Обзор вирусной активности - Top20 Online - август 2006

Позиция Изменение позиции Вредоносная программа Доля, проценты:
1.New! Email-Worm.Win32.Mydoom.m 4, 93
2.New! Email-Worm.Win32.NetSky.q 0, 74
3. Return Email-Worm.Win32.Nyxem.e 0, 31
4. +1 Trojan-Dropper.Win32.Agent.asl 0, 22
5. New! Backdoor.IRC.Zapchast 0, 16
6. New! Email-Worm.Win32.NetSky.aa 0, 15
7. New! Trojan-Downloader.Win32.Agent.arc 0, 15
8. New! Backdoor.Win32.mIRC-based 0, 13
9. New! Trojan-Proxy.Win32.Horst.av 0, 12
10. New! Virus.DOS.PS-MPC-based 0, 10
11. -8 Email-Worm.Win32.Rays 0, 10
12. +1 not-a-virus:Monitor.Win32.Perflogger.163 0, 10
13. New! not-a-virus:RiskTool.Win32.HideWindows 0, 09
14. New! Email-Worm.Win32.Bagle.fj 0, 09
15. -14 Trojan-Spy.Win32.Banker.anv 0, 09
16. New! Net-Worm.Linux.Ramen 0, 09
17. -13 Email-Worm.Win32.Brontok.q 0, 09
18. -3 Virus.Win32.Parite.b 0, 08
19. New! Backdoor.IRC.Acnuz 0, 08
20. New! Backdoor.IRC.Mimic 0, 07
Остальные вредоносные программы 92, 11

Августовская двадцатка стала самой необычной за все время публикации подобных отчетов. Она, с одной стороны, противоественна текущему положению дел, как мы себе его представляем. С другой стороны, в ней нашли свое отражение многие существующие классы вредоносных программ, которые ранее в статистику не попадали, но заслуживают отдельного внимания. Примечательно также, что это произошло после того, как июльская двадцатка была признана нами практически эталонной по своему составу.

Сейчас же в ней можно четко определить вирусы, которые там находятся по праву и действительно распространенны в интернете, а также вирусы,
которые попали в этот рейтинг исключительно из-за особенностей работы
онлайн-сканера, и вероятнее всего, в следующем месяце исчезнут из статистики так же быстро, как и появились. Первая тройка августовской двадцатки скорее походит на данные почтовой статистики начала этого года: сразу три червя, из которых первые два оставили заметный след в 2004-2005 годах. NetSky.q был самым распространенным вирусом на протяжении всего 2004 года.

Но в настоящее время, оба этих червя уже покинули нашу почтовую двадцатку, что свидетельствует о прекращении их циркуляции в электронной почте. Причин, объясняющих их появление в онлайн-статистике, может быть несколько. Самой главной из них представляется различие между источниками получения статистики в наших двадцатках. Почтовая двадцатка основана на данных работы антивируса на некоторых крупных серверах электронной почты и отражает перехваченные и уничтоженные вредоносные программы.

Онлайн-статистика опирается на данные с машин конечных пользователей, которые могут вообще не иметь установленной антивирусной программы, а поэтому "контингент" зловредов на их компьютерах может быть весьма пестрым. Третье и четвертое место вполне логичны. Nyxem.e в последние месяцы испытывает второе рождение, и мы отмечаем его присутствие в электронной почте. Так что появление его в онлайн-двадцатке было всего лишь делом времени. Trojan-Dropper.Win32.Agent.asl смог даже в условиях падения общего процента своего присутствия подняться на одно место вверх.

Следующие шесть участников вирусного рейтинга представляют собой микс из современных опасных вирусов, вирусов, которые были актуальны несколько лет назад и антикварных зловредов, существование которых на современных операционных системах просто невозможно. К первому блоку относятся Trojan-Downloader.Win32.Agent.arc и Trojan-Proxy.Win32.Horst.av. Horst.av без сомнения является в настоящее
время одной из главных угроз для пользователей. Это довольно сложный многокомпонентный троянец, оснащенный руткитом и использующий различные полиморфные технологии для осложнения детектирования антивирусными программами.

Второй блок состоит из комбинации Backdoor.IRC.Zapchast+Backdoor.Win32.mIRC-based и отдельно от них
- червь NetSky.aa. Как можно заметить из наличия в названиях первых двух зловредов слова IRC - мы имеем дело с троянской программой, управляемой через IRC. Это один из первых представителей класса "ботнетов". Первые варианты Backdoor.IRC.Zapchast мы стали обнаруживать еще в 2002 году. За это время число известных вариантов
перевалило за тысячу. Скорее всего, в августе 2006 года где-то произошла локальная эпидемия одного из таких вариантов.

Virus.DOS.PS-MPC-based - это казус данной двадцатки. Данный вирус является не каким-то конкретным файлом, а множеством вариантов, созданных при помощи вирусного конструктора PS-MPC. Он известен
более 10 лет, однако как видно - находятся люди, которые считают что им по силам создать при помощи этого конструктора что-то недетектируемое. Отсюда и множественные проверки подобных файлов при помощи онлайн-сканера и нелогичное 10 место.

Зато вторая десятка выглядит гораздо более узнаваемой. Старые знакомые - черви Rays, Brontok, кейлоггер Perflogger, вирус Parite.b и недавний лидер рейтинга и завсегдатай первой пятерки - троянец-шпион Banker.anv. Лидер потерял сразу 14 мест, однако мы считаем, что в сентябре он вновь поднимется к вершине двадцатки. Чужаками выглядят два последних места, однако не исключено, что они тесно связаны с описанным выше Backdoor.IRC.Zapchast (и тогда все оказывается вполне логичным).

А вот червь Ramen, функционирующий на операционной системе Linux, весьма примечателен. Ramen является самым распространенным из всех linux-зловредов. Однако до сих пор мы никогда не отмечали его наличие в масштабах, хотя бы сопоставимых с последними местами наших отчетов. В августе же ему все-таки удалось набрать необходимую критическую массу и обосноваться на 16-м месте. Будет весьма интересно посмотреть на его показатели в сентябре.

Онлайн-итоги августа:
В двадцатке появилось 13 новых вредоносных и потенциально опасных программ: Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.NetSky.q, Backdoor.IRC.Zapchast, Email-Worm.Win32.NetSky.aa, Trojan-Downloader.Win32.Agent.arc, Backdoor.Win32.mIRC-based., Trojan-Proxy.Win32.Horst.av, Virus.DOS.PS-MPC-based, not-a-virus:RiskTool.Win32.HideWindows, Email-Worm.Win32.Bagle.fj, Net-Worm.Linux.Ramen, Backdoor.IRC.Acnuz., Backdoor.IRC.Mimic.

Свои показатели повысили Trojan-Dropper.Win32.Agent.asl, not-a-virus:Monitor.Win32.Perflogger.163. Свои показатели понизили
Email-Worm.Win32.Rays, Trojan-Spy.Win32.Banker.anv, Email-Worm.Win32.Brontok.q, Virus.Win32.Parite.b. Вернулся в двадцатку
Email-Worm.Win32.Nyxem.e.