«Доктор Веб»: июль стал месяцем «кибервымогателей»
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июле 2007 года.Прежде всего, необходимо упомянуть о мощной спам-рассылке, наблюдаемой в течение месяца, с темой писем «You've received an ecard from a Class-mate!» («Вы получили электронную открытку от одноклассника») и.т.п. В теле таких писем содержалась ссылка, по которой можно было скачать «поздравительную открытку». Доверчивость и любопытство оборачивались бедой для пользователей: их ПК подвергались заражению новыми версиями вредоносной программы BackDoor.Groan. Она устанавливает драйвер для сокрытия своих файлов на диске, содержит функцию работы с P2P-сетями и производит рассылку спама с поражённого компьютера.
Почтовый червь массовой рассылки Win32.HLLM.Limar в этом месяце был не столь заметен, как ранее. Лишь однажды было зафиксировано повышение уровня его присутствия в почтовом трафике, при этом на его долю пришлось около 35% всего инфицированного почтового трафика.
Следует отметить появление новых модификаций семейства почтового червя Win32.HLLM.Graz. В отдельные дни присутствие Win32.HLLM.Graz составляло 35-40% всего инфицированного почтового трафика. Заражение компьютера данными модификациями Win32.HLLM.Graz приводило к удалению и невозможности последующей установки антивирусных средств защиты.
Активизировались и так называемые «кибервымогатели». Было зафиксировано распространение нескольких модификаций опасного трояна - Trojan.Plastix, нарушающего работоспособность компьютера. Помимо этого, стоит упомянуть о новых модификациях «трояна-шифровальщика» семейства Trojan.Encoder Trojan.Encoder.11 и Trojan.Encoder.12, вымогающих у жертв значительную сумму для восстановления зашифрованных данных.
Ещё одним примером вымогательства служит Trojan.Winlock. В процессе работы он себя никак не проявляет, однако после перезагрузки компьютера сообщает пользователю, что у него нелицензионная копия ОС, и предлагает перечислить автору определённую сумму через систему «Яндекс.Деньги».
Необходимо отметить появление русскоязычной фишинговой спам-рассылки с сообщением о заблокированной учётной записи якобы от системы «Яндекс.Деньги». Детектирование таких писем внесено в базы Dr.Web как Trojan.Bankfraud.402.
Помимо упоминаемой выше спам-рассылки, наблюдалась другая волна нежелательной корреспонденции с вложениями в виде PDF-файлов. При этом по сравнению с прошлым месяцем, присутствие такого вида спама увеличилось примерно на 30%.
Увеличилась также доля «культурного» спама, в котором предлагается посетить различные мероприятия - оперные премьеры, различные выставочные залы, экскурсии. Тем не менее, львиную долю русскоязычной нежелательной корреспонденции составляет «коммерческий» спам по тематике бизнес-семинаров, вопросов бухгалтерии, регистрации фирм и пр.
В целом, в июле 2007 года вирусная база Dr.Web пополнилась 16577 записями.
Служба вирусного мониторинга «Доктор Веб» представила топ-20 вирусов, чаще всего детектируемых на почтовых серверах в июле 2007 года:
- Win32.HLLM.Netsky.35328 19,14%
- Win32.HLLM.Graz 15,01%
- Win32.HLLM.MyDoom.based 8,28%
- Win32.HLLP.Sector 8,12%
- Win32.HLLM.Beagle 7,76%
- Win32.HLLM.Limar.based 6,44%
- Win32.HLLM.Netsky.based 5,74%
- Win32.HLLM.Limar 5,13%
- Win32.HLLM.Netsky 3,88%
- Win32.HLLM.Perf 2,65%
- Win32.Hazafi.30720 1,75%
- Exploit.MS05-053 1,44%
- Win32.HLLM.Beagle.pswzip 1,11%
- Win32.HLLM.Oder 1,08%
- Win32.HLLM.MyDoom.33808 1,05%
- Win32.HLLM.MyDoom.49 0,94%
- BackDoor.Bulknet 0,88%
- Win32.HLLM.Netsky.24064 0,80%
- Win32.HLLM.Generic.391 0,80%
- Trojan.MulDrop.7173 0,75%
В то же время, службой вирусного мониторинга «Доктор Веб» составлена краткая таблица результатов онлайн-проверки за месяц:
- VBS.Psyme.239 758
- Trojan.Packed.142 501
- VBS.PackFor 397
- Trojan.Virtumod 188
- Win32.HLLW.Autoruner 105
- Win32.HLLM.Limar 96
- BackDoor.Bulknet 87
- Trojan.Spambot 82
- Win32.HLLM.Beagle 66
- Win32.HLLM.Wukill 65
© CNews
