Обзор июльских вирусов от «Доктор Веб» - 2 Августа 2007

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в июле 2007 года.

Прежде всего, необходимо упомянуть о мощной спам-рассылке, наблюдаемой в течение месяца, с темой писем «You've received an ecard from a Class-mate!» («Вы получили электронную открытку от одноклассника») и.т.п. В теле таких писем содержалась ссылка, по которой можно было скачать «поздравительную открытку». Доверчивость и любопытство оборачивались бедой для пользователей: их ПК подвергались заражению новыми версиями вредоносной программы BackDoor.Groan. Она устанавливает драйвер для сокрытия своих файлов на диске, содержит функцию работы с P2P-сетями и производит рассылку спама с поражённого компьютера.

Почтовый червь массовой рассылки Win32.HLLM.Limar в этом месяце был не столь заметен, как ранее. Лишь однажды было зафиксировано повышение уровня его присутствия в почтовом трафике, при этом на его долю пришлось около 35% всего инфицированного почтового трафика.

Следует отметить появление новых модификаций семейства почтового червя Win32.HLLM.Graz. В отдельные дни присутствие Win32.HLLM.Graz составляло 35-40% всего инфицированного почтового трафика. Заражение компьютера данными модификациями Win32.HLLM.Graz приводило к удалению и невозможности последующей установки антивирусных средств защиты.

Активизировались и так называемые «кибервымогатели». Было зафиксировано распространение нескольких модификаций опасного трояна - Trojan.Plastix, нарушающего работоспособность компьютера. Помимо этого, стоит упомянуть о новых модификациях «трояна-шифровальщика» семейства Trojan.Encoder Trojan.Encoder.11 и Trojan.Encoder.12, вымогающих у жертв значительную сумму для восстановления зашифрованных данных.

Ещё одним примером вымогательства служит Trojan.Winlock. В процессе работы он себя никак не проявляет, однако после перезагрузки компьютера сообщает пользователю, что у него нелицензионная копия ОС, и предлагает перечислить автору определённую сумму через систему «Яндекс.Деньги».

Необходимо отметить появление русскоязычной фишинговой спам-рассылки с сообщением о заблокированной учётной записи якобы от системы «Яндекс.Деньги». Детектирование таких писем внесено в базы Dr.Web как Trojan.Bankfraud.402.

Помимо упоминаемой выше спам-рассылки, наблюдалась другая волна нежелательной корреспонденции с вложениями в виде PDF-файлов. При этом по сравнению с прошлым месяцем, присутствие такого вида спама увеличилось примерно на 30%.

Увеличилась также доля «культурного» спама, в котором предлагается посетить различные мероприятия - оперные премьеры, различные выставочные залы, экскурсии. Тем не менее, львиную долю русскоязычной нежелательной корреспонденции составляет «коммерческий» спам по тематике бизнес-семинаров, вопросов бухгалтерии, регистрации фирм и пр.

В целом, в июле 2007 года вирусная база Dr.Web пополнилась 16577 записями.

Служба вирусного мониторинга «Доктор Веб» представила топ-20 вирусов, чаще всего детектируемых на почтовых серверах в июле 2007 года:
1. Win32.HLLM.Netsky.35328 19,14%
2. Win32.HLLM.Graz 15,01%
3. Win32.HLLM.MyDoom.based 8,28%
4. Win32.HLLP.Sector 8,12%
5. Win32.HLLM.Beagle 7,76%
6. Win32.HLLM.Limar.based 6,44%
7. Win32.HLLM.Netsky.based 5,74%
8. Win32.HLLM.Limar 5,13%
9. Win32.HLLM.Netsky 3,88%
10. Win32.HLLM.Perf 2,65%
11. Win32.Hazafi.30720 1,75%
12. Exploit.MS05-053 1,44%
13. Win32.HLLM.Beagle.pswzip 1,11%
14. Win32.HLLM.Oder 1,08%
15. Win32.HLLM.MyDoom.33808 1,05%
16. Win32.HLLM.MyDoom.49 0,94%
17. BackDoor.Bulknet 0,88%
18. Win32.HLLM.Netsky.24064 0,80%
19. Win32.HLLM.Generic.391 0,80%
20. Trojan.MulDrop.7173 0,75%
Прочие вредоносные программы - 7,25%.

В то же время, службой вирусного мониторинга «Доктор Веб» составлена краткая таблица результатов онлайн-проверки за месяц:
1. VBS.Psyme.239 758
2. Trojan.Packed.142 501
3. VBS.PackFor 397
4. Trojan.Virtumod 188
5. Win32.HLLW.Autoruner 105
6. Win32.HLLM.Limar 96
7. BackDoor.Bulknet 87
8. Trojan.Spambot 82
9. Win32.HLLM.Beagle 66
10. Win32.HLLM.Wukill 65