«Доктор Веб»: рейтинг августовских вирусов и вредоносных программ
Компания «Доктор Веб» представила обзор вирусной активности в августе 2009 года. Главной темой месяца стала активность Win32.Induc - вируса, который заражает среду разработки Delphi. Как уже сообщала редакция THG, не обладая ярко выраженным вредоносным функционалом, этот вирус, тем не менее, таит в себе весьма соблазнительный для злоумышленников потенциал, и потому, по словам компании «Доктор Веб», его детектированию и лечению было уделено такое же высокое внимание, как и к любой другой вредоносной программе.
Win32.Induc, ставший основным вирусным событием месяца, породил множество дискуссий на тему того, нужно ли обнаруживать и лечить вирус, не наносящий явного вреда. Позиция компании «Доктор Веб» на этот счет однозначна: Win32.Induc нужно лечить, поскольку методы его распространения в дальнейшем могут использоваться злоумышленниками при создании вредоносных программ.
В августе также была обнаружена похожая вредоносная программа, ACAD.Siggen. В отличие от Win32.Induc она распространяется в виде модуля, реализованного в среде разработки Visual Lisp, которая используется в системе автоматизированного проектирования Autodesk AutoCAD. ACAD.Siggen заражает AutoCAD-файлы, открываемые в зараженной системе, так как запускается одновременно с AutoCAD.
Ввиду непрекращающегося роста своей популярности сервис микроблогов Twitter и известная зарубежная социальная сеть Facebook продолжают привлекать злоумышленников. К сожалению, доверчивость пользователей по отношению к сообщениям, содержащим заманчивые предложения посетить внешние ресурсы, все еще велика.
Уже давно известное семейство вирусов Win32.HLLW.Facebook в августе 2009 года предложило пользователям «поработать» на киберпреступников весьма изощрённым образом. Вирус, как и ранее, завлекает пользователя с помощью различных сообщений в социальных сетях на подставной ресурс, внешне очень похожий на легальный, с которого происходит загрузка якобы кодека для просмотра видеоролика. Если пользователь запускает загруженный исполняемый файл, происходит заражение.
Интересна новая тенденция в технологиях обмана пользователей: в последних версиях червя Win32.HLLW.Facebook появился любопытный модуль Win32.HLLW.Facebook.194, который осуществляет подбор captcha усилиями зараженного пользователя. Задача этого модуля - заставить пользователя ввести «правильную» комбинацию символов и отправить введенный результат на сервер злоумышленников. После того как задание на введение captcha получено с удаленного сервера, на зараженном компьютере всплывает окно с полем ввода, причем работа системы в этот момент блокируется.. Благодаря действиям обманутого пользователя злоумышленники получают возможность создавать аккаунты на различных веб-сервисах с целью рассылки спама и новых фишинговых сообщений.
Другим инструментом злонамеренного использования социальных сетей стали управляющие команды для бот-сети в сообщениях одного из аккаунтов сервиса микроблогов Twitter. Команды представляли собой закодированные ссылки bit.ly (сервис сокращения ссылок), которые вели к ресурсам с вредоносными компонентами. После перехода по этим ссылкам заражённый компьютер получал команды через RSS-поток сообщений соответствующего аккаунта на Twitter. Подобную схему использовал Trojan.PWS.Finanz.410.
Тему подставных сайтов продолжает вредоносная программа Adware.FF.1: злоумышленники решили воспользоваться частыми обновлениями от компании Adobe - Adware.FF.1 распространялся под видом ложного обновления для программы Adobe Flash Player. Причем ресурс, с которого происходило распространение этой вредоносной программы, внешне очень похож на оригинальный сайт Adobe. Ссылки с некоторых его разделов ведут на оригинальный ресурс. Сам же рекламный модуль Adware.FF.1 после запуска лжеобновления устанавливает плагин для браузера Mozilla Firefox. Его задачей является подмена контекстной рекламы в поисковой системе Google. «Родственник» этого вируса, Adware.FF.3, дабы не вызывать подозрений пользователей, в своем установщике содержит ещё и оригинальный инсталлятор Adobe Flash Player.
Другое важное событие, которое имело место в конце августа 2009 года - появление троянской программы-концепта Trojan.SkypeSpy, цель которой - захват аудио-потока из популярной программы Skype. При этом перехваченные переговоры записываются непосредственно в mp3-файл. Исходные коды Trojan.SkypeSpy стали достоянием общественности, что может повлечь за собой появление множества новых модификаций этого троянца.
Вредоносные файлы, обнаруженные в августе в почтовом трафике:
Данные получены в результате сканирования 97.916.911.140 файла из которых было инфицировано 26.740.352 (0,0273% от общего числа).Win32.HLLM.Beagle - 5,865,108 (21.93%) Win32.HLLM.Netsky.35328 - 4,849,868 (18.14%) Trojan.DownLoad.36339 - 4,134,857 (15.46%) Trojan.PWS.Panda.122 - 1,961,029 (7.33%) Win32.HLLM.MyDoom.based - 1,292,488 (4.83%) Trojan.MulDrop.19648 - 1,157,909 (4.33%) Trojan.Botnetlog.9 - 1,096,090 (4.10%) Win32.HLLM.MyDoom.33808 - 855,011 (3.20%) Win32.HLLM.MyDoom.44 - 792,728 (2.96%) Win32.HLLM.Netsky.based - 436,017 (1.63%) Win32.HLLM.Beagle.32768 - 428,610 (1.60%) Win32.HLLM.Perf - 423,470 (1.58%) Trojan.MulDrop.13408 - 400,116 (1.50%) Win32.HLLM.MyDoom.49 - 357,537 (1.34%) Exploit.IframeBO - 335,231 (1.25%) Trojan.DownLoader.47449 - 330,465 (1.24%) Win32.HLLM.Beagle.27136 - 282,600 (1.06%) Exploit.IFrame.43 - 243,633 (0.91%) Trojan.PWS.Panda.114 - 241,519 (0.90%) W97M.Dig - 238,903 (0.89%)
С полной версией отчёта можно ознакомиться на официальном сайте компании «Доктор Веб».
