4 maja 2005

Lista 20 najpopularniejszych szkodników w kwietniu 2005

Kaspersky Lab prezentuje listę 20 szkodliwych programów, które najczęściej atakowały użytkowników w kwietniu 2005. Poniższe dane określają procentowy udział infekcji wywołanej konkretnym szkodnikiem w łącznej liczbie infekcji zgłoszonych do firmy Kaspersky Lab w kwietniu 2005 roku.

Pozycja Stan Nazwa wirusa %
1 +3 Net-Worm.Win32.Mytob.c 27,80%
2 -1 Email-Worm.Win32.NetSky.q 16,53%
3 -1 Email-Worm.Win32.NetSky.aa 6,05%
4 -1 Email-Worm.Win32.NetSky.b 5,77%
5 - Email-Worm.Win32.Lovgate.w 3,65%
6 +1 Email-Worm.Win32.Zafi.b 3,45%
7 Nowość Net-Worm.Win32.Mytob.q 3,29%
8 -2 Email-Worm.Win32.Zafi.d 2,89%
9 Nowość Net-Worm.Win32.Mytob.u 2,42%
10 -1 Email-Worm.Win32.NetSky.d 2,17%
11 -1 Email-Worm.Win32.Mydoom.l 1,99%
12 -4 Email-Worm.Win32.Mydoom.m 1,82%
13 -1 Email-Worm.Win32.NetSky.x 1,47%
14 Nowość Net-Worm.Win32.Mytob.r 1,42%
15 -1 Email-Worm.Win32.NetSky.t 1,25%
16 -5 Email-Worm.Win32.NetSky.y 1,15%
17 Nowość Net-Worm.Win32.Mytob.t 1,06%
18 Nowość Net-Worm.Win32.Mytob.h 1,01%
19 -6 Email-Worm.Win32.NetSky.r 0,98%
20 -5 Email-Worm.Win32.Bagle.ai 0,81%
Inne szkodliwe programy* 13,02%
*infekcje szkodników, które nie zakwalifikowały się do listy

Zestawienie z kwietnia ukazuje to, co przewidywali nasi eksperci - Mytob zajął pierwsze miejsce. Mytob.c jest jednym z członków tej licznej rodziny, która pojawiła się w 2005 roku. Mytob.c został wykryty 4 marca i w ciągu zaledwie dwóch miesięcy zepchnął z pierwszej pozycji lidera roku 2004 - robaka NetSky.q.

Mytob.c bazuje na kodzie źródłowym robaka Mydoom.a i rozprzestrzenia się za pośrednictwem poczty elektronicznej oraz przy użyciu luki w usłudze LSASS. Nazwa nadana temu szkodnikowi przez laboratoria antywirusowe odzwierciedla także kolejną funkcję robaka - możliwość tworzenia sieci zainfekowanych komputerów (botnetów): My(doom) + tob(odwrócone słowo 'bot').

Ze względu na dwa mechanizmy rozprzestrzeniające robak rozprzestrzenia się bardzo szybko i jest stosunkowo trudny do zatrzymania. Jedynym sposobem na powstrzymanie szkodnika byłoby masowe usuwanie go z ruchu pocztowego przepływającego przez kluczowe węzły sieci. Po raz kolejny przypominamy użytkownikom o konieczności zainstalowania łaty usuwającej lukę w usłudze LSASS, co również będzie miało wpływ na zmniejszenie prędkości rozprzestrzeniania robaka.

Niepokojące jest to, że Mytob.c nie jest osamotniony - kwietniowe zestawienie zawiera pięć kolejnych wersji tego szkodnika. Tym samym Mytob zbliża się do poziomu jaki osiągnął NetSky (osiem modyfikacji w najnowszym zestawieniu). Jednakże na osiągnięcie takiego wyniku NetSky potrzebował kilku miesięcy, podczas gdy Mytob dokonał tego w ciągu zaledwie jednego miesiąca.

Nie ma wątpliwości, że ta nowa rodzina robaków będzie się nieustannie przewijać w naszych statystykach. Autorzy Mytoba przez cały czas są aktywni i pod koniec kwietnia publikowali nową wersję co dwa dni. Nowe modyfikacje nie różnią się znacząco od siebie, wykorzystują jednak różne metody pakowania zainfekowanych plików, co może utrudnić ich wykrywanie wielu skanerom antywirusowym.

Oczywiście Mytob nie jest jedynym robakiem, który pojawił się w kwietniu 2005 - wystąpiło kilka niewielkich epidemii spowodowanych przez nowe wersje szkodników Sober oraz Bagle, jednak żadna z nich nie zakwalifikowała się do naszego zestawienia. Powodów jest kilka, w tym błędy w kodzie szkodników oraz szybki czas reakcji laboratoriów antywirusowych.

Rodzina Mytob wpłynęła na spadek wszystkich pozostałych kwietniowych zagrożeń oprócz robaka Zafi.b. Jest to jedyny szkodnik, który umocnił swoją pozycję w zestawieniu, jednak tylko o jedno miejsce. Mytob sprawił także, że nowe wersje wielu szkodliwych programów wykorzystywanych w atakach typu phishing (Trojan-Spy.HTML) oraz Trojan-Downloaderów nie znalazły się w zestawieniu. Jest to nieco zaskakujące, ponieważ programy te regularnie rozsyłane są w Internecie. Wygląda jednak na to, że ich autorzy nie koncentrują się już na ilości, lecz na określonych celach: atakowanie klientów konkretnego banku, czy też wysyłanie swoich "dzieł" pod adresy e-mail należące do jednej domeny.

Szkodliwe programy, które nie zakwalifikowały się do zestawienia stanowiły znaczną część całego szkodliwego ruchu zarejestrowanego w kwietniu 2005 - 13,02%. Ukazuje to, że w Internecie krąży wiele innych robaków i trojanów, które stanowią zagrożenie dla niezabezpieczonych komputerów.

Podsumowanie:

  • nowości:

    • Net-Worm.Win32.Mytob.q
    • Net-Worm.Win32.Mytob.u
    • Net-Worm.Win32.Mytob.r
    • Net-Worm.Win32.Mytob.t
    • Net-Worm.Win32.Mytob.h

  • bez zmian:

    • Email-Worm.Win32.Lovgate.w

  • do góry:

    • Net-Worm.Win32.Mytob.c
    • Email-Worm.Win32.Zafi.b

  • w dół:

    • Email-Worm.Win32.NetSky.q
    • Email-Worm.Win32.NetSky.aa
    • Email-Worm.Win32.NetSky.b
    • Email-Worm.Win32.Zafi.d
    • Email-Worm.Win32.NetSky.d
    • Email-Worm.Win32.Mydoom.l
    • Email-Worm.Win32.Mydoom.m
    • Email-Worm.Win32.NetSky.x
    • Email-Worm.Win32.NetSky.t
    • Email-Worm.Win32.NetSky.y
    • Email-Worm.Win32.NetSky.r
    • Email-Worm.Win32.Bagle.ai