«Доктор Веб»: вирусная топ-двадцатка за май01.06.2007 18:10

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в мае 2007 года. В рейтинге топ-20 угроз вирусы расположились следующим образом:
  1. Win32.HLLM.Limar 23,68%
  2. Win32.HLLM.Netsky.35328 14,27%
  3. Win32.HLLM.Beagle 12,45%
  4. Win32.HLLM.Perf 6,88%
  5. Win32.HLLM.MyDoom.based 6,82%
  6. Win32.HLLM.Netsky.based 5,69%
  7. Win32.HLLM.Graz 108951 4,69%
  8. Win32.HLLP.Sector 3,79%
  9. Win32.Hazafi.30720 3,72%
  10. Win32.HLLM.MyDoom.33808 2,26%
  11. Win32.HLLM.Limar.based 1,65%
  12. Win32.HLLM.MyDoom.49 1,06%
  13. Win32.HLLM.Generic.422 0,91%
  14. Win32.HLLM.Netsky 0,89%
  15. Exploit.MS05–053 0,80%
  16. Win32.HLLM.Beagle.pswzip 16938 0,73%
  17. Exploit.IframeBO 0,69%
  18. Win32.Grum 0,62%
  19. Win32.HLLM.Oder 0,56%
  20. Win32.HLLM.Generic.391 0,54%

Прочие вредоносные программы составили 7,03%.

Главным «возмутителем спокойствия» стал почтовый червь семейства Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30–70% инфицированного почтового трафика. Уже на протяжении многих месяцев появление новой модификации Win32.HLLM.Limar приводит к резкой вспышке эпидемии.

Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения детектирования. Тем не менее, принципиальных различий в функциональности этого почтового червя и его более ранних версий нет — в поражённую систему устанавливается руткит-компонента для сокрытия файлов червя на диске и записей в реестре.

Достаточно большое распространение получили вредоносные программы азиатского происхождения — многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является автозапуск при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы.

Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater способны заражать исполняемые файлы.

Следует также отметить появление новой модификации или, вернее, «реинкарнации» варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser — Symbian.Viver. Эта программа была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и не способна самостоятельно распространяться и устанавливаться на целевой телефон.

По оценкам поступающих на анализ в компанию «Доктор Веб» спам-писем, в мае значительно активизировались рассылки «туристического спама». Такой спам является наиболее «тяжёлым» — письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт. В качестве изображения на одном графическом файле приводится контактная информация — телефоны, адрес электронной почты, на остальных — рекламный текст, виды пейзажей предлагаемого места отдыха.

Несмотря на приближение отпускного сезона, количество спам-корреспонденции, адресованной финансовым директорам, бухгалтерам с предложениями посетить различные семинары, посвящённые различным аспектам законодательства, налогообложения, снизилось незначительно и составило примерно 67% от всего русскоязычного спама.

Англоязычный спам в подавляющем большинстве случаев (примерно 80%) — реклама медицинских препаратов, медицинских услуг, пластической хирургии.

В мае 2007 года вирусная база Dr.Web пополнилась 9474 записями.

©  CNews