Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной обстановки в мае 2007 года.

Май по своему накалу событий на вирусном фронте стал практически копией апреля – главным «возмутителем спокойствия» стал почтовый червь семейства Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30-70% инфицированного почтового трафика. Уже на протяжении многих месяцев появление новой модификации Win32.HLLM.Limar приводит к резкому возникновению эпидемии.

Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения задачи детектирования. Тем не менее, принципиальных различий в функциональности данного почтового червя и его более ранних версий нет – в поражённую систему устанавливается руткит-компонента для сокрытия файлов червя на диске и записей в реестре.

Достаточно большое распространение получили вредоносные программы азиатского происхождения – многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является метод обеспечения автозапуска при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы. Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Для отключения отображения скрытых файлов в Проводнике в реестре меняется значение соответствующего параметра. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater обладают функциональностью заражения исполняемых файлов. Прослеживается тенденция «переноса» функции загрузки прочих вредоносных программ в сетевых червей. Например, Win32.HLLW.Autoruner загружает троянца для похищения паролей для онлайн-игр - Trojan.PWS.Wsgame, а также BackDoor.Paziruk, BackDoor.Cafezz.

Следует также отметить появление новой модификации или, вернее, «реинкарнации» варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser – Symbian.Viver. Данная программ была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и не способна к самостоятельному распространению и установки на целевой телефон. Как и в случае с Trojan.Webser в очередной раз злоумышленниками продемонстрирован случай удачного применения методов социальной инженерии.

Итоги спам-активности в мае 2007 года

По оценкам поступающих на анализ в компанию «Доктор Веб» спам-писем, в мае значительно активизировались рассылки «туристического спама». Это объясняется тем, что близится лето, и люди начинаются задумываться над тем, как и где они будут проводить свой отпуск. Подобный спам является наиболее «тяжёлым» - письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт, что может привести к затруднениям при скачивании подобных писем на медленных каналах связи. В качестве изображения на одном графическом файле приводится контактная информация – телефоны, адрес электронной почты, на остальных - рекламный текст, виды пейзажей предлагаемого места отдыха.

Несмотря на приближение отпускного сезона, количество спам-корреспонденции, адресованной финансовым директорам, бухгалтерам с предложениями посетить семинары, посвященные различным аспектам законодательства налогообложения, снизилось незначительно и составило примерно 67% от всего русскоязычного спама.

Англоязычный спам в подавляющем большинстве случаев (примерно 80%) – реклама медицинских препаратов, медицинских услуг, пластической хирургии.

В мае 2007 года вирусная база Dr.Web пополнилась 9474 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в мае 2007 года: