Обзор вирусной обстановки за май 2007 года от компании Доктор Веб
Служба вирусного мониторинга компании Доктор Веб сообщила редакции THG.ru о результатах проведения анализа вирусной обстановки в мае 2007 года. По словам представителя компании, май по своему накалу событий на вирусном фронте стал практически копией апреля - главным "возмутителем спокойствия" стал почтовый червь семейства Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30-70% инфицированного почтового трафика. Уже на протяжении многих месяцев появление новой модификации Win32.HLLM.Limar приводит к резкому возникновению эпидемии.
Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения задачи детектирования. Тем не менее, принципиальных различий в функциональности данного почтового червя и его более ранних версий нет - в поражённую систему устанавливается руткит-компонент для сокрытия файлов червя на диске и записей в реестре.
Достаточно большое распространение получили вредоносные программы азиатского происхождения - многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является метод обеспечения автозапуска при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы. Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Для отключения отображения скрытых файлов в Проводнике в реестре меняется значение соответствующего параметра. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater обладают функциональностью заражения исполняемых файлов. Прослеживается и тенденция "переноса" функции загрузки прочих вредоносных программ в сетевых червей. Например, Win32.HLLW.Autoruner загружает троянца для похищения паролей для онлайн-игр - Trojan.PWS.Wsgame, а также BackDoor.Paziruk, BackDoor.Cafezz.
Следует также отметить появление новой модификации или, вернее, "реинкарнации" варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser - Symbian.Viver. Данная программа была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и неспособна к самостоятельному распространению и установки на целевой телефон. Как и в случае с Trojan.Webser в очередной раз злоумышленниками продемонстрирован случай удачного применения методов социальной инженерии.