.Mytob.u 2,65% Net-Worm.Win32.Mytob.t 2,52% +3 Net-Worm.Win32.Mytob.a 2,45% Net-Worm.Win32.Mytob.q 2,30% Net-Worm.Win32.Mytob.w 1,72% +5 Email-Worm.Win32.NetSky.y 1,68% Return Email-Worm.Win32.LovGate.ah 1,51% Return Email-Worm.Win32.NetSky.x 1,27% New Email-Worm.Win32.Scano.ab 1,20% -1 Email-Worm.Win32.NetSky.aa 1,18% New Net-Worm.Win32.Mytob.eg 1,12% Return Net-Worm.Win32.Mytob.x 1,04% New Email-Worm.Win32.Scano.ag 0,96% Return Net-Worm.Win32.Mytob.bx 0,96%
Прочие вредоносные программы 18,79%
Майская статистика немногим отличается от апрельской, и даже от мартовской или февральской. Отсутствие глобальных эпидемий почтовых червей - это не временное явление, а вполне оформившаяся реальность вирусного мира.
Mytob.c, прочно закрепившийся в феврале на первом месте с показателем около 30%, продолжает удерживать пальму первенства, держа конкурентов на значительной дистанции. У подножия "трона" продолжается драка за вторую строчку. В последние месяцы и даже годы в пределах первой пятерки неизменно присутствовали разнообразные Mydoom-ы, NetSky, Bagle, Mytob-ы. К лету 2006 года выяснилось, что всех пересидели и тихо добрались до подступов к вершине вовсе не они, а малоизвестные для европейцев и редко упоминавшиеся в средствах массовой информации представители из Южной Кореи. Очередной раз два варианта LovGate расположились на втором и четвертом месте рейтинга, оставив две других призовых строчки за NetSky. По всей видимости, такой результат был достигнут за счет того, что NetSky.t скатился со второго на пятое место, почти в два раза уменьшив свое присутствие в почтовом трафике.
Два старых Mytob - .U и .A несколько улучшили свои показатели, и теперь это семейство занимает ровно половину первой десятки, включая и первое место. Кроме этого, в двадцатке появился представитель нового поколения Mytob-ов - вариант .EG. Несмотря на произошедший в августе прошлого года арест двух хакеров, подозреваемых в авторстве этих червей, новые варианты продолжают появляться с пугающей периодичностью. Это, вероятно, связано с широкой доступностью исходных кодов данного червя. Но Mytob-ы не только взбираются выше и плодят новые варианты - время от времени они еще возвращаются в двадцатку. Так, в мае в рейтинг вернулись варианты .X и .BX. Таким образом, суммарное число клонов данного червя в нашем рейтинге составляет почти половину - 9 мест из 20. В оставшейся части хит-парада интерес представляют два других новичка. Ими стали черви Scano.ag и .ab.
Scano - это сравнительно новое имя на вирусной сцене. В апреле на 14-м месте был вариант Scano.E. Вредоносная программа, являющаяся развитием идей, реализованных в черве Feebs, вышедшем зимой, отличается наличием полиморфного JavaScript-дроппера, в виде которого червь и приходит по электронной почте своим жертвам. Использование полиморфизма становится все более и более популярным у вирусописателей, поскольку обычные методы скрытия вредоносного кода от антивирусов уже практически не работают.
