Обзор вирусной обстановки за январь 2007 года от компании «Доктор Веб»

Служба вирусного мониторинга компании «Доктор Веб» подвела итоги наблюдений вирусной обстановки в январе 2007 года.

Первый месяц 2007 года показал, что вирусописатели не собирались использовать новогодние праздники для отдыха, а готовили новые ловушки для пользователей. Показательным примером стало появление в интернет спам-писем, в которых пользователям предлагалось посмотреть видео-ролик казни Саддама Хусейна. Сама казнь была осуществлена 30.12.2006 в условиях секретности, однако, позже в прессе появились кадры самой казни, снятые с помощью мобильного телефона.

В мир были выпущено несколько модификаций вредоносных программ, получивших наименования по классификации Dr.Web - Trojan.DownLoader.17224, Trojan.DownLoader.17246, Trojan.DownLoader.17456. Будучи запущенными, данные вредоносные программы закачивают на компьютер пользователя и запускают программы для похищения конфиденциальной информации - Trojan.PWS.Banker.6321, Trojan.PWS.Banker.6322, Trojan.PWS.Banker.6276. О том, что с его компьютера происходит утечка конфиденциальной информации, пользователь может даже не догадываться, поскольку при запуске «ролика» запускается медиа-плеер.

Успешность использования политических тем для распространения вредоносных программ подтвердила ещё одна волна спам-рассылки «роликов», детектируемых Dr.Web как BackDoor.Groan, Trojan.Spambot. По данным статистики, поступающей с почтовых серверов, количество писем, содержащих во вложении BackDoor.Groan, составляли 87%-90% всего инфицированного почтового трафика. Запуск вложения приводит к установке в поражённую систему драйвера, который используется для закачки других вредоносных программ.

Кроме того, в BackDoor.Groan содержится функция работы с пиринговыми сетями. Пиринговая сеть формируется с целью управлениями участниками сети, несанкционированной закачкой и запуска любых файлов на поражённых компьютерах.

Скачиваемые BackDoor.Groan вредоносные программы в течение длительного времени регулярно обновлялись. По данным статистики, поступающей в компанию «Доктор Веб», обновления происходили несколько раз в день для затруднения задачи детектирования.

Тем не менее, использование броских заголовков на политические темы не является чем-то новым. Достаточно вспомнить появление в ноябре 2006 в интернет червя Win32.Dref, копии которого были разосланы по всему миру спам-рассылкой писем с заголовками о начале ядерной войны.

В январе авторы почтового червя Win32.HLLM.Limar вновь напомнили о себе, выпустив несколько модификаций своего «детища» 15-го и 23-го января, соответственно, тем самым «поздравив» пользователей и антивирусные компании с Новым годом по старому стилю и с 5 месяцами своего появления в интернет.

В январе было зафиксировано распространение сетевого червя китайского происхождения, заражавшего исполняемые файлы. Чеврь получил наименование по классификации Dr.Web Win32.HLLP.Whboy. Компанией «Доктор Веб» было зафиксировано несколько вариантов представителей данного семейства. В отдельных модификациях отсутствовал механизм заражения исполняемых файлов, лишь функция распространения (Win32.HLLW.Whboy). Червь вызвал локальные эпидемии в КНР, а также в отдельных регионах США и Европы.

Распространяется Win32.HLLP.Whboy посредством уязвимости в браузере при посещении специально сформированной веб-страницы. Кроме распространения по сетевым ресурсам, червь копирует себя на внешние устройства, если такие подключены к компьютеру на момент заражения.

Статистика за январь 2007 года от компании «Доктор Веб» В январе 2007 года вирусная база Dr.Web пополнилась 6368 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах и серверах Dr.Web Enterprise Suite в январе 2007 года:

Служба информации
компании "Доктор Веб"
http://www.drweb.com/