Доктор Веб : вирусная топ-двадцатка за май

Служба вирусного мониторинга компании "Доктор Веб" провела анализ вирусной обстановки в мае 2007 года. В рейтинге топ-20 угроз вирусы расположились следующим образом:

1. Win32.HLLM.Limar 23,68%
2. Win32.HLLM.Netsky.35328 14,27%
3. Win32.HLLM.Beagle 12,45%
4. Win32.HLLM.Perf 6,88%
5. Win32.HLLM.MyDoom.based 6,82%
6. Win32.HLLM.Netsky.based 5,69%
7. Win32.HLLM.Graz 108951 4,69%
8. Win32.HLLP.Sector 3,79%
9. Win32.Hazafi.30720 3,72%
10. Win32.HLLM.MyDoom.33808 2,26%
11. Win32.HLLM.Limar.based 1,65%
12. Win32.HLLM.MyDoom.49 1,06%
13. Win32.HLLM.Generic.422 0,91%
14. Win32.HLLM.Netsky 0,89%
15. Exploit.MS05–053 0,80%
16. Win32.HLLM.Beagle.pswzip 16938 0,73%
17. Exploit.IframeBO 0,69%
18. Win32.Grum 0,62%
19. Win32.HLLM.Oder 0,56%
20. Win32.HLLM.Generic.391 0,54%

Прочие вредоносные программы составили 7,03%.

Главным "возмутителем спокойствия" стал почтовый червь семейства Win32.HLLM.Limar, выпущенный в нескольких модификациях. Начиная с середины месяца, присутствие Win32.HLLM.Limar составляет 30–70% инфицированного почтового трафика. Уже на протяжении многих месяцев появление новой модификации Win32.HLLM.Limar приводит к резкой вспышке эпидемии.

Необходимо также отметить появление новых модификаций Win32.HLLM.Graz, распространенных с помощью спам-рассылки. Во вложении инфицированных писем прилагался файл с расширением *.hta. Было выпущено несколько модификаций *.hta-файла для затруднения детектирования. Тем не менее, принципиальных различий в функциональности этого почтового червя и его более ранних версий нет — в поражённую систему устанавливается руткит-компонента для сокрытия файлов червя на диске и записей в реестре.

Достаточно большое распространение получили вредоносные программы азиатского происхождения — многочисленные модификации Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Cent, Win32.HLLW.Autoruner, Win32.HLLW.Creater. Отличительной особенностью этих программ является автозапуск при каждом старте Windows: при заражении создаются копии вредоносной программы в каталоге Windows, а также файл autorun.inf, в котором прописан путь к файлу-носителю вредоносной программы.

Кроме того, копии вредоносных программ и сам autorun.inf являются скрытыми. Win32.HLLW.Gavir, Win32.HLLP.Whboy, Win32.HLLW.Creater способны заражать исполняемые файлы.

Следует также отметить появление новой модификации или, вернее, "реинкарнации" варианта вредоносной программы для мобильных телефонов Trojan.RedBrowser и её клонов Adware.Freesms и Trojan.Webser — Symbian.Viver. Эта программа была распространена с применением маскировки под мультимедийные кодеки. Она отправляет sms-сообщение на платный номер и не способна самостоятельно распространяться и устанавливаться на целевой телефон.

По оценкам поступающих на анализ в компанию "Доктор Веб" спам-писем, в мае значительно активизировались рассылки "туристического спама". Такой спам является наиболее "тяжёлым" — письма содержат, как правило, несколько графических файлов во вложении размером от 30 до 100 Кбайт. В качестве изображения на одном графическом файле приводится контактная информация — телефоны, адрес электронной почты, на остальных — рекламный текст, виды пейзажей предлагаемого места отдыха.

Несмотря на приближение отпускного сезона, количество спам-корреспонденции, адресованной финансовым директорам, бухгалтерам с предложениями посетить различные семинары, посвящённые различным аспектам законодательства, налогообложения, снизилось незначительно и составило примерно 67% от всего русскоязычного спама.

Англоязычный спам в подавляющем большинстве случаев (примерно 80%) — реклама медицинских препаратов, медицинских услуг, пластической хирургии.

В мае 2007 года вирусная база Dr.Web пополнилась 9474 записями.