Обзор вирусной обстановки за январь 2007 года от компании "Доктор Веб"

Первый месяц 2007 года показал, что вирусописатели не собирались использовать новогодние праздники для отдыха, а готовили новые ловушки для пользователей. Показательным примером стало появление в интернет спам-писем, в которых пользователям предлагалось посмотреть видео-ролик казни Саддама Хусейна. Сама казнь была осуществлена 30.12.2006 в условиях секретности, однако, позже в прессе появились кадры самой казни, снятые с помощью мобильного телефона.

В мир были выпущено несколько модификаций вредоносных программ, получивших наименования по классификации Dr.Web – Trojan.DownLoader.17224, Trojan.DownLoader.17246, Trojan.DownLoader.17456. Будучи запущенными, данные вредоносные программы закачивают на компьютер пользователя и запускают программы для похищения конфиденциальной информации - Trojan.PWS.Banker.6321, Trojan.PWS.Banker.6322, Trojan.PWS.Banker.6276. О том, что с его компьютера происходит утечка конфиденциальной информации, пользователь может даже не догадываться, поскольку при запуске ?ролика? запускается медиа-плеер.

Успешность использования политических тем для распространения вредоносных программ подтвердила ещe одна волна спам-рассылки "роликов", детектируемых Dr.Web как BackDoor.Groan, Trojan.Spambot. По данным статистики, поступающей с почтовых серверов, количество писем, содержащих во вложении BackDoor.Groan, составляли 87%-90% всего инфицированного почтового трафика. Запуск вложения приводит к установке в поражённую систему драйвера, который используется для закачки других вредоносных программ. Кроме того, в BackDoor.Groan содержится функция работы с пиринговыми сетями. Пиринговая сеть формируется с целью управлениями участниками сети, несанкционированной закачкой и запуска любых файлов на поражeнных компьютерах.

Скачиваемые BackDoor.Groan вредоносные программы в течение длительного времени регулярно обновлялись. По данным статистики, поступающей в компанию "Доктор Веб", обновления происходили несколько раз в день для затруднения задачи детектирования.

Тем не менее, использование броских заголовков на политические темы не является чем-то новым. Достаточно вспомнить появление в ноябре 2006 в интернет червя Win32.Dref, копии которого были разосланы по всему миру спам-рассылкой писем с заголовками о начале ядерной войны.

В январе авторы почтового червя Win32.HLLM.Limar вновь напомнили о себе, выпустив несколько модификаций своего "детища" 15-го и 23-го января, соответственно, тем самым "поздравив" пользователей и антивирусные компании с Новым годом по старому стилю и с 5 месяцами своего появления в интернет.

В январе было зафиксировано распространение сетевого червя китайского происхождения, заражавшего исполняемые файлы. Чеврь получил наименование по классификации Dr.Web Win32.HLLP.Whboy. Компанией "Доктор Веб" было зафиксировано несколько вариантов представителей данного семейства. В отдельных модификациях отсутствовал механизм заражения исполняемых файлов, лишь функция распространения (Win32.HLLW.Whboy). Червь вызвал локальные эпидемии в КНР, а также в отдельных регионах США и Европы. Распространяется Win32.HLLP.Whboy посредством уязвимости в браузере при посещении специально сформированной веб-страницы. Кроме распространения по сетевым ресурсам, червь копирует себя на внешние устройства, если такие подключены к компьютеру на момент заражения.