Обзор вирусной обстановки за август 2007 года от компании «Доктор Веб»
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в августе 2007 года.
Бесспорно, главным событием августа стало дальнейшее развитие ситуации, связанной с массовой спам рассылкой «штормовых» писем. В течение первой половины августа авторами использовался проверенный временем метод социальной инженерии – маскировка под уведомление о поздравительной открытке. В теле таких писем пользователю предлагалось пройти по ссылке и просмотреть предлагаемую открытку. Впоследствии, тема подобных писем несколько раз менялась вместе с содержанием – предлагалось просмотреть некий клип с участием самого пользователя на YouTube, затем проверить состояние учётной записи, якобы зарегистрированной на том или ином развлекательном сервере. При проследовании по предложенным в письмах ссылкам с помощью браузера Internet Explorer происходило выполнение загрузочного скрипта, внедрённого в веб-страницу. Данный скрипт детектируется антивирусом Dr.Web как VBS.Psyme.434. В ходе выполнения скрипта являлось произвольная закачка и запуск вредоносной программы, определяемой Dr.Web как spanojan.Packed.142. Как результат – компьютер пользователя становился ботом в создаваемой spanojan.Packed.142 P2P-сети и рассылал спам. Кроме того, в функциональность вложены spanojan.Packed.142 возможности организации DDoS атак.
Во второй декаде августа специалистами Службы вирусного мониторинга компании «Доктор Веб» было обнаружено, что скачиваемые исполняемые модули инфицированы опасным полиморфным вирусом, получившим наименование по классификации Dr.Web Win32.Virut.5. Данный вирус заражал все исполняемые файлы и содержал функции управления инфицированными компьютерами с использованием IRC-канала. Инфицированные Win32.Virut.5 варианты исполняемых модулей spanojan.Packed.142 распространялись в течение нескольких дней. Следует отметить тот факт, что антивирус Dr.Web, в отличие от многих других антивирусов, не только детектирует, но и, что немаловажно, лечит файлы, поражённые Win32.Virut.5. Учитывая масштабность распространения «штормовых» спам-писем, промедление с детектированием и лечением недопустимо. Определённым образом вспоминается ситуация прошлого года, когда по пиринговым сетям распространялся полиморфный файловый вирус Win32.Polipos и длительное время, кроме Dr.Web его никто не детектировал и не лечил поражённые им файлы.
В дальнейшем распространение инфицированных Win32.Virut.5 вариантов spanojan.Packed.142 прекратилось. Нечто подобное произошло в мае этого года, когда произошла мощная рассылка инфицированных Win32.Virut вариантов почтового червя семейства Win32.HLLM.Limar.
Помимо этого, зафиксировано распространение другого файлового вируса, получившего наименование Win32.Scproj.7573. Данный вирус заражает все исполняемые файлы на жёстких дисках компьютера, а также сменных дисках. Вирус, как правило, не меняет размер файла-оригинала жертвы, записываясь в области нулевых байтов. Заражение не сопровождается какими-либо визуальными эффектами, его признаками могут служить ошибки Explorer, сообщения тех или иных программ о нарушении целостности своих исполняемых файлов и.т.п. Вирус перехватывает у зараженных приложений доступ в сеть, поэтому может обходить политики безопасности межсетевых экранов для доверенных приложений. В своём теле содержит ссылки, по которым он может получить инструкции для своих дальнейших действий. Через определённое время после запуска заражённого Explorer, вирус сканирует сетевые ресурсы на наличие доступных для записи сетевых папок, и при обнаружении таковых заражает в них все исполняемые файлы.
Также следует упомянуть о распространении новых модификаций известного семейства почтового червя массовой рассылки Win32.HLLM.Beagle, однако эпидемии не случилось.
Итоги спам-активности в августе 2007
В этом месяце наблюдалось несколько спам-рассылок. Первая, и самая масштабная – упоминаемая выше рассылка «штормовых писем». Вторая – рассылка корреспонденции, содержащей во вложении файлы в формате PDF. Третья волна – письма с темой Here is the news you have been waiting for. Эти письма рассылаются с компьютеров, поражённых «Штормами» - spanojan.Packed.142. Необходимо отметить следующую тенденцию – спам-письма приобрели «вирусные» черты: броские заголовки, предложения прочитать документ, важную информацию (характерно для почтовых червей семейств Win32.HLLM.Netsky), отчёт с сервера о невозможности доставки корреспонденции (характерно для почтовых червей семейств Win32.HLLM.MyDoom, Win32.HLLM.Limar), вложения в виде ZIP-архивов и.т.п.
Остальной спам, на фоне указанных выше рассылок, не был столь масштабным. Стоит отметить, что в русскоязычном спаме увеличилась доля саморекламы спамеров, предлагающих организовать предпринимателям рассылку корреспонденции. Разумеется, традиционно высокие показатели у «коммерческого спама» с предложениями посетить бухгалтерские семинары, семинары по налоговой отчётности и.т.п. Уменьшилось присутствие «культурного спама».
В августе 2007 года вирусная база Dr.Web пополнилась 14474 записями.
Краткая таблица результатов онлайн-проверки за месяц:
Наименование вируса Количество
VBS.Psyme.239 469
spanojan.Packed.142 415
BackDoor.Bulknet 322
VBS.PackFor 284
spanojan.SCKeyLog.20 124
Win32.Virut 107
spanojan.Virtumod 81
spanojan.Peflog.30 56
spanojan.Peflog.31 56
spanojan.DownLoader.29530 33
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в августе 2007 года:
Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Graz 19.16%
spanojan.DownLoader.30541 16.31%
Win32.HLLM.Netsky.35328 15.05%
Win32.HLLM.MyDoom.based 8.03%
Win32.HLLM.Beagle 7.21%
Win32.HLLM.Netsky 4.30%
Win32.HLLM.Netsky.based 3.67%
Win32.HLLM.Perf 2.88%
Win32.HLLP.Sector 2.70%
Exploit.MS05-053 2.49%
Win32.HLLM.Limar.based 2.40%
BackDoor.Bulknet.52 1.92%
spanojan.DownLoader.29243 1.75%
Win32.HLLM.Limar 1.41%
Win32.HLLM.MyDoom.33808 1.35%
Win32.HLLM.Oder 1.01%
Win32.HLLM.MyDoom.49 0,70%
Win32.HLLM.Netsky.24064 0.56%
Win32.HLLM.Beagle.pswzip 0.47%
Win32.HLLM.Generic.391 0.44
Прочие вредоносные программы 6.18% http://info.drweb.com
 Похожие по содержанию материалы раздела: Сертифицированный Secret Disk Server поступил в продажу «Лаборатория Касперского» публикует отчет «Современные информационные угрозы, I квартал 2008» Компания «Вокорд» совершенствует функциональность PCI-платы VOCORD D8 и устройства VOCORD LD8 Мобильные технологии. Каждый день с новым телефоном. Как этого достичь? Компания Axis представляет высокоэффективные видеокодеры с поддержкой формата сжатия H.264 Московская региональная дирекция ОСАО «Россия» выплатила 3,7 млн. рублей за угнанный Porsche Cayenne Senesys-Avto автоматизирует бизнес-процессы Amnesty International запускает сильную рекламную кампанию, в которой анимированного персонажа бьют током, чтобы обратить внимание на нарушение прав человека в Китае во время подготовки к Олимпийским Играм в Пекине Пожар в одном из автосервисов Петербурга унес жизни трех человек Создатели ГЛОНАСС обещают дополнить систему шестью новыми спутниками и настаивают, что она качественная В Рунете открылась виртуальная лаборатория Intel Cоздан робот для помощи инвалидам Win32.Ntldrbot (aka Rustock.C) больше не миф. Новая версия сканера Dr.Web отлично справляется с руткитом-невидимкой Эффективная защита для эксклюзивной одежды из кожи и меха Хакерские атаки на Эстонию были глобальными После утверждения Путина премьером сменился дизайн сайта правительства России Одежда – от кутюр, безопасность – от СМ ТРЭЙД Особенности функционирования последней версии программного обеспечения Ewclid v.2.1.0024 SP.1 В школах Частинского района Пермского края установят "тревожные кнопки"
|
