Обзор вирусной активности за декабрь 2006 года от компании "Доктор Веб"
Служба вирусного мониторинга компании «Доктор Веб» подвела итоги наблюдений за вирусной обстановкой в декабре 2006 года.
Последний месяц уходящего года ознаменовался обнаружением многочисленных уязвимостей в продуктах Outlook Express и Internet Explorer, которые предоставляют возможности выполнения произвольного кода на целевом компьютере, переполнения буфера при разборе адресной книги, удалённого просмотра файлов в папке Temporary Internet Files. Компания Microsoft присвоила этим уязвимостям статусы критических. Несмотря на то, что для этих продуктов уже выпущены соответствующие заплатки, опасность появления полноценной вредоносной программы остаётся по-прежнему высокой. Ведь, как показывает опыт, установкой обновлений большинство пользователей озадачиваются лишь после заражения компьютера. Подробнее об уязвимостях можно прочитать по ссылкам: Internet Explorer и Outlook Express.
В течение месяца отмечалась рассылка спам-писем, предлагающих пользователю либо посетить сайт пикантного содержания, либо посмотреть соответствующие фотографии. Ссылка, по которой предлагалось скачать архив, на самом деле вела на закачку троянского загрузчика, определяемого Dr.Web как Trojan.DownLoader.15512. В результате работы этого загрузчика компьютер пользователя превращается в участника рассылки спама, осуществляемой другой троянской программой – Trojan.Spambot.
Важно отметить появление троянской программы, получившей название по классификации Dr.Web Trojan.Encoder.10. Деструктивной функцией этой троянской программы является шифрование файлов на жёстких дисках (*.jpg, *.doc, *.txt, *.gif, *.rar, *.bmp) алгоритмом XOR длиной ключа 1 байт. В то время как его «предшественник» Trojan.Encoder.9 использовал 8-ми байтный ключ, а Trojan.Encoder.6 шифровал файлы с помощью криптоалгоритма RSA. Trojan.Encoder.10 заражает файлы, записываясь в начале этих файлов, и добавляет расширение *.exe. В результате заражённый файл запускается операционной системой как исполняемый с выводом сообщения
"имя_файла" was infected with dangerous and destructive virus or spyware. CPS Anti-Spyware 2.0 deleted "имя_файла" from this path on your computer C:\ - now your system is fully protected CPS Anti-Spyware 2.0 allow you to recover all infected files with 100 guarantee. Purshase full version CPS Anti-Spyware and restore "имя_файла" и открывает Internet Explorer с нужным сайтом. Таким образом, можно сделать вывод, что данный троянец использовался исключительно в рекламных целях.Продолжая тему использования вредоносных программ в рекламе, можно привести в пример троянскую программу Trojan.Promo. После своей установки, троянец регистрируется на определённом сайте, получая уникальный идентификационный номер. После этого он периодически скачивает рекламную информацию. В системном трее отображается иконка, щёлкнув по которой, пользователь получает сообщение, что для избавления от рекламы ему нужно отправить платное SMS на специальный номер.
Также в этом месяце был зафиксирован выпуск очередной модификации почтового червя массовой рассылки Win32.HLLM.Limar, который, к счастью, не привел к столь масштабной эпидемии, которая наблюдалась в течение всей осени. Однако всё оказалось не так просто, и в конце месяца была зафиксирована мощная спам-рассылка поздравительных писем, в которых пользователям предлагалось посмотреть новогоднюю открытку во вложении. Тем пользователям, которые доверчиво открыли вложение, скачивалась из сети Интернет очередная модификация Win32.HLLM.Limar и устанавливалась на компьютер. Специалистами Службы вирусного мониторинга компании «Доктор Веб» были оперативно внесены записи, детектирующие перечисленные вредоносные программы как Trojan.DownLoader.16958, Trojan.DownLoader.16984 и Trojan.DownLoader.16985
Статистика
В декабре 2006 года вирусная база Dr.Web пополнилась 8290 записями.