Итак, Scano.e выбыл со сцены и ему на смену пришли два новичка, занявшие 15 и 19 место. Вероятнее всего, в июне и они уйдут в небытие, но полного исчезновения Scano из 20-ки, скорее всего, не произойдет - автор червя отличается повышенной производительностью и выпускает в свет несколько новых вариантов в неделю. Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент ( 18,79% ) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
В двадцатке появились три новые вредоносные программы: Mytob.eg, Scano.ag, Scano,ab Повысили свой рейтинг: LovGate.w, NetSky.q, LovGate.ad, Mytob.u, Mytob.a, NetSky.y Понизили свои показатели: NetSky.t, NetSky.aa Вернулись в двадцатку: lovGate.ah, NetSky.x, Mytob.x, Mytob.bx
Рейтинг троянской активности: +5 Trojan-Spy.Win32.Banker.anv. 2.12% +1 Trojan-Spy.Win32.Banker.ark. 1.98% +8 Trojan.Win32.Agent.qt 1.39% +4 Email-Worm.Win32.Rays. 1.30% New Trojan.Win32.VB.ami. 1.18% New Trojan-Downloader.Win32.Agent.td 1.06% New Trojan-Dropper.Win32.Agent.tz 0.98% New VirTool.Win32.Patcher.a 0.91% +1 Packed.Win32.Tibs. 0.81% +6 not-a-virus:PSWTool.Win32.RAS.a 0.80% +9 Backdoor.Win32.Rbot.gen 0.80% +6 Exploit.HTML.CodeBaseExec. 0.79% New Trojan-Spy.Win32.Delf.jp 0.77% New not-a-virus:Monitor.Win32.Ardamax.k 0.72% New Email-Worm.Win32.Scano.v 0.67% -15 Trojan-Downloader.Win32.Delf.alf. 0.62% New Email-Worm.Win32.Brontok.a 0.59% Return Virus.Win32.Parite.b 0.55% New not-a-virus:AdWare.Win32.AdvertMen.a 0.55% -6 not-a-virus:Porn-Dialer.Win32.PluginAccess.gen 0.49%
Прочие вредоносные программы 80, 92%
Пятый по счету анализ статистики, собранной на основе данных онлайн-сканера, окончательно выделил две наиболее распространенные троянские программы. Banker.anv с января держится в первой десятке, Banker.ark находится там же с февраля. В мае они вместе добрались до самых верхних строчек рейтинга. На фоне постоянно меняющейся двадцатки, где каждый месяц обновляется почти половина состава вирусного хит-парада, эти два троянца являются настоящими старожилами.
Троянцы Banker.anv и Banker,ark фактически являются близнецами. И тот, и другой написаны на Delphi и ориентированы на кражу данных пользователей ряда бразильских банков. Бразильские хакеры используют все возможные способы для доставки троянцев на компьютеры пользователей - спам-рассылки, внедрение троянцев в инсталляционные файлы некоторых программ, установка троянцев с помощью уязвимостей в браузерах и т.д. Только незначительно измененных модификаций Banker.anv "Лаборатория Касперсокго" зафиксировала более 3000 тысяч.
В отличие от прошлых месяцев, в мае не было отмечено значительного числа распространения Trojan-Downloader. Их в статистике всего два, причем один новый (Agent.td, 6-е место), а второй, Delf.aif, опустился сразу на 15 мест. Зато почтовых червей необычно много, причем здесь "засветились" те из них, которые не отмечены в почтовой статистике.
Rays занял четвертое место - это весьма серьезный показатель для примитивного почтового червя. Scano.v стал новым названием в отчете (о двух других червях этого семейства можно прочитать в почтовой двадцатке за май 2006 года). Третий червь - Brontok.a интересен тем, что, появившись еще в октябре прошлого года, он где-то тихо дремал до поры до времени, а в мае внезапно стал причиной локальных эпидемий в ряде крупных европейских компаний. Если посмотреть на классические файловые вирусы, то в этой области происходит очередная чехарда. Занимавшие в апреле места в середине списка Redlof.a и Hidrag.a исчезли из нашего рейтинга, зато вернулся Parite.b. Он успешно наращивал свое присутствие в статистике нашего онлайн-сканера в феврале и марте, а в апреле неожиданно исчез из 20-ки. Скорее всего, это было вызвано незначительной погрешностью, которая допускается в наших расчетах, а не признаком затухания эпидемии Parite.b. Это очень упорный и трудноизгоняемый из системы вирус.
Ну и по традиции не обошлось без эксплоитов, бэкдоров, рекламных программ и представителей greyware. Практически обо всех них говорилось в прошлых отчетах, поэтому остановимся только на двух новичках - коммерческом кейлоггере Ardamax.k и Adware AdvertMen.a. Ardamax не считается троянцем из-за того, что разрабатывается легальной софтверной компанией и продается как обычная программа. Однако, авторы многих вредоносных программ с радостью используют его как готовый шпионский модуль, не утруждая себя написанием нового. Коммерческие кейлоггеры являются одной из самых спорных тем в отношениях между антивирусными компаниями и софтверными производителями. Несмотря на возможность использования таких кейлоггеров во вредоносных целях, эти программы все-таки имеют варианты легального и в некоторых случаях действительно необходимого применения.
