Новостной обзор по вирусам за январь 2007 года
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в январе 2007 года.
Первый месяц 2007 года показал, что создатели вирусов не отдыхали в новогодние праздники, а готовили новые ловушки для пользователей. Показательным примером стало появление в глобальной сети спам-писем. В них пользователям предлагалось посмотреть видео-ролик казни Саддама Хусейна, которая секретно состоялась 30 декабря 2006 года. Однако позже в Интернет появились кадры казни, снятые с помощью мобильного телефона.
Таким образом, появилось несколько модификаций вредоносных программ. По классификации Dr.Web вирусы получили название Trojan.DownLoader.17224, Trojan.DownLoader.17246, Trojan.DownLoader.17456. На компьютере пользователя они закачивают и запускают программы, похищающие конфиденциальную информацию - Trojan.PWS.Banker.6321, Trojan.PWS.Banker.6322, Trojan.PWS.Banker.6276. При запуске ролика с казнью Саддама запускается медиа-плеер; пользователи даже не подозревают, что с компьютера происходит утечка конфиденциальной информации. Ожиданиям пользователя не суждено сбыться - сенсационные кадры не удастся увидеть: медиа-плеер выводит сообщение об ошибке.
Политические темы и особенно, «горячие» политические новости все активнее используются в последнее время для распространения вредоносных программ. Достаточно вспомнить появление в ноябре прошлого года в Интернет червя Win32.Dref, копии которого были разосланы по всему миру спам-рассылкой писем с заголовками о начале ядерной войны. В январе нахлынула новая волна спам-рассылки «роликов», обнаруживаемых Dr.Web как BackDoor.Groan, Trojan.Spambot.
По данным статистики, поступающей с почтовых серверов, количество писем, содержащих во вложении BackDoor.Groan, составляли 87-90% всего инфицированного почтового трафика. Запуск вложения приводит к установке в поражённую систему драйвера, который используется для закачки других вредоносных программ. Кроме того, в BackDoor.Groan содержится функция работы с пиринговыми сетями, управляющими участниками сети, несанкционированной закачкой и запуском любых файлов на поражённых компьютерах. Скачиваемые BackDoor.Groan вредоносные программы для затруднения задачи детектирования регулярно обновлялись.
Черви в январе распространялись также активно. 15-го и 23-го января авторы почтового червя Win32.HLLM.Limar вновь напомнили о себе, выпустив несколько модификаций своего «детища».
Было также зафиксировано распространение сетевого червя китайского происхождения, заражавшего исполняемые файлы. Червь получил наименование по классификации Dr.Web Win32.HLLP.Whboy. Компанией «Доктор Веб» было зафиксировано несколько представителей данного семейства. В отдельных модификациях отсутствовал механизм заражения исполняемых файлов, лишь функция распространения (Win32.HLLW.Whboy). Червь вызвал локальные эпидемии в КНР, а также в отдельных регионах США и Европы. Распространяется Win32.HLLP.Whboy из-за уязвимости в Internet Explorer при посещении специально сформированной веб-страницы. Кроме распространения по сетевым ресурсам, червь копирует себя на внешние устройства, если такие подключены к компьютеру на момент заражения.