Обзор вирусной обстановки за май 2008 года от компании "Доктор Веб"

05 июня 2008

05.06.2008

Компания «Доктор Веб» – российский разработчик средств информационной защиты под маркой Dr.Web – представляет обзор вирусной и спам-активности за май 2008 года.

Главным событием мая стало обнаружение специалистами антивирусной лаборатории компании «Доктор Веб» неуловимого Win32.Ntldrbot (aka Rustock.C) – вируса, который смог выстроить из заражаемых им компьютеров огромную бот-сеть. По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Компьютеры защищенные антивирусом Dr.Web, уже никогда не станут частью этой сети, т.к. новая версия сканера Dr.Web не только определяет коварный вирус, но и лечит зараженные им ПК. Со дня изготовления противоядия к Win32.Ntldrbot прошел месяц, но до сих пор Dr.Web – единственный антивирус, который способен лечить ПК от Win32.Ntldrbot (aka Rustock.C).

Другим заслуживающим внимания событием стало возникновение все большего числа вредоносных объектов, заражающих ПК с целью изменения результатов поиска. Задав в области поиска искомое слово, пользователь такого компьютера совершит переход не на нужный сайт, а на посторонний ресурс. В итоге пользователь не находит нужную информацию, рекламодатель платит за нецелевой трафик, но больше всего страдает репутация поисковых систем, которых пользователи обвиняют в продаже мест на первых страницах выдачи. По просьбе администрации одной из них (Яндекса) такие программы были переквалифицированы в вирусной базе Dr.Web из разряда рекламного ПО (adware) в класс троянских программ, и теперь Яндекс рекомендует своим пользователям утилиту Dr.Web CureIt! для бесплатного лечения ПК, пораженных вирусами подмены страниц.

Ситуация со спамом

Поток спама нередко несет вирусы, троянские программы и другие вредоносные объекты. В последнее время в РуНете наметилась тенденция эксплуатации имен популярных у интернет-пользователей ресурсов для проведения спамерских рассылок. Многочисленность пользователей социальных сетей, например, таких как «В Контакте» и «Одноклассники», постоянно привлекает внимание спамерских группировок. После очередной атаки компьютеры любителей общения в социальных сетях либо становятся звеньями бот-сетей, либо их пользователи рискуют потерять всю информацию, как в случае с вирусом Win32.HLLW.AntiDurov. Что касается последнего тревожного примера, его отличие от подавляющего большинства вирусов последних лет – наличие деструктивной функции. 25 числа каждого месяца в 10 часов утра начинается удаление с диска C: всех файлов. Служба вирусного мониторинга компании «Доктор Веб» уже давно не фиксировала вирусов с подобным функционалом.


Таблица 1. 10 наиболее часто встречавшихся на почтовых серверах вирусов

01.05.2008 00:00 - 31.05.2008 23:00
1 Win32.HLLM.Netsky.35328 189739 (21.18%)
2 Trojan.Recycle 123825 (13.82%)
3 Win32.HLLW.Autoruner.437 90463 (10.10%)
4 Win32.HLLM.Netsky.based 69604 (7.77%)
5 Win32.HLLM.MyDoom.based 40297 (4.50%)
6 Win32.HLLM.Beagle 25937 (2.90%)
7 Win32.HLLP.Sector 24384 (2.72%)
8 Exploit.MS05-053 23234 (2.59%)
9 Win32.Virut 19869 (2.22%)
10 Win32.HLLM.Oder 18095 (2.02%)



Таблица 2. 10 наиболее часто встречавшихся на компьютерах пользователей вирусов

01.05.2008 00:00 - 31.05.2008 23:00
1 Trojan.Okuks.30 1507944 (44.18%)
2 Win32.HLLM.Generic.440 308960 (9.05%)
3 Trojan.Spambot.3099 272036 (7.97%)
4 VBS.Generic.548 156819 (4.59%)
5 Win32.Alman 89604 (2.63%)
6 Adware.SaveNow.128 65850 (1.93%)
7 BackDoor.Generic.1138 59082 (1.73%)
8 Win32.HLLM.Perf 56024 (1.64%)
9 BackDoor.Aimbot 45793 (1.34%)
10 Win32.HLLP.Jeefo.36352 41913 (1.23%)

8
;