Краткая таблица результатов онлайн-проверки за месяц:
| Наименование вируса | Количество |
| Win32.HLLM.Limar | 415 |
| Win32.HLLM.Limar.based | 279 |
| Trojan.Spambot | 201 |
| Win32.HLLM.Beagle | 173 |
| Win32.HLLM.Wukill | 165 |
| Trojan.Popuper | 162 |
| Trojan.PWS.LDPinch.1217 | 156 |
| Trojan.Peflog.52 | 137 |
| BackDoor.Generic.1138 | 127 |
| Trojan.Mezzia | 74 |
Предлагаем ознакомиться со сводной таблицей вирусов, которые чаще всего обнаруживались на почтовых серверах и в сетях, защищенных Dr.Web Enterprise Suite в декабре 2006 года:
| Наименование вируса | % от общего кол-ва вирусов |
| Trojan.Bankfraud.272 | 14.37 |
| Win32.HLLM.Limar.based | 12.35 |
| Win32.HLLM.Perf | 11.16 |
| Win32.HLLM.Beagle | 9.25 |
| Win32.HLLM.Netsky.35328 | 8.90 |
| Win32.HLLP.Sector | 7.00 |
| Win32.Dref | 6.30 |
| Win32.HLLM.Netsky.based | 4.89 |
| Win32.HLLM.MyDoom.based | 4.69 |
| Win32.HLLM.MyDoom.33808 | 2.19 |
| Win32.HLLM.Limar | 2.19 |
| Trojan.DownLoader.16958 | 2.16 |
| Win32.HLLM.Graz | 1.85 |
| Win32.HLLM.MyDoom.49 | 1.14 |
| Exploit.MS05-053 | 0.89 |
| Win32.HLLM.Netsky | 0.74 |
| Win32.HLLM.Oder | 0.72 |
| Exploit.MS05-053 | 0.70 |
| Exploit.IframeBO | 0.63 |
| Win32.HLLM.MyDoom | 0.51 |
| Прочие вредоносные программы | 7.37 |
Мифы об антивирусе Dr.Web
Количество мифов, которые гуляют по просторам Интернета про антивирус Dr.Web, не перестает удивлять. Что только не приходится слышать, в каких невероятных вещах приходится разубеждать наших клиентов! Мы решили собрать на нашем сайте все мифы, которые мы нашли про наш антивирус, и предлагаем Вашему вниманию то, что у нас получилось!
Ходит миф, что разработчики антивирусных программ сами пишут вирусы и распространяют их по сети интернет, а их антивирусы потом их легко находят и обезвреживают. Рейтинг растёт.
За все антивирусные компании мы ответить не можем. Тем не менее, можем заявить, что сами мы вирусы не пишем. У нас нет такой необходимости. Наша антивирусная лаборатория работает в круглосуточном режиме и постоянно обеспечена работой. Каждый день появляется столько новых вирусов, что необходимость в покупке антивируса возникает и без написания нами "дополнительных" вирусов.
Тем не менее, наш антивирус ориентирован не только на определение, но и лечение сложных полиморфных вирусов. Такой функционал недоступен многим другим антивирусам. Вследствие этого и рождается миф, что мы сами пишем и распространяем сложные вирусы. Но это не более чем миф. Вирусописатели тоже становятся умнее и тем самым предоставляют нам возможность показать большинство лучших качеств нашего антивируса.
Говорят, что антивирус Dr.Web - продукт для домашних пользователей и серьезные компании его не используют.
Это самый печальный миф об антивирусе Dr.Web, но развенчать его очень просто. Кроме того, согласно нашей статистике продаж, не более 10% доходов компании «Доктор Веб» - это доходы от лицензий для домашних пользователей. То есть, основные поступления приходят в основном из корпоративного сектора. Среди клиентов «Доктор Веб» есть крупные компании, банки, государственные организации, сети которых насчитывают десятки тысяч компьютеров.
Распространяется этот миф продавцами других антивирусных программ. Иногда приходится слышать даже, что Dr.Web рекомендуют только тем, у кого маломощные, старые компьютеры. А если компьютеры мощные и современные - вроде как антивирусу Dr.Web на них не место. Способность продукта работать даже на устаревшей технике, с малыми ресурсами умудряются поставить этому продукту в вину. И что самое печальное - делается это только в России, нашими соотечественниками.
Мифы о степени защиты Антивируса Dr.Web
Ходит миф, что что SpIDer Guard не работает с двухядерными процессорами, а также с технологией Hyper-Treading от Intel.
