Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Lista 20 najpopularniejszych szkodników w sierpniu 2005


Kaspersky Lab prezentuje listę 20 szkodliwych programów, które najczęściej atakowały użytkowników w sierpniu 2005. Poniższe dane określają procentowy udział infekcji wywołanej konkretnym szkodnikiem w łącznej liczbie infekcji zgłoszonych do firmy Kaspersky Lab w sierpniu 2005 roku.

Pozycja Stan Nazwa %
1. Do góry +1 Net-Worm.Win32.Mytob.c 16,28
2. W dół -1 Email-Worm.Win32.NetSky.q 11,38
3. Bez zmian - Email-Worm.Win32.Zafi.b 8,49
4. Bez zmian - Email-Worm.Win32.Zafi.d 5,98
5. Do góry +1 Net-Worm.Win32.Mytob.bk 4,45
6. Do góry +3 Email-Worm.Win32.NetSky.b 3,79
7. Bez zmian - Email-Worm.Win32.NetSky.aa 3,51
8. Do góry +7 Email-Worm.Win32.LovGate.w 3,38
9. W dół -4 Net-Worm.Win32.Mytob.be 3,37
10. Bez zmian - Net-Worm.Win32.Mytob.bi 2,72
11. Do góry +5 Net-Worm.Win32.Mytob.q 2,60
12. Do góry +5 Net-Worm.Win32.Mytob.t 2,22
13. Nowość! Nowość Net-Worm.Win32.Mytob.h 2,04
14. W dół -1 Net-Worm.Win32.Mytob.u 1,68
15. Powrót Powrót Email-Worm.Win32.NetSky.t 1,52
16. W dół -5 Net-Worm.Win32.Mytob.au 1,51
17. W dół -9 Net-Worm.Win32.Mytob.bt 1,25
18. Powrót Powrót Net-Worm.Win32.Mytob.r 1,17
19. Nowość! Nowość Net-Worm.Win32.Mytob.a 1,15
20. Nowość! Nowość Net-Worm.Win32.Mytob.bw 1,15
Inne szkodliwe programy 20,66

Cyber-wojny wyraźnie wpływają na zestawienie firmy Kaspersky Lab. Niektóre z nich wywoływane są przez konkurujące grupy twórców szkodliwego oprogramowania, którzy próbują usuwać z zainfekowanych komputerów szkodniki wyprodukowane przez rywali - każda z grup chce mieć daną maszynę zombie na własność. Czasami konkurujące grupy atakują nawzajem swoje strony WWW, a hakerzy z danego kraju próbują włamywać się do serwerów rządowych innych państw.

NetSky.q oraz Mytob.c walczą o pierwsze miejsce listy już od kilku miesięcy. Robaki te bardzo się od siebie różnią - wykorzystują inne luki w oprogramowaniu i powstały w odstępie jednego roku. NetSky.q walczył już o dominację z wieloma wersjami robaków Mydoom oraz Bagle i, wnioskując z wyników, wygląda na to, że wyszedł z tej walki zwycięsko. Rok później pojawił się robak Mytob bazujący na kodzie źródłowym pierwszego Mydooma. Mytob podąża szlakiem wyznaczonym przez robaka NetSky i jest jego (NetSky.q) głównym rywalem. Jesteśmy świadkami nieustającej walki między tymi dwoma rodzinami. Obecnie, w zestawieniu znajduje się 13 wersji Mytoba oraz 4 modyfikacje robaka NetSky. Mimo tego, że na pierwszy rzut oka Mytob zyskuje przewagę, po bliższym przyjrzeniu się widać, że tak na prawdę żadna z tych rodzin nie dominuje - w pierwszej dziesiątce znajdują się 4 Mytoby i 3 wersje robaka NetSky.

