Обзор вирусной обстановки за январь 2007 года от компании «Доктор Веб»

01 февраля 2007
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в январе 2007 года.

Первый месяц 2007 года показал, что создатели вирусов не отдыхали в новогодние праздники, а готовили новые ловушки для пользователей. Показательным примером стало появление в глобальной сети спам-писем. В них пользователям предлагалось посмотреть видео-ролик казни Саддама Хусейна, которая секретно состоялась 30 декабря 2006 года. Однако позже в Интернет появились кадры казни, снятые с помощью мобильного телефона.

Таким образом, появилось несколько модификаций вредоносных программ. По классификации Dr.Web вирусы получили название Trojan.DownLoader.17224, Trojan.DownLoader.17246, Trojan.DownLoader.17456. На компьютере пользователя они закачивают и запускают программы, похищающие конфиденциальную информацию - Trojan.PWS.Banker.6321, Trojan.PWS.Banker.6322, Trojan.PWS.Banker.6276. При запуске ролика с казнью Саддама запускается медиа-плеер; пользователи даже не подозревают, что с компьютера происходит утечка конфиденциальной информации. Ожиданиям пользователя не суждено сбыться - сенсационные кадры не удастся увидеть: медиа-плеер выводит сообщение об ошибке.

Политические темы и особенно, «горячие» политические новости все активнее используются в последнее время для распространения вредоносных программ. Достаточно вспомнить появление в ноябре прошлого года в Интернет червя Win32.Dref, копии которого были разосланы по всему миру спам-рассылкой писем с заголовками о начале ядерной войны. В январе нахлынула новая волна спам-рассылки «роликов», обнаруживаемых Dr.Web как BackDoor.Groan, Trojan.Spambot.

По данным статистики, поступающей с почтовых серверов, количество писем, содержащих во вложении BackDoor.Groan, составляли 87-90% всего инфицированного почтового трафика. Запуск вложения приводит к установке в поражённую систему драйвера, который используется для закачки других вредоносных программ. Кроме того, в BackDoor.Groan содержится функция работы с пиринговыми сетями, управляющими участниками сети, несанкционированной закачкой и запуском любых файлов на поражённых компьютерах. Скачиваемые BackDoor.Groan вредоносные программы для затруднения задачи детектирования регулярно обновлялись.

Черви в январе распространялись также активно. 15-го и 23-го января авторы почтового червя Win32.HLLM.Limar вновь напомнили о себе, выпустив несколько модификаций своего «детища».

Было также зафиксировано распространение сетевого червя китайского происхождения, заражавшего исполняемые файлы. Червь получил наименование по классификации Dr.Web Win32.HLLP.Whboy. Компанией «Доктор Веб» было зафиксировано несколько представителей данного семейства. В отдельных модификациях отсутствовал механизм заражения исполняемых файлов, лишь функция распространения (Win32.HLLW.Whboy). Червь вызвал локальные эпидемии в КНР, а также в отдельных регионах США и Европы. Распространяется Win32.HLLP.Whboy из-за уязвимости в Internet Explorer при посещении специально сформированной веб-страницы. Кроме распространения по сетевым ресурсам, червь копирует себя на внешние устройства, если такие подключены к компьютеру на момент заражения.

Статистика за январь 2007 года от компании «Доктор Веб»

В январе 2007 года вирусная база Dr.Web пополнилась 6368 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Наименование вируса Количество
Win32.HLLM.Limar.based 416
Trojan.Spambot 307
Win32.HLLM.Wukill 222
Win32.HLLM.Beagle 141
Win32.HLLW.Limar 143
Trojan.Popuper 128
VBS.Psyme.239 121
Win32.Sector.28682 58
Win32.HLLM.Perf 57
Trojan.Packed.2 42

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах и серверах Dr.Web Enterprise Suite в январе 2007 года:

Наименование вируса % от общего кол-ва вирусов
Trojan.Bankfraud.272 22.47
BackDoor.Groan 12.48
Win32.HLLM.Limar.based 10.92
Win32.HLLM.Beagle 8.89
Win32.HLLM.Perf 6.98
Win32.HLLP.Sector 6.42
Win32.HLLM.Netsky.35328 5.41
Trojan.Packed.4 4.03
Win32.HLLM.MyDoom.based 3.06
Win32.HLLM.Netsky.based 2.93
Trojan.DownLoader.17767 2.04
Win32.HLLM.MyDoom.33808 1.46
Trojan.Spambot 1.44
Win32.HLLM.Graz 0.87
Trojan.Packed.3 0.81
Trojan.Packed.5 0.75
Program.RemoteAdmin 0.61
Win32.HLLM.MyDoom.49 0.60
Win32.HLLM.Limar 0.58
Exploit.MS05-053 0.53
Прочие вредоносные программы 6.72
9
;