Спецпроекты

«Доктор Веб»: вирусная топ-двадцатка за май

Интернет Безопасность Пользователю Администратору
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в мае 2007 года. В рейтинге топ-20 угроз вирусы расположились следующим образом:
  1. Win32.HLLM.Limar 23,68%
  2. Win32.HLLM.Netsky.35328 14,27%
  3. Win32.HLLM.Beagle 12,45%
  4. Win32.HLLM.Perf 6,88%
  5. Win32.HLLM.MyDoom.based 6,82%
  6. Win32.HLLM.Netsky.based 5,69%
  7. Win32.HLLM.Graz 108951 4,69%
  8. Win32.HLLP.Sector 3,79%
  9. Win32.Hazafi.30720 3,72%
  10. Win32.HLLM.MyDoom.33808 2,26%
  11. Win32.HLLM.Limar.based 1,65%
  12. Win32.HLLM.MyDoom.49 1,06%
  13. Win32.HLLM.Generic.422 0,91%
  14. Win32.HLLM.Netsky 0,89%
  15. Exploit.MS05–053 0,80%
  16. Win32.HLLM.Beagle.pswzip 16938 0,73%
  17. Exploit.IframeBO 0,69%
  18. Win32.Grum 0,62%
  19. Win32.HLLM.Oder 0,56%
  20. Win32.HLLM.Generic.391 0,54%

Прочие вредоносные программы составили 7,03%.

Главным «возмутителем спокойствия» стал почтовый червь семейства Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30–70% инфицированного почтового трафика. Уже на протяжении многих месяцев появление новой модификации Win32.HLLM.Limar приводит к резкой вспышке эпидемии.

Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения детектирования. Тем не менее, принципиальных различий в функциональности этого почтового червя и его более ранних версий нет — в поражённую систему устанавливается руткит-компонента для сокрытия файлов червя на диске и записей в реестре.

Достаточно большое распространение получили вредоносные программы азиатского происхождения — многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является автозапуск при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы.

Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater способны заражать исполняемые файлы.

Следует также отметить появление новой модификации или, вернее, «реинкарнации» варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser — Symbian.Viver. Эта программа была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и не способна самостоятельно распространяться и устанавливаться на целевой телефон.

По оценкам поступающих на анализ в компанию «Доктор Веб» спам-писем, в мае значительно активизировались рассылки «туристического спама». Такой спам является наиболее «тяжёлым» — письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт. В качестве изображения на одном графическом файле приводится контактная информация — телефоны, адрес электронной почты, на остальных — рекламный текст, виды пейзажей предлагаемого места отдыха.

Несмотря на приближение отпускного сезона, количество спам-корреспонденции, адресованной финансовым директорам, бухгалтерам с предложениями посетить различные семинары, посвящённые различным аспектам законодательства, налогообложения, снизилось незначительно и составило примерно 67% от всего русскоязычного спама.

Англоязычный спам в подавляющем большинстве случаев (примерно 80%) — реклама медицинских препаратов, медицинских услуг, пластической хирургии.

В мае 2007 года вирусная база Dr.Web пополнилась 9474 записями.



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»