Компания "Доктор Веб": Обзор вирусной обстановки за сентябрь 2006 года

Компания "Доктор Веб": Обзор вирусной обстановки за сентябрь 2006 года

Сентябрь 2006 года оказался достаточно богатым в плане вирусной активности по сравнению с предыдущими двумя месяцами. Наиболее заметными событиями стало появление новой модификации почтового червя Win32.HLLM.Perf, распространяющегося в виде прикреплённого файла с расширением *.hta. Подобная технология позаимствована у представителей другого семейства почтовых червей – Win32.HLLM.Graz. По сравнению с предыдущими своими модификациями, новый вариант Win32.HLLM.Perf дополнился функцией распространения по файлообменным сетям. Распространение этой модификации практически сразу же приняло эпидемический характер.

Заметным событием стало появление и распространение почтового червя массовой рассылки Win32.HLLM.Limar. Темы инфицированных писем не блещут новизной: наиболее часто встречающиеся - Mail server report, Server report, Error, Mail Delivery System – т.е. имитируется ошибка доставки корреспонденции. Подобный метод введения пользователя в заблуждение уже встречался раньше – в многочисленных модификациях почтового червя Win32.HLLM.MyDoom. Win32.HLLM.Limar обладает функциями обновления своих программных модулей, закачки дополнительных вредоносных программ, а также противодействия некоторым программам сетевой безопасности. В базу Dr.Web была внесена запись, позволяющая детектировать широкий спектр модификаций данного червя – Win32.HLLM.Limar.based.

Службой вирусного мониторинга компании "Доктор Веб" в течение месяца наблюдались различного рода фишинговые атаки. Наиболее массовой была атака от имени Fifth Third Bank – в письмах сообщалось об обновлении применяемого программного обеспечения, и пользователю предлагалось подтвердить свои личные данные. Переход по ссылкам, указанным в письмах, приводил к потере денежных средств неосторожного пользователя. Другими примерами фишинга были письма от имени банковской системы PayPal, а также платёжной системы Visa. Подобные письма детектируются антивирусов Dr.Web как Trojan.Bankfraud.380 – Trojan.Bankfraud.388.

Определённым, но несильным "возмутителем спокойствия" стал Trojan.Encoder.9 – попытка возрождения нашумевших в своё время модификаций семейства Trojan.Encoder. Но в отличие от своих ранних модификаций, Trojan.Encoder.9 является лишь слабой попыткой вирусописателя сыграть на "славе" предыдущих модификаций этого семейства - шифрует файлы при помощи алгоритма XOR, длина ключа составляет 8 байт. Шифруемые файлы переименовывает с префиксом "_CRYPTED_". При шифровании округляет размер файла, чтобы он был кратен 8 - дописывает от 1 до 8 нулевых байт. Напомним, что более ранние представители семейства Trojan.Encoder шифровали файлы, применяя криптоалгоритм RSA.

Популярность тенденции распространения вирусов посредством спам-писем подтвердило появление червя Win32.HLLW.Cicar, маскирующегося под пикантный клип некой Daniela Cicarelli. Будучи запущенным неосторожным пользователем, червь закачивал на компьютер жертвы другую вредоносную программу для похищения паролей к банковским системам, получившую наименование по классификации Dr.Web - Trojan.PWS.Banker.5094.

Большой шум вызвало "появление" троянской программы для мобильных телефонов Trojan.Webser, аналог Trojan.RedBrowser. Данный троян представляет собой Java-приложение (J2ME), что позволяет удалить его штатными средствами мобильного телефона без применения антивирусных средств. Еще в мае этого года вирусной лабораторией компании "Доктор Веб" было обнаружено приложение, получившие по классификации Dr.Web название Adware.Freesms, которое послужило основой для Trojan.Webser, и было, очевидно, "пробой пера" автора. – троянские программы данного типа не могут самостоятельно распространяться и выполнять свои функции на мобильном устройстве. Для того, чтобы троянская программа начала функционировать, пользователю необходимо самому установить данное приложение и дать разрешение на запуск и доступ к сети.

Другим заметным представителем вредоносных программ является Trojan.Popuper, распространяющийся, в основном, под видом кодека для различных мультимедийных файлов. Для затруднения детектирования своего "детищ а" антивирусными средствами, авторы троянской программы часто модифицируют её на уровне исходных текстов.

В сентябре 2006 года возросло количество вредоносных программ, направленных на похищение паролей с целевого компьютера – главный акцент делается пароли к банковским системам. Наиболее популярным установки вредоносных программ на компьютер пользователя по-прежнему остаётся применение различного рода загрузчиков.

Компания "Доктор Веб" представляет вирусную статистику за сентябрь 2006 год для 20-ти наиболее распространённых вирусов.

Наименование вируса - % от общего кол-ва вирусов

Win32.HLLM.Beagle    -    17.09

Win32.HLLM.Netsky.35328    -    13.57

Win32.HLLM.Perf    -    10.63

Win32.HLLM.Netsky.based    -    9.31

Win32.HLLM.MyDoom.based    -    8.41

Trojan.Bankfraud.272    -    6.00

Win32.HLLM.Beagle.pswzip     -   4.24

Win32.HLLM.Graz    -    3.83

Win32.HLLM.MyDoom    -    3.15

Win32.HLLM.MyDoom.33808    -   2.47

Win32.HLLM.MyDoom.49    -    1.87

Win32.HLLM.Beagle.19802    -    1.31

Win32.HLLM.Netsky     -    1.22

Exploit.IframeBO    -    1.16

Win32.HLLM.Limar.based    -    1.15

Program.RemoteAdmin    -    1.05

Win32.HLLM.Bagz    -    0.96

Win32.HLLM.Perf.based    -    0.75

Win32.HLLM.Lovgate.9    -    0.74

Win32.HLLM.Beagle.27136    -    0.66

Прочие вредоносные программы     -   10.39

Контаткы:

Хромова Марина  

Менеджер компании "Доктор Веб"  

E-mail: pr@drweb.com