Объединенный рейтинг активности вредоносных программ TOP 20, апрель-2006

"Лаборатория Касперского" представила объединенный рейтинг активности вредоносных программ, основанный на результатах анализа почтового анализа почтового трафика и мониторинга результатов проверки файлов антивирусным онлайн-сканером посетителями Web-сайта компании.

Virus TOP 20, классический вариант

1NewTrojan-Downloader.Win32.Delf.alf3.842NewTrojan-PSW.Win32.LdPinch.akv3.433-Trojan-Spy.Win32.Banker.ark2.674+1Trojan-Downloader.Win32.Small.axy1.715+9Trojan-Downloader.Win32.Agent.xz1.636-Trojan-Spy.Win32.Banker.anv1.307NewTrojan-Downloader.Win32.Delf.ake1.168NewEmail-Worm.Win32.Rays0.779-2Trojan-Spy.Win32.Bancos.ha0.6610NewPacked.Win32.Tibs0.5711NewTrojan.Win32.Agent.qt0.5712NewVirus.VBS.Redlof.a0.5513Return (январь)Virus.Win32.Hidrag.a0.5414-5not-a-virus:Porn-Dialer.Win32.PluginAccess.gen0.5415NewTrojan-Downloader.Win32.Harnig.bh0.5316-4not-a-virus:PSWTool.Win32.RAS.a0.5317NewTrojan-Downloader.Win32.Harnig.bg0.5218-2Exploit.HTML.CodeBaseExec0.5219Newnot-a-virus:Monitor.Win32.Perflogger.ad0.5020Return (февраль)Backdoor.Win32.Rbot.gen0.50

Прочие: 15.73

Даже при беглом сравнении очередной, апрельской, вирусной двадцатки с тем же рейтингом полугодовой давности может показаться, что мир компьютерных вирусов застыл на месте. Уж чересчур много его участников, почтовых червей, присутствует в рейтинге на протяжении довольно большого периода времени.Однако, это не так. Лидеру последних месяцев, Mytob.c, еще далеко до показателей своих предшественников — таких как легендарные Klez, Sobig или Mydoom.a. Им удавалось держать пользователей электронной почты в постоянном напряжении на протяжении нескольких лет кряду.

И, хотя двадцатка представлена, в основном, различными вариантами Mytob, другие вирусные семейства не собираются уходить в тень и ведут непрерывную борьбу за компьютеры пользователей.

С точки зрения вирусной статистики, апрель 2006 года интересен тем, что в этом месяце наконец-то произошло давно ожидаемое и прогнозируемое аналитиками Лаборатории Касперского событие — рейтинг покинули два червя семейства Zafi. В свое время они были лидерами рейтинга, затем хаотично перемещались по списку участников в обоих направлениях, иногда вновь приближаясь к его вершине. С начала 2006 года было отмечено стремительное исчезновение данного червя, которое привело к тому, что сейчас представители данного семейства не наблюдаются в реальных условиях. Такая многолетняя, крайне высокая степень живучести данных червей объясняется тем, что для своего размножения Zafi использовал очень интересный трюк. Этот червь — настоящий полиглот. Он способен рассылать свои письма на более чем пятнадцати языках Европы! Язык исполнения текста письма определяется червем, исходя из доменной принадлежности адреса электронной почты получателя. Таким образом, содержащие Zafi письма приходили французским пользователям на французском языке, а в Россию — на русском.

Если Zafi имел венгерское происхождение, то LovGate был написан где-то в Азии, предположительно, в Южной Корее. LovGate — это еще один ветеран вирусной сцены, начинавший свою карьеру вместе с Mydoom, Bagle, NetSky и тем же Zafi. При этом NetSky, хотя и продолжает уступать позиции под натиском десятков вариантов Mytob, но в статистике все еще держится, а Mydoom и Bagle практически полностью исчезли.

LovGate, наоборот, постоянно наращивает свое присутствие в рейтингах, причем с каждым месяцем новые его варианты забираются все выше. По результатам апреля два червя из семейства LovGate находятся в пятерке лидеров. Примечательна судьба создателей известных вредоносных программ и их шедевров -авторы LovGate продолжают упорно гнуть свою линию, создавая новые варианты классических почтовых червей, в то время как создатель NetSky уже давно был арестован и осужден, авторы Bagle предпочитают устраивать кратковременные локальные эпидемии троянских программ, а Mydoom просто "мутировал" в Mytob. В апреле Mytob заметно активизировался — это отражено не только в лидерстве варианта C, но и в прочих восьми позициях, занимаемых представителями этого семейства в апрельском выпуске "Top20". Отмечено появление новых опасных вариантов этого клана, один из которых, Mytob.cg, уже появился на 20-м месте. Вероятно, в мае количество представителей Mytob в двадцатке вырастет вновь.

