Обзор вирусной обстановки за июль 2007 года от компании «Доктор Веб»
1.08.2007
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июле 2007 года.
Бизнес сезон еще не открыт, а вирусная активность не снижается. Июль не исключение. Прежде всего, необходимо упомянуть о мощной спам-рассылке, наблюдаемой в течение месяца, с темой писем «Youve received an ecard from a Class-mate!» «... a Neighbour!» и.т.п. В теле таких писем содержалась ссылка, по которой можно было скачать «поздравительную открытку». Доверчивость и любопытство оборачивались бедой для пользователей; их ПК подвергались заражению новыми версиями уже известной вредоносной программы - BackDoor.Groan. Она устанавливает драйвер для сокрытия своих файлов на диске, содержит функцию работы с P2P- сетями и производит рассылку спама с поражённого компьютера. На короткое время BackDoor.Groan сменил форму своего распространения – темы писем гласили об обнаруженной вирусной активности, и пользователю, дабы IP-адрес его компьютера не был заблокирован, предлагалось скачать и установить соответствующую заплатку к программному обеспечению. Однако позднее авторы вновь возвратились к исходному варианту тем рассылаемых писем. Напомним, что первоначальная рассылка BackDoor.Groan отмечалась в январе этого года, когда его авторами была избрана политическая тематика рассылаемых писем.
Почтовый червь массовой рассылки Win32.HLLM.Limar в этом месяце был не столь заметен, как ранее. Лишь однажды было зафиксировано повышение уровня его присутствия в почтовом трафике, при этом на его долю пришлось около 35% всего инфицированного почтового трафика. Следует также отметить его кратковременность.
Отметим появление новых модификаций семейства почтового червя Win32.HLLM.Graz. В отдельные дни присутствие Win32.HLLM.Graz составляло 35-40% всего инфицированного почтового трафика. Заражение компьютера данными модификациями Win32.HLLM.Graz приводило к удалению и невозможности последующей установки антивирусных средств защиты.
Активизировались и кибер-вымогатели. Было зафиксировано распространение нескольких модификаций опасного трояна – Trojan.Plastix, нарушающего работоспособность компьютера. В случае, если Ваш компьютер оказался поражён Trojan.Plastix, Вы всегда можете обратиться в Службу технической поддержки компании «Доктор Веб», где Вам помогут восстановить работоспособность компьютера. Помимо этого, стоит упомянуть о новых модификациях «трояна-шифровальщика» семейства Trojan.Encoder – Trojan.Encoder.11 и Trojan.Encoder.12, вымогающих у жертв значительную сумму для восстановления зашифрованных данных.
Ещё одним примером вымогательства служит Trojan.Winlock. В процессе работы он себя никак не проявляет, однако после перезагрузки компьютера сообщает пользователю, что у него нелицензионная копия операционной системы и предлагает перечислить автору определённую сумму через систему Яндекс.Деньги.
Необходимо отметить появление русскоязычной фишинговой спам-рассылки с сообщением о заблокированной учётной записи якобы от системы Яндекс.Деньги. Детектирование таких писем внесено в базы Dr.Web как Trojan.Bankfraud.402.
Итоги спам-активности в июле 2007
Помимо упоминаемой выше спам-рассылки, наблюдалась другая волна нежелательной корреспонденции с вложениями в виде PDF-файлов. При этом, по сравнению с прошлым месяцем, присутствие такого вида спама увеличилось примерно на 30%.
Увеличилась доля «культурного» спама, в котором предлагается посетить различные мероприятия – оперные премьеры, различные выставочные залы, экскурсии. Тем не менее, львиную долю русскоязычной нежелательной корреспонденции составляет «коммерческий» спам по тематике бизнес-семинаров, вопросов бухгалтерии, регистрации фирм и пр.
В июле 2007 года вирусная база Dr.Web пополнилась 16577 записями.
Краткая таблица результатов онлайн-проверки за месяц:
Наименование вируса | Количество |
---|---|
VBS.Psyme.239 | 758 |
Trojan.Packed.142 | 501 |
VBS.PackFor | 397 |
Trojan.Virtumod | 188 |
Win32.HLLW.Autoruner | 105 |
Win32.HLLM.Limar | 96 |
BackDoor.Bulknet | 87 |
Trojan.Spambot | 82 |
Win32.HLLM.Beagle | 66 |
Win32.HLLM.Wukill | 65 |
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в июле 2007 года:
Наименование вируса | % от общего кол-ва вирусов |
---|---|
Win32.HLLM.Netsky.35328 | 19.14 |
Win32.HLLM.Graz | 15.01 |
Win32.HLLM.MyDoom.based | 8.28 |
Win32.HLLP.Sector | 8.12 |
Win32.HLLM.Beagle | 7.76 |
Win32.HLLM.Limar.based | 6.44 |
Win32.HLLM.Netsky.based | 5.74 |
Win32.HLLM.Limar | 5.13 |
Win32.HLLM.Netsky | 3.88 |
Win32.HLLM.Perf | 2.65 |
Win32.Hazafi.30720 | 1.75 |
Exploit.MS05-053 | 1.44 |
Win32.HLLM.Beagle.pswzip | 1.11 |
Win32.HLLM.Oder | 1.08 |
Win32.HLLM.MyDoom.33808 | 1.05 |
Win32.HLLM.MyDoom.49 | 0.94 |
BackDoor.Bulknet | 0.88 |
Win32.HLLM.Netsky.24064 | 0.80 |
Win32.HLLM.Generic.391 | 0.80 |
Trojan.MulDrop.7173 | 0.75 |
Прочие вредоносные программы | 7.25 |