Ежемесячный вирусный обзор ЗАО ДиалогНаука - ноябрь 2002
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" публикует анализ вирусной ситуации за ноябрь 2002 г.
Вирусная ситуация в ноябре отмечена двумя всплесками вирусных эпидемий, причем каждый раз вирусы начинали свое распространение по миру из Южной Кореи. В обоих случаях речь идет о почтовых червях массой рассылки, в обоих случаях эти черви могли нанести весьма ощутимый урон своим жертвам. На фоне постоянно продолжающейся и ставшей уже привычной эпидемии вируса Win32.Klez.4, который не наносит никакого видимого ущерба пораженным компьютерам, обе ноябрьские эпидемии стали весьма красноречивым подтверждением того, что вирусная угроза - это не миф, а беспощадная реальность, очень часто оборачивающаяся реальными жизненными трагедиями для тех, кто пренебрегал вопросами антивирусной безопасности.
4 ноября появились первые сообщения о распространении почтового червя, названного впоследствии Win32.HLLM.Generic.95. Dr.Web® был первым антивирусом, который обнаруживал опасный код вируса с помощью своего эвристического анализатора еще до внесения соответствующей записи в вирусную базу. В дальнейшем этот вирус был назван другими антивирусными вендорами, как Bride.A. Вирус, написанный на языке высокого уровня Visual Basic, перезаписывал собой некоторые системные файлы Windows, а также заражал компьютер модификацией файлового вируса Win32.FunLove.4608, наиболее важной деструктивной функцией которого является компрометация системы безопасности операционной системы Windows NT. Благодаря хорошо спроектированному механизму собственной рассылки и использованию уязвимости почтовых клиентов Microsoft, червь достаточно быстро распространился по всему миру и присутствовал весь месяц в почтовом трафике всех российских провайдеров, практически не сдавая своих позиций.
Затем в течение ноября повилась еще одна модификация вируса семейства Bride - Bride.B (Win32.HLLM.Generic.103 по классификации Dr.Web), которая не была уже такой распространенной и не несла в себе код Win32.FunLove.4608, однако могла доставить неприятности тем, кто имел несчастье с ней столкнуться.
Следующая ноябрьская эпидемия разразилась в 20-х числах с появлением нового корейского почтового червя Win32.HLLM.Seoul. И опять Dr.Web® был первым антивирусом, который стал обнаруживать этого опасного червя. И по своему дизайну, и по своим деструктивным функциям Win32.HLLM.Seoul намного опередил своего корейского предшественника. Для своего распространения червь использовал сразу две уязвимости программ семейства Microsoft в сочетании с некоторыми удачными приемами из области социальной инженерии. Появившись 21 ноября (именно тогда он и был добавлен в вирусную базу Dr.Werb), червь начал активно распространяться только с воскресенья 24-го. Пик его активности в российском интернете пришелся на 25-26 ноября, он быстро вышел на 2-е место и продержался на нем практически всю неделю. В трафике ряда провайдеров восточных регионов России и Урала он оставил далеко позади Klez.4. Win32.HLLM.Seoul (другими антивирусными компаниями названный Winevar) также нес в себе несколько видоизмененный код файлового вируса Win32.FunLove.4608, но при этом главная опасность его заключалась в том, что он при определенных обстоятельствах удалял практически все файлы на жестком диске своей жертвы.
Любопытно, что, появившись в Южной Корее, вирус довольно мало хозяйничал именно в этой стране - уже к 26 ноября случаи заражения вирусом практически перестали фиксироваться. В России же только в последний день ноября не было "поймано" ни одного вируса Win32.HLLM.Seoul, что, по-видимому, связано с наступлением выходных дней.
Среди других особенностей "вирусного фронта" можно отметить появление новых модификаций сетевого червя Opasoft. В ноябре появилась модификация Opasoft.H (Win32.Opasoft.37888). Любопытна настойчивость авторов этого червя - каждый раз они придумывали что-нибудь новенькое, но при этом неизменным оставалось одно - червь нес в себе механизм самообновления путем скачивания соответствующих файлов через интернет, но эти сайты оказывались блокированными раньше, чем новый вид Opasoft получал сколько-нибудь широкое распространение.
С сожалением вынуждены констатировать, что 6 ноября были зафиксированы случаи очередного срабатывания деструктивной функции червя Win32.HLLM.Klez.1 на компьютерах пользователей. При этом порой ущерб было просто трудно измерить - ведь этот червь уничтожает все файлы документов, в которых многие организации хранят свои основные данные. Хотим успокоить пользователей антивируса Dr.Web® - они надежно защищены от этого червя (разумеется, речь идет о тех, кто использует актуальную версию антивируса), поскольку, в отличие от многих других антивирусов, Dr.Web® для Windows обнаруживает и обезвреживает вирусный процесс непосредственно в памяти компьютера.
В ноябре продолжились атаки на серверы, распространяющие программное обеспечение для UNIX-систем. Вслед за сервером, с которого скачивались обновления к Sendmail, был взломан сервер www.tcpdump.org, результате чего в коде, который загружался пользователями с этого сайта, находился троянец, компрометирующий безопасность систем, на которые он впоследствии устанавливался. Таким образом, можно констатировать факт, что злоумышленники очень активно осваивают новые методы распространения вирусов, атакуя серверы, пользующиеся доверием у большого числа пользователей.
Статистика
Ниже приводится сводная таблица вирусов, чаще всего обнаруживавшихся на почтовых серверах и на компьютерах пользователей в ноябре. Всего в ноябре антивирусными фильтрами Dr.Web было "поймано" около 9,2 млн.вирусов 1995 видов. В силу специфики вирусного кода червей семейства Klez, они, как магнитом притягиваются на серверы некоторых провайдеров, в том числе и российские. Это вызывает определенный перекос в статистике в "пользу" Win32.HLLM.Klez.
|