Обзор вирусной и спам-активности за январь 2008 года от компании «Доктор Веб»
3 февраля 2008 г.
Вирусная обстановка в январе характеризовалась относительным спокойствием. Основная вирусная активность была ниже средней. Наблюдалось постоянное присутствие в почтовом трафике новых разновидностей «штормовых червей». Менялась в основном только методология социальной инженерии для конечных пользователей — сначала эксплуатировалась тема Нового года и Рождества, в конце января начала эксплуатироваться тема дня святого Валентина (был добавлен как Trojan.Packed.336).
К концу месяца рассылка таких писем почти прекратилась, хотя её активность была высока на протяжении всего месяца. Эти письма с начала года детектировались антиспам - модулем антивируса Dr.Web как спам.
В середине месяца был отмечен всплеск спам-рассылки содержащей во вложении исполняемый файл, внесённый как Win32.HLLM.Limar.2246. Запуск этого файла приводил к соединению с удалённым сервером и установке основного тела Win32.HLLM.Limar.
В третьей декаде месяца была отмечена кратковременная рассылка Trojan.MulDrop.10487, устанавливающий программу для рассылки спама семейства BackDoor.Bulknet. Пик волны пришёлся на 26 января, когда присутствие писем, содержащих Trojan.MulDrop.10487 составляло примерно 40% инфицированного почтового трафика.
Одним из самых заметных событий января стало появление в конце прошлого года и ставшей наиболее обсуждаемой в январе 2008 вредоносной программой - BackDoor.MaosBoot, которая прописывает себя в загрузочный сектор жесткого диска и использующая руткит-технологии для своего сокрытия в инфицированной системе. Антивирус Dr.Web стал первым в мире, кто предложил пользователям лечение этой вредоносной программы, до сих пор считавшейся неизлечимой без применения дополнительных специальных средств и утилит.
Рассылки спама
Помимо перечисленных выше первичных спам-волн, которые были порождены распространением вредоносных программ, и вторичных, связанных с функциональной нагрузкой этих вирусов, следует отметить массовое распространение спам-писем с предложением закупить различное программное обеспечение.Каждый день фиксировались рассылки, связанные с предложениями посетить семинары (ликвидация предприятий, коммерческой недвижимости, использования безналоговых схем), предложения приобрести специфические медикаменты (циалис и виагру). Однако с 10 января был зафиксирован взрывообразный рост спам — рассылок , посвященный схемам уклонения от налогов и сдаче годовой налоговой отчетности. Антиспам антивируса Dr.Web детектировал указанные спам — рассылки с момента их первого появления.
Характерной особенностью спама, передаваемого по альтернативным каналам стало использование ICQ для распространения программ семейства Trojan.PWS.LDPinch посредством указания ссылок на их закачку под видом пикантных фотографий, новых версий icq и т.д.. Были зафиксированы попытки распространения по каналам ICQ новой версии трояна Trojan. Plastix. Данная рассылка была зафиксирована 17 января, при этом антивирус Dr.Web детектировал новую версию указанной троянской программы с момента ее появления.
Вирусная статистика. Январь 2008 года
| Таблица 1. 20 наиболее часто встречавшихся на почтовых серверах вирусов | ||
| 1 | Win32.HLLM.Netsky.35328 | 165729 (30.38%) |
| 2 | Win32.HLLM.Netsky | 53876 (9.88%) |
| 3 | Win32.HLLM.Netsky.based | 45231 (8.29%) |
| 4 | Win32.HLLP.PissOff.36864 | 34810 (6.38%) |
| 5 | Win32.HLLM.MyDoom.based | 32736 (6.00%) |
| 6 | Win32.HLLP.Sector | 19869 (3.64%) |
| 7 | Win32.HLLM.Perf | 18358 (3.37%) |
| 8 | Win32.HLLM.Beagle | 17904 (3.28%) |
| 9 | Exploit.MS05-053 | 16295 (2.99%) |
| 10 | Win32.HLLM.Oder | 13390 (2.45%) |
| 11 | Trojan.MulDrop.10487 | 13299 (2.44%) |
| 12 | Win32.HLLM.Limar.based | 9169 (1.68%) |
| 13 | Win32.HLLM.Netsky.24064 | 8078 (1.48%) |
| 14 | BAT.Zeke.324 | 6708 (1.23%) |
| 15 | Win32.HLLM.MyDoom.33808 | 6665 (1.22%) |
| 16 | Win32.Virut | 5817 (1.07%) |
| 17 | BackDoor.Bulknet.118 | 5653 (1.04%) |
| 18 | Win32.HLLM.Netsky.28008 | 4421 (0.81%) |
| 19 | Win32.HLLM.Limar.2246 | 3942 (0.72%) |
| 20 | Win32.HLLM.MyDoom.33 | 3927 (0.72%) |
| Таблица 2. 20 наиболее часто встречавшихся на компьютерах пользователей вирусов. | ||
| 1 | DDoS.Kardraw | 215902 (12.46%) |
| 2 | Program.RemoteAdmin | 182702 (10.54%) |
| 3 | Win32.HLLM.Lovgate.2 | 143971 (8.31%) |
| 4 | VBS.Igidak | 81180 (4.68%) |
| 5 | Trojan.Recycle | 69347 (4.00%) |
| 6 | Win32.HLLW.Autoruner.274 | 62268 (3.59%) |
| 7 | Win32.HLLP.PissOff.36864 | 51922 (3.00%) |
| 8 | Win32.HLLP.Zurx | 51641 (2.98%) |
| 9 | VBS.Generic.458 | 39691 (2.29%) |
| 10 | Trojan.Rox | 38619 (2.23%) |
| 11 | Win32.HLLP.Jeefo.36352 | 36237 (2.09%) |
| 12 | Win32.HLLM.Generic.440 | 30076 (1.74%) |
| 13 | Trojan.Regger | 27025 (1.56%) |
| 14 | Trojan.MulDrop.9985 | 26861 (1.55%) |
| 15 | Trojan.DownLoader.42681 | 24014 (1.39%) |
| 16 | Trojan.Virtumod.260 | 21661 (1.25%) |
| 17 | Adware.BitAcc | 20558 (1.19%) |
| 18 | Win32.Sector.4 | 18708 (1.08%) |
| 19 | Win32.HLLW.Autoruner.1053 | 18356 (1.06%) |
| 20 | Win32.Alman | 18058 (1.04%) |
Оцените
Сделайте репост
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Поставьте «Нравится»
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Чтобы проголосовать надо войти на страницу новости через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети для наград за активности в них. Видео о связывании аккаунта
Нам важно Ваше мнение
Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @
Другие комментарии