“Доктор Веб”: вирусная топ-20 за май
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в мае 2007 года. В рейтинге топ-20 угроз вирусы расположились следующим образом:
- Win32.HLLM.Limar 23,68%
- Win32.HLLM.Netsky.35328 14,27%
- Win32.HLLM.Beagle 12,45%
- Win32.HLLM.Perf 6,88%
- Win32.HLLM.MyDoom.based 6,82%
- Win32.HLLM.Netsky.based 5,69%
- Win32.HLLM.Graz 108951 4,69%
- Win32.HLLP.Sector 3,79%
- Win32.Hazafi.30720 3,72%
- Win32.HLLM.MyDoom.33808 2,26%
- Win32.HLLM.Limar.based 1,65%
- Win32.HLLM.MyDoom.49 1,06%
- Win32.HLLM.Generic.422 0,91%
- Win32.HLLM.Netsky 0,89%
- Exploit.MS05-053 0,80%
- Win32.HLLM.Beagle.pswzip 16938 0,73%
- Exploit.IframeBO 0,69%
- Win32.Grum 0,62%
- Win32.HLLM.Oder 0,56%
- Win32.HLLM.Generic.391 0,54%
Прочие вредоносные программы составили 7,03%.
Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения детектирования. Тем не менее, принципиальных различий в функциональности этого почтового червя и его более ранних версий нет – в поражённую систему устанавливается руткит-компонента для сокрытия файлов червя на диске и записей в реестре.
Достаточно большое распространение получили вредоносные программы азиатского происхождения – многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является автозапуск при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы.
Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater способны заражать исполняемые файлы.
Следует также отметить появление новой модификации или, вернее, «реинкарнации» варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser – Symbian.Viver. Эта программа была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и не способна самостоятельно распространяться и устанавливаться на целевой телефон.
По оценкам поступающих на анализ в компанию «Доктор Веб» спам-писем, в мае значительно активизировались рассылки «туристического спама». Такой спам является наиболее «тяжёлым» - письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт. В качестве изображения на одном графическом файле приводится контактная информация – телефоны, адрес электронной почты, на остальных - рекламный текст, виды пейзажей предлагаемого места отдыха.
Несмотря на приближение отпускного сезона, количество спам-корреспонденции, адресованной финансовым директорам, бухгалтерам с предложениями посетить различные семинары, посвящённых различным аспектам законодательства налогообложения, снизилось незначительно и составило примерно 67% от всего русскоязычного спама.
Англоязычный спам в подавляющем большинстве случаев (примерно 80%) – реклама медицинских препаратов, медицинских услуг, пластической хирургии.
В мае 2007 года вирусная база Dr.Web пополнилась 9474 записями.
safe.cnews.ru