Это миф. SpIDer Guard работает одинаково хорошо на всех системах под управлением ОС Windows 95/98/Me/NT4/2000/XP/2003/2003 R2, в том числе на системах с двухядерными процессорами и процессорами с технологией Hyper-Threading.
Говорят, что антивирус Dr.Web не проверяет критические области системы и объекты автозапуска, а именно они больше всего подвержены заражению.
Это миф. Сканер и SpIDer Guard (XP и Me) проверяют загрузочные сектора дисков, а также файлы автозапуска и лечат их в случае необходимости.
Говорят, что после сканирования диска Антивирусом Dr.Web другие антивирусы могут находить на этом же диске вирусы.
Для объяснения этого факта надо понимать ЧТО антивирусная программа Dr.Web определяет как вирус, а что нет. Не вдаваясь в технические детали, можно сказать, что вирусом разработчики Dr.Web считают работоспособные, то есть, способные нанести реальный вред компьютерные программы. В вирусную базу Dr.Web никогда не вносятся так называемые «битые» вирусы, неработоспособные коды, что делается некоторыми другими антивирусными вендорами. Мы не стремимся наполнить вирусную базу «нерабочими» сигнатурами (вирусными записями), которые только утяжеляют ее, но не несут реальной защиты пользователям. Кроме того, появление на экране предупреждения от антивируса об обнаруженном неработоспособном «вирусе» только пугает пользователей. Если код не рабочий и ни при каких условиях не может быть запущен - это не вирус, не троянская программа - это вообще НИЧТО, а значит, не несет в себе вреда и, как правило, не вносится в вирусную базу Dr.Web.
Если у пользователя есть сомнение в каком-то файле или файлах, на сайте нашем существует форма для отправки подозрительных образцов.
Говорят, что Dr.Web не подходит для установки на ноутбуки, так как работа этого антивируса сказывается на быстродействии системы ноутбуков.
Ноутбуки - такие же компьютеры, как и стационарные. Как правило, если зафиксировать любой момент времени, то у ноутбуков оказывается в среднем меньше оперативной памяти, менее мощные процессоры. Поэтому складывается мнение, что антивирус тормозит систему сильнее, чем стационарные компьютеры.
Ещё одной отличительной чертой ноутбуков является очень медленное считывание информации с винчестера - это фактически их "узкое место". Соответственно, сканирование винчестера антивирусом продолжается несколько дольше, и это естественно.
Говорят, что со времен создания Dr.Web интерфейс программы не изменился, что нельзя сказать о конкурентах.
Если речь идёт о GUI-сканере, то да, основное его окно не изменилось. Но ведь это и не весь интерфейс антивируса. Красота интерфейса не является приоритетной при его разработке. Основная функция антивируса - обнаруживать вирусы и лечить от них систему. Возьмем, к примеру, консольные сканеры, которые вовсе не имеют интерфейса, и тем не менее защищают систему от вирусов не менее хорошо, чем GUI-сканер.
Говорят, что антивирус Dr.Web "знает" мало архивов и поэтому уровень его защиты недостаточный.
Это миф. Dr.Web знает много типов архивов. В настоящий момент это следующие типы файловых архивов:
ZIP, 7ZIP, ARJ, RAR, LHA, GZIP, TAR, BZIP2, MS CAB, WISE, MSI (поддержка ISO, CPIO, RPM, DEB - следите за новостями!).
Их количество постоянно растёт. Кроме того, Антивирус Dr.Web "знает" много упаковщиков, некоторые из которых не знает ни одна другая аналогичная программа. Со списком некоторых из них вы можете ознакомится здесь.
Говорят, что антивирус Dr.Web недостаточно надежен, потому что не лечит вирусы в архивах.
Каждая антивирусная программа имеет собственную, уникальную концепцию построения защиты. Dr.Web действительно не лечит инфицированные вирусами файлы внутри архивов, но это совершенно не сказывается на надёжности Dr.Web, что подтверждается многочисленными наградами британского журнала Virus Bulletin - самой авторитетной в антивирусном мире награды. Dr.Web прекрасно обнаруживает в архивах вирусы и при постоянно работающем мониторе SpIDer Guard у вируса нет шансов вырваться из архива и заразить систему. Более того, вряд ли любой другой антивирус может похвастаться тем, что он лечит любые архивы, в которых способен найти вирусы. Ведь для "лечения" архива надо не просто вылечить (или удалить) инфицированный файл внутри архива, надо ведь еще и перепаковать архив обратно, чтобы его содержимое было доступно пользователю. А в целом ряде случаев такая "перепаковка" просто невозможна без лицензирования алгоритма архивирования.
