Уважаемые пользователи и тестеры антивирусных решений семейства Dr.Web!
Компания <<Доктор Веб>> представляет обзор вирусной активности в августе 2008
года.
Несмотря на отсутствие в августе новых сколько-нибудь интересных с точки зрения
вирусного анализа вредоносных программ, этот месяц все же был насыщен различными
событиями на вирусном фронте.
Август ознаменовался появлением новой модификации Trojan.Encoder - Trojan.Encoder.19.
О нём мы уже рассказывали в наших новостях. Данный троян занимается тем, что
шифрует пользовательские файлы, находящиеся на компьютере, после чего удаляется,
а затем предлагает расшифровать их за некоторое вознаграждение. Специалисты компании
<<Доктор Веб>> оперативно отреагировали на появление этой вредоносной программы
и предложили пользователям бесплатную утилиту-дешифратор.
Основным транспортом попадания вирусов на компьютеры пользователей продолжают
оставаться почтовые рассылки с содержащимися в них ссылками на вредоносные файлы
или сайты, в которые, в свою очередь, внедрены скрипты, начинающие автоматическую
закачку вредоносных файлов или завлекающие тем или иным образом пользователей
скачать, а затем и запустить эти файлы. Как правило, это письма со ссылками на
якобы эротические видеоролики со знаменитостями, либо так называемые <<штормовые>>
письма, содержащие якобы срочные выпуски новостей от из? ?естных новостных агентств
с предложением просмотреть на сайте ролик, посвящённый выдуманному событию. Практически
все такие вредоносные файлы определяются антивирусом Dr.Web как очередные модификации
Trojan.Fakealert, Trojan.DownLoad или Trojan.Packed и представляют собой исполняемые
файлы, запакованные каждый раз новым упаковщиком (такие упаковщики также называют
полиморфными упаковщиками). В зависимости от целей авторов того или иного вируса,
при
запуске данные вредоносные файлы начинают закачку из Интернета и запуск на компьютере
пользо? ?ателей других вредоносных программ. Практически все такие почтовые сообщения
отфильтровываются антиспамом, встроенным в антивирусные продукты под маркой Dr.Web.
Ниже пойдёт речь о некоторых из вирусов, которые рассылаются при помощи спам-сообщений,
и которые заслуживают отдельного внимания.
Политические события, которые находят широкий резонанс в мире, обычно не остаются
незамеченными и в виртуальном пространстве. В августе вирусописателями довольно
активно эксплуатировались кавказские события. В частности, была зафиксирована
рассылка писем с темой <<Journalists shot in Georgia>> и приложенным архивом
Georgia.zip, содержимое которого антивирус Dr.Web определяет как Trojan.Packed.151.
Естественное желание пользователей обезопасить информацию, хранящуюся на компьютерах,
активно используется злоумышленниками для распространения троянских программ.
В частности, всё чаще пользователю предлагается скачать самый лучший и бесплатный
антивирус или критическое обновление для используемой операционной системы. На
поверку все эти программы оказываются троянами. Особо стоит выделить августовскую
рассылку почтовых сообщений с предложением скачать антивирус с названием Antivirus
XP 2008, который антивирусом Dr.Web определяется ? ?ак Trojan.Fakealert.995.
В последнее время вирусописатели редко используют способ рассылки вирусов, при
котором вредоносный файл прикреплён непосредственно к почтовому сообщению. Тем
не менее, в августе было зафиксировано несколько крупных рассылок писем с приложенными
к ним файлами, которые Dr.Web определяет как Trojan.Click.19861 и Trojan.Click.19769.
В дни массовой рассылки этих вирусов доля почтового трафика, в котором содержались
соответствующие файлы, достигала 90% от всего вредоносного почтового трафика.
Примечательный вирус
По информации из вирусной лаборатории компании <<Доктор Веб>>, в конце августа
получил распространение новый вариант Backdoor.Haxdoor - BackDoor.Haxdoor.559.
Новая модификация вируса позволяет воровать с компьютера пользователя сертификаты
и пароли от таких банк-клиентов, как инвестиционный банк "КИТФинанс", платёжной
системы faktura.ru, предоставляющая услуги онлайн-банкинга для 134 банков России,
новосибирский филиал "Лата-Банка".
Вирус распространяется через систему обмена сообщений ICQ в виде GIF-файла, который
на самом деле является зашифрованным скриптом. Когда пользователь запускает вредоносный
GIF-файл, скрипт автоматически скачивает из Интернета остальные компоненты вредоносной
программы.
Статистика обнаружений вредоносных файлов в почтовых потоках
01.08.2008 00:00 - 01.09.2008 00:00
1
Trojan.Click.19861
229735 (44.54%)
2
Trojan.Click.19769
68445 (13.27%)
3
Win32.HLLM.Beagle
37641 (7.30%)
4
Trojan.MulDrop.16727
19324 (3.75%)
5
Win32.HLLM.MyDoom.based
15435 (2.99%)
6
Trojan.MulDrop.18335
15234 (2.95%)
7
Win32.Virut
12030 (2.33%)
8
Trojan.MulDrop.18280
11368 (2.20%)
9
Win32.Alman
8601 (1.67%)
10
Trojan.MulDrop.13408
8401 (1.63%)
11
Win32.HLLM.Netsky.35328
7891 (1.53%)
12
Program.RemoteAdmin
7227 (1.40%)
13
Trojan.Proxy.3747
6314 (1.22%)
14
Win32.HLLM.Alaxala
3771 (0.73%)
15
Win32.HLLM.MyDoom.33808
3359 (0.65%)
16
Trojan.MulDrop.18290
3217 (0.62%)
17
Trojan.MulDrop.18402
3066 (0.59%)
18
Trojan.Starman.100
3014 (0.58%)
19
Trojan.MulDrop.17530
2735 (0.53%)
20
Trojan.DownLoad.3580
2523 (0.49%)
Статистика обнаружений вредоносных файлов на рабочих станциях
01.08.2008 00:00 - 01.09.2008 00:00
1
Win32.HLLW.Gavir.ini
1225356 (21.80%)
2
Win32.HLLM.Generic.440
400789 (7.13%)
3
Win32.Alman
252514 (4.49%)
4
Trojan.MulDrop.6474
151756 (2.70%)
5
Win32.HLLW.Autoruner.437
149373 (2.66%)
6
Win32.HLLP.Whboy
140085 (2.49%)
7
BackDoor.IRC.Sdbot.55
134476 (2.39%)
8
VBS.Generic.548
124833 (2.22%)
9
Win 32.HLLW.Autoruner.1874
118801 (2.11%)
10
Win32.HLLP.Jeefo.36352
110430 (1.96%)
11
Win32.HLLW.Krepper
105703 (1.88%)
12
Win32.HLLW.Whboy
103159 ( 1.83%)
13
BackDoor.Bulknet.233
99968 (1.78%)
14
Win32.HLLM.Lovgate.2
93992 (1.67%)
15
Win32.HLLP.Neshta
77261 (1.37%)
16
Win32.HLLW.Autoruner.2339
71152 (1.27%)
17
Win32.HLLM.Limar.2536
70664 (1.26%)
18
Trojan.Siggen.172
66007 (1.17%)
19
Win32.HLLW.Autoruner.1469
60004 (1.07%)
20
Trojan.Starter.217
54101 (0.96%)
NOD32 3402 (20080831) Information This message was checked by NOD32 antivirus system.
http://www.eset.com
подписчиков на данный момент 119
