Najpopularniejsze wirusy 11.2005

mareklSkomentuj
Najpopularniejsze wirusy 11.2005

stawienia, do końca roku nic już się nie zmienia – grudniowe wydarzenia nie mają praktycznie żadnego wpływu na obraz dystrybucji szkodliwego oprogramowania.

Listopad 2005 roku jest unikatowy pod względem stabilności. Sześć robaków znajdujących się w czołówce listy z października zachowało swoje pozycje. Stabilność ta jest tym dziwniejsza, że w listopadzie wystąpiła epidemia, która powinna mieć wpływ na czołówkę zestawienia, przynajmniej teoretycznie. Poniżej eksperci z Kaspersky Lab wyjaśniają dlaczego tak się nie stało.

Mytob.c przez cały czas prowadzi w zestawieniu, a nawet umacnia swoją pozycję dodając do swojego wyniku 4%. Możemy być pewni tego, że jeden z robaków Mytob stanie się "robakiem roku 2005". Świadczy o tym częsta obecność tych robaków na pierwszym miejscu zestawienia. Ze względu na swoją przewagę, Mytob może myć postrzegany jako autor największej epidemii roku 2005 i stawać w szranki z takimi "gigantami" jak Sobig (2003) oraz NetSky (2004).
Ogólnie, jednak, robaki z rodziny Mytob wycofują się z frontu – w listopadowym zestawieniu znalazło się "tylko" dziewięć wersji. Oczywiście, żadna inna rodzina wirusów nie zbliżyła się nawet do tego wyniku, jednak nie tak dawno temu robaki Mytob zajmowały aż 13 z 20 miejsc miesięcznego zestawienia Kaspersky Lab. Wygląda na to, że dominacja Mytoba słabnie.

W listopadowym zestawieniu pojawiły się dwie nowości – Doombot.b oraz Doombot.d. Wydawało się, że szkodniki te mogą rywalizować z Mytobem i pokonają inne robaki. Doombot.b bardzo szybko (w ciągu pierwszych dwóch tygodni października) wspiął się na drugie miejsce, a Doombot.d w ciągu tygodnia znalazł się na siódmej pozycji. Funkcjonalnie Doombot jest prawie identyczny z Mytobem, więc szkodniki te walczyły w tej samej gonitwie, z tym, że Doombot był nieco szybszy. W październiku analitycy z Kaspersky Lab szacowali, że może Doombot.b może okazać się czarnym koniem listopada.

Tak się jednak nie stało. Doombot.b utrzymał drugie miejsce tracąc 2% przewagi nad zajmującym trzecią lokatę robakiem Zafi.d, podczas gdy Doombot.d spadł na 13 miejsce i prawdopodobnie bardzo szybko zniknie z zestawienia.
I nawet to, że na liście pojawił się nowy członek rodziny Doombot (Doombot.g na 16 miejscu) nie zapewni jej możliwości odegrania większej roli.

Na liście pojawiły się zaledwie dwie nowości. Jedną z nich jest omawiany już Doombot.g, zatem skupimy się na miejscu 13, gdzie uplasowała się nowa wersja starego dobrego Sobera. Historia tego robaka rozpoczęła się dwa lata temu, w listopadzie 2003, i od tego czasu praktycznie każda nowa wersja ma znaczący wpływ na epidemiologiczny stan Internetu. Skala epidemii wywołanych przez robaki Sober.e oraz Sober.c wyróżnia się na przestrzeni ostatnich lat.
Z reguły, Sober atakuje użytkowników Internetu z Europy Zachodniej. Autor wykorzystuje swoje "dzieło" do publikowania własnych poglądów politycznych używając bardzo efektywnych trików socjotechnicznych. I właśnie ze względu na techniki socjotechniczne nowe wersje Sobera stanowią tak duże zagrożenie.

Sober.y wykorzystuje stare, sprawdzone podejście – zainfekowana wiadomość e-mail sprawia pozory wysłanej przez FBI, które rzekomo informuje użytkownika o pogwałceniu przez niego praw autorskich w wyniku pobierania plików muzycznych przez Internet. Treść wiadomości zaleca użytkownikowi otwarcie załącznika, który rzekomo zawiera treść oskarżenia. Interesujące jest to, że w treści wiadomości znajduje się bezpośredni numer telefonu FBI. Wielu użytkowników, którzy otrzymali zainfekowaną wiadomość dzwoniło do FBI, co doprowadziło do prawdziwej lawiny telefonów.

Interesujące jest to, że bawarska policja ostrzegała przed nowym wariantem Sobera jeszcze zanim został on wykryty. Na tej podstawie można sądzić, że organizacje egzekwujące prawo śledzą autora tego szkodnika i w niezbyt odległej przyszłości zostanie on ujęty.

Sober.y został wykryty 16 listopada i spowodował jedną z największych epidemii 2005 roku, biorąc pod uwagę zachodnioeuropejski segment Internetu. Zajęcie przez robaka Sober.y zaledwie 13 miejsce w listopadowym zestawieniu Kaspersky Lab można tłumaczyć tym, że powstaje ono głównie na podstawie danych pochodzących z rosyjskich serwerów pocztowych. W Rosji zaobserwowano oczywiście aktywność nowego Sobera, jednak była ona stosunkowo niewielka.

Znaczny odsetek (21,66%) innych szkodliwych programów wykrytych w ruchu pocztowym świadczy o tym, że w Internecie przez cały czas krąży ogromna liczba robaków i trojanów, które nie są na tyle efektywne, aby znaleźć się w pierwszej dwudziestce.

Pełny raport znajduje się w Encyklopedii Wirusów firmy Kaspersky Lab (http://viruslist.pl).

Udostępnij

marekl