Говорят, что в Антивирусе Dr.Web нет возможности задать область диска для контроля антивирусным монитором, чтобы повысить таким образом скорость работы.
С точки зрения разработчиков Антивируса Dr.Web подобный функционал - потенциальная уязвимость, а сама идея такой "выборочной" защиты - порочна, т.к. пользователю предлагает защищать всего лишь часть, вместо того, чтобы обеспечивать защиту целого - всей системы. Делается это некоторыми производителями антивирусов для повышения быстродействия программ, которые, при проверках всего диска, слишком прожорливы, вот и снижаются потребляемые монитором системные ресурсы за счёт снижения уровня защиты. Потенциально вирус может поразить любую область диска. Повышать таким образом производительность антивируса - за счет серьезного снижения безопасности - разработчики Dr.Web не готовы.
Ходит миф, что в Антивирусе Dr.Web нет возможности создания нескольких задач сканирования
Это неправда. Можно запустить несколько GUI-сканеров одновременно и одновременно же сканировать несколько разделов жёсткого диска. При этом может быть при некоторых условиях достигнут выигрыш во времени. Целесообразность применения данной возможности каждый пользователь может определить для себя сам.
Ходит миф, что в антивирусе Dr.Web нет возможности продолжить прерванное сканирование.
Это не так. Пауза при сканировании реализована в GUI-сканере.
Говорят, что в антивирусе Dr.Web нет временной приостановки защиты во время работы с ресурсоемкими пакетами
Это миф. У SpIDer Guard XP, SpIDer Guard Me, SpIDer Mail есть возможность временно приостановить мониторинг. Только в SpIDer Guard XP такая возможность доступна сразу, а в других перечисленных модулях такую возможность можно включить путем изменения настроек конфигурационного файла.
Говорят, что антивирус Dr.Web работает быстро потому, что не "узнает" макровирусы в офисных документах формата MS Office, а значит не проверяет такие документы.
Это миф. Dr.Web уже очень давно знает макровирусы во всех форматах документов MS Office. Более того, в эвристическом анализаторе есть алгоритмы, которые могут обнаруживать большинство никому ещё неизвестных новых макровирусов. Dr.Web является сильнейшим антивирусом по детектированию и лечению документов от макровирусов, а также вирусов, шифрующих документы пользователя с целью шантажа.
Ходит миф, что в Антивирусе Dr.Web нет возможности применения выбранного действия ко всем видам угроз одного и того же типа
Это неправда, такие настройки есть для каждого типа угроз:
- излечимые вирусы;
- неизлечимые вирусы;
- рекламные программы;
- программы дозвона;
- программы-шутки;
- потенциально опасные программы;
- программы взлома.
Говорят, что антивирус Dr.Web невозможно установить на уже зараженную машину
Это миф. Такая возможность есть и всегда была. Антивирус Dr.Web выгодно отличается от других аналогичных программ повышенной вирусоустойчивостью и способностью работать сразу на зараженной вирусом машине. Более того, Dr.Web можно запустить без установки в системе, непосредственно с любого внешнего носителя (компакт-диска или USB-памяти).
Ходит миф, что реализованная в антивирусе Dr.Web функция сканирования системы перед установкой антивируса не гарантирует установку программы на уже зараженную машину.
Это неправда. Большинство вирусов, находящихся в системе, могут быть обезврежены антивирусом Dr.Web при сканировании памяти и файлов автозагрузки уже в момент установки антивируса. Дополнительно, перед таким сканированием , в процессе установки антивируса базы можно обновить, что входит в процедуру установки. Таким образом, устанавливая антивирус Dr.Web, пользователь получает актуальные на момент установки базы, а не те, которые были записаны при комплектации дистрибутива.
Ходит миф, что в антивирусе Dr.Web нет возможности задавать исключения для сканируемых приложений
Это не так. Любой файл или папку можно исключить при желании из проверки в любом компоненте Dr.Web.