W lipcu obserwowaliśmy ofensywę starszych robaków - Bagle, Mydoom oraz Zafi - lecz w sierpniu ich impet znacznie osłabł. Robaki Bagle oraz Mydoom całkowicie zniknęły z zestawienia. Dwie wersje robaka Zafi utrzymały swoje pozycje, jednak czas pokaże, czy uda im się to w kolejnym miesiącu. W międzyczasie, Mytob odzyskał prowadzenie z trzema nowymi wersjami wchodzącymi do zestawienia.

Co ciekawe, jedną z nowości sierpniowego zestawienia jest Mytob.a. Mimo sukcesów swoich następców, pierwowzór nigdy wcześniej nie trafił do pierwszej dwudziestki. Powodem może być to, że Mytob.a nie został rozesłany przy użyciu technik spamowych. Szkodnik ten infekował małe grupy komputerów rozprzestrzeniając się stabilnie, choć powoli. Nie jest to nowatorska strategia - LovGate.w (obecnie na 8 miejscu) wspiął się aż o 7 pozycji tuż po tym jak spadł na 15 miejsce w lipcu, co wywołało przypuszczenia, że już wkrótce zniknie z zestawienia.

Mytob.h jest kolejną interesującą nowością. Szkodnik ten został wykryty 25 marca 2005 r. i, podobnie jak Mytob.a, nie był globalnie aktywny. Wygląda na to, że główną rolę w nagłym pojawieniu się tego robaka na 13 miejscu odegrały programy wykorzystane do jego pakowania. Pierwotnie, Mytob.h był spakowany podwójnie - przy użyciu aplikacj Morphine oraz MEW. Tym razem pojawił się on jednak w trzech wariantach spakowanych przy użyciu mechanizmów Upack, UPX oraz FSG. Wszystkie te warianty wykrywane są jako Mytob.h.

Warta uwagi jest także sytuacja związana z tak zwanym robakiem Zotob. Analitycy z firmy Kaspersky Lab zdecydowali się nie użyć tej nazwy, ponieważ wielu twórców oprogramowania antywirusowego klasyfikuje w ten sposób szereg robaków i botów, z których wiele nie ma nic wspólnego z tym konkretnym szkodnikiem. Po dokonaniu szczegółowej analizy eksperci Kaspersky Lab sklasyfikowali robaki Zotob jako nowe wersje Mytoba z następującymi zależnościami: Zotob.a - Mytob.cg, Zotob.b – Mytob.cf, Zotob.c – Mytob.ch. Tylko wersje .ch oraz .cg są zdolne do samodzielnego rozprzestrzeniania się poprzez pocztę elektroniczną, natomiast wersja .cf wykorzystuje lukę opisaną w biuletynie firmy Microsoft MS05-039.

Domniemany autor najnowszych Mytobów został aresztowany w Maroku. Podobny los spotkał jego współpracownika z Turcji. Podział obowiązków między dwoma podejrzanymi był jasny: jeden z nich zajmował się tworzeniem szkodników, natomiast drugi skupiał się na ich dystrybucji. W mediach pojawiło się wiele doniesień o epidemiach wywołanych przez robaka Zotob-Mytob w sieciach dużych organizacji, takich jak ABC oraz CNN. Zdaniem ekspertów z firmy Kaspersky Lab epidemie te były spowodowane przez robaki Bozori, które także wykorzystują lukę MS05-039.

Nie jest jasne, dlaczego żaden z tych robaków nie znalazł się w sierpniowej dwudziestce. Szkodniki Mytob.cg oraz .ch, które posiadały możliwość rozprzestrzeniania się za pośrednictwem poczty elektronicznej, nie zakwalifikowały się nawet do pierwszej czterdziestki najpopularniejszych wirusów sierpnia.

Inne szkodliwe programy (które nie zakwalifikowały się do zestawienia) stanowiły w sierpniu ponad 20% wszystkich przechwyconych wirusów. Potwierdza to tezę, że na wolności funkcjonuje wiele "niepopularnych" robaków i koni trojańskich.

Podsumowanie: