ДиалогНаука

Пресс-центр

Выберите интересующие вас разделы:

Периодичность рассылки:

Формат письма:

Назад к списку новостей

Ежемесячный вирусный обзор ЗАО ДиалогНаука - ноябрь 2002

[02.12.2002]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" публикует анализ вирусной ситуации за ноябрь 2002 г.

Вирусная ситуация в ноябре отмечена двумя всплесками вирусных эпидемий, причем каждый раз вирусы начинали свое распространение по миру из Южной Кореи. В обоих случаях речь идет о почтовых червях массой рассылки, в обоих случаях эти черви могли нанести весьма ощутимый урон своим жертвам. На фоне постоянно продолжающейся и ставшей уже привычной эпидемии вируса Win32.Klez.4, который не наносит никакого видимого ущерба пораженным компьютерам, обе ноябрьские эпидемии стали весьма красноречивым подтверждением того, что вирусная угроза - это не миф, а беспощадная реальность, очень часто оборачивающаяся реальными жизненными трагедиями для тех, кто пренебрегал вопросами антивирусной безопасности.

4 ноября появились первые сообщения о распространении почтового червя, названного впоследствии Win32.HLLM.Generic.95. Dr.Web® был первым антивирусом, который обнаруживал опасный код вируса с помощью своего эвристического анализатора еще до внесения соответствующей записи в вирусную базу. В дальнейшем этот вирус был назван другими антивирусными вендорами, как Bride.A. Вирус, написанный на языке высокого уровня Visual Basic, перезаписывал собой некоторые системные файлы Windows, а также заражал компьютер модификацией файлового вируса Win32.FunLove.4608, наиболее важной деструктивной функцией которого является компрометация системы безопасности операционной системы Windows NT. Благодаря хорошо спроектированному механизму собственной рассылки и использованию уязвимости почтовых клиентов Microsoft, червь достаточно быстро распространился по всему миру и присутствовал весь месяц в почтовом трафике всех российских провайдеров, практически не сдавая своих позиций.

Затем в течение ноября повилась еще одна модификация вируса семейства Bride - Bride.B (Win32.HLLM.Generic.103 по классификации Dr.Web), которая не была уже такой распространенной и не несла в себе код Win32.FunLove.4608, однако могла доставить неприятности тем, кто имел несчастье с ней столкнуться.

Следующая ноябрьская эпидемия разразилась в 20-х числах с появлением нового корейского почтового червя Win32.HLLM.Seoul. И опять Dr.Web® был первым антивирусом, который стал обнаруживать этого опасного червя. И по своему дизайну, и по своим деструктивным функциям Win32.HLLM.Seoul намного опередил своего корейского предшественника. Для своего распространения червь использовал сразу две уязвимости программ семейства Microsoft в сочетании с некоторыми удачными приемами из области социальной инженерии. Появившись 21 ноября (именно тогда он и был добавлен в вирусную базу Dr.Werb), червь начал активно распространяться только с воскресенья 24-го. Пик его активности в российском интернете пришелся на 25-26 ноября, он быстро вышел на 2-е место и продержался на нем практически всю неделю. В трафике ряда провайдеров восточных регионов России и Урала он оставил далеко позади Klez.4. Win32.HLLM.Seoul (другими антивирусными компаниями названный Winevar) также нес в себе несколько видоизмененный код файлового вируса Win32.FunLove.4608, но при этом главная опасность его заключалась в том, что он при определенных обстоятельствах удалял практически все файлы на жестком диске своей жертвы.

Любопытно, что, появившись в Южной Корее, вирус довольно мало хозяйничал именно в этой стране - уже к 26 ноября случаи заражения вирусом практически перестали фиксироваться. В России же только в последний день ноября не было "поймано" ни одного вируса Win32.HLLM.Seoul, что, по-видимому, связано с наступлением выходных дней.

Среди других особенностей "вирусного фронта" можно отметить появление новых модификаций сетевого червя Opasoft. В ноябре появилась модификация Opasoft.H (Win32.Opasoft.37888). Любопытна настойчивость авторов этого червя - каждый раз они придумывали что-нибудь новенькое, но при этом неизменным оставалось одно - червь нес в себе механизм самообновления путем скачивания соответствующих файлов через интернет, но эти сайты оказывались блокированными раньше, чем новый вид Opasoft получал сколько-нибудь широкое распространение.

С сожалением вынуждены констатировать, что 6 ноября были зафиксированы случаи очередного срабатывания деструктивной функции червя Win32.HLLM.Klez.1 на компьютерах пользователей. При этом порой ущерб было просто трудно измерить - ведь этот червь уничтожает все файлы документов, в которых многие организации хранят свои основные данные. Хотим успокоить пользователей антивируса Dr.Web® - они надежно защищены от этого червя (разумеется, речь идет о тех, кто использует актуальную версию антивируса), поскольку, в отличие от многих других антивирусов, Dr.Web® для Windows обнаруживает и обезвреживает вирусный процесс непосредственно в памяти компьютера.

В ноябре продолжились атаки на серверы, распространяющие программное обеспечение для UNIX-систем. Вслед за сервером, с которого скачивались обновления к Sendmail, был взломан сервер www.tcpdump.org, результате чего в коде, который загружался пользователями с этого сайта, находился троянец, компрометирующий безопасность систем, на которые он впоследствии устанавливался. Таким образом, можно констатировать факт, что злоумышленники очень активно осваивают новые методы распространения вирусов, атакуя серверы, пользующиеся доверием у большого числа пользователей.


Статистика
Ниже приводится сводная таблица вирусов, чаще всего обнаруживавшихся на почтовых серверах и на компьютерах пользователей в ноябре. Всего в ноябре антивирусными фильтрами Dr.Web было "поймано" около 9,2 млн.вирусов 1995 видов. В силу специфики вирусного кода червей семейства Klez, они, как магнитом притягиваются на серверы некоторых провайдеров, в том числе и российские. Это вызывает определенный перекос в статистике в "пользу" Win32.HLLM.Klez.

ВирусКоличество%
1. Win32.HLLM.Klez.4 6157937 67.47
2. Win32.HLLM.Klez.1 2697506 29.55
3. Win32.HLLM.Yaha.64000 55951 0.61
4. Win32.HLLM.Seoul 50391 0.55
5. Win32.HLLW.SirCam 49536 0.54
6. Win32.HLLM.Bugbear 22698 0.24
7. VBS.Redlof 19303 0.21
8. Win98.Vecna.23040 6972 0.07
9. VBS.HappyTime 6492 0.07
10. W97M.Thus 6270 0.06
11. W97M.Copyf 5279 0.06
12. Win32.HLLM.Generic.95 4849 0.05
13. Win32.HLLM.SirCam.1 4174 0.04
14. BACKDOOR.Trojan 3641 0.04
15. W97M.Marker 2463 0.03