Эскулап Веб : обзор вирусной активности за июнь 2008 г.

Интернет

Компания “Доктор Веб” представила обзор вирусной активности за июнь 2008 г.

Весьма заметным событием на вирусном фронте в июне разрешено полагать нарастающее распространение опасного файлового вируса Win32.Sector.5 (в классификации некоторых антивирусных вендоров - Sality). Численность обращений администраторов компаний, пострадавших от действия этого вируса, в службу технической поддержки компании “Доктор Веб” на протяжении июня, позволяет толковать о настоящей эпидемии. По свидетельству пострадавших, проблемы с данной модификацией семейства Sector начались ещё в феврале 2008 г. В нынешнем месяце эпидемия приняла катастрофические размеры, и масштабы ее впечатляют. Посреди пострадавших - банки, аудиторские компании, торговые сети, разработчики ПО, инжиниринговые компании, НИИ, учреждения культуры федерального статуса.

Поселившись в системе, Win32.Sector.5 внедряет свойский код в память всех активных процессов, удаляет некоторые ветки реестра, позже этого загрузка в “Безопасном режиме” становится невозможной. Далее, он заражает файлы с расширением .exe и .scr на всех доступных дисках и сетевых ресурсах. Для ускорения распространения заражает файлы, прописанные в автозагрузку, и файлы, наиболее зачастую запускаемые в системе. Вдобавок, Win32.Sector.5, удаляет файлы и процессы, относящиеся к действию большинства антивирусных программ, а кроме того блокирует доступ к сайтам этих компаний, что делает невозможным скачивание обновлений.

В начале июня интернет-общественность была взбудоражена сообщениями о появлении новой модификации троянской программы семейства Encoder - Trojan.Encoder.18 в классификации Dr.Web (некоторые другие антивирусные вендоры назвали его Gpcode). Проникнув в систему, троянец осуществляет розыск файлов с определенными расширениями (в основном, документов Microsoft Office) и шифрует содержащиеся в них данные, потом чего требует от их владельца денежные средства за дешифровку. В случае с данным троянцем восстановление таких данных представляет большую сложность, так как вирусописателем был применен ключ шифрования длиной 1024 бита.

К числу курьезных происшествий разрешается отнести панику, поднятую 22 июня пользователями популярной программы для мгновенного общения ICQ из-за появления в списке их контактов якобы “вирусного” контакта с номером 12111. Работа технической поддержки компании “Доктор Веб” получила море запросов пользователей, обеспокоенных появлением этого контакта, хотя контакт вирусом быть не может. Страсти утихли только тогда, когда явление 12111 было объяснено на сайте самой ICQ.

В июне характерно проявилась тенденция минимизации размера спам-писем. Было отмечено больше десятка спам-волн, в которых рассылаемое послание состояло из броского заголовка, призванного притянуть внимательность получателя, а в теле письма находились ссылка на веб-сайт и немного слов комментариев. Отсылка пользователей к веб-сайтам в последнее пора становится все более распространенным способом, используемым спамерами для обхода спам-фильтров. Следует направить внимание, что тот самый метод таит еще одну угроза - ссылки нередко могут известия на зараженную веб-страницу, посетив которую пользователь рискует обрести себе на компьютер троянскую программу.

В рейтинге топ-20 угроз за июнь вирусы, обнаруженные посредством сервиса AV-Desk, расположились следующим образом:

  1. Trojan.Starter.516 28,08%
  2. Win32.HLLM.Generic.440 11,29%
  3. Win32.HLLW.Gavir.ini 10,30%
  4. BackDoor.Bulknet.214 6,65%
  5. BackDoor.Aimbot 6,24%
  6. Trojan.NtRootKit.425 5,93%
  7. Adware.SaveNow.128 2,19%
  8. Win32.Expiro.7 1,03%
  9. Exploit.IFrame.41 0,89%
  10. VBS.Igidak 0,86%
  11. Win32.HLLP.Jeefo.36352 0,85%
  12. Program.RemoteAdmin 0,82%
  13. Win32.Sector.20480 0,74%
  14. Trojan.DownLoader.42350 0,74%
  15. Win32.Alman 0,68%
  16. Trojan.Recycle 0,64%
  17. Win32.HLLP.Sector 0,64%
  18. VBS.Generic.548 0,64%
  19. Win32.HLLW.Gavir.54 0,63%
  20. Win32.HLLP.Whboy 0.62%

Также фирма “Доктор Веб” представила июньский рейтинг топ-20 вирусов, распространяющихся посредством электронной почты:

  1. Win32.HLLW.Autoruner.437 17,85%
  2. Win32.HLLM.Netsky.35328 11,88%
  3. BackDoor.Bulknet.214 5,72%
  4. Trojan.PWS.Lich 5,15%
  5. Win32.HLLP.PissOff.36864 4,72%
  6. Win32.HLLM.Netsky.based 4,52%
  7. Win32.HLLW.Autoruner.2147 3,89%
  8. Trojan.NtRootKit.425 3,32%
  9. Win32.HLLM.MyDoom.based 2,51%
  10. Win32.HLLM.Beagle 2,45%
  11. Win32.Virut 1,83%
  12. Trojan.Recycle 1,66%
  13. Win32.HLLW.Autoruner.1831 1,61%
  14. Exploit.MS05-053 1,56%
  15. VBS.Igidak 1,34%
  16. Trojan.MulDrop.16727 1,34%
  17. Win32.HLLP.Sector 1,17%
  18. Win32.HLLM.Oder 1,17%
  19. Trojan.Nsanti.Packed 1,15%
  20. Win32.HLLM.Netsky.24064 1,13%