Vége a Netsky uralmának

A Bagle.at és a Mydoom.ab október végén jelent meg, de csak novemberben sikerült igazán teret hódítaniuk, és most már át is vették a vezetést a listán. Emellett a Mydoom.ab belépett 2004 rekorderei közé, mivel 12 helyet lépett felfelé. A november ezenkívül a NetSky monopólium végét jelzi, mivel a hónapban megjelent négy új féreg kiszorította a NetSky variánsokat.

A november egyik legérdekesebb újdonsága a Bofra.b, amely a Mydoom forráskódjára épül, de elegendő módosítást tartalmaz ahhoz, hogy külön családot hozzon létre. Sok szállító hosszú ideig azt gondolta, hogy a féreg csupán a Mydoom egy újabb verziója, de végül egyetértés született arról, hogy a féreg egy olyan új rosszindulatú alkalmazás, amely saját nevet érdemel. Azért jutottak erre a döntésre, mert a Bofra másképp támadja meg a számítógépeket, mint a Mydoom. A Bofra egy HTTP szervert indít el a megfertőzött számítógépen, majd ezen a szerveren megnyit egy speciális felépítésű HTML oldalt. Az oldalt úgy készítették el, hogy kihasználja az Internet Explorer egyik IFrame puffer-túlcsordulást okozó biztonsági hibáját. A Bofra által küldött e-mailek nem a féreg másolatát, hanem egy már megfertőzött számítógépre mutató hivatkozást tartalmaznak. Ha a felhasználó a hivatkozásra kattint, a számítógép megjeleníti a fertőzött oldalt és a Bofra bejut a számítógépre.

Az e havi húszas lista másik új belépője a Sober.i. Felhasználók milliói (főként Németországban és Ausztriában, de más európai országokban is) megkapták a féreg legújabb variánsát levélben, amely kisebb járványt okozott a kontinensen. A támadás a féreg kódjában található hibáknak köszönhetően rövid életű volt. A hibák miatt a féreg saját maga helyett értelmetlen adatokat küld el e-mailben.

A koreai LovGate.w féreg hosszú ideje tagja az első húsz kód listájának. Ebben a hónapban azonban új formában is megjelent LovGate.ad néven. Ezt a variánst 2004. júliusában észlelték először, de mostanáig nem került fel a listára. A húszas lista más férgeivel ellentétben nem kéretlen levelekkel terjed, hanem egy hagyományosabb módszert használ, mivel kezdetben csak néhány fertőzött számítógépről fertőz, majd fokozatosan jön lendületbe. Az a tény, hogy a LovGate ebben a hónapban a 6. és a 18. helyet foglalta el, bizonyítja terjedési módszerének hatékonyságát.

A húsz legelterjedtebb rosszindulatú program a Kaspersky Labs felmérése alapján – 2004. november

Helyezés/Elmozdulás szeptemberhez képest/Károkozó neve/Százalékos arány
01 +6 I-Worm.Bagle.at 21.39
02 +12 I-Worm.Mydoom.ab 11,52
03 -2 I-Worm.NetSky.q 8.70
04 +4 I-Worm.Zafi.b 7.83
05 -3 I-Worm.NetSky.aa 7.33
06 +6 I-Worm.LovGate.w 5.69
07 -4 I-Worm.NetSky.b 5.39
08 Új I-Worm.Bagle.au 4.89
09 -4 I-Worm.Bagle.z 2.90
10 -4 I-Worm.Mydoom.m 2.60
11 +6 I-Worm.MyDoom.r 2.17
12 -1 I-Worm.NetSky.y 1.67
13 Új I-Worm.Bofra.b 1.58
14 Új I-Worm.Sober.i 1.37
15 -5 I-Worm.NetSky.d 1.33
16 -3 I-Worm.Mydoom.l 1.33
17 -8 I-Worm.NetSky.t 1.21
18 Új I-Worm.LovGate.ad 0.82
19 -4 I-Worm.NetSky.r 0.81
20 -4 I-Worm.Bagle.gen 0.57
Egyéb rosszindulatú programok 8,89