Обзор вирусной обстановки за ноябрь 2006 года

1 декабря 2006 г.

Ноябрь 2006 года явился логическим следствием развития вирусных событий предыдущего месяца. Почтовый червь Win32.HLLM.Limar (у производителей других антивирусных продуктов этот червь получил названия Email-Worm.Win32.Warezov, Win32/Stration.6wm!Worm), отголоски которого надолго останутся в памяти пользователей, на непродолжительный срок сменил тему рассылаемых писем – теперь адресатам предлагалось ознакомиться с подробностями войны в Ливане. Однако, затем он вернулся к проверенному временем способу обмана пользователей – имитации сообщений о невозможности доставки корреспонденции по адресу или обновления от компании Microsoft.

Эффективность применения методов социальной инженерии была продемонстрирована другим червём, получившим наименование по классификации Dr.Web Win32.Dref – согласитесь, что, прочитав заголовок, возвещающий о якобы начавшейся ядерной войны между РФ и США, пользователь вряд ли удержится от соблазна ознакомиться с подробностями. Будучи запущенным неосторожным пользователем, червь заражает все исполняемые файлы и создаёт на сетевых ресурсах файлы со случайным именем с расширением *.t. Кроме того, червь помещает свою копию во все RAR-архивы. Этот «технологический приём» не является новым – ранее он использовался другим почтовым червём Win32.HLLM.Klez.4.

В начале месяца датской компанией Secunia была опубликована информация об обнаруженной уязвимости основных служб XML Microsoft (Microsoft XML Core Services 4.0 и Microsoft XML Core Services 6.0), которой была присвоен статус критической. Данная уязвимость позволяет злоумышленникам выполнить произвольный код на целевой системе, чем они и воспользовались. Специалистами компании «Доктор Веб» были разработаны и внесены в вирусную базы записи, детектирующие данные вредоносные программы - Exploit.MS06-071, Exploit.XmlCore.

В ноябре была опять поднята неоднократно обсуждавшаяся ранее проблема запуска вредоносных программ в среде виртуальных машин, с которой сталкиваются антивирусные компании. На этот раз заявление об этом сделал аналитик из центра Internet Storm (ISC) при институте SANS. Препятствие запуску вредоносного кода на виртуальных машинах - одно из средств борьбы создателей вирусов с аналитиками антивирусных компаний. Подобный механизм применен, в частности, в почтовом черве Win32.HLLM.Perf известном также как Email-Worm.Scano с техническим описанием которого можно ознакомиться здесь. Также отслеживают свой запуск в виртуальной среде представители других типов вредоносных программ. Говорить о существенном росте вредоносных программ, несущих в себе подобную функциональную нагрузку, не приходится - подобные программы встречаются достаточно нечасто, и они являются на сегодняшний день, скорее, исключением из общего потока вредоносных программ, поступающих на анализ в вирусные лаборатории.

Можно также отметить, спустя почти год с момента своего «рождения», появление новой модификации почтового червя Win32.HLLM.Graz, известного также как Worm.Feebs. Червь опасен тем, что содержит функцию управления программой WebMoney Keeper, противодействует различным системам безопасности и блокирует доступ к сайтам производителей антивирусных продуктов. Остаётся надеяться, что появление новой модификации Win32.HLLM.Graz не приведёт к возникновению эпидемии, соизмеримой по своим масштабам с Win32.HLLM.Limar и будет носить эпизодический характер.

Статистика за ноябрь 2006 года от компании «Доктор Веб»

В ноябре 2006 года вирусная база Dr.Web пополнилась 4949 записью.

Краткая таблица результатов онлайн-проверки за месяц:

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах и серверах Dr.Web Enterprise Suite в ноябре 2006 года:

Источник: компания "Доктор Веб"