Вирусная обстановка в феврале
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в феврале 2008 года.
В целом, февраль не принeс ничего существенно нового в общую картину вирусной обстановки. С конца января и практически до середины февраля наблюдалась мощная спам-рассылка поздравительных «валентинок» - Trojan.Packed.357. Отличительной особенностью распространения данной вредоносной программы является использование постоянно видоизменяющихся упаковщиков исполняемого файла, а также то, что авторы активно используют приeмы социальной инженерии для того, чтобы пользователь запустил предлагаемый файл. При своeм запуске программа помещает в системный каталог Windows и устанавливает в системе драйвер со случайным именем (определяется по классификации Dr.Web как Trojan.Spambot.2569) и регистрирует его в системном реестре. В добавок, она помещает в систему конфигурационный файл для работы с P2P-сетями. Далее внедряет свой код в %systemroot%\system32\services.exe, открывает случайные UDP-порты и начинает рассылать запросы на удалeнные хосты. При получении положительного отклика начинает рассылать спам.
Другим более-менее заметным событием стала спам-рассылка писем с темами "NEW Full mpeg4 Veronika Zemanova", "NEW Stunning video with a naked celebrity Beyonce", "NEW New sexy songs Salma Hayek", "Stunning video Carmen Electra", "Shocking porno dvd Meg Ryan", "Interesting porno Jennifer Lopez".
В теле письма содержится ссылка на загрузку исполняемого модуля, определяемого антивирусом Dr.Web как Trojan.DownLoader.49038.
Стоит ещe отметить спам рассылку с темой [postcard.ru] вам пришла открытка!. В письме предлагается пройти по ссылке и скачать поздравительную открытку, являющуюся на самом деле обычным загрузчиком - Trojan.DownLoader.35394. Его запуск приводит к загрузке программ для рассылки спам-корреспонденции.
Наряду с распространением перечисленных выше спам-рассылок, активизировалась спам-рассылка, в письмах которых предлагалось загрузить то или иное коммерческое ПО по акционным ценам. Отмечался рост присутствия «коммерческого спама» с предложениями по бизнес-тематике, организации спам-рассылок по почтовым базам стран СНГ.
В течение февраля 2008 года вирусная база Dr.Web пополнилась 15700 вирусными записями.
Предлагаем ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в феврале 2008 года:
Февраль 2008 года: самые распространенные вирусы в почте
1 Win32.HLLM.Netsky.35328 78566 (30.60%)
2 Win32.HLLM.Beagle 24743 (9.64%)
3 Win32.HLLM.Netsky 24111 (9.39%)
4 Win32.HLLM.Netsky.based 18699 (7.28%)
5 Win32.HLLM.MyDoom.based 18031 (7.02%)
6 Exploit.MS05-053 9163 (3.57%)
7 Win32.HLLM.Perf 8470 (3.30%)
8 Win32.HLLM.MyDoom.33808 8073 (3.14%)
9 Win32.HLLM.Oder 7634 (2.97%)
10 Win32.HLLM.Limar.2246 5745 (2.24%)
Февраль 2008 года: самые распространенные вирусы на рабочих станциях
1 DDoS.Kardraw 929600 (8.95%)
2 Win32.HLLM.Generic.440 225226 (2.17%)
3 Win32.HLLM.Lovgate.2 208820 (2.01%)
4 Win32.HLLW.Krepper 142608 (1.37%)
5 VBS.Igidak 129691 (1.25%)
6 Win32.HLLW.Autoruner.437 109673 (1.06%)
7 Win32.HLLP.Sector 93245 (0.90%)
8 Win32.HLLP.Jeefo.36352 88048 (0.85%)
9 Win32.HLLW.Autoruner.274 85987 (0.83%)
10 Trojan.Inject.544 78436 (0.76%)
