Поиск
Обзор вирусной обстановки за июль 2008 года от компании «Доктор Веб»
04.08.2008
Компания «Доктор Веб» представляет обзор вирусной активности в июле 2008 года.
Давно минули времена громких вирусных эпидемий. Сегодня борьба идет на «тихом» фронте – неслышно и незаметно для неискушенных пользователей. Июль стал подтверждением этого правила наших дней и этот обзор следовало бы назвать "обзором троянской активности", так как центральное место в нем занимают именно троянские программы разных мастей.
О троянских программах
Среди троянских программ, наиболее интересных с точки зрения анализа и разработки алгоритма лечения, можно назвать троянцев семейства Virtumod (в классификации других антивирусных вендоров Virtumonde/Vundo/Monder). Правда, пока их еще нельзя увидеть в победной десятке самых распространенных вредоносных программ, но в «дикой природе» они уже встречаются. Очень немногие антивирусы могут детектировать этих троянцев, и тем более эффективно лечить. Причина – в применяемых автором этого семейства троянцев алгоритмах "работы". Вирусописатель активно и планомерно разрабатывает 3-4 направления развития полиморфного упаковщика, при этом за последние месяцы было выпущено более 10 модификаций, и каждое направление насчитывает около десятка тысяч образцов. Эти данные подтверждаются не только коллекцией Dr.Web, но и коллекциями других компаний, а также постоянным потоком образцов с сервера online-проверки на вирусы.Virtumod - далеко не единственный активный представитель «off-line полиморфизма», и можно уверенно сказать, что без целенаправленного технологического развития противодействия данному направлению, без разработки универсальной технологии, которая позволила бы быстро добавлять детектирование полиморфных упаковщиков в антивирусное ядро, довольно скоро ситуация может превратиться в патовую.
В последнее время активно распространяется еще один троянец – Trojan.Clb. Он содержит в себе руткит и прячет методом сплайсинга файлы на диске и определенные ветки реестра. Также стоит отметить Trojan.DnsChange.967, подменяющий DNS сервера на роутерах, предоставляющих возможность конфигурирования через web-интерфейс. Это особенно опасно для пользователей беспроводных сетей, роутеры которых часто конфигурируются через веб-интерфейс. Пользователи такого беспроводного сервиса, например, работающие через точку доступа Wi-Fi, вполне могут оказаться жертвами подмены DNS, в результате чего их конфиденциальные данные утекут совершенно в неизвестном для них направлении.
Достаточно неприятным сюрпризом может стать попадание на ПК пользователей представителя семейства Trojan.Okuks. Детектирование его не представляет проблем для большинства антивирусов, чего нельзя сказать о лечении. Если используемая антивирусная программа некорректно вылечит инфицированную троянцем систем – удалит файл, но не вылечит при этом реестр, – после перезагрузки пользователя ожидает вечный BSOD.
О лидерах
Вернее, об одном «лидере», который с переменным успехом путешествует по первой «вирусной десятке» и не собирает сдавать свои позиции. Речь о червях семейства Autoruner, в избытке присылаемых в компанию «Доктор Веб» для проверки онлайн-сканером.
Транспортом для распространения этих червей стали привычные в быту и в офисах флэш-накопители. Их применение сейчас стало поистине повсеместным, сотрудники ездят с ними в командировки и работают дома. Но кроме удобств и повышения производительности, они несут и большую опасность, т.к. вирусы всё чаще атакуют и распространяются именно с помощью этих устройств. Самое любопытное заключается в том, что объектами атаки этого червя становятся не только традиционные устройства "флэш-памяти", но и любые другие устройства, которые можно подключить к компьютеру через порт USB - фотоаппараты, видеокамеры, мобильные телефоны, цифровые фоторамки. На сервере статистики компании "Доктор Веб", отражающем глобальную вирусную обстановку на защищаемых антивирусами Dr.Web серверах, червь семейства Autoruner занимает в июле лидирующую позицию.
Статистика обнаружений вредоносных файлов в почтовых потоках
| 01.07.2008 00:00 - 31.07.2008 23:00 | ||
| 1 | Win32.HLLW.Autoruner.437 | 239451 (18.39%) |
| 2 | Win32.Dref | 109607 (8.42%) |
| 3 | Win32.HLLM.Netsky.35328 | 89795 (6.90%) |
| 4 | Win32.HLLM.Netsky.based | 45561 (3.50%) |
| 5 | Win32.HLLM.Beagle | 42279 (3.25%) |
| 6 | Win32.HLLM.MyDoom.based | 28334 (2.18%) |
| 7 | Win32.HLLM.Generic.440 | 26898 (2.07%) |
| 8 | Adware.Cydoor | 26143 (2.01%) |
| 9 | Win32.HLLP.Jeefo.36352 | 24710 (1.90%) |
| 10 | Win32.Virut | 22588 (1.73%) |
| 11 | Trojan.MulDrop.16727 | 22380 (1.72%) |
| 12 | Trojan.Starter.544 | 21632 (1.66%) |
| 13 | Win32.Sector.20480 | 21616 (1.66%) |
| 14 | Win32.Alman | 21354 (1.64%) |
| 15 | VBS.Igidak | 19669 (1.51%) |
| 16 | Danish.based | 18572 (1.43%) |
| 17 | Trojan.MulDrop.6474 | 18481 (1.42%) |
| 18 | Win32.HLLW.Gavir.ini | 17191 (1.32%) |
| 19 | Win32.HLLW.Autoruner.1831 | 15596 (1.20%) |
| 20 | Trojan.Packed.511 | 13550 (1.04%) |
Статистика обнаружений вредоносных файлов на рабочих станциях
| 01.07.2008 00:00 - 31.07.2008 23:00 | ||
| 1 | Trojan.Starter.516 | 202341 (18.09%) |
| 2 | Win32.HLLW.Gavir.ini | 106435 (9.51%) |
| 3 | Win32.HLLW.Autoruner.274 | 91205 (8.15%) |
| 4 | Trojan.Recycle | 90006 (8.05%) |
| 5 | Win32.HLLW.Autoruner.437 | 76710 (6.86%) |
| 6 | Trojan.Starter.544 | 72730 (6.50%) |
| 7 | JS.Nimda | 40157 (3.59%) |
| 8 | VBS.Redlof | 38242 (3.42%) |
| 9 | Win32.HLLM.Generic.440 | 37992 (3.40%) |
| 10 | Win32.HLLP.Whboy | 24129 (2.16%) |
| 11 | Win32.HLLW.Autoruner.2272 | 21893 (1.96%) |
| 12 | Adware.SaveNow.128 | 17982 (1.61%) |
| 13 | Program.RemoteAdmin | 17230 (1.54%) |
| 14 | BackDoor.IRC.Sdbot.55 | 15902 (1.42%) |
| 15 | Win32.HLLP.PissOff.36864 | 15670 (1.40%) |
| 16 | Win32.HLLP.Jeefo.36352 | 13282 (1.19%) |
| 17 | Trojan.Packed.511 | 11425 (1.02%) |
| 18 | VBS.Generic.548 | 8984 (0.80%) |
| 19 | Win32.HLLP.Sector | 8273 (0.74%) |
| 20 | Exploit.IFrame.41 | 8101 (0.72%) |