«Доктор Веб»: обзор вирусной активности за июнь 2008 г.
Компания «Доктор Веб» представила обзор вирусной активности за июнь 2008 г.
Весьма заметным событием на вирусном фронте в июне можно считать нарастающее распространение опасного файлового вируса Win32.Sector.5 (в классификации некоторых антивирусных вендоров – Sality). Количество обращений администраторов компаний, пострадавших от действия этого вируса, в службу технической поддержки компании «Доктор Веб» на протяжении июня, позволяет говорить о настоящей эпидемии. По свидетельству пострадавших, проблемы с данной модификацией семейства Sector начались еще в феврале 2008 г. В нынешнем месяце эпидемия приняла катастрофические размеры, и масштабы ее впечатляют. Среди пострадавших – банки, аудиторские компании, торговые сети, разработчики ПО, инжиниринговые компании, НИИ, учреждения культуры федерального статуса.
Поселившись в системе, Win32.Sector.5 внедряет свой код в память всех активных процессов, удаляет некоторые ветки реестра, после этого загрузка в «Безопасном режиме» становится невозможной. Далее, он заражает файлы с расширением .exe и .scr на всех доступных дисках и сетевых ресурсах. Для ускорения распространения заражает файлы, прописанные в автозагрузку, и файлы, наиболее часто запускаемые в системе. Вдобавок, Win32.Sector.5, удаляет файлы и процессы, относящиеся к действию большинства антивирусных программ, а также блокирует доступ к сайтам этих компаний, что делает невозможным скачивание обновлений.
В начале июня интернет-общественность была взбудоражена сообщениями о появлении новой модификации троянской программы семейства Encoder – Trojan.Encoder.18 в классификации Dr.Web (некоторые другие антивирусные вендоры назвали его Gpcode). Проникнув в систему, троянец осуществляет поиск файлов с определенными расширениями (в основном, документов Microsoft Office) и шифрует содержащиеся в них данные, после чего требует от их владельца денежные средства за дешифровку. В случае с данным троянцем восстановление таких данных представляет большую сложность, так как вирусописателем был применен ключ шифрования длиной 1024 бита.
К числу курьезных происшествий можно отнести панику, поднятую 22 июня пользователями популярной программы для мгновенного общения ICQ из-за появления в списке их контактов якобы «вирусного» контакта с номером 12111. Служба технической поддержки компании «Доктор Веб» получила множество запросов пользователей, обеспокоенных появлением этого контакта, хотя контакт вирусом быть не может. Страсти утихли только тогда, когда появление 12111 было объяснено на сайте самой ICQ.
В июне характерно проявилась тенденция минимизации размера спам-писем. Было отмечено более десятка спам-волн, в которых рассылаемое письмо состояло из броского заголовка, призванного привлечь внимание получателя, а в теле письма находились ссылка на веб-сайт и несколько слов комментариев. Отсылка пользователей к веб-сайтам в последнее время становится все более распространенным способом, используемым спамерами для обхода спам-фильтров. Следует обратить внимание, что этот способ таит еще одну опасность - ссылки часто могут вести на зараженную веб-страницу, посетив которую пользователь рискует получить себе на компьютер троянскую программу.
В рейтинге топ-20 угроз за июнь вирусы, обнаруженные посредством сервиса AV-Desk, расположились следующим образом:
- Trojan.Starter.516 28,08%
- Win32.HLLM.Generic.440 11,29%
- Win32.HLLW.Gavir.ini 10,30%
- BackDoor.Bulknet.214 6,65%
- BackDoor.Aimbot 6,24%
- Trojan.NtRootKit.425 5,93%
- Adware.SaveNow.128 2,19%
- Win32.Expiro.7 1,03%
- Exploit.IFrame.41 0,89%
- VBS.Igidak 0,86%
- Win32.HLLP.Jeefo.36352 0,85%
- Program.RemoteAdmin 0,82%
- Win32.Sector.20480 0,74%
- Trojan.DownLoader.42350 0,74%
- Win32.Alman 0,68%
- Trojan.Recycle 0,64%
- Win32.HLLP.Sector 0,64%
- VBS.Generic.548 0,64%
- Win32.HLLW.Gavir.54 0,63%
- Win32.HLLP.Whboy 0.62%
Также компания «Доктор Веб» представила июньский рейтинг топ-20 вирусов, распространяющихся посредством электронной почты:
- Win32.HLLW.Autoruner.437 17,85%
- Win32.HLLM.Netsky.35328 11,88%
- BackDoor.Bulknet.214 5,72%
- Trojan.PWS.Lich 5,15%
- Win32.HLLP.PissOff.36864 4,72%
- Win32.HLLM.Netsky.based 4,52%
- Win32.HLLW.Autoruner.2147 3,89%
- Trojan.NtRootKit.425 3,32%
- Win32.HLLM.MyDoom.based 2,51%
- Win32.HLLM.Beagle 2,45%
- Win32.Virut 1,83%
- Trojan.Recycle 1,66%
- Win32.HLLW.Autoruner.1831 1,61%
- Exploit.MS05-053 1,56%
- VBS.Igidak 1,34%
- Trojan.MulDrop.16727 1,34%
- Win32.HLLP.Sector 1,17%
- Win32.HLLM.Oder 1,17%
- Trojan.Nsanti.Packed 1,15%
- Win32.HLLM.Netsky.24064 1,13%
© CNews