Обзор вирусной обстановки за май 2007 года от компании «Доктор Веб»

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в мае 2007 года.

Май по своему накалу событий на вирусном фронте стал практически копией апреля – главным «возмутителем спокойствия» стал почтовый червь семейства Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30-70% инфицированного почтового трафика. Уже на протяжении многих месяцев появление новой модификации Win32.HLLM.Limar приводит к резкому возникновению эпидемии.

Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения задачи детектирования. Тем не менее, принципиальных различий в функциональности данного почтового червя и его более ранних версий нет – в поражённую систему устанавливается руткит-компонента для сокрытия файлов червя на диске и записей в реестре.

Достаточно большое распространение получили вредоносные программы азиатского происхождения – многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является метод обеспечения автозапуска при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы. Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Для отключения отображения скрытых файлов в Проводнике в реестре меняется значение соответствующего параметра. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater обладают функциональностью заражения исполняемых файлов. Прослеживается тенденция «переноса» функции загрузки прочих вредоносных программ в сетевых червей. Например, Win32.HLLW.Autoruner загружает троянца для похищения паролей для онлайн-игр - spanojan.PWS.Wsgame, а также BackDoor.Paziruk, BackDoor.Cafezz.

Следует также отметить появление новой модификации или, вернее, «реинкарнации» варианта вредоносной программы для мобильных телефонов spanojan.RedBrowser и её клонов Adware.Freesms и spanojan.Webser – Symbian.Viver. Данная программ была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и не способна к самостоятельному распространению и установки на целевой телефон. Как и в случае с spanojan.Webser в очередной раз злоумышленниками продемонстрирован случай удачного применения методов социальной инженерии.
Итоги спам-активности в мае 2007 года

По оценкам поступающих на анализ в компанию «Доктор Веб» спам-писем, в мае значительно активизировались рассылки «туристического спама». Это объясняется тем, что близится лето, и люди начинаются задумываться над тем, как и где они будут проводить свой отпуск. Подобный спам является наиболее «тяжёлым» - письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт, что может привести к затруднениям при скачивании подобных писем на медленных каналах связи. В качестве изображения на одном графическом файле приводится контактная информация – телефоны, адрес электронной почты, на остальных - рекламный текст, виды пейзажей предлагаемого места отдыха.

Несмотря на приближение отпускного сезона, количество спам-корреспонденции, адресованной финансовым директорам, бухгалтерам с предложениями посетить различные семинары, посвящённых различным аспектам законодательства налогообложения, снизилось незначительно и составило примерно 67% от всего русскоязычного спама.

Англоязычный спам в подавляющем большинстве случаев (примерно 80%) – реклама медицинских препаратов, медицинских услуг, пластической хирургии.

В мае 2007 года вирусная база Dr.Web пополнилась 9474 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Наименование вируса Количество
VBS.Psyme.239 419
Win32.HLLM.Limar 335
spanojan.Spambot 166
spanojan.Virtumod 151
Win32.HLLM.Wukill 120
spanojan.Peflog.31 98
Win32.HLLM.Beagle 78
VBS.Igidak 58
spanojan.PWS.Maran 48
Win32.HLLP.Jeefo.36352 46

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в мае 2007 года:

Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Limar 23.68
Win32.HLLM.Netsky.35328 14.27
Win32.HLLM.Beagle 12.45
Win32.HLLM.Perf 6.88
Win32.HLLM.MyDoom.based 6.82
Win32.HLLM.Netsky.based 5.69
Win32.HLLM.Graz 108951 4.69
Win32.HLLP.Sector 3.79
Win32.Hazafi.30720 3.72
Win32.HLLM.MyDoom.33808 2.26
Win32.HLLM.Limar.based 1.65
Win32.HLLM.MyDoom.49 1.06
Win32.HLLM.Generic.422 0.91
Win32.HLLM.Netsky 0.89
Exploit.MS05-053 0.80
Win32.HLLM.Beagle.pswzip 16938 0.73
Exploit.IframeBO 0.69
Win32.Grum 0.62
Win32.HLLM.Oder 0.56
Win32.HLLM.Generic.391 0.54
Прочие вредоносные программы 7.03