Обзор вирусной обстановки за ноябрь 2007 года от компании «Доктор Веб»

01 декабря 2007
1.12.2007

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации, сложившейся в ноябре 2007 года.

Начиная с конца октября и всю первую декаду ноября наблюдалось распространение спам-писем Storm Worm с привлекательным заголовком «Dancing Skeleton». В этих письмах, посвящённых празднику Halloween, предлагалось посмотреть на изображение танцующего скелета. После того как пользователь в браузере Internet Explorer переходил по предлагаемой ссылке, происходило срабатывание внедрённого в веб-страницу загрузочного скрипта, что в свою очередь активировало установку исполняемых модулей червя. Его функциональная нагрузка при этом не претерпела никаких изменений по сравнению с предыдущими версиями: в инфицированную систему устанавливался драйвер, компьютер становился элементом P2P-сети и начинал рассылать спам.

Напомним, что оригинальная версия червя Storm Worm появилась в январе этого года и распространялась в письмах, посвященных урагану в Европе. Когда пользователь запускал вложенный исполняемый файл, чтобы – согласно обещанию в тексте письма – получить доступ к дополнительным материалам, на компьютер устанавливалась троянская программа, открывающая «черный вход» в систему. В исполняемых файлах этой вредоносной программы используются полиморфные упаковщики, поэтому для их детектирования в Dr.Web служат записи типа Trojan.Packed (например, Trojan.Packed.142, Trojan.Packed.200, Trojan.Packed.230).

Но вернемся к началу обзора. Через некоторое время рассылка «танцующих скелетов» была прекращена; не наблюдалось подобных рассылок и в течение всего ноября. Тем не менее, общая вирусная активность явно не собиралась сходить на нет, словно следуя известному принципу «природа не терпит пустоты».

Пользуясь тем, что вирус Storm Worm перестал активно распространяться, активизировались авторы червя Win32.HLLM.Limar. И если в прошлом месяце его распространение было не столь заметно, то в ноябре были зафиксированы несколько опасных рассылок: по электронной почте, в сообщениях ICQ и Skype. Запуск предлагаемых для скачивания файлов приводил к инфицированию системы, нарушению работы некоторых антивирусов и других программных систем защиты информации, а также к рассылке спам-сообщений.

Но и это не все. В течение всего месяца наблюдалась ещё одна волна спам-рассылки: авторы завлекали читателей обещаниями рассказать им о том, как можно быстро разбогатеть и улучшить своё здоровье. При переходе по предлагаемой в теле письма ссылке происходило выполнение загрузочного скрипта с последующей установкой вредоносной программы, определяемой Dr.Web как Win32.HLLM.Graz.

В связи с тем, что заражение вредоносными программами происходит при переходе по предлагаемым в письмах ссылкам, компания «Доктор Веб» предлагает пользователям воспользоваться бесплатным сервисом проверки ссылок – расширениями к браузерам (plug-ins), с помощью которых можно проверить на наличие вирусов любую веб-страницу перед ее открытием, равно как и любой файл перед его скачиванием на компьютер. При проверке страницы также проверяются найденные внутри нее ссылки на скрипты и фреймы. Подробнее об этой услуге можно прочитать на сайте бесплатных сервисов компании "Доктор Веб".

В связи со стартом нового антивирусного сервиса Dr.Web AV-Desk™, ориентированного на Интернет-провайдеров и поставщиков услуг безопасности, Служба вирусного мониторинга компании "Доктор Веб" получила новые возможности для анализа вирусной обстановки, основываясь на данных, непосредственно относящихся к активным вирусным заражениям конечных пользователей. Не претендуя на исчерпывающую полноту статистических данных, уже на первом этапе можно сказать, что безусловными "лидерами" являются троянские программы класса Password Stealer (PWS), похищающие пароли и иную конфиденциальную информацию с компьютеров подвергшихся атакам пользователей. В частности, после первых трех недель внедрения Dr.Web AV-Desk™ у ряда российских Интернет провайдеров, по результатам сканирования около 6,5 миллиардов файлов выявлено более 3,5 миллионов вредоносных программ, среди которых безусловные лидеры - Trojan.PWS.Wsgame.origin, детектируемый с помощью новейшей несигнатурной технологии Origins Tracing™, вирус-паразит Win32.HLLP.Jeefo.36352, троянцы Trojan.Recycle, Trojan.PWS.LDPinch.2468,Trojan.Proxy.1824.

Итоги спам-активности в ноябре 2007

Помимо традиционных рассылок, посвящённых вопросам коммерческой деятельности, стоит отметить прирост количества спам-сообщений с предложениями посетить различные культурные мероприятия: премьеры с участием ведущих артистов, выставки и т. п.

В ноябре 2007 года вирусная база Dr.Web пополнилась 13403 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Наименование вируса Количество
VBS.Psyme.239 1 181
Trojan.Peflog.148 464
Worm.Sifiliz 309
Trojan.DownLoader.8132 295
Trojan.Peflog.168 264
Trojan.Peflog.155 241
Trojan.SCKeyLog 139
VBS.Psyme.377 85
BackDoor.Bulknet 71
Trojan.Spambot 55

Предлагаем также ознакомиться со сводной таблицей вирусов, которые в ноябре 2007 года детектировались на почтовых серверах наиболее часто:

Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Netsky.35328 28.18
Win32.HLLM.Netsky 9.70
Win32.HLLM.Netsky.based 6.78
Win32.HLLM.Limar.based 5.47
Win32.HLLM.Beagle 5.41
Win32.HLLM.Limar.2228 4.19
Win32.HLLM.MyDoom.based 4.12
Win32.HLLP.Sector 3.92
Win32.HLLM.Perf 3.63
Win32.HLLM.Limar 2.95
Exploit.MS05-053 2.62
Win32.HLLM.Oder 2.18
Trojan.DownLoader.36219 1.77
Win32.HLLM.MyDoom.33808 1.65
Win32.HLLW.Autoruner.437 1.61
BackDoor.Bulknet 1.32
Win32.HLLM.Netsky.24064 1.16
Win32.HLLM.MyDoom.49 1.10
Win32.HLLM.Graz 1.08
Win32.HLLM.Netsky.41985 0.99
Прочие вредоносные программы 10.17
160
;