Сентябрь 2006 года
оказался достаточно
богатым в плане вирусной
активности
по сравнению с
предыдущими двумя
месяцами. Наиболее
заметными событиями
стало появление новой
модификации почтового
червя Win32.HLLM.Perf,
распространяющегося в
виде прикреплённого
файла с расширением *.hta.
Подобная технология
позаимствована у
представителей другого
семейства
почтовых червей –
Win32.HLLM.Graz. По
сравнению с предыдущими
своими
модификациями, новый
вариант Win32.HLLM.Perf
дополнился функцией
распространения по
файлообменным сетям.
Распространение этой
модификации
практически сразу же
приняло эпидемический
характер.
Заметным событием стало
появление и
распространение
почтового червя
массовой рассылки
Win32.HLLM.Limar. Темы
инфицированных писем не
блещут
новизной: наиболее часто
встречающиеся - Mail
server report, Server
report, Error, Mail
Delivery System – т.е.
имитируется ошибка
доставки
корреспонденции.
Подобный метод введения
пользователя в
заблуждение уже
встречался раньше – в
многочисленных
модификациях почтового
червя
Win32.HLLM.MyDoom.
Win32.HLLM.Limar
обладает функциями
обновления своих
программных модулей,
закачки дополнительных
вредоносных программ, а
также
противодействия
некоторым программам
сетевой безопасности. В
базу Dr.Web
была внесена запись,
позволяющая
детектировать широкий
спектр модификаций
данного червя –
Win32.HLLM.Limar.based.
Службой вирусного
мониторинга компании
«Доктор Веб» в течение
месяца
наблюдались различного
рода фишинговые атаки.
Наиболее массовой была
атака
от имени Fifth Third
Bank – в письмах
сообщалось об обновлении
применяемого
программного
обеспечения, и
пользователю
предлагалось
подтвердить свои личные
данные. Переход по
ссылкам, указанным в
письмах,
приводил к потере
денежных средств
неосторожного
пользователя. Другими
примерами фишинга были
письма от имени
банковской системы
PayPal, а также
платёжной системы Visa.
Подобные письма
детектируются
антивирусов Dr.Web
как Trojan.Bankfraud.380
– Trojan.Bankfraud.388.
Определённым, но
несильным «возмутителем
спокойствия» стал
Trojan.Encoder.9 –
попытка возрождения
нашумевших в своё время
модификаций
семейства Trojan.Encoder.
Но в отличие от своих
ранних модификаций,
Trojan.Encoder.9
является лишь слабой
попыткой вирусописателя
сыграть на
«славе» предыдущих
модификаций этого
семейства - шифрует
файлы при помощи
алгоритма XOR, длина
ключа составляет 8 байт.
Шифруемые файлы
переименовывает с
префиксом "_CRYPTED_".
При шифровании округляет
размер
файла, чтобы он был
кратен 8 - дописывает от
1 до 8 нулевых байт.
Напомним, что более
ранние представители
семейства Trojan.Encoder
шифровали файлы,
применяя криптоалгоритм
RSA.
Популярность тенденции
распространения вирусов
посредством спам-писем
подтвердило появление
червя Win32.HLLW.Cicar,
маскирующегося под
пикантный
клип некой Daniela
Cicarelli. Будучи
запущенным неосторожным
пользователем, червь
закачивал на компьютер
жертвы другую
вредоносную
программу для похищения
паролей к банковским
системам, получившую
наименование по
классификации Dr.Web -
Trojan.PWS.Banker.5094.
Большой шум вызвало
«появление» троянской
программы для мобильных
телефонов Trojan.Webser,
аналог Trojan.RedBrowser.
Данный троян
представляет собой
Java-приложение (J2ME),
что позволяет удалить
его
штатными средствами
мобильного телефона без
применения антивирусных
средств. Еще в мае этого
года вирусной
лабораторией компании
«Доктор Веб»
было обнаружено
приложение, получившие
по классификации Dr.Web
название
Adware.Freesms, которое
послужило основой для
Trojan.Webser, и было,
очевидно, «пробой пера»
автора. – троянские
программы данного типа
не
могут самостоятельно
распространяться и
выполнять свои функции
на
мобильном устройстве.
Для того, чтобы
троянская программа
начала
функционировать,
пользователю необходимо
самому установить данное
приложение и дать
разрешение на запуск и
доступ к сети.
Другим заметным
представителем
вредоносных программ
является
Trojan.Popuper,
распространяющийся, в
основном, под видом
кодека для
различных мультимедийных
файлов. Для затруднения
детектирования своего
«детища» антивирусными
средствами, авторы
троянской программы
часто
модифицируют её на
уровне исходных текстов.
В сентябре 2006 года
возросло количество
вредоносных программ,
направленных на
похищение паролей с
целевого компьютера –
главный акцент
делается на пароли к
банковским системам.
Наиболее популярным
установки
вредоносных программ на
компьютер пользователя
по-прежнему остаётся
применение различного
рода загрузчиков.
Вирусная статистика
за сентябрь 2006 года
для 20-ти наиболее распространённых вирусов, предоставленная Компанией
"Доктор Веб"
|
|
Наименование
вируса |
% от общего
кол-ва вирусов |
|
Win32.HLLM.Beagle |
17.09 |
|
Win32.HLLM.Netsky.35328 |
13.57 |
|
Win32.HLLM.Perf |
10.63 |
|
Win32.HLLM.Netsky.based |
9.31 |
|
Win32.HLLM.MyDoom.based |
8.41 |
|
Trojan.Bankfraud.272 |
6.00 |
|
Win32.HLLM.Beagle.pswzip |
4.24 |
|
Win32.HLLM.Graz |
3.83 |
|
Win32.HLLM.MyDoom |
3.15 |
|
Win32.HLLM.MyDoom.33808 |
2.47 |
|
Win32.HLLM.MyDoom.49 |
1.87 |
|
Win32.HLLM.Beagle.19802 |
1.31 |
|
Win32.HLLM.Netsky |
1.22 |
|
Exploit.IframeBO |
1.16 |
|
Win32.HLLM.Limar.based |
1.15 |
|
Program.RemoteAdmin |
1.05 |
|
Win32.HLLM.Bagz |
0.96 |
|
Win32.HLLM.Perf.based |
0.75 |
|
Win32.HLLM.Lovgate.9 |
0.74 |
|
EICAR
Test File (NOT a
Virus!) |
0.70 |
|
Прочие
вредоносные
программы |
10.39 |
|
