Ежемесячный вирусный обзор ЗАО "ДиалогНаука" - декабрь 2003

02 января 2004

[02.01.2004]

Последний месяц 2003 года, столь богатого на всевозможные вирусные атаки, потрясавшие до основания весь компьютерный мир, не был отмечен сколько-нибудь значительными эпидемиями. Все новые экземпляры вредоносных программ, появившиеся в декабре, если и попадали на некоторое время в первую десятку самых распространенных вирусов, то оставались там всего несколько дней, не претендуя на то, чтобы потеснить основных завсегдатаев вирусных "хит-парадов".

Вместе с тем, в декабре стала еще заметнее тенденция единения компьютерных вирусов и спама, которая является, без преувеличения основной чертой уходящего года. Вирусы не только стали распространяться при помощи спамерских технологий, не только стали использовать зараженные компьютеры, как сервера для массовых спамерских рассылок - их создатели стали использовать их как средство борьбы с антиспамом, в частности, с антиспамерскими сайтами.

Начало декабря было ознаменовано достаточно широким распространением новой разновидности почтового червя семейства Mimail (по классификации Dr.Web® - Win32.HLLM.Foo), который, заразив систему, предпринимал DoS-атаки против ряда серверов, которые созданы для борьбы со спамом. С одной стороны, практически все семейство почтовых червей Foo было нацелено на получение обманным путем конфиденциальной информации о пользователях платежной системы PayPal, а с другой - на использование зараженных компьютеров для DoS-атак на сервера, откуда ведется борьба со спамом в интернете. Следует отметить, что представители этого семейства весьма прочно обосновались на самых высоких строчках декабрьского вирусного рейтинга, уступая только "непререкаемым лидерам" - червям Yaha.4, Klez.4 и Gibe.2.

Таким образом, если еще в начале года подавляющее большинство почтовых и интернет червей, даже самые грозные, не имели какой-либо серьезной экономической подоплеки, будучи воплощением скорее хулиганских побуждений своих авторов, то начиная с середины года, и особенно в его последней четверти, они стали быстрыми темпами становиться грозным оружием целой индустрии с серьезными экономическими амбициями - индустрии спама. Специалисты не без тревоги констатируют, что компьютерные вирусы теперь не только питаются злым гением своих создателей, но и получают весьма серьезную экономическую основу, оказываясь на службе у спамеров.

Проблема роста масштабов спама в настоящее время настолько серьезна, что в ряде развитых стран, экономическая жизнь которых в высокой степени зависит от благополучия интернет-коммуникаций, в декабре приняты законы, весьма сурово карающие спамеров. Однако пока рано говорить о том, что законодательное решение проблемы принесет ощутимые результаты. В США, например, закон против спама, вызвавший бурю критики в широких слоях общества, определил уголовным преступлением не саму рассылку спама, а использование спамерских приемов при рассылке электронной почты, в частности - указание несуществующего обратного адреса. В условиях все более широкого использования троянских и ииных вредоносных программ для генерации спама подобная законодательная мера вызывает разве что улыбку - на скамью подсудимых приглашаются компьютерные вирусы и их неуловимые пока авторы.

Из других заметных эпизодов вирусной жизни в декабре можно отметить появление очередной разновидности почтового червя массовой рассылки семейства Yaha - Win32.HLLM.Yaha.8. Уже достаточно давно индийские хакеры не напоминали миру о себе, довольствуясь, по-видимому, теми лидирующими позициями, на которых практически весь год находится их главное творение - Win32.HLLM.Yaha.4 (в декабре на этот вирус приходилось от 18% до 36% всех вредоносных программ, обнаруживаемых почтовыми фильтрами Dr.Web® в интернете). Новый вариант "червя года" дополнился теперь и функцией распространения по файлообменным сетям, которые за последнее время стали поистине важнейшим средством распространения различных вирусов.

В декабре продолжало привлекать к себе внимание и довольно устойчивое присутствие в интернете одного из самых "громких" почтовых червей - Win32.HLLM.Reteras. Несмотря на ограничение по дате распространения, имеющееся в его коде, червь продолжает занимать 5-8% инфицированного почтового трафика, что свидетельствует, по всей видимости, о рассылке его с применением спамерских технологий, в том числе, зараженных ранее компьютеров, являющихся прокси-серверами для рассылки всевозможного спама.


Статистика - декабрь 2003

За декабрь 2003 года вирусная база Dr.Web® пополнилась 540 новыми записями. По типам вирусов они распределялись следующим образом:

  • Троянские программы - 329
  • из них - программы-люки (backdoor) - 148
  • охотники за паролями - 44
  • Сетевые черви - 40
  • Скрипт-вирусы - 32
  • IRC-вирусы - 26
  • Почтовые черви - 23
  • BAT-вирусы - 7
  • Вирусы-паразиты - 18
  • Макро-вирусы - 26
  • 1135 вирусов 334 различных типов были обнаружены в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы.

    Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

    Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в декабре. Всего за прошедший месяц антивирусными фильтрами Dr.Web было обнаружено 8,05 млн. вирусов 579 видов (для сравнения, в ноябре более 8,1 млн. вирусов 571 вида, в октябре - 4,2 млн. 566 видов, в сентябре было 4,3 млн. 540 видов, в августе - 7,3 млн. вирусов 625 видов).

    ВирусКоличество%
    1 Win32.HLLM.Yaha.4 2099710 26.0889
    2 Win32.HLLM.Gibe.2 1864840 23.1706
    3 Win32.HLLM.Klez.4 1455629 18.0862
    4 Win32.HLLM.Foo 999309 12.4164
    5 Win32.HLLM.Reteras 360616 4.4806
    6 Win32.HLLM.Bugbear.2 287729 3.5750
    7 Win32.HLLM.Klez.1 200690 2.4936
    8 Win32.HLLM.Dumaru 163456 2.0309
    9 Win32.HLLM.Yaha.64000 76164 0.9463
    10 Win32.HLLM.Foo.26432 69017 0.8575
    11 Win32.HLLM.Yaha.based 66641 0.8280
    12 Win32.HLLM.Foo.32800 35207 0.4374
    13 Win32.HLLM.Generic.265 30578 0.3799
    14 VBS.Redlof 29370 0.3649
    15 Win32.HLLM.Nicky.3 29304 0.3641

    12
    ;