«Доктор Веб»: обзор вирусной обстановки за май 2009 г.
Компания «Доктор Веб» представила обзор вирусной активности за май 2009 г. В целом, по данным компании, в прошедшем месяце продолжилось распространение программ-вымогателей, а также борьба с новыми руткитами. В спаме, как и раньше, увеличивается доля писем, рекламирующих сами спам-рассылки, используются новые способы прохождения спам-фильтров.
В мае 2009 г. компания выпустила несколько новых версий сканера Dr.Web с графическим интерфейсом для Windows. Это было сделано для оперативного противодействия таким вирусным угрозам, как новая модификация буткита BackDoor.Maosboot, а также троян Trojan.AuxSpy.
Trojan.AuxSpy блокирует запуск и мешает работе некоторых утилит, способных помочь его обезвредить (например, редактора реестра). Несмотря на то, что троян не работает в режиме ядра системы, он прописывается в нестандартную область системного реестра, а также имеет возможность восстанавливаться из памяти.
По информации «Доктор Веб», в середине мая стало известно об уязвимости в браузере Apple Safari версии 3.2.3, а точнее — в одной из его библиотек, в компоненте libxml. Уязвимость позволяет выполнить произвольный код при посещении специальной веб-страницы, подготовленной злоумышленниками. Примечательно, что эта уязвимость содержится в браузере Safari независимо от платформы, на которой он используется. То есть уязвимы как компьютеры под управлением Mac OS X, так и MS Windows. Кроме того, данная уязвимость может быть использована злоумышленниками для инсталляции в систему злонамеренного кода. Как отметили в «Доктор Веб», в последнее время можно наблюдать все большую активность киберпреступников, направленную на Mac OS X.
Согласно отчету «Доктор Веб», в мае 2009 г. общее количество спам-сообщений осталось на уровне прошлого месяца. Однако отмечается продолжающееся увеличение количества сообщений, направленных на привлечение новых клиентов спамеров. Кроме того, постепенно увеличивается количество спам-сообщений с предложением быстро заработать в интернете или поучаствовать в очередной финансовой пирамиде.
В то же время, несмотря на низкую эффективность, продолжаются классические фишинг-рассылки, говорится в отчете компании. При этом жертвами мошенников становятся клиенты всё новых онлайн-систем, связанных с денежными операциями. Так, в мае прошли фишинг-рассылки, нацеленные на пользователей системы Comerica Business Connect банка Comerica Bank (США).
«Доктор Веб» также опубликовал две вирусные двадцатки. В первой таблице представлены вредоносные файлы, обнаруженные в мае в почтовом трафике:
- Win32.HLLM.Netsky.35328 14813173 (41,31%)
- Win32.HLLM.Beagle 3612033 (10,07%)
- Win32.HLLM.MyDoom.33808 3554352 (9,91%)
- Win32.HLLM.Netsky.28672 2425299 (6,76%)
- Win32.HLLM.MyDoom.44 1568617 (4,37%)
- Win32.HLLM.Netsky.based 1403727 (3,91%)
- Win32.HLLM.Perf 1056208 (2,95%)
- Win32.HLLM.MyDoom.based 820918 (2,29%)
- Trojan.MulDrop.19648 661200 (1,84%)
- Win32.HLLM.Beagle.32768 627811 (1,75%)
- Trojan.MulDrop.13408 626816 (1,75%)
- Win32.HLLM.Netsky 578837 (1,61%)
- Win32.HLLM.MyDoom.49 554956 (1,55%)
- Exploit.IFrame.43 481410 (1,34%)
- Trojan.PWS.Panda.114 391321 (1,09%)
- Win32.HLLM.Beagle.27136 378735 (1,06%)
- Win32.HLLM.Netsky.28008 362897 (1,01%)
- Win32.HLLM.Graz 277064 (0,77%)
- Win32.HLLM.Beagle.pswzip 260037 (0,73%)
- Exploit.IframeBO 175968 (0,49%)
Вторая таблица содержит вредоносные файлы, обнаруженные в мае на компьютерах пользователей:
- Win32.HLLW.Shadow.based 2347116 (18,99%)
- Win32.HLLW.Gavir.ini 723353 (5,85%)
- Trojan.AuxSpy.13 506981 (4,10%)
- VBS.Generic.548 285643 (2,31%)
- Win32.HLLW.Autoruner.2536 274582 (2,22%)
- Win32.HLLW.Autoruner.5555 270656 (2,19%)
- DDoS.Kardraw 248823 (2,01%)
- Trojan.DownLoad.35128 243625 (1,97%)
- Trojan.DownLoader.42350 225703 (1,83%)
- Win32.Sector.17 219578 (1,78%)
- Win32.Alman 210942 (1,71%)
- Trojan.Starter.544 206115 (1,67%)
- Win32.Virut.14 198389 (1,61%)
- Win32.HLLM.Netsky.35328 196459 (1,59%)
- Win32.HLLM.Beagle 155071 (1,25%)
- Trojan.AuxSpy.15 143727 (1,16%)
- Win32.HLLW.Autoruner.274 136360 (1,10%)
- Trojan.Botnetlog.9 131285 (1,06%)
- Trojan.AuxSpy.7 122566 (0,99%)
- Trojan.DownLoad.36194 121743 (0,99%)