Однако не все позиции апрельской двадцатки статичны — в рейтинге появилось и совсем новое семейство червей. Scano.e — один из нескольких вариантов Scano, вызывавших головную боль у пользователей и экспертов антивирусных компаний. Для экспертов он интересен тем, что распространяется в виде JavaScript-файла, используя довольно мощный полиморфный код, что осложняет создание детектирования. В плане скриптового полиморфизма он очень похож на еще одного червя, Feebs, который хотя и не присутствует в рейтинге, однако регулярно фигурирует в обращениях пользователей антивирусов. Создается ощущение того, что полиморфизм как функциональная составляющая червей будет одной из самых актуальных тем в ближайшие месяцы.

В остальной части рейтинга можно отметить лишь внушительный рывок (+10 позиций) червя Mytob.y, и возвращение в двадцатку Mydoom.L.

Прочие вредоносные программы составили 15,73% от общего количества вирусов, обнаруженных в электронной почте в апреле 2006 года.

Следующие вредоносные программы улучшили свои показатели: NetSky.q, LovGate.ad, Mytob.y, Mytob.t, Mytob.w, Mytob.a

Следующие вредоносные программы ухудшили свои показатели: NetSky.b, Mytob.u, Mytob.q, LovGate.ae, NetSky.y

Не изменились показатели: Mytob.c, NetSky.t, LovGate.w

Virus TOP 20 Online

1NewTrojan-Downloader.Win32.Delf.alf3.842NewTrojan-PSW.Win32.LdPinch.akv3.433-Trojan-Spy.Win32.Banker.ark2.674+1Trojan-Downloader.Win32.Small.axy1.715+9Trojan-Downloader.Win32.Agent.xz1.636-Trojan-Spy.Win32.Banker.anv1.307NewTrojan-Downloader.Win32.Delf.ake1.168NewEmail-Worm.Win32.Rays0.779-2Trojan-Spy.Win32.Bancos.ha0.6610NewPacked.Win32.Tibs0.5711NewTrojan.Win32.Agent.qt0.5712NewVirus.VBS.Redlof.a0.5513Return (январь)Virus.Win32.Hidrag.a0.5414-5not-a-virus:Porn-Dialer.Win32.PluginAccess.gen0.5415NewTrojan-Downloader.Win32.Harnig.bh0.5316-4not-a-virus:PSWTool.Win32.RAS.a0.5317NewTrojan-Downloader.Win32.Harnig.bg0.5218-2Exploit.HTML.CodeBaseExec0.5219Newnot-a-virus:Monitor.Win32.Perflogger.ad0.5020Return (февраль)Backdoor.Win32.Rbot.gen0.50
Прочие: 76.96

Прикладная ценность статистических результатов проверки файлов онлайн-сканером заключается в том, что только эти данные адекватно отражают текущие вирусные угрозы. В случае со статистикой, собранной на почтовых серверах, анализ дает представление о тех вирусных угрозах, которые были обнаружены и остановлены еще до того, как они попали к конечному пользователю. Здесь же эксперты имеют дело с теми вирусами, которые, так или иначе, оказались в компьютере пользователя.

В целом, апрельский рейтинг самых распространенных вирусов по данным онлайн-сканера отражает развитие тенденции кпревалированию троянцев-шпионов и adware над всеми другими классами вирусов.

Произошедшая в апреле смена лидеров рейтинга, \ — обычное явление для данной статистики. Большое количество разнообразных вирусов и короткий срок их жизни приводит к непрерывной постоянная ротации в рамках двадцатке, да и лидеры этого рейтинга выражены не так явно, как в случае почтового — Trojan-Downloader.Win32.Delf.alf всего на 3% превышает по своим показателям обладателя последнего, 20-го, места.

