Служба вирусного мониторинга компании Доктор Веб сообщила
о результатах проведения анализа вирусной обстановки в мае 2007 года.
По словам представителя компании, май по своему накалу событий на
вирусном фронте стал практически копией апреля - главным "возмутителем
спокойствия" стал почтовый червь семейства Win32.HLLM.Limar, выпущенный
в нескольких модификациях. Начиная с середины месяца, присутствие
Win32.HLLM.Limar составляет 30-70% инфицированного почтового трафика.
Уже на протяжении многих месяцев появление новой модификации
Win32.HLLM.Limar приводит к резкому возникновению эпидемии.
Необходимо также отметить появление новых модификаций
Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении
инфицированных писем прилагался файл с расширением *.hta. Было выпущено
несколько модификаций *.hta-файла для затруднения задачи
детектирования. Тем не менее, принципиальных различий в
функциональности данного почтового червя и его более ранних версий нет
- в поражённую систему устанавливается руткит-компонент для сокрытия
файлов червя на диске и записей в реестре.
Достаточно
большое распространение получили вредоносные программы азиатского
происхождения - многочисленные модификации Win32.HLLW.Gavir,
Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner,
Win32.HLLW.Creater. Отличительной особенностью этих программ является
метод обеспечения автозапуска при каждом старте Windows: при заражении
создаются копии вредоносной программы в каталоге Windows, а также файл
autorun.inf, в котором прописан путь к файлу-носителю вредоносной
программы. Кроме того, копии вредоносных программ и сам autorun.inf
являются скрытыми. Для отключения отображения скрытых файлов в
Проводнике в реестре меняется значение соответствующего параметра.
Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater обладают
функциональностью заражения исполняемых файлов. Прослеживается и
тенденция "переноса" функции загрузки прочих вредоносных программ в
сетевых червей. Например, Win32.HLLW.Autoruner загружает троянца для
похищения паролей для онлайн-игр - Trojan.PWS.Wsgame, а также
BackDoor.Paziruk, BackDoor.Cafezz.
Следует также отметить появление новой модификации или, вернее,
"реинкарнации" варианта вредоносной программы для мобильных телефонов
Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser -
Symbian.Viver. Данная программа была распространена с применением
маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на
платный номер и неспособна к самостоятельному распространению и
установки на целевой телефон. Как и в случае с Trojan.Webser в
очередной раз злоумышленниками продемонстрирован случай удачного
применения методов социальной инженерии.
|
|
