Обзор вирусной обстановки за февраль 2008 года от компании «Доктор Веб»
1 марта 2008 года
Источник: Доктор Веб
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в феврале 2008 года.
В целом, февраль не принёс ничего существенно нового в общую картину вирусной обстановки. С конца января и практически до середины февраля наблюдалась мощная спам-рассылка поздравительных «валентинок» - Trojan.Packed.357. Отличительной особенностью распространения данной вредоносной программы является использование постоянно видоизменяющихся упаковщиков исполняемого файла, а также то, что авторы активно используют приёмы социальной инженерии для того, чтобы пользователь запустил предлагаемый файл. При своём запуске программа помещает в системный каталог Windows и устанавливает в системе драйвер со случайным именем (определяется по классификации Dr.Web как Trojan.Spambot.2569) и регистрирует его в системном реестре. В добавок, она помещает в систему конфигурационный файл для работы с P2P-сетями. Далее внедряет свой код в %systemroot%\system32\services.exe, открывает случайные UDP-порты и начинает рассылать запросы на удалённые хосты. При получении положительного отклика начинает рассылать спам.
Другим более-менее заметным событием стала спам-рассылка писем с темами "NEW Full mpeg4 Veronika Zemanova", "NEW Stunning video with a naked celebrity Beyonce", "NEW New sexy songs Salma Hayek", "Stunning video Carmen Electra", "Shocking porno dvd Meg Ryan", "Interesting porno Jennifer Lopez".
В теле письма содержится ссылка на загрузку исполняемого модуля, определяемого антивирусом Dr.Web как Trojan.DownLoader.49038.
Стоит ещё отметить спам рассылку с темой [postcard.ru] вам пришла открытка!. В письме предлагается пройти по ссылке и скачать поздравительную открытку, являющуюся на самом деле обычным загрузчиком - Trojan.DownLoader.35394. Его запуск приводит к загрузке программ для рассылки спам-корреспонденции.
Итоги спам-активности в феврале 2008
Наряду с распространением перечисленных выше спам-рассылок, активизировалась спам-рассылка, в письмах которых предлагалось загрузить то или иное коммерческое ПО по акционным ценам. Отмечался рост присутствия «коммерческого спама» с предложениями по бизнес-тематике, организации спам-рассылок по почтовым базам стран СНГ.
Статистика
В течение февраля 2008 года вирусная база Dr.Web пополнилась 15700 вирусными записями.
Предлагаем ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в феврале 2008 года:
Таблица 1. Февраль 2008 года: самые распространенные вирусы в почте |
1 | Win32.HLLM.Netsky.35328 | 78566 (30.60%) |
2 | Win32.HLLM.Beagle | 24743 (9.64%) |
3 | Win32.HLLM.Netsky | 24111 (9.39%) |
4 | Win32.HLLM.Netsky.based | 18699 (7.28%) |
5 | Win32.HLLM.MyDoom.based | 18031 (7.02%) |
6 | Exploit.MS05-053 | 9163 (3.57%) |
7 | Win32.HLLM.Perf | 8470 (3.30%) |
8 | Win32.HLLM.MyDoom.33808 | 8073 (3.14%) |
9 | Win32.HLLM.Oder | 7634 (2.97%) |
10 | Win32.HLLM.Limar.2246 | 5745 (2.24%) |
11 | Win32.HLLP.Sector | 4762 (1.85%) |
12 | BackDoor.Bulknet.145 | 3968 (1.55%) |
13 | Win32.HLLM.Netsky.24064 | 3606 (1.40%) |
14 | BackDoor.Bulknet.160 | 3144 (1.22%) |
15 | Win32.HLLM.Netsky.28008 | 2912 (1.13%) |
16 | Win32.Virut | 2911 (1.13%) |
17 | BAT.310 | 2509 (0.98%) |
18 | Win32.HLLM.MyDoom.33 | 2077 (0.81%) |
19 | Win32.Alman | 1633 (0.64%) |
20 | Win32.HLLM.Netsky.28672 | 1412 (0.55%) |
Таблица 2. Февраль 2008 года: самые распространенные вирусы на рабочих станциях |
1 | DDoS.Kardraw | 929600 (8.95%) |
2 | Win32.HLLM.Generic.440 | 225226 (2.17%) |
3 | Win32.HLLM.Lovgate.2 | 208820 (2.01%) |
4 | Win32.HLLW.Krepper | 142608 (1.37%) |
5 | VBS.Igidak | 129691 (1.25%) |
6 | Win32.HLLW.Autoruner.437 | 109673 (1.06%) |
7 | Win32.HLLP.Sector | 93245 (0.90%) |
8 | Win32.HLLP.Jeefo.36352 | 88048 (0.85%) |
9 | Win32.HLLW.Autoruner.274 | 85987 (0.83%) |
10 | Trojan.Inject.544 | 78436 (0.76%) |
11 | Trojan.Recycle | 74398 (0.72%) |
12 | Win32.Sector.4 | 73113 (0.70%) |
13 | Trojan.Click.17013 | 72738 (0.70%) |
14 | Trojan.AppActXComp | 69827 (0.67%) |
15 | Win32.HLLW.Autoruner.1053 | 68579 (0.66%) |
16 | Win32.HLLM.RoRo | 64822 (0.62%) |
17 | Win32.HLLW.Autoruner.1408 | 62208 (0.60%) |
18 | Trojan.Landa | 62196 (0.60%) |
19 | Win32.Alman | 61227 (0.59%) |
20 | Win32.HLLW.Autoruner.1268 | 58046 (0.56%) |
другие материалы раздела "Статьи и обзоры" |
все |
|
|