Обзор июльских вирусов от «Доктор Веб»

image

Теги: вирус

В минувшем месяце активизировались кибер-вымогатели. Было зафиксировано распространение нескольких модификаций опасного трояна – Trojan.Plastix, нарушающего работоспособность компьютера.

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июле 2007 года.

Прежде всего, необходимо упомянуть о мощной спам-рассылке, наблюдаемой в течение месяца, с темой писем «You've received an ecard from a Class-mate!» («Вы получили электронную открытку от одноклассника») и.т.п. В теле таких писем содержалась ссылка, по которой можно было скачать «поздравительную открытку». Доверчивость и любопытство оборачивались бедой для пользователей: их ПК подвергались заражению новыми версиями вредоносной программы BackDoor.Groan. Она устанавливает драйвер для сокрытия своих файлов на диске, содержит функцию работы с P2P-сетями и производит рассылку спама с поражённого компьютера.

Почтовый червь массовой рассылки Win32.HLLM.Limar в этом месяце был не столь заметен, как ранее. Лишь однажды было зафиксировано повышение уровня его присутствия в почтовом трафике, при этом на его долю пришлось около 35% всего инфицированного почтового трафика.

Следует отметить появление новых модификаций семейства почтового червя Win32.HLLM.Graz. В отдельные дни присутствие Win32.HLLM.Graz составляло 35-40% всего инфицированного почтового трафика. Заражение компьютера данными модификациями Win32.HLLM.Graz приводило к удалению и невозможности последующей установки антивирусных средств защиты.

Активизировались и так называемые «кибервымогатели». Было зафиксировано распространение нескольких модификаций опасного трояна - Trojan.Plastix, нарушающего работоспособность компьютера. Помимо этого, стоит упомянуть о новых модификациях «трояна-шифровальщика» семейства Trojan.Encoder Trojan.Encoder.11 и Trojan.Encoder.12, вымогающих у жертв значительную сумму для восстановления зашифрованных данных.

Ещё одним примером вымогательства служит Trojan.Winlock. В процессе работы он себя никак не проявляет, однако после перезагрузки компьютера сообщает пользователю, что у него нелицензионная копия ОС, и предлагает перечислить автору определённую сумму через систему «Яндекс.Деньги».

Необходимо отметить появление русскоязычной фишинговой спам-рассылки с сообщением о заблокированной учётной записи якобы от системы «Яндекс.Деньги». Детектирование таких писем внесено в базы Dr.Web как Trojan.Bankfraud.402.

Помимо упоминаемой выше спам-рассылки, наблюдалась другая волна нежелательной корреспонденции с вложениями в виде PDF-файлов. При этом по сравнению с прошлым месяцем, присутствие такого вида спама увеличилось примерно на 30%.

Увеличилась также доля «культурного» спама, в котором предлагается посетить различные мероприятия - оперные премьеры, различные выставочные залы, экскурсии. Тем не менее, львиную долю русскоязычной нежелательной корреспонденции составляет «коммерческий» спам по тематике бизнес-семинаров, вопросов бухгалтерии, регистрации фирм и пр.

В целом, в июле 2007 года вирусная база Dr.Web пополнилась 16577 записями.

Служба вирусного мониторинга «Доктор Веб» представила топ-20 вирусов, чаще всего детектируемых на почтовых серверах в июле 2007 года:

   1. Win32.HLLM.Netsky.35328 19,14%
2. Win32.HLLM.Graz 15,01%
3. Win32.HLLM.MyDoom.based 8,28%
4. Win32.HLLP.Sector 8,12%
5. Win32.HLLM.Beagle 7,76%
6. Win32.HLLM.Limar.based 6,44%
7. Win32.HLLM.Netsky.based 5,74%
8. Win32.HLLM.Limar 5,13%
9. Win32.HLLM.Netsky 3,88%
10. Win32.HLLM.Perf 2,65%
11. Win32.Hazafi.30720 1,75%
12. Exploit.MS05-053 1,44%
13. Win32.HLLM.Beagle.pswzip 1,11%
14. Win32.HLLM.Oder 1,08%
15. Win32.HLLM.MyDoom.33808 1,05%
16. Win32.HLLM.MyDoom.49 0,94%
17. BackDoor.Bulknet 0,88%
18. Win32.HLLM.Netsky.24064 0,80%
19. Win32.HLLM.Generic.391 0,80%
20. Trojan.MulDrop.7173 0,75%
Прочие вредоносные программы - 7,25%.

В то же время, службой вирусного мониторинга «Доктор Веб» составлена краткая таблица результатов онлайн-проверки за месяц:

   1. VBS.Psyme.239 758
2. Trojan.Packed.142 501
3. VBS.PackFor 397
4. Trojan.Virtumod 188
5. Win32.HLLW.Autoruner 105
6. Win32.HLLM.Limar 96
7. BackDoor.Bulknet 87
8. Trojan.Spambot 82
9. Win32.HLLM.Beagle 66
10. Win32.HLLM.Wukill 65

или введите имя

CAPTCHA
1
03-08-2007 00:37:58
"трояны-шифровальщики" рулят)
0 |
03-08-2007 06:51:53
Вирусы от «Доктор Веб»? вы ничего не путаете? согласно расхожему мнению вирусы только от касперского бывают =)
0 |
03-08-2007 14:56:56
Статистика поражает. Вот уже несколько лет в топах сидят одни и те же вирусы, Netsky, MyDoom и прочие, и до сих пор антивирусники не научились с ними бороться. Одна зараза, чуть с разным кодом. Ну и где эти хваленые эвристические методы анализа? Где эта проактивная защита? Я еще могу понять компании, которые делают ОС, там хоть дыры в разных местах, а тут плати бабки и плати, а как вирусы находить не умели так и не умеют. Причем уже давно всем известные.
0 |
1
03-08-2007 16:28:06
Ты вообще читал статью? "топ-20 вирусов, чаще всего детектируемых на почтовых серверах". То есть эти вирусы постоянно бродят по сети из-за тех придурков, которым лень поставить даже бесплатный Аваст.
0 |
1
03-08-2007 16:33:35
1)статистика по почтовикам; 2) не "одни и те же вирусы", а одни и те же семейства вирусов - это существенно; 3) по поводу эвристики и проактивки можно и к гуглю обратиться, но приведу лишь две: http://support.drweb.com/faq/a15/ http://www.pcwelt.de/index.cfm?pid=1857&pk=124839 4) не нужно всех под одну гребёнку. Кто не научился бороться?
0 |
1
03-08-2007 17:00:32
Только касперский подздулся, сразу дрищ вэб вылез. маркетинг мля! PS Секлаб такой ЯП для ИТ-шников и прочих компьютерщиков.
0 |