Главная страница - Исследования в области безопасности

Эксперты: новый вариант почтового червя Win32.HLLM.Perf начал распространяться по файлообменным сетям



Новый вариант почтового червя Win32.HLLM.Graz начал распространяться по файлообменным сетям. Об этом сообщается в обзоре вирусной обстановки за сентябрь 2006 г компании "Доктор Веб" /Dr.Web/.

Новая модификация Win32.HLLM.Perf распространяется в виде прикреплённого файла с расширением *.hta. По сравнению с предыдущими своими модификациями, новый вариант Win32.HLLM.Perf дополнился функцией распространения по файлообменным сетям.

В сентябре также появился почтовый червь массовой рассылки Win32.HLLM.Limar. Среди наиболее часто встречающихся тем инфицированных писем: Mail server report, Server report, Error, Mail Delivery System – то есть имитируется ошибка доставки корреспонденции. Подобный метод введения пользователя в заблуждение уже встречался раньше – в многочисленных модификациях почтового червя Win32.HLLM.MyDoom. Win32.HLLM.Limar обладает функциями обновления своих программных модулей, закачки дополнительных вредоносных программ, а также противодействия некоторым программам сетевой безопасности.

Службой вирусного мониторинга компании "Доктор Веб" в течение сентября наблюдались различного рода фишинговые атаки. Наиболее массовой была атака от имени Fifth Third Bank – в письмах сообщалось об обновлении применяемого программного обеспечения, и пользователю предлагалось подтвердить свои личные данные. Переход по ссылкам, указанным в письмах, приводил к потере денежных средств пользователя. Другими примерами фишинга были письма от имени банковской системы PayPal, а также платёжной системы Visa. Подобные письма детектируются антивирусов Dr.Web как spanojan.Bankfraud.380 – spanojan.Bankfraud.388.

Также появилась новая версия spanojan.Encoder.9 - очередного представителя семейства spanojan.Encoder. Но в отличие от своих ранних модификаций, spanojan.Encoder.9 шифрует файлы при помощи алгоритма XOR, длина ключа составляет 8 байт. Шифруемые файлы переименовывает с префиксом _CRYPTED_. При шифровании вирус округляет размер файла, чтобы он был кратен 8 - дописывает от 1 до 8 нулевых байт. Более ранние представители семейства spanojan.Encoder шифровали файлы, применяя криптоалгоритм RSA.

Новый червь Win32.HLLW.Cicar маскируется посредством спам-писем. Будучи запущенным пользователем, червь закачивал на компьютер жертвы другую вредоносную программу для похищения паролей к банковским системам, получившую наименование по классификации Dr.Web - spanojan.PWS.Banker.5094.

В исследовании отмечается появление новой троянской программы для мобильных телефонов spanojan.Webser, аналог spanojan.RedBrowser. Данный троян представляет собой Java-приложение /J2ME/, что позволяет удалить его штатными средствами мобильного телефона без применения антивирусных средств. В мае этого года сотрудниками вирусной лаборатории компании "Доктор Веб" было обнаружено приложение, получившие по классификации Dr.Web название Adware.Freesms, которое послужило основой для spanojan.Webser. Для того, чтобы троянская программа начала функционировать, пользователю необходимо самому установить данное приложение и дать разрешение на запуск и доступ к сети.

Другим заметным представителем вредоносных программ является spanojan.Popuper, распространяющийся под видом кодека для различных мультимедийных файлов. Для затруднения детектирования антивирусными средствами, авторы троянской программы часто модифицируют её на уровне исходных текстов.

В сентябре 2006 г возросло количество вредоносных программ, направленных на похищение паролей с целевого компьютера – главный акцент делается на пароли к банковским системам. Наиболее популярным установки вредоносных программ на компьютер пользователя по-прежнему остаётся применение различного рода загрузчиков.

В таблице приведена вирусная статистика за сентябрь 2006 г для 20-ти наиболее распространённых вирусов:


Наименование вируса проц от общего кол-ва вирусов:
Win32.HLLM.Beagle 17.09
Win32.HLLM.Netsky.35328 13.57
Win32.HLLM.Perf 10.63
Win32.HLLM.Netsky.based 9.31
Win32.HLLM.MyDoom.based 8.41
spanojan.Bankfraud.272 6.00
Win32.HLLM.Beagle.pswzip 4.24
Win32.HLLM.Graz 3.83
Win32.HLLM.MyDoom 3.15
Win32.HLLM.MyDoom.33808 2.47

Компания "Доктор Веб" - российский разработчик антивирусных решений семейства Dr.Web. Антивирусы Dr.Web предназначены для защиты рабочих станций, корпоративной сети, почтовых и файловых серверов, интернет-шлюзов.

http://bit.prime-tass.ru




Похожие по содержанию материалы раздела: Образовательные учреждения Перми получили более 900 предписаний от Госпожнадзора и санитарных служб Pelco_Russia_News На хабаровских улицах появятся камеры видеонаблюдения SMS и системы видеонаблюдения - против преступлений IP-камеры AXIS и комплекс "Интеллект" - все преимущества удаленного контроля Новые решения для видеонаблюдения и аудиорегистрации на дилерском съезде «Vocord-2006» Новые продукты Fujinon на российском рынке В Калининграде приступили к выдаче новых загранпаспортов Infowatch представила решение для защиты данных на мобильных устройствах Милиция будет тотально контролировать харьковчан PERCo: выпуск турникетов со встроенной электроникой Проект АИС ОСАГО в центре внимания страхового сообществ Аспирационное дымоопределение – сверхраннее обнаружение возгорания Новые интегрированные IP видеокамеры Bosch с аналоговыми технологиями Безопасность объектов Атомного флота России Католическая школа идентифицирует учащихся по отпечаткам пальцев Новый светосильный объектив Fujinon для видеокамер «день-ночь» Новые электрозащелки EFF 914U для дистанционного управления состоянием дверей в составе СКУД Новые электрозащелки EFF 914U для дистанционного управления состоянием дверей в составе СКУД

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация