Доктор Веб: Вирусная активность в декабре 2008 года

Компания Доктор Веб рассказала о вирусной обстановке в декабре 2008 года. В первую очередь был отмечен выход патча для Windows, закрывающего уязвимость в обработчике XML. Использующий его эксплойт получил название Exploit.CVE2008.4844 по версии компании, он создаёт XML-тег, обработка которого приводит к загрузке определенного сайта и скачиванию с него вредоносных модулей. В последний месяц прошлого года наблюдался рост числа угроз, блокирующих доступ к документам, чаще всего путем переименования файлов и папок на имена, не соответствующие стандартам, принятыми в Windows. Здесь отличились Trojan.Locker.8 и Trojan.Encoder.33 – наиболее популярные в своей категории трояны.

В ожидании Нового года спамеры часто рассылали сообщения с приглашениями на сайты с открытками. На самом деле вместо сайтов ссылки вели к скачиванию различных модулей - Trojan.Spambot.4202, Trojan.Spambot.4204, Trojan.Spambot.4214, а также Trojan.Promo.42. Была проведена массовая рассылка русскоязычного спама с файлом DC005.JPG[множество символов подчёркивания].exe, маскировавшегося под картинку. В файле содержался Trojan.DownLoad.9125, он дополнительно устанавливает Trojan.PWS.GoldSpy.2579 и Trojan.PWS.GoldSpy.2580.

Социальные сети продолжают привлекать любителей легких денег. В частности, в сети "Вконтакте" происходит рассылка уведомления о возможности получения бонуса. Предлагаемая ссылка ведет на поддельный сайт с аналогичным "Вконтакте" интерфейсом, где посетителя просят ввести его пароль. Далее необходимо скачать программу для мобильника, которая занимается несанкционированной рассылкой платных SMS-сообщений.

Любопытный метод выманивая дензнаков был применен в отношении владельцев нелицензионных копий Windows. Модуль Trojan.SMSReg.1 копировал себя папку установки Windows и прописывался в автозапуске. Далее с рабочего стола убирались окна и панели, уступая место диалогу с требованием зарегистрировать используемую копию Windows с помощью SMS-сообщения.