AdvertMen.a является типичным представителем класса adware. Он распространяется с рядом условно-бесплатных программ и после установки начинает время от времени показывать в окне браузера рекламу, обращаясь к сайту производителя. По подобному принципу работают практически все программы этого класса, но в мае, очевидно, наибольший успех выпал на долю именно AdvertMen.a. В двадцатке появилось 9 новых вредоносных и потенциально опасных программ: Trojan.Win32.VB.ami. Trojan-Downloader.Win32.Agent.td Trojan-Dropper.Win32.Agent.tz VirTool.Win32.Patcher.a Trojan-Spy.Win32.Delf.jp not-a-virus:Monitor.Win32.Ardamax.k Email-Worm.Win32.Scano.v Email-Worm.Win32.Brontok.a not-a-virus:AdWare.Win32.AdvertMen.a
Свои показатели повысили: Trojan-Spy.Win32.Banker.anv, Banker.ark, Trojan.Win32.Agent.qt, Email-Worm.Win32.Rays, Packed.Win32.Tibs, not-a-virus:PSWTool.Win32.RAS.a, Backdoor.Win32.Rbot.gen, Exploit.HTML.CodeBaseExec. Свои показатели понизили: Trojan-Downloader.Win32.Delf.alf, not-a-virus:Porn-Dialer.Win32.PluginAccess.gen Вернулись в двадцатку: Virus.Win32.Parite.b
Объединенный вирусный рейтинг, составленный на основе рейтинга почтовой активности, описывает наиболее часто встречающиеся в почтовом трафике вредоносные программы, и рейтинга самых популярных вирусов по статистике онлайн-сканера "Лаборатории Касперского".
Net-Worm.Win32.Mytob.c 27,61% +1 Email-Worm.Win32.LovGate.w 10,01% +1 Email-Worm.Win32.NetSky.q 6,13% +1 Email-Worm.Win32.LovGate.ad 5,83% -3 Email-Worm.Win32.NetSky.t 4,77% Email-Worm.Win32.NetSky.b 4,30% +2 Net-Worm.Win32.Mytob.u 2,65% Net-Worm.Win32.Mytob.t 2,52% +3 Net-Worm.Win32.Mytob.a 2,45% Net-Worm.Win32.Mytob.q 2,30% Net-Worm.Win32.Mytob.w 1,72% +5 Email-Worm.Win32.NetSky.y 1,68% Return Email-Worm.Win32.LovGate.ah 1,51% Return Email-Worm.Win32.NetSky.x 1,27% New Email-Worm.Win32.Scano.ab 1,20% -1 Email-Worm.Win32.NetSky.aa 1,18% New Net-Worm.Win32.Mytob.eg 1,12% Return Net-Worm.Win32.Mytob.x 1,04% New Email-Worm.Win32.Scano.ag 0,96% Return Net-Worm.Win32.Mytob.bx 0,96%
Прочие вредоносные программы 18,79%
Майская статистика немногим отличается от апрельской, и даже от мартовской или февральской. Отсутствие глобальных эпидемий почтовых червей - это не временное явление, а вполне оформившаяся реальность вирусного мира.
Mytob.c, прочно закрепившийся в феврале на первом месте с показателем около 30%, продолжает удерживать пальму первенства, держа конкурентов на значительной дистанции. У подножия "трона" продолжается драка за вторую строчку. В последние месяцы и даже годы в пределах первой пятерки неизменно присутствовали разнообразные Mydoom-ы, NetSky, Bagle, Mytob-ы. К лету 2006 года выяснилось, что всех пересидели и тихо добрались до подступов к вершине вовсе не они, а малоизвестные для европейцев и редко упоминавшиеся в средствах массовой информации представители из Южной Кореи. Очередной раз два варианта LovGate расположились на втором и четвертом месте рейтинга, оставив две других призовых строчки за NetSky. По всей видимости, такой результат был достигнут за счет того, что NetSky.t скатился со второго на пятое место, почти в два раза уменьшив свое присутствие в почтовом трафике.
