Eset сообщает: Blackworm атакует все меньше, но еще опасен

Компания Eset комментирует ход эпидемии червя Win32/VB.NEI (Nyxem/Blackworm). По мнению некоторых экспертов антивирусной индустрии, данный червь угрожает значительному числу пользователей ПК.

16 января 2005 года антивирусные эксперты объявили о появлении нового почтового червя, который быстро распространяется и способен нанести значительный вред данным на зараженных компьютерах.

По данным автоматического сервиса Virus-Radar (www.virus-radar.com), созданного компанией Eset для оценки вирусной ситуации, высокая активность и, соответственно, скорость распространения данного вируса отмечалась начиная с 17 января. Так, уже 18 января системой Virus-Radar было всего зарегистрировано 5625 атак на компьютеры, защищенные Eset NOD32 (системой Virus-Radar автоматически формируется статистика атак на компьютеры, защищенные Eset NOD32). В последующие дни активность данного червя периодически менялась как в большую, так и в меньшую сторону. В некоторые дни число атак превышало 16 000 в сутки (28 января — 16 737 атак).

Другим важным для оценки вирусной эпидемии показателем служит число атакованных компьютеров в каждый момент времени. Virus-radar позволяет увидеть развитие эпидемии в разные промежутки времени: от 1 часа до месяца. Так, в течение 28 января атаке подверглось 0,309% компьютеров, защищенных Eset NOD32. Максимальное число атакованных компьютеров в течение часа было зафиксировано 31 января в период 02:00 – 03:00 (GMT + 1), в течение этого промежутка времени было атаковано 0.541% компьютеров, защищенных Eset NOD32.

За последние сутки (1 февраля – 2 февраля) ежечасно сервисом Virus-radar регистрируется от 250 до 433 атак. За последние 24 часа всего зарегистрировано 8725 атак червя Win32/VB.NEI (например, за тот же период времени зафиксировано 15040 атак червя Win32/Netsky.Q worm).

Полную статистику атак червем Win32/VB.NEI компьютеров, защищенных антивирусом Eset NOD32, можно в режиме реального времени посмотреть по адресу: http://www.virus-radar.com (для того, чтобы увидеть подробную статистику по каждой угрозе, необходимо кликнуть на название угрозы на 1-й странице).

Оценивая опасность червя Win32/VB.NEI стоит отметить, что ежесуточное число атак хотя и остается на довольно высоком уровне, но почти не увеличивается. Это позволяет надеяться на то, что значительных последствий для Интернет в целом эпидемия иметь не будет. Но данные тех пользователей, компьютеры которых заражены, могут значительно пострадать: вирус каждое 3-е число месяца уничтожает данные на зараженных компьютерах. Отметим, что заражению могли подвергнуться даже те компьютеры, на которых были установлены антивирусные пакеты. Многие известные антивирусы смогли детектировать Win32/VB.NEI только после того, как в их вирусные базы была добавлена соответствующая сигнатура. Но если компьютер подвергся атаке до выпуска сигнатуры, то получивший возможность проникнуть в систему червь мог воспрепятствовать дальнейшей работе антивируса, вирус блокирует или прекращает работу более чем 40 антивирусов. Таким образом, надежная защита обеспечивалась только теми антивирусами, которые детектировали Win32/VB.NEI проактивно, то есть без необходимости иметь специальную сигнатуру.

Журнал PCMagazine (www.pcmag.com) со ссылкой на исследовательскую лабораторию AV-Test (www.av-tesr.org) привел данные о том, как разные антивирусы смогли защитить компьютеры своих пользователей от червя Win32/VB.NEI. Первые сообщения об угрозе появились 16 января. Большинство антивирусов уже 17 января выпустили сигнатуры для детектирования Win32/VB.NEI. Нескольким антивирусам, в том числе и Eset NOD32, не потребовалось выпускать специальных сигнатур: данная угроза детектировалась и блокировалась ими проактивно. Результаты тестирования можно посмотреть по адресу: http://www.pcmag.com/article2/0,1895,1916880,00.asp.

Червь Win32/VB.NEI приходит по электронной почте в виде письма с прикрепленным исполняемым файлом, при запуске которого Win32/VB.NEI заражает компьютер и ведет себя в дальнейшем как типичный червь, рассылаемый по почте в массовом порядке. Win32/VB.NEI также пытается распространяться посредством сетевых папок в локальной сети. Распространение червя Win32/VB.NEI возможно только при условии, что установлены компоненты объектно-ориентированного языка программирования Visual Basic 6. Исполняемые библиотеки Visual Basic 6 не входят в инсталляционный пакет Windows 9X, но включены в инсталляционный пакет Windows XP.

Текст пресс-релиза предоставлен компанией Eset.