Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Обзор вирусной обстановки за апрель 2008 года от компании «Доктор Веб»

12 мая 2008 года

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в апреле 2008 года.

Безусловно, главным событием конца марта – начала апреля стало обнаружение новой модификации вредоносной программы, получившей наименование по классификации Dr.Web BackDoor.MaosBoot. Данная вредоносная программы относится к новому классу вирусов, представляя собой комбинацию из загрузочного вируса и руткита. BackDoor.MaosBoot нацелен в основном на проникновение в компьютеры пользователей с целью извлечения конфиденциальной финансовой информации. Вирус обладает обширным списком программ класса "банк-клиент". Усовершенствованная версия вируса с легкостью похищает с зараженных компьютеров по данному списку конфиденциальную финансовую информацию.

В середине апреля службой вирусного мониторинга «Доктор Веб» был зафиксирован всплеск спам-рассылки загрузчика уже подзабытой вредоносной программы Win32.HLLM.Limar. И, хотя данный всплеск не носил эпидемический характер, однако дал понять, что, в будущем, возможно, будет более масштабное распространение этой вредоносной программы.

Однако, по-настоящему знаковым событием стало развенчание службой вирусного мониторинга мифа не существовании варианта вредоносной программы, известной как Rustock.C. Данная вредоносная программа получила наименование Win32.Ntldrbot по классификации Dr.Web. Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Некоторые технические характеристики Win32.Ntldrbot

  • Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
  • Реализован в виде драйвера уровня ядра, работает на самом низком уровне.
  • Имеет функцию самозащиты, противодействует модификации времени исполнения.
  • Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.
  • Перехватывает системные функции неклассическим методом.
  • Работает как файловый вирус, заражая системные драйверы.
  • Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
  • Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
  • Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
  • Имеет защиту от антируткитов.
  • Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама.
  • Для связи драйвера с DLL используется специальный механизм передачи команд.

Важным обстоятельством является тот факт, что Dr.Web – единственный на сегодняшний день антивирус, способный не только обнаружить Win32.Ntldrbot в активном состоянии, но и вылечить инфицированную им систему.

Вирусная статистика за апрель 2008

Таблица 1. 20 наиболее часто встречавшихся на почтовых серверах вирусов

 01.04.2008 00:00 - 13.05.2008 23:00 
1Win32.HLLM.Netsky.35328270654 (29.51%)
2Win32.HLLM.Netsky.based95383 (10.40%)
3Win32.HLLW.Autoruner.43773490 (8.01%)
4Win32.HLLM.MyDoom.based57639 (6.28%)
5Win32.HLLM.Beagle38671 (4.22%)
6Win32.HLLM.Netsky30887 (3.37%)
7Win32.HLLP.Sector30885 (3.37%)
8Exploit.MS05-05328784 (3.14%)
9VBS.Igidak26239 (2.86%)
10Win32.HLLM.Oder22487 (2.45%)
11Win32.Virut20823 (2.27%)
12Win32.HLLM.Perf17012 (1.85%)
13Win32.HLLM.Netsky.2406416739 (1.83%)
14Win32.HLLM.MyDoom.3380811208 (1.22%)
15Win32.HLLM.Netsky.280089592 (1.05%)
16Trojan.DownLoader.495869305 (1.01%)
17Win32.LazyAdmin.327688791 (0.96%)
18Win32.HLLM.Netsky.286728689 (0.95%)
19Trojan.Regger8657 (0.94%)
20Exploit.IframeBO8093 (0.88%)

Таблица 2. 20 наиболее часто встречавшихся на компьютерах пользователей вирусов

 01.04.2008 00:00 - 13.05.2008 23:00 
1Trojan.Okuks.302184293 (33.03%)
2Trojan.Spambot.30991286403 (19.45%)
3Trojan.Click.17013501156 (7.58%)
4Trojan.Okuks.24172393 (2.61%)
5Win32.HLLM.Generic.440158366 (2.39%)
6JS.Nimda156129 (2.36%)
7Win32.Alman131706 (1.99%)
8Win32.HLLW.Autoruner.437107772 (1.63%)
9VBS.Generic.548104092 (1.57%)
10Adware.SaveNow.12891458 (1.38%)
11Win32.HLLP.PissOff.3686488904 (1.34%)
12Trojan.Recycle82489 (1.25%)
13Trojan.DownLoader.4958677948 (1.18%)
14Win32.HLLP.Jeefo.3635275027 (1.13%)
15BackDoor.Generic.113862350 (0.94%)
16VBS.Igidak49603 (0.75%)
17Win32.HLLP.Neshta48690 (0.74%)
18Win32.HLLM.Lovgate.247851 (0.72%)
19Trojan.NtRootKit.42546560 (0.70%)
20Win32.HLLW.Autoruner33661 (0.51%)

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Более 71% дохода компании — продажи бизнес-клиентам

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А