Говорят, что в антивирусе Dr.Web нет поведенческого блокиратора
Это правда, но отчасти. Частями того, что можно назвать поведенческим блокиратором в антивирусе Dr.Web, являются:
- функция контроля вирусной активности в SpIDer Mail;
- функция контроля вирусной активности в SpIDer Guard Me;
Кроме того, Dr.Web обладает мощным эвристическим анализатором, который постоянно совершенствуется и в который постоянно вносятся изменения, в том числе через обновления вирусных баз.
Говорят, что в антивирус Dr.Web не проверяет HTTP-трафик "на лету".
Это частично правда. Полная поддержка проверки HTTP-трафик "на лету" реализована в бета-версии модуля SpIDer Gate (см . новость от 29.12.2005). SpIDer Gate своей функциональностью дополняет программы-брандмауэры (firewalls): последние закрывают уязвимости в системе, предотвращая возможные попытки злоумышленников произвести взлом и получить доступ к системе, но они не способны проверять файлы, загружаемые пользователем из Интернета (файлы, почта и т.д.), среди которых могут быть троянские программы, сетевые и почтовые черви, а также другие виды вредоносного кода.
Но и имеющийся SpIDer Guard также отлично сейчас справляется с такой поверкой, в том числе и с тем, что проходит через браузеры. Это, конечно, не полноценная проверка HTTP-трафика, но то вредоносное, что HTTP с собой приносит в систему мы пресекаем. SpIDer Gate, в основном, призван уменьшить нагрузку на систему, если единственным источником проникновения вирусов на компьютер является HTTP, позволяя в некоторых случаях отказаться от SpIDer Guard.
Ходит миф, что в Антивирусе Dr.Web должен быть и файервол, т.к. он есть в некоторых других антивирусах.
Firewall (брандмауэр) и антивирус - слишком разные типы программ. Ни у кого ведь не придет в голову спросить директора танкового завода, почему его предприятие не строит боевые корабли, хотя и танк и корабль - средства обороны. Антивирус выполняет строго определенные функции, анализирует объекты на диске и в памяти компьютера, в то время как firewall анализирует пакеты, передаваемые по сети. Кроме того, ни в одном антивирусе нет firewall как такового. Другое дело, что в коробке с антивирусом часто можно увидеть и firewall того же производителя, но это не значит, что firewall встроен непосредственно в антивирус.
Антивирус может предлагаться совместно с брандмауэром для усиления защиты, но при этом брандмауэр не является обязательным компонентом антивируса. Антивирусы, брандмауэры, антишпионские программы - это только некоторые типы различных по функционалу программ, занимающиеся защитой информации.
Говорят, что антивирус Dr.Web - ресурсоемкая программа
Это миф. Dr.Web - один из самых нетребовательных к ресурсам антивирусов. Размер дистрибутива Антивируса Dr.Web один из самых маленьких - около 9МБ, а места на диске требует всего 12-15МБ!
Кроме того, в программе есть специальные настройки, которые позволяют еще больше экономить ресурсы компьютера - но уже за счет безопасности пользователя. Любой выигрыш в скорости и ресурсоемкости обычно дается за счет снижения уровня безопасности. Огромное преимущество Dr.Web перед другими аналогичными программами - возможность весьма тонкой настройки.
Довольно часто приходится сталкиваться с проводимыми различными компьютерными журналами сравнительными тестами антивирусов. И в материалах этих тестов порой можно увидеть, что модули антивируса Dr.Web занимают колоссальный объем памяти, в то время как другой аналогичный продукт ведет себя гораздо "скромнее". Это довольно простой трюк, с помощью которого можно представить практически любой антивирус как весьма прожорливым, так и совсем нетребовательным к ресурсам компьютера. Все зависит от того, в какой момент "снять показания счетчика". Для объективности замерять ресурсопотребление антивирусов следует в одной и той же ситуации - например, в момент проверки какого-либо большого архива. Однако этого практически никто не делает - один антивирус замеряют в минуты простоя, другой - в минуты проверки какого-нибудь гигантского архива. Отсюда и рождаются мифы, подобные этому.
Ходит миф, что Антивирус Dr.Web не поддерживает Windows 98, Me, NT 4.0
Это миф. Он поддерживает все Windows - 95 OSR2 (некоторые антивирусные производители уже отказались от их поддержки) /98/Me/NT4.0/2000/XP/2003, в том числе серверные платформы. Антивирус Dr.Web, кроме того, поддерживает еще и более ранние операционные системы - MS DOS, PC DOS, OS/2.
