Обзор вирусной обстановки за май 2007 года от компании «Доктор Веб»
1.06.2007
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в мае 2007 года.
Май по своему накалу событий на вирусном фронте стал практически копией апреля – главным «возмутителем спокойствия» стал почтовый червь семейства "Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30-70% инфицированного почтового трафика. Уже на протяжении многих месяцев появление новой модификации Win32.HLLM.Limar приводит к резкому возникновению эпидемии.
Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено не сколько модификаций *.hta-файла для затруднения задачи детектирования. Тем не менее, принципиальных различий в функциональности данного почтового червя и его более ранних версий нет – в поражённую систему устанавливается руткит-компонента для сокрытия файлов червя на диске и записей в реестре.
Достаточно большое распространение получили вредоносные программы азиатского происхождения – многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является метод обеспечения автозапуска при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы. Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Для отключения отображения скрытых файлов в Проводнике в реестре меняется значение соответствующего параметра. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater обладают функциональностью заражения исполняемых файлов. Прослеживается тенденция «переноса» ф ункции загрузки прочих вредоносных программ в сетевых червей. Например, Win32.HLLW.Autoruner загружает троянца для похищения паролей для онлайн-игр - Trojan.PWS.Wsgame, а также BackDoor.Paziruk, BackDoor.Cafezz.
Следует также отметить появление новой модификации или, вернее, «реинкарнации» варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser – Symbian.Viver. Данная программ была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и не cпособна к самостоятельному распространению и установки на целевой телефон. Как и в случае с Trojan.Webser в очередной раз злоумышленниками продемонстрирован случай удачного применения методов социальной инженерии.
Итоги спам-активности в мае 2007 года
По оценкам поступающих на анализ в компанию «Доктор Веб» спам-писем, в мае значительно активизировались рассылки «туристического спама». Это объясняется тем, что близится лето, и люди начинаются задумываться над тем, как и где они будут проводить свой отпуск. Подобны й спам является наиболее «тяжёлым» - письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт, что может привести к затруднениям при скачивании подобных писем на медленных каналах связи. В качестве изображения на одном графическом файле приводится контактная информация – телефоны, адрес электронной почты, на остальных - рекламный текст, виды пейзажей предлагаемого места отдыха.
Несмотря на приближение отпускного сезона, количество спам-корреспонденции, адресованной финансовым директора м, бухгалтерам с предложениями посетить различные семинары, посвящённых различным аспектам законодательства налогообложения, снизилось незначительно и составило примерно 67% от всего русскоязычного спама.
Англоязычный спам в подавляющем большинстве случаев (примерно 80%) – реклама медицинских препаратов, медицинских услуг, пластической хирургии.
В мае 2007 года вирусная база Dr.Web пополнилась 9474 записями.
Краткая таблица результатов онлайн-проверки за месяц:
Наименование вируса | Количество |
---|---|
VBS.Psyme.239 | 419 |
Win32.HLLM.Limar | 335 |
Trojan.Spambot | 166 |
Trojan.Virtumod | 151 |
Win32.HLLM.Wukill | 120 |
Trojan.Peflog.31 | 98 |
Win32.HLLM.Beagle | 78 |
VBS.Igidak | 58 |
Trojan.PWS.Maran | 48 |
Win32.HLLP.Jeefo.36352 | 46 |
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в мае 2007 года:
Наименование вируса | % от общего кол-ва вирусов |
---|---|
Win32.HLLM.Limar | 23.68 |
Win32.HLLM.Netsky.35328 | 14.27 |
Win32.HLLM.Beagle | 12.45 |
Win32.HLLM.Perf | 6.88 |
Win32.HLLM.MyDoom.based | 6.82 |
Win32.HLLM.Netsky.based | 5.69 |
Win32.HLLM.Graz 108951 | 4.69 |
Win32.HLLP.Sector | 3.79 |
Win32.Hazafi.30720 | 3.72 |
Win32.HLLM.MyDoom.33808 | 2.26 |
Win32.HLLM.Limar.based | 1.65 |
Win32.HLLM.MyDoom.49 | 1.06 |
Win32.HLLM.Generic.422 | 0.91 |
Win32.HLLM.Netsky | 0.89 |
Exploit.MS05-053 | 0.80 |
Win32.HLLM.Beagle.pswzip 16938 | 0.73 |
Exploit.IframeBO | 0.69 |
Win32.Grum | 0.62 |
Win32.HLLM.Oder | 0.56 |
Win32.HLLM.Generic.391 | 0.54 |
Прочие вредоносные программы | 7.03 |