Автор: "Доктор Веб"
http://www.drweb.com/
В июле 2006 года на вирусном фронте было относительное затишье, если не считать нескольких вялотекущих эпидемий почтовых червей семейств Win32.HLLM.Netsky, Win32.HLLM.MyDoom.
Нельзя не отметить стремительное распространение "новой" модификации Win32.HLLM.Beagle, начавшееся в конце прошлого месяца. "Новой" - потому как механизм распространения этого представителя семейства почтовых червей остался неизменным с 2004 года - вложение в виде защищённого паролем ZIP-архива, а сам пароль указывался в теле инфицированного письма в виде графического изображения. Такой способ распространения был изобретён для максимального затруднения обнаружения червя почтовыми антивирусными фильтрами. Характерной особенностью "новой" модификации Win32.HLLM.Beagle является наличие rootkit-компоненты. Применение rootkit-технологий за последнее время стало главенствующей тенденцией при написании вредоносных кодов. Доказательство этому - многочисленные модификации BackDoor.Haxdoor, BackDoor.HackDef.
Цели киберпреступников неизменны - рассылка спама через компьютер пользователя, получение доступа к конфиденциальной информации. Главными "помощниками" злоумышленников остаются уязвимости в программном обеспечении и беспечность пользователей. В качестве очередного показательного примера беспечности пользователей можно отметить заражение более 1 млн. компьютеров через баннер на сайте MySpace.com.Баннер эксплуатировал известную уязвимость в Windows Metafile (WMF), информация о которой была опубликована ещё в январе 2006. В результате пользователю на компьютер загружались вредоносные программы, получившие названия по классификации «Доктор Веб» Trojan.PurityAd и Adware.ClickSpring. Подробнее об этом инциденте Вы можете прочитать здесь.
Наиболее популярным методом распространения вирусного кода остаётся применение т.н. "троянских загрузчиков" (по классификации компании "Доктор Веб" - Trojan.DownLoader): когда дополнительные вредоносные коды незаметно для пользователя скачиваются из Интернета.
Другим ярким событием стало обнаружение вредоносных кодов, использующих недавно обнаруженную уязвимость в продуктах MS Power Point, предназначенных для подготовки презентационных материалов. Суть уязвимости заключалась в возможности скрытого запуска произвольного кода на целевой системе. Подробнее об этой новости вы можете почитать здесь.
Нельзя также не отметить кратковременную возросшую (примерно на 12%) в середине июля активность т.н. «фишеров». Технологии «фишеров» заключаются в рассылке потенциальным жертвам подложных писем якобы от имени какой-нибудь банковской системы, в которых их просят зайти на подделанный преступниками "сайт" такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях. Специалистами службы вирусного мониторинга компании «Доктор Веб» была разработана специальная запись, позволяющая детектировать широкий спектр модификаций подобного рода вредоносного кода – Trojan.Bankfraud.272
Также июль этого года «подарил» миру ещё один вид мошенничества - «вишинг» - технология интернет-мошенничества, разновидность фишинга, заключающаяся в использовании в злонамеренных целях «war diallers» (автонабирателей) и возможностей Интернет-телефонии (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Потенциальные жертвы получают телефонные звонки, якобы от имени легальных организаций, в которых их просят ввести с клавиатуры телефона, смарт-фона или КПК пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях. Подробнее о «вишинге» можно почитать здесь.
Конец месяца ознаменовался распространением по сети мгновенных сообщений (ICQ) новой модификации троянской программы, получившей по классификации компании "Доктор Веб" название Trojan.PWS.LDPinch.1061. Данный троянец предназначался для перехвата и дальнейшей передачи на удалённый сервер всех собранных паролей в целевой системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Подробнее об этом троянце Вы можете узнать здесь.
Компания "Доктор Веб" представляет вирусную статистику за июль 2006 год для 20-ти наиболее распространённых вирусов:
| Наименование вируса | % от общего кол-ва вирусов |
|---|---|
|
Win32.HLLM.Beagle |
25.08 |
|
Win32.HLLM.Netsky.35328 |
12.00 |
|
Win32.HLLM.MyDoom.based |
9.94 |
|
Win32.HLLM.Beagle.pswzip |
7.49 |
|
Win32.HLLM.Netsky.based |
7.46 |
|
Trojan.Bankfraud.272 |
7.25 |
|
Win32.HLLM.MyDoom |
3.92 |
|
Win32.HLLM.Graz |
3.80 |
|
Win32.HLLM.Perf |
2.69 |
|
Win32.HLLM.MyDoom.33808 |
2.23 |
|
Win32.HLLM.MyDoom.49 |
2.14 |
|
Win32.HLLM.Beagle.19802 |
1.42 |
|
Win32.HLLM.Lovgate.9 |
1.11 |
|
Win32.HLLM.Perf.based |
1.08 |
|
Exploit.IframeBO |
1.01 |
|
Win32.HLLM.Beagle.27136 |
0.85 |
|
Win32.HLLM.Netsky |
0.81 |
|
Program.RemoteAdmin |
0.75 |
|
Win32.HLLM.Bagz |
0.73 |
|
Win32.HLLM.Generic.391 |
0.66 |
|
BackDoor.IRC.HellBot |
0.63 |