Обзор вирусной обстановки за ноябрь 2006 года

01 декабря 2006

1 декабря 2006 г.

Ноябрь 2006 года явился логическим следствием развития вирусных событий предыдущего месяца. Почтовый червь Win32.HLLM.Limar (у производителей других антивирусных продуктов этот червь получил названия Email-Worm.Win32.Warezov, Win32/Stration.6wm!Worm), отголоски которого надолго останутся в памяти пользователей, на непродолжительный срок сменил тему рассылаемых писем – теперь адресатам предлагалось ознакомиться с подробностями войны в Ливане. Однако, затем он вернулся к проверенному временем способу обмана пользователей – имитации сообщений о невозможности доставки корреспонденции по адресу или обновления от компании Microsoft.

Эффективность применения методов социальной инженерии была продемонстрирована другим червём, получившим наименование по классификации Dr.Web Win32.Dref – согласитесь, что, прочитав заголовок, возвещающий о якобы начавшейся ядерной войны между РФ и США, пользователь вряд ли удержится от соблазна ознакомиться с подробностями. Будучи запущенным неосторожным пользователем, червь заражает все исполняемые файлы и создаёт на сетевых ресурсах файлы со случайным именем с расширением *.t. Кроме того, червь помещает свою копию во все RAR-архивы. Этот «технологический приём» не является новым – ранее он использовался другим почтовым червём Win32.HLLM.Klez.4.

В начале месяца датской компанией Secunia была опубликована информация об обнаруженной уязвимости основных служб XML Microsoft (Microsoft XML Core Services 4.0 и Microsoft XML Core Services 6.0), которой была присвоен статус критической. Данная уязвимость позволяет злоумышленникам выполнить произвольный код на целевой системе, чем они и воспользовались. Специалистами компании «Доктор Веб» были разработаны и внесены в вирусную базы записи, детектирующие данные вредоносные программы - Exploit.MS06-071, Exploit.XmlCore.

В ноябре была опять поднята неоднократно обсуждавшаяся ранее проблема запуска вредоносных программ в среде виртуальных машин, с которой сталкиваются антивирусные компании. На этот раз заявление об этом сделал аналитик из центра Internet Storm (ISC) при институте SANS. Препятствие запуску вредоносного кода на виртуальных машинах - одно из средств борьбы создателей вирусов с аналитиками антивирусных компаний. Подобный механизм применен, в частности, в почтовом черве Win32.HLLM.Perf известном также как Email-Worm.Scano с техническим описанием которого можно ознакомиться здесь. Также отслеживают свой запуск в виртуальной среде представители других типов вредоносных программ. Говорить о существенном росте вредоносных программ, несущих в себе подобную функциональную нагрузку, не приходится - подобные программы встречаются достаточно нечасто, и они являются на сегодняшний день, скорее, исключением из общего потока вредоносных программ, поступающих на анализ в вирусные лаборатории.

Можно также отметить, спустя почти год с момента своего «рождения», появление новой модификации почтового червя Win32.HLLM.Graz, известного также как Worm.Feebs. Червь опасен тем, что содержит функцию управления программой WebMoney Keeper, противодействует различным системам безопасности и блокирует доступ к сайтам производителей антивирусных продуктов. Остаётся надеяться, что появление новой модификации Win32.HLLM.Graz не приведёт к возникновению эпидемии, соизмеримой по своим масштабам с Win32.HLLM.Limar и будет носить эпизодический характер.

Статистика за ноябрь 2006 года от компании «Доктор Веб»

В ноябре 2006 года вирусная база Dr.Web пополнилась 4949 записью.

Краткая таблица результатов онлайн-проверки за месяц:


Наименование вируса Количество
Win32.HLLM.Limar 1010
Win32.HLLM.Limar.based 417
Trojan.Peflog.52 226
Trojan.Spambot 176
Trojan.Popuper 165
Win32.HLLM.Wukill 139
Win32.HLLM.Perf 108
Trojan.DownLoader.14733 101
Win32.Dref 80
Win32.HLLP.Jeefo.36352 29

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах и серверах Dr.Web Enterprise Suite в ноябре 2006 года:


Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Limar.based 20.87
Win32.HLLM.Perf 12.30
Trojan.Bankfraud.272 9.84
Win32.HLLM.Netsky.35328 8.76
Win32.HLLM.Beagle 7.61
Win32.HLLM.Limar 5.96
Win32.HLLM.MyDoom.based 5.48
Win32.HLLM.Netsky.based 5.22
Win32.HLLP.Sector 3.83
Win32.HLLM.MyDoom.33808 2.60
Win32.Dref 1.88
Win32.HLLM.Beagle.pswzip 1.84
Win32.HLLM.MyDoom.49 1.55
Win32.HLLM.Graz 1.13
Exploit.IframeBO 0.79
Win32.HLLM.MyDoom 0.79
Program.RemoteAdmin 0.72
Exploit.MS05-053 0.67
Win32.HLLM.Beagle.19802 0.50
Win32.HLLM.Lovgate.9 0.49
Прочие вредоносные программы 7.17

Источник: компания "Доктор Веб"

9
;