Обзор вирусной обстановки за июль 2007 года от компании «Доктор Веб»
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июле 2007 года.
Бизнес сезон еще не открыт, а вирусная активность не снижается. Июль не исключение. Прежде всего, необходимо упомянуть о мощной спам-рассылке, наблюдаемой в течение месяца, с темой писем «You've received an ecard from a Class-mate!» «... a Neighbour!» и.т.п. В теле таких писем содержалась ссылка, по которой можно было скачать «поздравительную открытку». Доверчивость и любопытство оборачивались бедой для пользователей; их ПК подвергались заражению новыми версиями уже известной вредоносной программы - BackDoor.Groan. Она устанавливает драйвер для сокрытия своих файлов на диске, содержит функцию работы с P2P- сетями и производит рассылку спама с поражённого компьютера. На короткое время BackDoor.Groan сменил форму своего распространения – темы писем гласили об обнаруженной вирусной активности, и пользователю, дабы IP-адрес его компьютера не был заблокирован, предлагалось скачать и установить соответствующую заплатку к программному обеспечению. Однако позднее авторы вновь возвратились к исходному варианту тем рассылаемых писем. Напомним, что первоначальная рассылка BackDoor.Groan отмечалась в январе этого года, когда его авторами была избрана политическая тематика рассылаемых писем.
Почтовый червь массовой рассылки Win32.HLLM.Limar в этом месяце был не столь заметен, как ранее. Лишь однажды было зафиксировано повышение уровня его присутствия в почтовом трафике, при этом на его долю пришлось около 35% всего инфицированного почтового трафика. Следует также отметить его кратковременность.
Отметим появление новых модификаций семейства почтового червя Win32.HLLM.Graz. В отдельные дни присутствие Win32.HLLM.Graz составляло 35-40% всего инфицированного почтового трафика. Заражение компьютера данными модификациями Win32.HLLM.Graz приводило к удалению и невозможности последующей установки антивирусных средств защиты.
Активизировались и кибер-вымогатели. Было зафиксировано распространение нескольких модификаций опасного трояна – Trojan.Plastix, нарушающего работоспособность компьютера. В случае, если Ваш компьютер оказался поражён Trojan.Plastix, Вы всегда можете обратиться в Службу технической поддержки компании «Доктор Веб», где Вам помогут восстановить работоспособность компьютера. Помимо этого, стоит упомянуть о новых модификациях «трояна-шифровальщика» семейства Trojan.Encoder – Trojan.Encoder.11 и Trojan.Encoder.12, вымогающих у жертв значительную сумму для восстановления зашифрованных данных.
Ещё одним примером вымогательства служит Trojan.Winlock. В процессе работы он себя никак не проявляет, однако после перезагрузки компьютера сообщает пользователю, что у него нелицензионная копия операционной системы и предлагает перечислить автору определённую сумму через систему Яндекс.Деньги.
Необходимо отметить появление русскоязычной фишинговой спам-рассылки с сообщением о заблокированной учётной записи якобы от системы Яндекс.Деньги. Детектирование таких писем внесено в базы Dr.Web как Trojan.Bankfraud.402.
Итоги спам-активности в июле 2007
Помимо упоминаемой выше спам-рассылки, наблюдалась другая волна нежелательной корреспонденции с вложениями в виде PDF-файлов. При этом, по сравнению с прошлым месяцем, присутствие такого вида спама увеличилось примерно на 30%.
Увеличилась доля «культурного» спама, в котором предлагается посетить различные мероприятия – оперные премьеры, различные выставочные залы, экскурсии. Тем не менее, львиную долю русскоязычной нежелательной корреспонденции составляет «коммерческий» спам по тематике бизнес-семинаров, вопросов бухгалтерии, регистрации фирм и пр.
В июле 2007 года вирусная база Dr.Web пополнилась 16577 записями.