09.10.2006 00:00
Новости.
Просмотров всего: 2805; сегодня: 3.

Компания «Доктор Веб»: обзор вирусной обстановки за сентябрь 2006 года

Сентябрь 2006 года оказался достаточно богатым в плане вирусной активности по сравнению с предыдущими двумя месяцами. Наиболее заметными событиями стало появление новой модификации почтового червя Win32.HLLM.Perf, распространяющегося в виде прикреплённого файла с расширением *.hta. Подобная технология позаимствована у представителей другого семейства почтовых червей – Win32.HLLM.Graz. По сравнению с предыдущими своими модификациями, новый вариант Win32.HLLM.Perf дополнился функцией распространения по файлообменным сетям. Распространение этой модификации практически сразу же приняло эпидемический характер.

Заметным событием стало появление и распространение почтового червя массовой рассылки Win32.HLLM.Limar. Темы инфицированных писем не блещут новизной: наиболее часто встречающиеся - Mail server report, Server report, Error, Mail Delivery System – т.е. имитируется ошибка доставки корреспонденции. Подобный метод введения пользователя в заблуждение уже встречался раньше – в многочисленных модификациях почтового червя Win32.HLLM.MyDoom. Win32.HLLM.Limar обладает функциями обновления своих программных модулей, закачки дополнительных вредоносных программ, а также противодействия некоторым программам сетевой безопасности. В базу Dr.Web была внесена запись, позволяющая детектировать широкий спектр модификаций данного червя – Win32.HLLM.Limar.based.

Службой вирусного мониторинга компании «Доктор Веб» в течение месяца наблюдались различного рода фишинговые атаки. Наиболее массовой была атака от имени Fifth Third Bank – в письмах сообщалось об обновлении применяемого программного обеспечения, и пользователю предлагалось подтвердить свои личные данные. Переход по ссылкам, указанным в письмах, приводил к потере денежных средств неосторожного пользователя. Другими примерами фишинга были письма от имени банковской системы PayPal, а также платёжной системы Visa. Подобные письма детектируются антивирусов Dr.Web как Trojan.Bankfraud.380 – Trojan.Bankfraud.388.

Определённым, но несильным «возмутителем спокойствия» стал Trojan.Encoder.9 – попытка возрождения нашумевших в своё время модификаций семейства Trojan.Encoder. Но в отличие от своих ранних модификаций, Trojan.Encoder.9 является лишь слабой попыткой вирусописателя сыграть на «славе» предыдущих модификаций этого семейства - шифрует файлы при помощи алгоритма XOR, длина ключа составляет 8 байт. Шифруемые файлы переименовывает с префиксом

"_CRYPTED_". При шифровании округляет размер файла, чтобы он был кратен 8 - дописывает от 1 до 8 нулевых байт. Напомним, что более ранние представители семейства Trojan.Encoder шифровали файлы, применяя криптоалгоритм RSA.

Популярность тенденции распространения вирусов посредством спам-писем подтвердило появление червя Win32.HLLW.Cicar, маскирующегося под пикантный клип некой Daniela Cicarelli. Будучи запущенным неосторожным пользователем, червь закачивал на компьютер жертвы другую вредоносную программу для похищения паролей к банковским системам, получившую наименование по классификации Dr.Web - Trojan.PWS.Banker.5094.

Большой шум вызвало «появление» троянской программы для мобильных телефонов Trojan.Webser, аналог Trojan.RedBrowser. Данный троян представляет собой Java-приложение (J2ME), что позволяет удалить его штатными средствами мобильного телефона без применения антивирусных средств. Еще в мае этого года вирусной лабораторией компании «Доктор Веб» было обнаружено приложение, получившие по классификации Dr.Web название Adware.Freesms, которое послужило основой для Trojan.Webser, и было, очевидно, «пробой пера» автора. –троянские программы данного типа не могут самостоятельно распространяться и выполнять свои функции на мобильном устройстве. Для того, чтобы троянская программа начала функционировать, пользователю необходимо самому установить данное приложение и дать разрешение на запуск и доступ к сети.

Другим заметным представителем вредоносных программ является Trojan.Popuper, распространяющийся, в основном, под видом кодека для различных мультимедийных файлов. Для затруднения детектирования своего «детища» антивирусными средствами, авторы троянской программы часто модифицируют её на уровне исходных текстов.

В сентябре 2006 года возросло количество вредоносных программ, направленных на похищение паролей с целевого компьютера – главный акцент делается пароли к банковским системам. Наиболее популярным установки вредоносных программ на компьютер пользователя по-прежнему остаётся применение различного рода загрузчиков.

Компания "Доктор Веб" представляет вирусную статистику за сентябрь 2006 год для 20-ти наиболее распространённых вирусов.

Наименование вируса - % от общего кол-ва вирусов

Win32.HLLM.Beagle 17.09

Win32.HLLM.Netsky.35328 13.57

Win32.HLLM.Perf 10.63

Win32.HLLM.Netsky.based 9.31

Win32.HLLM.MyDoom.based 8.41

Trojan.Bankfraud.272 6.00

Win32.HLLM.Beagle.pswzip 4.24

Win32.HLLM.Graz 3.83

Win32.HLLM.MyDoom 3.15

Win32.HLLM.MyDoom.33808 2.47