Обзор вирусной активности - май 2007

Первый взгляд на верхние места майской вирусной двадцатки может заставить некоторых вообразить, что они провалились в дыру во времени и снова оказались в конце 2005 года. Можно сколько угодно протирать глаза и пытаться ущипнуть себя в надежде, что сон развеется, но это ничего не изменит — Netsky, Bagle и Sober снова правят балом, как в старые добрые времена.

Собственно, к этому все и шло. Netsky.t и .q уже давно находятся в числе лидеров наших отчетов, Bagle.gt тоже несколько месяцев подряд подбирался все ближе к первой тройке.

А вот четвертое место неожиданно для всех занял Sober.aa. Первые его экземпляры были обнаружены специалистами «Лаборатории Касперского» 7 апреля 2007 года. Все бы ничего, да вот только предпоследний вариант данного червя - .z - датирован серединой ноября 2005 года! Более полутора лет прошло с того момента. Вариант .z был одним из наиболее распространенных червей в свое время. Казалось, что на след неизвестного автора червя уже вышла полиция Германии и вот-вот мы услышим о его аресте. Но, история подзабылась и вот кто-то (возможно уже другой человек) выпустил в мир новый вариант старого почтового червя. Результат нагляден — примитивный Sober.aa смог потеснить многих гораздо более «технологичных» червей и, возможно, 4-е место далеко не предел для него.

В числе «проигравших» в этой заочной вирусной борьбе оказались черви семейств Warezov и Zhelatin. Обладатель второго места в апреле — Warezov.ms покинул пределы двадцатки, а пришедший ему на смену вариант .ns не смог подняться выше скромного 19-го места.

Впрочем, есть и опасный симптом — на 8-м месте в мае оказался Trojan-Downloader.Win32.Agent.bqs, массовая рассылка которого была зафиксирована 24 мая. Дело в том, что Agent.bqs загружает в пораженные компьютеры новые варианты червя Warezov, подготавливая таким образом очередную площадку для новых эпидемий и создавая очередной гигантский ботнет.

А вот фишеры в мае оказались не столь активны, как в апреле и марте. На этот раз ни одного фишингового письма в двадцатке не оказалось. Впрочем, это явление, очевидно, временное и мы еще не раз увидим фишинговые атаки в числе наиболее распространенных угроз в почтовом трафике.

А вот 10 и 20 места заняли совершенно нетипичные для данного отчета — традиционные файловые вирусы — Grum и Cheburgen. Это связано с интересной особенностью вирусной жизни: перед нами пример паразитирования одной вредоносной программы на другой. Grum и Cheburgen сами по себе неспособны к распространению через электронную почту или локальные сети, однако они настолько агрессивны, что заражают все файлы в компьютере без разбора. В результате заражению подвергаются и файлы почтовых червей, живущих на компьютерах беспечных пользователей. Как следствие — по электронной почте отправляется зараженное письмо, содержащее в себе «бутерброд» — файл червя зараженный поверх еще и классическим вирусом.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 10,97% — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Лаборатория Касперского