Поиск
Обзор вирусной обстановки за апрель 2008 года от компании «Доктор Веб»
12.05.2008
Безусловно, главным событием конца марта – начала апреля стало обнаружение новой модификации вредоносной программы, получившей наименование по классификации Dr.Web BackDoor.MaosBoot. Данная вредоносная программы относится к новому классу вирусов, представляя собой комбинацию из загрузочного вируса и руткита. BackDoor.MaosBoot нацелен в основном на проникновение в компьютеры пользователей с целью извлечения конфиденциальной финансовой информации. Вирус обладает обширным списком программ класса "банк-клиент". Усовершенствованная версия вируса с легкостью похищает с зараженных компьютеров по данному списку конфиденциальную финансовую информацию.
В середине апреля службой вирусного мониторинга «Доктор Веб» был зафиксирован всплеск спам-рассылки загрузчика уже подзабытой вредоносной программы Win32.HLLM.Limar. И, хотя данный всплеск не носил эпидемический характер, однако дал понять, что, в будущем, возможно, будет более масштабное распространение этой вредоносной программы.
Однако, по-настоящему знаковым событием стало развенчание службой вирусного мониторинга мифа не существовании варианта вредоносной программы, известной как Rustock.C. Данная вредоносная программа получила наименование Win32.Ntldrbot по классификации Dr.Web. Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.
Некоторые технические характеристики Win32.Ntldrbo
- Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
- Реализован в виде драйвера уровня ядра, работает на самом низком уровне.
- Имеет функцию самозащиты, противодействует модификации времени исполнения.
- Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.
- Перехватывает системные функции неклассическим методом.
- Работает как файловый вирус, заражая системные драйверы.
- Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
- Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
- Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
- Имеет защиту от антируткитов.
- Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама.
- Для связи драйвера с DLL используется специальный механизм передачи команд.
Важным обстоятельством является тот факт, что Dr.Web – единственный на сегодняшний день антивирус, способный не только обнаружить Win32.Ntldrbot в активном состоянии, но и вылечить инфицированную им систему.
Вирусная статистика за апрель 2008
Таблица 1. 20 наиболее часто встречавшихся на почтовых серверах вирусов
| 01.04.2008 00:00 - 13.05.2008 23:00 | ||
| 1 | Win32.HLLM.Netsky.35328 | 270654 (29.51%) |
| 2 | Win32.HLLM.Netsky.based | 95383 (10.40%) |
| 3 | Win32.HLLW.Autoruner.437 | 73490 (8.01%) |
| 4 | Win32.HLLM.MyDoom.based | 57639 (6.28%) |
| 5 | Win32.HLLM.Beagle | 38671 (4.22%) |
| 6 | Win32.HLLM.Netsky | 30887 (3.37%) |
| 7 | Win32.HLLP.Sector | 30885 (3.37%) |
| 8 | Exploit.MS05-053 | 28784 (3.14%) |
| 9 | VBS.Igidak | 26239 (2.86%) |
| 10 | Win32.HLLM.Oder | 22487 (2.45%) |
| 11 | Win32.Virut | 20823 (2.27%) |
| 12 | Win32.HLLM.Perf | 17012 (1.85%) |
| 13 | Win32.HLLM.Netsky.24064 | 16739 (1.83%) |
| 14 | Win32.HLLM.MyDoom.33808 | 11208 (1.22%) |
| 15 | Win32.HLLM.Netsky.28008 | 9592 (1.05%) |
| 16 | Trojan.DownLoader.49586 | 9305 (1.01%) |
| 17 | Win32.LazyAdmin.32768 | 8791 (0.96%) |
| 18 | Win32.HLLM.Netsky.28672 | 8689 (0.95%) |
| 19 | Trojan.Regger | 8657 (0.94%) |
| 20 | Exploit.IframeBO | 8093 (0.88%) |
Таблица 2. 20 наиболее часто встречавшихся на компьютерах пользователей вирусов
| 01.04.2008 00:00 - 13.05.2008 23:00 | ||
| 1 | Trojan.Okuks.30 | 2184293 (33.03%) |
| 2 | Trojan.Spambot.3099 | 1286403 (19.45%) |
| 3 | Trojan.Click.17013 | 501156 (7.58%) |
| 4 | Trojan.Okuks.24 | 172393 (2.61%) |
| 5 | Win32.HLLM.Generic.440 | 158366 (2.39%) |
| 6 | JS.Nimda | 156129 (2.36%) |
| 7 | Win32.Alman | 131706 (1.99%) |
| 8 | Win32.HLLW.Autoruner.437 | 107772 (1.63%) |
| 9 | VBS.Generic.548 | 104092 (1.57%) |
| 10 | Adware.SaveNow.128 | 91458 (1.38%) |
| 11 | Win32.HLLP.PissOff.36864 | 88904 (1.34%) |
| 12 | Trojan.Recycle | 82489 (1.25%) |
| 13 | Trojan.DownLoader.49586 | 77948 (1.18%) |
| 14 | Win32.HLLP.Jeefo.36352 | 75027 (1.13%) |
| 15 | BackDoor.Generic.1138 | 62350 (0.94%) |
| 16 | VBS.Igidak | 49603 (0.75%) |
| 17 | Win32.HLLP.Neshta | 48690 (0.74%) |
| 18 | Win32.HLLM.Lovgate.2 | 47851 (0.72%) |
| 19 | Trojan.NtRootKit.425 | 46560 (0.70%) |
| 20 | Win32.HLLW.Autoruner | 33661 (0.51%) |