Обзор вирусной обстановки за июль 2007 года от компании «Доктор Веб»
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июле 2007 года.
Бизнес сезон еще не открыт, а вирусная активность не снижается. Июль не исключение. Прежде всего, необходимо упомянуть о мощной спам-рассылке, наблюдаемой в течение месяца, с темой писем «You've received an ecard from a Class-mate!» «... a Neighbour!» и.т.п. В теле таких писем содержалась ссылка, по которой можно было скачать «поздравительную открытку». Доверчивость и любопытство оборачивались бедой для пользователей; их ПК подвергались заражению новыми версиями уже известной вредоносной программы - BackDoor.Groan. Она устанавливает драйвер для сокрытия своих файлов на диске, содержит функцию работы с P2P- сетями и производит рассылку спама с поражённого компьютера. На короткое время BackDoor.Groan сменил форму своего распространения – темы писем гласили об обнаруженной вирусной активности, и пользователю, дабы IP-адрес его компьютера не был заблокирован, предлагалось скачать и установить соответствующую заплатку к программному обеспечению. Однако позднее авторы вновь возвратились к исходному варианту тем рассылаемых писем. Напомним, что первоначальная рассылка BackDoor.Groan отмечалась в январе этого года, когда его авторами была избрана политическая тематика рассылаемых писем.
Почтовый червь массовой рассылки Win32.HLLM.Limar в этом месяце был не столь заметен, как ранее. Лишь однажды было зафиксировано повышение уровня его присутствия в почтовом трафике, при этом на его долю пришлось около 35% всего инфицированного почтового трафика. Следует также отметить его кратковременность.
Отметим появление новых модификаций семейства почтового червя Win32.HLLM.Graz. В отдельные дни присутствие Win32.HLLM.Graz составляло 35-40% всего инфицированного почтового трафика. Заражение компьютера данными модификациями Win32.HLLM.Graz приводило к удалению и невозможности последующей установки антивирусных средств защиты.
Активизировались и кибер-вымогатели. Было зафиксировано распространение нескольких модификаций опасного трояна – spanojan.Plastix, нарушающего работоспособность компьютера. В случае, если Ваш компьютер оказался поражён spanojan.Plastix, Вы всегда можете обратиться в Службу технической поддержки компании «Доктор Веб», где Вам помогут восстановить работоспособность компьютера. Помимо этого, стоит упомянуть о новых модификациях «трояна-шифровальщика» семейства spanojan.Encoder – spanojan.Encoder.11 и spanojan.Encoder.12, вымогающих у жертв значительную сумму для восстановления зашифрованных данных.
Ещё одним примером вымогательства служит spanojan.Winlock. В процессе работы он себя никак не проявляет, однако после перезагрузки компьютера сообщает пользователю, что у него нелицензионная копия операционной системы и предлагает перечислить автору определённую сумму через систему Яндекс.Деньги.
Необходимо отметить появление русскоязычной фишинговой спам-рассылки с сообщением о заблокированной учётной записи якобы от системы Яндекс.Деньги. Детектирование таких писем внесено в базы Dr.Web как spanojan.Bankfraud.402.
Итоги спам-активности в июле 2007
Помимо упоминаемой выше спам-рассылки, наблюдалась другая волна нежелательной корреспонденции с вложениями в виде PDF-файлов. При этом, по сравнению с прошлым месяцем, присутствие такого вида спама увеличилось примерно на 30%.
Увеличилась доля «культурного» спама, в котором предлагается посетить различные мероприятия – оперные премьеры, различные выставочные залы, экскурсии. Тем не менее, львиную долю русскоязычной нежелательной корреспонденции составляет «коммерческий» спам по тематике бизнес-семинаров, вопросов бухгалтерии, регистрации фирм и пр.
В июле 2007 года вирусная база Dr.Web пополнилась 16577 записями.
Краткая таблица результатов онлайн-проверки за месяц:
Наименование вируса Количество
VBS.Psyme.239 758
spanojan.Packed.142 501
VBS.PackFor 397
spanojan.Virtumod 188
Win32.HLLW.Autoruner 105
Win32.HLLM.Limar 96
BackDoor.Bulknet 87
spanojan.Spambot 82
Win32.HLLM.Beagle 66
Win32.HLLM.Wukill 65
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в июле 2007 года:
Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Netsky.35328 19.14
Win32.HLLM.Graz 15.01
Win32.HLLM.MyDoom.based 8.28
Win32.HLLP.Sector 8.12
Win32.HLLM.Beagle 7.76
Win32.HLLM.Limar.based 6.44
Win32.HLLM.Netsky.based 5.74
Win32.HLLM.Limar 5.13
Win32.HLLM.Netsky 3.88
Win32.HLLM.Perf 2.65
Win32.Hazafi.30720 1.75
Exploit.MS05-053 1.44
Win32.HLLM.Beagle.pswzip 1.11
Win32.HLLM.Oder 1.08
Win32.HLLM.MyDoom.33808 1.05
Win32.HLLM.MyDoom.49 0.94
BackDoor.Bulknet 0.88
Win32.HLLM.Netsky.24064 0.80
Win32.HLLM.Generic.391 0.80
spanojan.MulDrop.7173 0.75
Прочие вредоносные программы 7,25 http://info.drweb.com
 Похожие по содержанию материалы раздела: "Лаборатория Касперского" и РАО "ЕЭС России" подписали соглашение о реализации совместной стратегической программы "Защита информационных систем энергетической отрасли России". Зарегистрировать фирму можно будет через Интернет Компания SafeLine подвела итоги 8-ой Конференции Партнеров группы компаний «Информзащита» Скрытое наблюдение: обучение как ролевая игра Создатель WWW рассказал о том, каким будет интернет через 5 лет Новое ПО «Таймекс 2» для учета рабочего времени с возможностью его интеграции с «1С: Предприятие» Обзор вирусной обстановки за май 2007 года от компании «Доктор Веб» GSM-блок для автосигнализаций от "УльтраСтар" "Алтын Дабыл" — первая казахстанская премия по безопасности будет присуждена в Астане в сентябре В ближайшие годы ожидается взрывной рост продаж оборудования для видеонаблюдения Вам звонят с небес! Во всех дошкольных учреждениях Воронежа планируется установка видеонаблюдения В Японии создан робот-нянька «Вещь!» – под защитой Кольцо – находка для шпионов В России стали массово «присваивать» номера ICQ Компания «Информзащита» приняла участие в Russian CSO Summit 2008 Лаборатория "Касперского" публикует обзор вирусной активности за май 2007 года В интернете можно будет обменяться своими хромосомами
|
