Обзор вирусной обстановки за ноябрь 2006 года
1 декабря 2006 г.
Ноябрь 2006 года явился логическим следствием развития вирусных событий предыдущего месяца. Почтовый червь Win32.HLLM.Limar (у производителей других антивирусных продуктов этот червь получил названия Email-Worm.Win32.Warezov, Win32/Stration.6wm!Worm), отголоски которого надолго останутся в памяти пользователей, на непродолжительный срок сменил тему рассылаемых писем – теперь адресатам предлагалось ознакомиться с подробностями войны в Ливане. Однако, затем он вернулся к проверенному временем способу обмана пользователей – имитации сообщений о невозможности доставки корреспонденции по адресу или обновления от компании Microsoft.
Эффективность применения методов социальной инженерии была продемонстрирована другим червём, получившим наименование по классификации Dr.Web Win32.Dref – согласитесь, что, прочитав заголовок, возвещающий о якобы начавшейся ядерной войны между РФ и США, пользователь вряд ли удержится от соблазна ознакомиться с подробностями. Будучи запущенным неосторожным пользователем, червь заражает все исполняемые файлы и создаёт на сетевых ресурсах файлы со случайным именем с расширением *.t. Кроме того, червь помещает свою копию во все RAR-архивы. Этот «технологический приём» не является новым – ранее он использовался другим почтовым червём Win32.HLLM.Klez.4.
В начале месяца датской компанией Secunia была опубликована информация об обнаруженной уязвимости основных служб XML Microsoft (Microsoft XML Core Services 4.0 и Microsoft XML Core Services 6.0), которой была присвоен статус критической. Данная уязвимость позволяет злоумышленникам выполнить произвольный код на целевой системе, чем они и воспользовались. Специалистами компании «Доктор Веб» были разработаны и внесены в вирусную базы записи, детектирующие данные вредоносные программы - Exploit.MS06-071, Exploit.XmlCore.
В ноябре была опять поднята неоднократно обсуждавшаяся ранее проблема запуска вредоносных программ в среде виртуальных машин, с которой сталкиваются антивирусные компании. На этот раз заявление об этом сделал аналитик из центра Internet Storm (ISC) при институте SANS. Препятствие запуску вредоносного кода на виртуальных машинах - одно из средств борьбы создателей вирусов с аналитиками антивирусных компаний. Подобный механизм применен, в частности, в почтовом черве Win32.HLLM.Perf известном также как Email-Worm.Scano с техническим описанием которого можно ознакомиться здесь. Также отслеживают свой запуск в виртуальной среде представители других типов вредоносных программ. Говорить о существенном росте вредоносных программ, несущих в себе подобную функциональную нагрузку, не приходится - подобные программы встречаются достаточно нечасто, и они являются на сегодняшний день, скорее, исключением из общего потока вредоносных программ, поступающих на анализ в вирусные лаборатории.
Можно также отметить, спустя почти год с момента своего «рождения», появление новой модификации почтового червя Win32.HLLM.Graz, известного также как Worm.Feebs. Червь опасен тем, что содержит функцию управления программой WebMoney Keeper, противодействует различным системам безопасности и блокирует доступ к сайтам производителей антивирусных продуктов. Остаётся надеяться, что появление новой модификации Win32.HLLM.Graz не приведёт к возникновению эпидемии, соизмеримой по своим масштабам с Win32.HLLM.Limar и будет носить эпизодический характер.
Статистика за ноябрь 2006 года от компании «Доктор Веб»
В ноябре 2006 года вирусная база Dr.Web пополнилась 4949 записью.
Краткая таблица результатов онлайн-проверки за месяц:
Наименование вируса | Количество |
---|---|
Win32.HLLM.Limar | 1010 |
Win32.HLLM.Limar.based | 417 |
Trojan.Peflog.52 | 226 |
Trojan.Spambot | 176 |
Trojan.Popuper | 165 |
Win32.HLLM.Wukill | 139 |
Win32.HLLM.Perf | 108 |
Trojan.DownLoader.14733 | 101 |
Win32.Dref | 80 |
Win32.HLLP.Jeefo.36352 | 29 |
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах и серверах Dr.Web Enterprise Suite в ноябре 2006 года:
Наименование вируса | % от общего кол-ва вирусов |
---|---|
Win32.HLLM.Limar.based | 20.87 |
Win32.HLLM.Perf | 12.30 |
Trojan.Bankfraud.272 | 9.84 |
Win32.HLLM.Netsky.35328 | 8.76 |
Win32.HLLM.Beagle | 7.61 |
Win32.HLLM.Limar | 5.96 |
Win32.HLLM.MyDoom.based | 5.48 |
Win32.HLLM.Netsky.based | 5.22 |
Win32.HLLP.Sector | 3.83 |
Win32.HLLM.MyDoom.33808 | 2.60 |
Win32.Dref | 1.88 |
Win32.HLLM.Beagle.pswzip | 1.84 |
Win32.HLLM.MyDoom.49 | 1.55 |
Win32.HLLM.Graz | 1.13 |
Exploit.IframeBO | 0.79 |
Win32.HLLM.MyDoom | 0.79 |
Program.RemoteAdmin | 0.72 |
Exploit.MS05-053 | 0.67 |
Win32.HLLM.Beagle.19802 | 0.50 |
Win32.HLLM.Lovgate.9 | 0.49 |
Прочие вредоносные программы | 7.17 |
Источник: компания "Доктор Веб"