Два старых Mytob - .U и .A несколько улучшили свои показатели, и теперь это семейство занимает ровно половину первой десятки, включая и первое место. Кроме этого, в двадцатке появился представитель нового поколения Mytob-ов - вариант .EG. Несмотря на произошедший в августе прошлого года арест двух хакеров, подозреваемых в авторстве этих червей, новые варианты продолжают появляться с пугающей периодичностью. Это, вероятно, связано с широкой доступностью исходных кодов данного червя. Но Mytob-ы не только взбираются выше и плодят новые варианты - время от времени они еще возвращаются в двадцатку. Так, в мае в рейтинг вернулись варианты .X и .BX. Таким образом, суммарное число клонов данного червя в нашем рейтинге составляет почти половину - 9 мест из 20. В оставшейся части хит-парада интерес представляют два других новичка. Ими стали черви Scano.ag и .ab.
Scano - это сравнительно новое имя на вирусной сцене. В апреле на 14-м месте был вариант Scano.E. Вредоносная программа, являющаяся развитием идей, реализованных в черве Feebs, вышедшем зимой, отличается наличием полиморфного JavaScript-дроппера, в виде которого червь и приходит по электронной почте своим жертвам. Использование полиморфизма становится все более и более популярным у вирусописателей, поскольку обычные методы скрытия вредоносного кода от антивирусов уже практически не работают.
Итак, Scano.e выбыл со сцены и ему на смену пришли два новичка, занявшие 15 и 19 место. Вероятнее всего, в июне и они уйдут в небытие, но полного исчезновения Scano из 20-ки, скорее всего, не произойдет - автор червя отличается повышенной производительностью и выпускает в свет несколько новых вариантов в неделю. Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент ( 18,79% ) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.
В двадцатке появились три новые вредоносные программы: Mytob.eg, Scano.ag, Scano,ab Повысили свой рейтинг: LovGate.w, NetSky.q, LovGate.ad, Mytob.u, Mytob.a, NetSky.y Понизили свои показатели: NetSky.t, NetSky.aa Вернулись в двадцатку: lovGate.ah, NetSky.x, Mytob.x, Mytob.bx
Рейтинг троянской активности: +5 Trojan-Spy.Win32.Banker.anv. 2.12% +1 Trojan-Spy.Win32.Banker.ark. 1.98% +8 Trojan.Win32.Agent.qt 1.39% +4 Email-Worm.Win32.Rays. 1.30% New Trojan.Win32.VB.ami. 1.18% New Trojan-Downloader.Win32.Agent.td 1.06% New Trojan-Dropper.Win32.Agent.tz 0.98% New VirTool.Win32.Patcher.a 0.91% +1 Packed.Win32.Tibs. 0.81% +6 not-a-virus:PSWTool.Win32.RAS.a 0.80% +9 Backdoor.Win32.Rbot.gen 0.80% +6 Exploit.HTML.CodeBaseExec. 0.79% New Trojan-Spy.Win32.Delf.jp 0.77% New not-a-virus:Monitor.Win32.Ardamax.k 0.72% New Email-Worm.Win32.Scano.v 0.67% -15 Trojan-Downloader.Win32.Delf.alf. 0.62% New Email-Worm.Win32.Brontok.a 0.59% Return Virus.Win32.Parite.b 0.55% New not-a-virus:AdWare.Win32.AdvertMen.a 0.55% -6 not-a-virus:Porn-Dialer.Win32.PluginAccess.gen 0.49%
Прочие вредоносные программы 80, 92%
Пятый по счету анализ статистики, собранной на основе данных онлайн-сканера, окончательно выделил две наиболее распространенные троянские программы. Banker.anv с января держится в первой десятке, Banker.ark находится там же с февраля. В мае они вместе добрались до самых верхних строчек рейтинга. На фоне постоянно меняющейся двадцатки, где каждый месяц обновляется почти половина состава вирусного хит-парада, эти два троянца являются настоящими старожилами.
