Обзор вирусной обстановки за апрель 2008 года от компании «Доктор Веб»

12 мая 2008

12.05.2008

Безусловно, главным событием конца марта – начала апреля стало обнаружение новой модификации вредоносной программы, получившей наименование по классификации Dr.Web BackDoor.MaosBoot. Данная вредоносная программы относится к новому классу вирусов, представляя собой комбинацию из загрузочного вируса и руткита. BackDoor.MaosBoot нацелен в основном на проникновение в компьютеры пользователей с целью извлечения конфиденциальной финансовой информации. Вирус обладает обширным списком программ класса "банк-клиент". Усовершенствованная версия вируса с легкостью похищает с зараженных компьютеров по данному списку конфиденциальную финансовую информацию.

В середине апреля службой вирусного мониторинга «Доктор Веб» был зафиксирован всплеск спам-рассылки загрузчика уже подзабытой вредоносной программы Win32.HLLM.Limar. И, хотя данный всплеск не носил эпидемический характер, однако дал понять, что, в будущем, возможно, будет более масштабное распространение этой вредоносной программы.

Однако, по-настоящему знаковым событием стало развенчание службой вирусного мониторинга мифа не существовании варианта вредоносной программы, известной как Rustock.C. Данная вредоносная программа получила наименование Win32.Ntldrbot по классификации Dr.Web. Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Некоторые технические характеристики Win32.Ntldrbo

  • Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
  • Реализован в виде драйвера уровня ядра, работает на самом низком уровне.
  • Имеет функцию самозащиты, противодействует модификации времени исполнения.
  • Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.
  • Перехватывает системные функции неклассическим методом.
  • Работает как файловый вирус, заражая системные драйверы.
  • Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
  • Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
  • Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
  • Имеет защиту от антируткитов.
  • Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама.
  • Для связи драйвера с DLL используется специальный механизм передачи команд.

Важным обстоятельством является тот факт, что Dr.Web – единственный на сегодняшний день антивирус, способный не только обнаружить Win32.Ntldrbot в активном состоянии, но и вылечить инфицированную им систему.

Вирусная статистика за апрель 2008

Таблица 1. 20 наиболее часто встречавшихся на почтовых серверах вирусов

01.04.2008 00:00 - 13.05.2008 23:00
1 Win32.HLLM.Netsky.35328 270654 (29.51%)
2 Win32.HLLM.Netsky.based 95383 (10.40%)
3 Win32.HLLW.Autoruner.437 73490 (8.01%)
4 Win32.HLLM.MyDoom.based 57639 (6.28%)
5 Win32.HLLM.Beagle 38671 (4.22%)
6 Win32.HLLM.Netsky 30887 (3.37%)
7 Win32.HLLP.Sector 30885 (3.37%)
8 Exploit.MS05-053 28784 (3.14%)
9 VBS.Igidak 26239 (2.86%)
10 Win32.HLLM.Oder 22487 (2.45%)
11 Win32.Virut 20823 (2.27%)
12 Win32.HLLM.Perf 17012 (1.85%)
13 Win32.HLLM.Netsky.24064 16739 (1.83%)
14 Win32.HLLM.MyDoom.33808 11208 (1.22%)
15 Win32.HLLM.Netsky.28008 9592 (1.05%)
16 Trojan.DownLoader.49586 9305 (1.01%)
17 Win32.LazyAdmin.32768 8791 (0.96%)
18 Win32.HLLM.Netsky.28672 8689 (0.95%)
19 Trojan.Regger 8657 (0.94%)
20 Exploit.IframeBO 8093 (0.88%)

Таблица 2. 20 наиболее часто встречавшихся на компьютерах пользователей вирусов

01.04.2008 00:00 - 13.05.2008 23:00
1 Trojan.Okuks.30 2184293 (33.03%)
2 Trojan.Spambot.3099 1286403 (19.45%)
3 Trojan.Click.17013 501156 (7.58%)
4 Trojan.Okuks.24 172393 (2.61%)
5 Win32.HLLM.Generic.440 158366 (2.39%)
6 JS.Nimda 156129 (2.36%)
7 Win32.Alman 131706 (1.99%)
8 Win32.HLLW.Autoruner.437 107772 (1.63%)
9 VBS.Generic.548 104092 (1.57%)
10 Adware.SaveNow.128 91458 (1.38%)
11 Win32.HLLP.PissOff.36864 88904 (1.34%)
12 Trojan.Recycle 82489 (1.25%)
13 Trojan.DownLoader.49586 77948 (1.18%)
14 Win32.HLLP.Jeefo.36352 75027 (1.13%)
15 BackDoor.Generic.1138 62350 (0.94%)
16 VBS.Igidak 49603 (0.75%)
17 Win32.HLLP.Neshta 48690 (0.74%)
18 Win32.HLLM.Lovgate.2 47851 (0.72%)
19 Trojan.NtRootKit.425 46560 (0.70%)
20 Win32.HLLW.Autoruner 33661 (0.51%)

20
;