«Доктор Веб»: обзор вирусной обстановки за январь 2008 г.03.02.2009 10:07

Компания «Доктор Веб» представила обзор вирусной активности за январь 2009 г. По оценкам специалистов «Доктор Веб», январь выдался относительно спокойным, если не считать эпидемию сетевого червя Win32.HLLW.Shadow.based. Заметных массовых рассылок почтовых сообщений, содержащих вредоносные вложения или ссылки на сайты с вредоносным ПО, замечено не было. Тем не менее, продолжают проявляться отдельные случаи SMS-мошенничества, фишинга, появляются новые лже-антивирусы и трояны, превращающие компьютеры пользователя в участников гигантских бот-сетей.

В январе было зафиксировано активное распространение полиморфного сетевого червя Win32.HLLW.Shadow.based. Этот вирус, при распространении по сети, пытается подобрать пароль к учётной записи администратора компьютера. Пользователям рекомендуется отключить автоматический запуск программ со съёмных дисков, так как Win32.HLLW.Shadow.based для распространения использует и этот популярный способ, эксплуатируемый в настоящее время многими вредоносными программами.

По данным «Доктор Веб», злоумышленники продолжают использовать метод распространения вредоносных программ под видом электронных открыток. Так, в декабре 2008 - январе 2009 гг. основной темой таких «открыток» (которые на самом деле представляют из себя подчас весьма опасные вредоносные программы) были новогодние и рождественские праздники. В конце января начали появляться сайты, на которых якобы расположены так называемые «валентинки». Таким образом, например, распространяется вредоносная программа, которую Dr.Web определяет как различные модификации Trojan.Spambot. Данная вредоносная программа известна также под именем Waledac. Заражённые компьютеры становятся участниками очередной создаваемой бот-сети.

Кроме того, в последнее время появился новый способ получения денег за платные SMS-сообщения, который, как отметили в компании «Доктор Веб», стремительно набирает популярность. Связан он с завлечением пользователя различными способами на заранее подготовленный сайт, откуда он должен скачать программу и установить к себе в телефон. Вместо (или, реже, помимо) заявленной функциональности программа начинает несанкционированную отправку платных SMS-сообщений. Предлагаемая для установки программа является вредоносной и определяется Dr.Web как Java.SMSSend.19.

Также остаётся популярной тема вымогания денег за программы, которые выдают себя за антивирусы. Так, в январе был замечен сайт, на котором предлагалось «проверить» компьютер на вирусы. Абсолютно все компьютеры по результатам работы этого «онлайн-сканера» оказываются заражёнными. После этого предлагается скачать якобы антивирусную программу, которая определяется Dr.Web как Trojan.Fakealert.3914.

В целом, общее количество фишинговых сообщений в январе снизилось. Основными целями для злоумышленников, использующих этот тип мошенничества, в прошедшем месяце стали пользователи интернтет-магазина amazon.ca и платёжной системы PayPal.

Кроме того, «Доктор Веб» опубликовала две вирусные двадцатки. В первой таблице представлены вредоносные файлы, обнаруженные в почтовом трафике:

  1. Win32.Virut 14723 (18,70%)
  2. Win32.HLLM.MyDoom.based 13479 (17,12%)
  3. Trojan.MulDrop.18280 6235 (7,92%)
  4. Trojan.MulDrop.13408 4594 (5,84%)
  5. Trojan.MulDrop.16727 4357 (5,53%)
  6. Win32.HLLM.Alaxala 4022 (5,11%)
  7. Win32.Sector.12 2686 (3,41%)
  8. Win32.HLLM.Beagle 2141 (2,72%)
  9. Win32.HLLM.Netsky.35328 1944 (2,47%)
  10. Win32.HLLM.Netsky 1698 (2,16%)
  11. Trojan.Click.22109 1570 (1,99%)
  12. Win32.HLLM.Mailbot 1498 (1,90%)
  13. Win32.HLLW.Shadow.3 1405 (1,78%)
  14. Win32.HLLM.Perf 1353 (1,72%)
  15. Trojan.MulDrop.19648 1252 (1,59%)
  16. Win32.HLLM.MyDoom.33 1182 (1,50%)
  17. Win32.Virut.5 968 (1,23%)
  18. Win32.IRC.Bot.based 769 (0,98%)
  19. W97M.Thus 687 (0,87%)
  20. BackDoor.Dosia.72 619 (0,79%)

Вторая таблица включает вредоносные файлы, обнаруженные в январе на компьютерах пользователей:

  1. Win32.HLLW.Gavir.ini 2451656 (19,14%)
  2. DDoS.Kardraw 2058062 (16,06%)
  3. Win32.HLLM.Generic.440 714503 (5,58%)
  4. VBS.Generic.548 453207 (3,54%)
  5. Win32.Virut.5 435746 (3,40%)
  6. Win32.Alman 358676 (2,80%)
  7. Trojan.Recycle 349560 (2,73%)
  8. Trojan.Starter.881 303349 (2,37%)
  9. Win32.Sector.16 210250 (1,64%)
  10. Win32.HLLW.Shadow.based 209118 (1,63%)
  11. Win32.HLLM.Lovgate.2 188398 (1,47%)
  12. Win32.HLLP.Neshta 174684 (1,36%)
  13. Win32.HLLP.Jeefo.36352 169943 (1,33%)
  14. Win32.HLLW.Autoruner.2536 159100 (1,24%)
  15. VBS.PackFor 138289 (1,08%)
  16. Win32.Sector.12 128054 (1,00%)
  17. Win32.HLLW.Autoruner.5555 127353 (0,99%)
  18. Win32.Sector.5 123027 (0,96%)
  19. Trojan.DownLoader.42350 119657 (0,93%)
  20. Win32.HLLM.Perf 88711 (0,69%)

©  CNews