Троянцы Banker.anv и Banker,ark фактически являются близнецами. И тот, и другой написаны на Delphi и ориентированы на кражу данных пользователей ряда бразильских банков. Бразильские хакеры используют все возможные способы для доставки троянцев на компьютеры пользователей - спам-рассылки, внедрение троянцев в инсталляционные файлы некоторых программ, установка троянцев с помощью уязвимостей в браузерах и т.д. Только незначительно измененных модификаций Banker.anv "Лаборатория Касперсокго" зафиксировала более 3000 тысяч.
В отличие от прошлых месяцев, в мае не было отмечено значительного числа распространения Trojan-Downloader. Их в статистике всего два, причем один новый (Agent.td, 6-е место), а второй, Delf.aif, опустился сразу на 15 мест. Зато почтовых червей необычно много, причем здесь "засветились" те из них, которые не отмечены в почтовой статистике.
Rays занял четвертое место - это весьма серьезный показатель для примитивного почтового червя. Scano.v стал новым названием в отчете (о двух других червях этого семейства можно прочитать в почтовой двадцатке за май 2006 года). Третий червь - Brontok.a интересен тем, что, появившись еще в октябре прошлого года, он где-то тихо дремал до поры до времени, а в мае внезапно стал причиной локальных эпидемий в ряде крупных европейских компаний. Если посмотреть на классические файловые вирусы, то в этой области происходит очередная чехарда. Занимавшие в апреле места в середине списка Redlof.a и Hidrag.a исчезли из нашего рейтинга, зато вернулся Parite.b. Он успешно наращивал свое присутствие в статистике нашего онлайн-сканера в феврале и марте, а в апреле неожиданно исчез из 20-ки. Скорее всего, это было вызвано незначительной погрешностью, которая допускается в наших расчетах, а не признаком затухания эпидемии Parite.b. Это очень упорный и трудноизгоняемый из системы вирус.
Ну и по традиции не обошлось без эксплоитов, бэкдоров, рекламных программ и представителей greyware. Практически обо всех них говорилось в прошлых отчетах, поэтому остановимся только на двух новичках - коммерческом кейлоггере Ardamax.k и Adware AdvertMen.a. Ardamax не считается троянцем из-за того, что разрабатывается легальной софтверной компанией и продается как обычная программа. Однако, авторы многих вредоносных программ с радостью используют его как готовый шпионский модуль, не утруждая себя написанием нового. Коммерческие кейлоггеры являются одной из самых спорных тем в отношениях между антивирусными компаниями и софтверными производителями. Несмотря на возможность использования таких кейлоггеров во вредоносных целях, эти программы все-таки имеют варианты легального и в некоторых случаях действительно необходимого применения.
AdvertMen.a является типичным представителем класса adware. Он распространяется с рядом условно-бесплатных программ и после установки начинает время от времени показывать в окне браузера рекламу, обращаясь к сайту производителя. По подобному принципу работают практически все программы этого класса, но в мае, очевидно, наибольший успех выпал на долю именно AdvertMen.a. В двадцатке появилось 9 новых вредоносных и потенциально опасных программ: Trojan.Win32.VB.ami. Trojan-Downloader.Win32.Agent.td Trojan-Dropper.Win32.Agent.tz VirTool.Win32.Patcher.a Trojan-Spy.Win32.Delf.jp not-a-virus:Monitor.Win32.Ardamax.k Email-Worm.Win32.Scano.v Email-Worm.Win32.Brontok.a not-a-virus:AdWare.Win32.AdvertMen.a
Свои показатели повысили: Trojan-Spy.Win32.Banker.anv, Banker.ark, Trojan.Win32.Agent.qt, Email-Worm.Win32.Rays, Packed.Win32.Tibs, not-a-virus:PSWTool.Win32.RAS.a, Backdoor.Win32.Rbot.gen, Exploit.HTML.CodeBaseExec. Свои показатели понизили: Trojan-Downloader.Win32.Delf.alf, not-a-virus:Porn-Dialer.Win32.PluginAccess.gen Вернулись в двадцатку: Virus.Win32.Parite.b
Ещё новости по теме:
18:20