Ходит миф, что в антивирусе Dr.Web нет возможности проверки архивов "на лету" до записи на жесткий диск.
Это миф. При включенной в мониторе SpIDer Guard проверке архивов эти объекты проверяются "на лету", до записи на диск, так же, как и другие объекты. Правда включать такой режим и пользоваться им постоянно разработчики антивируса не советуют.
Ходит миф, что в антивирусе Dr.Web нет возможности восстановления системы после вредоносного воздействия.
Если речь идет о ситуациях, когда системные файлы безвозвратно испорчены вирусом, то в Dr.Web такой возможности действительно нет. Но это и не функция антивируса. Есть специализированные программы, занимающихся резервным копированием критических данных пользователя, а также стандартные средства восстановления системы, встроенные в Windows. Ряд антивирусных производителей говорят о том, что в их продуктах есть возможность восстановления системы, однако что они под этим имеют ввиду, известно только им одним.
Мифы о почтовом мониторе SpIDer Mail
Ходит миф, что антивирус Dr.Web не может проверять сообщения, поступающие по протоколу IMAP "на лету", причем независимо от того, какой тип почтового клиента используется.
Это миф. 11.05.2006 вышла обновленная версия SpIDer Mail, в которой данная возможность присутствует, независимо от типа почтового клиента, причем на сегодняшний день только антивирус Dr.Web максимально корректно обрабатывает почту, поступающую по протоколам IMAP\NNTP.
Ходит миф, что в антивирусе Dr.Web не существует возможность задания порта в настройках для проверки почтового трафика
Это миф. Такая возможность существует в почтовом мониторе - SpIDer Mail. Для опытных пользователей имеется возможность задания вручную режима перехвата портов, через которые проходит почтовый трафик. Для обычных пользователей автоматический перехват установлен по умолчанию.
Мифы о вирусных базах Dr.Web и об их обновлениях
Говорят, что у антивируса Dr.Web крайне редкие обновления - раз в неделю
Это миф. Частоту выпуска основного "горячего" дополнения к вирусным базам для всех антивирусных программ семейства Dr.Web можно посмотреть на сайте компании «Доктор Веб». Там можно найти и содержание каждого обновления. Данный миф основан на том, что на основе "горячих" дополнений, выходящих постоянно в течение недели, компания «Доктор Веб» выпускает раз в неделю "недельное дополнение" к вирусным базам. Некоторые компании, продающие антивирусы Dr.Web, информируют своих пользователях именно об этих недельных дополнениях. Ранее информация о еженедельных дополнениях выпускалась даже в виде новостей. Для непосвященных пользователей это и давало основания думать, что у Dr.Web есть только еженедельные обновления, что для современного антивируса абсолютно неприемлемо. Автоматическое обновление вирусных баз в Dr.Web для Windows настраивается по умолчанию на ежечасное обновление.
Ходит миф, что антивирусная база Dr.Web самая компактная потому, что "знает" мало вирусов.
Это неправда. Специалисты компании много внимания уделяют оптимизации вирусной базы, потому что малая вирусная база позволяет быстрее сканировать файлы, что экономит время пользователя и ресурсы компьютера. В готовящейся к выпуску новой версии Антивируса Dr.Web скорость сканирования возрастёт ещё в несколько раз, за счёт оптимизации алгоритма сканирования.
Ходит миф, что антивирусная база Dr.Web самая компактная потому, что старые вирусы просто выбрасываются из базы данных сигнатур. Поэтому антивирусная база Dr.Web компактна и проверка проходит быстро.
Это неправда. Никакие вирусы из базы не выбрасываются. Подтверждение тому - успешное участие Dr.Web в тестировании антивирусов редакцией журнала Virus Bulletin. В предлагаемых на этих тестированиях коллекциях есть вирусы практически всех поколений.
Ходит миф, что в Антивирусе Dr.Web нет возможности обновления баз продукта по расписанию
Это миф. В Dr.Web есть собственный Планировщик. Он устанавливается по умолчанию, и в нём есть задание, настроенное по умолчанию на получение баз один раз в час. Это не мешает настроить получение обновлений вирусных баз на несколько раз в течение часа. В последнее время это довольно часто имеет смысл.
