Обзор вирусной обстановки за апрель 2007 года от компании «Доктор Веб»
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в апреле 2007 года.
В апреле ситуация на фронте вредоносных программ складывалась спокойно. Главными «игроками» на арене, как и ранее, стали представители почтовых червей семейств Win32.Dref и Win32.HLLM.Limar. Однако, на этот раз в их противостоянии проявились новые особенности - Win32.Dref стал распространяться в виде запароленного ZIP-архива с указанием пароля в графическом файле. Такой приём хоть и является не новым (его «изобрели» авторы другого семейства почтовых червей Win32.HLLM.Beagle), однако позволил Win32.Dref в первые дни достаточно успешно распространиться, поскольку далеко не все антивирусные продукты смогли обеспечить детектирование их на почтовых серверах. Проблема детектирования таких модификаций Win32.Dref в антивирусе была решена выпуском специальной записи, позволяющей детектировать такие архивы - Win32.Dref.pswzip.
В свою очередь, Win32.HLLM.Limar преподнёс весьма неприятный сюрприз – исходное тело червя было заражено полиморфным файловым вирусом Win32.Virut. Таким образом, пользователи получили комплект 2 в 1. Кроме того, в середине месяца Win32.HLLM.Limar вновь стал безоговорочным лидером всего инфицированного почтового трафика. Пиковые значения в отдельные дни превышали 80%-ю отметку.
Следует также отметить появление новой модификации почтового червя Win32.HLLM.Graz. Однако это появление прошло практически незаметным и предпосылок для эпидемии не возникло.
В этом месяце продолжилось распространение скриптового червя VBS.Igidak. По сравнению с предыдущим месяцем его присутствие оказалось не столь масштабным, однако тенденциозным стал метод обеспечения автозапуска в поражённой системе – на локальных дисках создаётся конфигурационный файл autorun.inf, в котором прописан путь к исполняемой части червя. Кроме того, и исполняемая часть червя и сам конфигурационный файл являются скрытыми. Поскольку, по умолчанию, в стандартном Проводнике Windows и большинстве файловых менеджеров отображение файлов, имеющих атрибуты системных или скрытых, отключено, то своевременное обнаружение посторонних файлов становится проблематичным. Подобный метод инфицирования системы заложен в других представителях вредоносных программ – Trojan.Recycled и Trojan.Corruptor.
В апреле возросло примерно на 20% количество загрузчиков, скачивающих вредоносные программы для похищения паролей к банковским системам (Trojan.PWS.Banker), а также загрузчиков, скачивающие программы для рассылки спама с поражённого компьютера – Trojan.Spambot.
Итоги спам-активности в апреле 2007 года
В подавляющем большинстве случаев те или иные спам-соообщения, поступающие на анализ в компанию “Доктор Веб” – это реклама каких-то определённых сервисов и услуг. Практически 80% спам-писем – это письма в виде графического изображения. Такой приём используется спамерами для обхода спам-фильтров, основанных на байесовских алгоритмах распознавания нежелательной корреспонденции. Кроме того, встречаются различные комбинаторные варианты - “прореживание” текста в теме писем пробелами, применение текста разных цветов писем.
Направленность англоязычной спам-корреспонденции преимущественно связана с медицинскими сервисами, в то время как русскоязычная корреспонденция связана с целым спектром услуг:
- коммерческая деятельность;
- туры и путешествия;
- определение значение фамилии человека;
- предметы быта.
В апреле 2007 года вирусная база Dr.Web пополнилась 9973 записями.
Краткая таблица результатов онлайн-проверки за месяц:
Наименование вируса Количество
Win32.HLLM.Limar 591
VBS.Psyme.239 268
Trojan.Virtumod 240
Trojan.Spambot 177
Trojan.Peflog.31 147
Win32.HLLM.Wukill 128
VBS.Igidak 79
Win32.HLLM.Graz 65
Trojan.PWS.Maran 53
Win32.HLLP.Jeefo.36352 47
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в апреле 2007 года:
Наименование вируса % от общего кол-ва вирусов
Win32.HLLM.Limar 35.11
Win32.HLLM.Beagle 11.88
Win32.HLLM.Netsky.35328 9.91
Win32.HLLM.Perf 6.83
Win32.HLLM.MyDoom.based 5.45
Win32.HLLM.Netsky.based 4.61
Win32.HLLP.Sector 4.42
Win32.Hazafi.30720 3.61
Win32.HLLM.Graz 2.29
Win32.HLLM.MyDoom.49 2.26
Win32.HLLM.MyDoom.33808 2.09
Win32.HLLM.Limar.based 1.13
Trojan.Spambot 1.01
Win32.Grum 0.85
Exploit.IframeBO 0.70
Win32.HLLM.Netsky 0.54
Exploit.MS05-053 0.53
Win32.HLLM.Beagle.pswzip 0.50
Exploit.IFrame 0.40
Win32.HLLM.Oder 0.33
Прочие вредоносные программы 5.55