Обзор вирусной обстановки за июль 2007 года от компании «Доктор Веб»

01 августа 2007
1.08.2007

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июле 2007 года.

Бизнес сезон еще не открыт, а вирусная активность не снижается. Июль не исключение. Прежде всего, необходимо упомянуть о мощной спам-рассылке, наблюдаемой в течение месяца, с темой писем «Youve received an ecard from a Class-mate!» «... a Neighbour!» и.т.п. В теле таких писем содержалась ссылка, по которой можно было скачать «поздравительную открытку». Доверчивость и любопытство оборачивались бедой для пользователей; их ПК подвергались заражению новыми версиями уже известной вредоносной программы - BackDoor.Groan. Она устанавливает драйвер для сокрытия своих файлов на диске, содержит функцию работы с P2P- сетями и производит рассылку спама с поражённого компьютера. На короткое время BackDoor.Groan сменил форму своего распространения – темы писем гласили об обнаруженной вирусной активности, и пользователю, дабы IP-адрес его компьютера не был заблокирован, предлагалось скачать и установить соответствующую заплатку к программному обеспечению. Однако позднее авторы вновь возвратились к исходному варианту тем рассылаемых писем. Напомним, что первоначальная рассылка BackDoor.Groan отмечалась в январе этого года, когда его авторами была избрана политическая тематика рассылаемых писем.

Почтовый червь массовой рассылки Win32.HLLM.Limar в этом месяце был не столь заметен, как ранее. Лишь однажды было зафиксировано повышение уровня его присутствия в почтовом трафике, при этом на его долю пришлось около 35% всего инфицированного почтового трафика. Следует также отметить его кратковременность.


Отметим появление новых модификаций семейства почтового червя Win32.HLLM.Graz. В отдельные дни присутствие Win32.HLLM.Graz составляло 35-40% всего инфицированного почтового трафика. Заражение компьютера данными модификациями Win32.HLLM.Graz приводило к удалению и невозможности последующей установки антивирусных средств защиты.

Активизировались и кибер-вымогатели. Было зафиксировано распространение нескольких модификаций опасного трояна – Trojan.Plastix, нарушающего работоспособность компьютера. В случае, если Ваш компьютер оказался поражён Trojan.Plastix, Вы всегда можете обратиться в Службу технической поддержки компании «Доктор Веб», где Вам помогут восстановить работоспособность компьютера. Помимо этого, стоит упомянуть о новых модификациях «трояна-шифровальщика» семейства Trojan.Encoder – Trojan.Encoder.11 и Trojan.Encoder.12, вымогающих у жертв значительную сумму для восстановления зашифрованных данных.

Ещё одним примером вымогательства служит Trojan.Winlock. В процессе работы он себя никак не проявляет, однако после перезагрузки компьютера сообщает пользователю, что у него нелицензионная копия операционной системы и предлагает перечислить автору определённую сумму через систему Яндекс.Деньги.

Необходимо отметить появление русскоязычной фишинговой спам-рассылки с сообщением о заблокированной учётной записи якобы от системы Яндекс.Деньги. Детектирование таких писем внесено в базы Dr.Web как Trojan.Bankfraud.402.

Итоги спам-активности в июле 2007

Помимо упоминаемой выше спам-рассылки, наблюдалась другая волна нежелательной корреспонденции с вложениями в виде PDF-файлов. При этом, по сравнению с прошлым месяцем, присутствие такого вида спама увеличилось примерно на 30%.

Увеличилась доля «культурного» спама, в котором предлагается посетить различные мероприятия – оперные премьеры, различные выставочные залы, экскурсии. Тем не менее, львиную долю русскоязычной нежелательной корреспонденции составляет «коммерческий» спам по тематике бизнес-семинаров, вопросов бухгалтерии, регистрации фирм и пр.

В июле 2007 года вирусная база Dr.Web пополнилась 16577 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Наименование вируса Количество
VBS.Psyme.239 758
Trojan.Packed.142 501
VBS.PackFor 397
Trojan.Virtumod 188
Win32.HLLW.Autoruner 105
Win32.HLLM.Limar 96
BackDoor.Bulknet 87
Trojan.Spambot 82
Win32.HLLM.Beagle 66
Win32.HLLM.Wukill 65


Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в июле 2007 года:


Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Netsky.35328 19.14
Win32.HLLM.Graz 15.01
Win32.HLLM.MyDoom.based 8.28
Win32.HLLP.Sector 8.12
Win32.HLLM.Beagle 7.76
Win32.HLLM.Limar.based 6.44
Win32.HLLM.Netsky.based 5.74
Win32.HLLM.Limar 5.13
Win32.HLLM.Netsky 3.88
Win32.HLLM.Perf 2.65
Win32.Hazafi.30720 1.75
Exploit.MS05-053 1.44
Win32.HLLM.Beagle.pswzip 1.11
Win32.HLLM.Oder 1.08
Win32.HLLM.MyDoom.33808 1.05
Win32.HLLM.MyDoom.49 0.94
BackDoor.Bulknet 0.88
Win32.HLLM.Netsky.24064 0.80
Win32.HLLM.Generic.391 0.80
Trojan.MulDrop.7173 0.75
Прочие вредоносные программы 7.25
180
;