«Доктор Веб»: статистика вирусов за март 2007 года

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в марте 2007 года.

Противоборство почтовых червей семейств Win32.Dref (известный также как Storm Worm) и Win32.HLLM.Limar (известный также как Email-Worm.Win32.Warezov и Win32/Sspanation), пик которого приходился на февраль 2007 года, в марте носило достаточно вялотекущий характер. Авторы Win32.HLLM.Limar выпустили две волны своего «творения». Они, тем не менее, были достаточно быстро локализованы и не привели к возникновению эпидемии. Авторы Win32.Dref придерживаются своей методики частого обновления программных модулей с использованием полиморфных упаковщиков.

В середине месяца были зафиксированы всплески распространения сетевых и почтовых червей китайского происхождения - представители небезызвестных семейств Win32.HLLW.Whboy, Win32.HLLW.Gavir, Win32.HLLW.Hang, а также новые, Win32.HLLW.Bush, Win32.HLLM.Cobas. Кроме того, в течение целого месяца отмечалось появление новых модификаций почтового червя семейства Win32.HLLM.Graz.

В марте также была выявлена массовая эпидемия, вызванная скрипт-вирусом, получившим наименование по классификации Dr.Web - VBS.Igidak. В службу вирусного мониторинга «Доктор Веб», а также в службу технической поддержки неоднократно поступали сигналы от пользователей о заражении компьютеров VBS.Igidak. Любопытно, что основным источником заражения были flash-накопители. Тем не менее, данная эпидемия носила краткосрочный характер, о чём свидетельствуют данные статистики:

Кроме того, возобновилось распространение вредоносной программы, получившей наименование по классификации Dr.Web - spanojan.Plastix. Впервые эта программа, распространявшаяся под видом универсального генератора кодов пополнения счетов мобильных операторов, была зафиксирована в конце 2005 года. Заражённые spanojan.Plastix компьютеры оказывались практически неработоспособны, потому как происходили многочисленные изменения в системном реестре - блокировка работы с реестром, блокировка закрытия окон, удаление всех ярлыков с рабочего стола и.т.д. При старте Windows пользователю выводится окно с сообщением о том, что его компьютер поражён, и для его лечения необходимо перевести на определённый почтовый ящик указанную денежную сумму.

Подобного рода «кибершантаж» последний раз наблюдался в январе 2006 года, когда активно распространялись модификации spanojan.Encoder.6. В случае, если компьютер оказался поражён spanojan.Plastix, всегда можно обратиться в службу технической поддержки «Доктор Веб».

В марте 2007 года вирусная база Dr.Web пополнилась 7129 записями. Таким образом, статистика за март 2007 года от «Доктора Веб» выглядит следующим образом:

Win32.HLLM.Limar 274
spanojan.Virtumod 210
spanojan.Peflog.31 199
spanojan.Packed.69 149
spanojan.Peflog.30 141
VBS.Psyme.239 138
Win32.HLLM.Wukill 125
spanojan.Peflog.52 104
spanojan.PWS.GoldSpy 74
spanojan.Spambot 67

Cводная таблица вирусов, чаще всего обнаруживавшихся на почтовых серверах и серверах Dr.Web Enterprise Suite в марте 2007 года, включила:

Win32.HLLP.Sector 18,23%
Win32.HLLM.Beagle 13,32%
Win32.HLLM.Netsky.35328 11,76%
Win32.HLLM.Perf 10,49%
Win32.HLLM.MyDoom.based 6,96%
spanojan.Bankfraud.272 6,46%
Win32.HLLM.Netsky.based 5,93%
Win32.HLLM.MyDoom.49 5,61%
Win32.HLLM.MyDoom.33808 2,69%
Win32.HLLM.Graz 2,01%
Win32.HLLM.Limar.based 1,55%
Win32.HLLM.Limar 1,21%
spanojan.Spambot 0,84%
Win32.HLLM.Netsky 0,80%
Exploit.IframeBO 0,79%
Exploit.MS05-053 0,56%
Win32.Grum 0,49%
Program.RemoteAdmin 0,49%
Win32.HLLM.MyDoom 0,45%
Exploit.IFrame 0,44%
Прочие вредоносные программы 8,82%