Второй месяц подряд в качестве основной угрозы для компьютеров пользователей всего мира остается троянец LdPinch разных модификаций. Эксперты Лаборатории Касперского на протяжении уже нескольких лет наблюдают его эволюцию от примитивного похитителя паролей до многофункционального бота. Большое количество его вариантов, равно как и частота появления новых, обусловлены тем, что создающая его группировка вирусописателей, наладила целый криминальный бизнес по выпуску новых версий LdPinch по заказу любого желающего. Толпы script-kiddies, неспособные самостоятельно написать и двух строчек кода, с радостью ухватились за возможность обладания собственным, эксклюзивным троянцем.
Второе место LdPinch.akv напрямую связано с лидером рейтинга Trojan-Downloader.Win32.Delf.alf. Именно Delf.alf был массово разослан по электронной почте и затем, попадая в компьютер пользователя, загружал из сети LdPinch.akv.

Класс Trojan-Downloader продолжает оставаться самым массовым — только в пределах первой пятерки мы видим три подобных троянца.

Третье и шестое место продолжают удерживать два шпиона, похищающие информацию о банковских счетах пользователей — Banker.ark, Banker, anv. Данные троянцы являются старожилами рейтинга (если термин старожил вообще применим к столь быстро изменяющейся статистике) и, судя по всему, их ведущие позиции удерживаются именно при помощи Trojan-Downloader-ов.

Вообще, нахождение почтового червя Rays на восьмом месте рейтинга также весьма удивительно. Его не было в почтовом варианте TOP20, однако в данном рейтинге он присутствует. Впрочем, этот червь является довольно старым, и никогда не был источником заметных эпидемий в интернете.

С этой точки зрения более интерсным представляется нахождение в рейтинге двух червей — Hidrag.a и Redlof.a.Каждый из них также известен вирусным аналитикам не первый год, входя в число наиболее распространенных вредоносных программ во всем мире. Их пример показывает, что классические файловые вирусы все еще могут оставаться серьезной угрозой. Значительно пониженная скорость распространения этих зловредных кодов по сравнению с червями с лихвой компенсируется большим количеством зараженных файлов и трудностями быстрой очистки системы после заражения.
VBS.Redlof.a — вирус, написанный на языке Visual Basic Script. Помимо традиционного заражения html-файлов, он использует крайне интересный способ для распространения внутри компьютера. Он заражает файл настройки отображения каталогов в Windows Explorer — folder.htt, и активизируется при простом обращении из Explorer к каталогу. Говоря еще проще, для того, чтобы вирус начал работу, достаточно всего лишь войти в каталог, а не запустить зараженный файл. За счет заражения html-файлов Redlof.a смог попасть и в интернет , т.к. пораженные файлы могут представлять собой элементы web-сайта. Как следствие этого, он будет заражать и посетителей таких сайтов.

Hidrag.a является типичным вирусом — он заражает исполняемые файлы и только этого оказалось достаточно для того, чтобы попасть на множество пиратских CD-сборников программ и игр, что и привело к его распространению по миру.

В заключение, нельзя не отметить полное отсутствие в статистике широко разрекламированного некоторыми антивирусными компаниями вируса-червя Polip (он же Polipos). Несмотря на заявления о его высокой распространенности в P2P-сетях и множественных случаях заражений, в реальности гораздо большую угрозу представляют обычные троянцы-шпионы, такие, как LdPinch или Banker. Да и сами P2P-сети уже довольно давно перестали быть одним из основных источников заражений, что произошло по целому ряду причин, которые, возможно, будут рассмотрены в следующем выпуске данного отчета .

Итоги апреля

Новые вирусы в двадцатке: Trojan-Downloader.Win32.Delf.alf, Trojan-PSW.Win32.LdPinch.akv, Trojan-Downloader.Win32.Delf.ake, Email-Worm.Win32.Rays, Packed.Win32.Tibs, Trojan.Win32.Agent.qt, Virus.VBS.Redlof.a, Trojan-Downloader.Win32.Harnig.bh, Trojan-Downloader.Win32.Harnig.bg, not-a-virus:Monitor.Win32.Perflogger.ad

Повысили свои показатели: Trojan-Downloader.Win32.Small.axy, Trojan-Downloader.Win32.Agent.xz

Понизили свои показатели: Trojan-Spy.Win32.Bancos.ha, not-a-virus:Porn-Dialer.Win32.PluginAccess.gen, not-a-virus:PSWTool.Win32.RAS.a, Exploit.HTML.CodeBaseExec
Не изменили своего положения: Trojan-Spy.Win32.Banker.ark, Trojan-Spy.Win32.Banker.anv

Вернулись в двадцатку Virus.Win32.Hidrag.a, Backdoor.Win32.Rbot.gen

Информация предоставлена "Лабораторией Касперского"."