Wirusy – maja 2006

mareklSkomentuj
Wirusy – maja 2006

zeczywistości można mówić o minimalnej różnicy między zestawieniem 20 najpopularniejszych szkodników maja i marca, a nawet lutego. Nie jest to zjawisko przejściowe, a raczej cecha obecnego krajobrazu złośliwych programów: globalne epidemie robaków pocztowych należą już do przeszłości.

Przyjrzyjmy się statystyce. Mytob.c, który w lutym umocnił się na czołowej pozycji osiągając 30% udział w ruchu, utrzymał się na szczycie, zachowując bezpieczny dystans w stosunku do swoich rywali. Natomiast wciąż trwa walka o drugie miejsce na liście: robaki Mydoom, NetSky, Bagle i Mytob utrzymują się w pierwszej piątce od kilku miesięcy, a nawet lat. Jednak latem 2006 roku okazało się, że w drodze na szczyt wyprzedziły je południowo-koreańskie robaki, które są słabo znane większości Europejczyków i rzadko pojawiają się w mediach. Na drugie i czwarte pozycje na liście wspięły się dwa warianty robaka LovGate, pozostawiając pozostałe miejsca w pierwszej piątce dla robaka NetSky. Najwidoczniej spowodowane jest to spadkiem robaka NetSky.t z drugiej na piątą pozycję. Udział tego robaka w ruchu pocztowym zmniejszył się niemal dwukrotnie.

W poprzednich miesiącach analitycy z Kaspersky Lab przewidywali, że nowe warianty Mytoba zwiększą swoją obecność lub stare warianty tego robaka powrócą na czołowe pozycje. Przewidywania te okazały się słuszne: dwa stare warianty Mytoba – .u i .a – poprawiły nieco swoje wyniki, w rezultacie rodzina ta okupuje połowę miejsc w pierwszej dziesiątce, łącznie z najwyższą pozycją. Dodatkowo, do listy 20 najpopularniejszych szkodników wszedł Mytob nowej generacji – wariant .eg. Chociaż w sierpniu zeszłego roku aresztowano dwóch hakerów podejrzewanych o stworzenie tych robaków, nowe warianty zaczęły pojawiać się w zastraszającym tempie. Z pewnością spowodowane było to tym, że kod źródłowy tego robaka jest publicznie dostępny. Jednak Mytoby nie tylko pną się coraz wyżej i atakują w postaci nowych wersji – od czasu do czasu na listę wracają nawet ich stare warianty. W maju byliśmy świadkami powrotów wariantów .x i .bx. W rezultacie klony Mytoba obsadziły prawie połowę zestawienia i zajmują 9 pozycji na 20.

Jeżeli chodzi o pozostałą część listy, warto wspomnieć o dwóch innych nowościach – są to warianty robaka pocztowego Scano: .ag oraz .ab.

Robak Scano zagościł na scenie wirusowej stosunkowo niedawno. W kwietniu Scano.e uplasował się na 14 pozycji. Szkodnik ten bazuje na technologiach zaimplementowanych w robaku Feebs, który po raz pierwszy pojawił się zimą 2005 roku. Scano, różni się jednak od Feebsa tym, że zawiera polimorficzny dropper JavaScript, który dostarcza robaka do jego ofiar. Technologie polimorficzne zyskują coraz większą popularność wśród twórców wirusów, ponieważ wcześniejsze metody wykorzystywane w celu ukrycia złośliwego kodu przed programami antywirusowymi stały się niemal całkowicie nieskuteczne.

Scano.e zniknął już ze sceny. Na jego miejsce weszły dwie nowości, które uplasowały się na 15 i 19 pozycji. Wszystko wskazuje na to, że spotka je ten sam los co ich poprzednika i w czerwcu będą zanikały. Prawdopodobnie nie znikną jednak całkowicie: autor tego robaka jest bardzo produktywny i każdego tygodnia wypuszcza kilka nowych wariantów.

Udział pozostałych złośliwych programów w ruchu pocztowym był znaczny (18,79%), co oznacza, że w ruchu pocztowym krąży ogromna liczba robaków i trojanów z innych rodzin.

Pełny raport znajduje się w Encyklopedii Wirusów firmy Kaspersky Lab pod adresem http://viruslist.pl/analysis.html?newsid=220.

Udostępnij

marekl