Topowe wirusy sierpnia
Firma Kaspersky Lab, producent oprogramowania antywirusowego i służącego do ochrony danych, opublikowała listę 20 szkodliwych programów, które najczęściej atakowały użytkowników w sierpniu 2005 r.
04.09.2005 | aktual.: 06.09.2005 10:29
Cyber-wojny wyraźnie wpływają na zestawienie firmy Kaspersky Lab. Niektóre z nich wywoływane są przez konkurujące grupy twórców szkodliwego oprogramowania, którzy próbują usuwać z zainfekowanych komputerów szkodniki wyprodukowane przez rywali - każda z grup chce mieć daną maszynę zombie na własność. Czasami konkurujące grupy atakują nawzajem swoje strony WWW, a hakerzy z danego kraju próbują włamywać się do serwerów rządowych innych państw.
NetSky.q oraz Mytob.c walczą o pierwsze miejsce listy już od kilku miesięcy. Robaki te bardzo się od siebie różnią - wykorzystują inne luki w oprogramowaniu i powstały w odstępie jednego roku. NetSky.q walczył już o dominację z wieloma wersjami robaków Mydoom oraz Bagle i, wnioskując z wyników, wygląda na to, że wyszedł z tej walki zwycięsko. Rok później pojawił się robak Mytob bazujący na kodzie źródłowym pierwszego Mydooma. Mytob podąża szlakiem wyznaczonym przez robaka NetSky i jest jego (NetSky.q) głównym rywalem. Między tymi dwoma rodzinami trwa nieustająca walka, jednak żadna z nich nie wysuwa się wyraźnie na prowadzenie.
W lipcu eksperci z Kaspersky Lab zaobserwowali ofensywę starszych robaków - Bagle, Mydoom oraz Zafi - lecz w sierpniu ich impet znacznie osłabł. Robaki Bagle oraz Mydoom całkowicie zniknęły z zestawienia. Dwie wersje robaka Zafi utrzymały swoje pozycje, jednak czas pokaże, czy uda im się to w kolejnym miesiącu. W międzyczasie, Mytob odzyskał prowadzenie z trzema nowymi wersjami wchodzącymi do zestawienia.
Co ciekawe, jedną z nowości sierpniowego zestawienia jest Mytob.a. Mimo sukcesów swoich następców, pierwowzór nigdy wcześniej nie trafił do pierwszej dwudziestki. Powodem może być to, że Mytob.a nie został rozesłany przy użyciu technik spamowych.
Warta uwagi jest także sytuacja związana z tak zwanym robakiem Zotob. Analitycy z firmy Kaspersky Lab zdecydowali się nie użyć tej nazwy, ponieważ wielu twórców oprogramowania antywirusowego klasyfikuje w ten sposób szereg robaków i botów, z których wiele nie ma nic wspólnego z tym konkretnym szkodnikiem. Po dokonaniu szczegółowej analizy eksperci Kaspersky Lab sklasyfikowali robaki Zotob jako nowe wersje Mytoba z następującymi zależnościami: Zotob.a - Mytob.cg, Zotob.b – Mytob.cf, Zotob.c – Mytob.ch. Tylko wersje .ch oraz .cg są zdolne do samodzielnego rozprzestrzeniania się poprzez pocztę elektroniczną, natomiast wersja .cf wykorzystuje lukę opisaną w biuletynie firmy Microsoft MS05-039.
Domniemany autor najnowszych Mytobów został aresztowany w Maroku. Podobny los spotkał jego współpracownika z Turcji. Podział obowiązków między dwoma podejrzanymi był jasny: jeden z nich zajmował się tworzeniem szkodników, natomiast drugi skupiał się na ich dystrybucji. W mediach pojawiło się wiele doniesień o epidemiach wywołanych przez robaka Zotob-Mytob w sieciach dużych organizacji, takich jak ABC oraz CNN. Zdaniem ekspertów z firmy Kaspersky Lab epidemie te były spowodowane przez robaki Bozori, które także wykorzystują lukę MS05-039.
Nie jest jasne, dlaczego żaden z tych robaków nie znalazł się w sierpniowej dwudziestce. Szkodniki Mytob.cg oraz .ch, które posiadały możliwość rozprzestrzeniania się za pośrednictwem poczty elektronicznej, nie zakwalifikowały się nawet do pierwszej czterdziestki najpopularniejszych wirusów sierpnia
Inne złośliwe programy, które nie zostały uwzględnione w zestawieniu przygotowanym przez firmę Kaspersky Lab, stanowią znaczący udział (ponad 20%) wszystkich szkodników przechwyconych w ruchu pocztowym. Świadczy to o tym, że ogromna liczba „mało popularnych” robaków i trojanów z innych rodzin wciąż krąży na wolności.