Обзор вирусной активности - декабрь 2005

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	+2	Email-Worm.Win32.Zafi.d	29,17
2.	-1	Net-Worm.Win32.Mytob.c	17,30
3.	+2	Email-Worm.Win32.LovGate.w	6,07
4.	+9	Email-Worm.Win32.Sober.y	4,92
5.	+13	Email-Worm.Win32.Zafi.b	3,73
6.	+1	Email-Worm.Win32.NetSky.b	3,58
7.	-1	Email-Worm.Win32.NetSky.q	2,75
8.	0	Net-Worm.Win32.Mytob.t	2,29
9.	+1	Net-Worm.Win32.Mytob.u	2,28
10.	+2	Net-Worm.Win32.Mytob.q	1,79
11.	-2	Net-Worm.Win32.Mytob.bk	1,54
12.	-1	Net-Worm.Win32.Mytob.h	1,45
13.	New!	Trojan-Spy.HTML.Bayfraud.hn	1,36
14.	Return	Email-Worm.Win32.LovGate.ae	1,35
15.	+4	Email-Worm.Win32.NetSky.y	1,00
16.	Return	Net-Worm.Win32.Mytob.w	0,96
17.	Return	Net-Worm.Win32.Mytob.a	0,96
18.	-1	Email-Worm.Win32.Bagle.dx	0,83
19.	-4	Net-Worm.Win32.Mytob.y	0,81
20.	Return	Net-Worm.Win32.Mytob.x	0,79
Остальные вредоносные программы			15,07

В отличие от стабильного положения лидеров вирусного рейтинга в ноябре, декабрь 2005 года оказался весьма активным. Первые шесть позиций претерпели значительные изменения, а также в очередной раз сменился лидер двадцатки. Вопреки ожиданиям им стал не представитель семейства Mytob или Doombot. Им оказался Zafi.d, уже почти полтора года циркулирующий в сети. На этот раз его показатель оказался весьма впечатляющим – почти 30% от всего вирусного трафика.

Лидер последних месяцев, Mytob.c, опустился на второе место, хотя его показатели фактически остались на прежнем уровне. А вот дальше начинается самое интересное.

Черви семейства Doombot, активно вторгнувшиеся в двадцатку пару месяцев назад и составлявшие серьезную конкуренцию Mytob-ам, вдруг бесследно пропали. Пропали не только занимавшие 16 и 20 места Doombot.g и .d, но и вариант .b, бывший в ноябре на втором месте!

Если бы в рейтинге появились новые вредоносные программы, то такое исчезновение Doombot можно было бы объяснить обычным вытеснением со стороны более активных вирусов. Однако ничего подобного в декабре не произошло.

Дальше еще интересней. Lovgate.w, старожил и ветеран вирусных боев, забрался на третье место. Мы уже давно перестали удивляться тем показателям стабильности, которые уже несколько лет выдерживает этот азиатский червь. Появлялись новые и сменялись лидеры вирусной двадцатки, были Mydoom, Bagle, Sober, NetSky, сейчас они уже давно отошли в небытие, а LovGate.w как находился в числе самых распространенных червей, так им и остается. Кроме этого, в двадцатку смог вернуться еще один из LovGate. Вариант .ae обосновался на 14-м месте.

Самый нашумевший вирус ноября – Sober.y. В ноябре в нашей статистике он занимал скромное 13 место во многом из-за того, что был ориентирован на рассылку себя по адресам электронной почты западноевропейских пользователей, оставляя Россию в относительной безопасности. Однако масштабы эпидемии были столь огромны, что рано или поздно он должен был выйти на эпидемиологический показатель и у нас. В декабре это случилось. Sober.y набрал прибавил сразу 9 позиций и занял 4-ое место. Примерно в середине декабря он перестал рассылать себя по почте, затаившись до лучших времен. По некоторым данным, эти «лучшие времена» для Sober.y настанут 5-6 января, когда он попытается загрузить свой новый вариант на уже зараженные компьютеры. Мы призываем пользователей быть максимально внимательными в эти дни и с повышенным подозрением относиться ко всем письмам с вложениями тем более, если они пришли якобы от какой-то важной государственной службы, например, ФБР. Также возможно, что автор Sober использует новую версию червя для рассылки миллионов писем праворадикального характера с пропагандой нацизма.

Zafi.b – один из самых распространенных почтовых червей последних двух лет. Он неоднократно лидировал в наших рейтингах, однако в последние месяцы его показатели весьма ощутимо шли на убыль. В ноябре он занимал уже 18 место и по всем оценкам в декабре должен был окончательно распрощаться с двадцаткой. Однако, стремительный рывок в лидеры со стороны его младшего брата Zafi.d не мог не отразиться на показателях Zafi.b. Как следствие этого – рост сразу на 13 позиций вверх, что является одним из самых внушительных показателей в 2005 году, и почетное пятое место.

Итого, в первой пятерке мы наблюдаем сразу два червя семейства Zafi и по одному из Mytob, Sober и LovGate. От былого превосходства Mytob над остальными не осталось и следа. И, несмотря на то, что целых 10 вариантов Mytob по-прежнему находятся в числе 20-и самых распространенных вирусов, очевидно, что в самом скором времени они будут окончательно вытеснены новыми червями, которые появятся уже в 2006 году.

Весьма символично 13 место, занятое не червем, не вирусом, а письмом. Trojan-Spy.HTML.Bayfraud.hn – одно из сотен вариантов фишинговых писем, которые были разосланы злоумышленниками в декабре 2005 года. Данная фишинг-атака была направлена на пользователей системы eBay, и показатель в 1,36% от общего вирусного трафика является весьма солидным. Все чаще и чаще в наших отчетах попадаются представители класса Trojan-Spy.HTML, а это говорит о том, что фишинг-атаки не только не идут на убыль, но и испытывают постоянный рост. Фишинг и в 2006 году останется одной из главных проблем компьютерной безопасности.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент – 15,07 - от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги декабря

• В двадцатке появилась одна новая вредоносная программа: Trojan-Spy.HTML.Bayfraud.hn.
• Повысили свой рейтинг: Zafi.d, LovGate.w, Sober.y, Zafi.b, NetSky.b, Mytob.u, Mytob.q, NetSky.y.
• Понизили свои показатели: Mytob.c, NetSky.q, Mytob.bk, Mytob.h, Bagle.dx, Mytob.y.
• Вернулись в двадцатку: LovGate.ae, Mytob.w, Mytob.a, Mytob.x.
• Не изменил своего положения Net-Worm.Win32.Mytob.t.