В июле 2006 года на вирусном фронте было относительное затишье, если не считать нескольких вялотекущих эпидемий почтовых червей семейств Win32.HLLM.Netsky, Win32.HLLM.MyDoom.
Нельзя не отметить стремительное распространение “новой” модификации Win32.HLLM.Beagle, начавшееся в конце прошлого месяца. “Новой” – потому как механизм распространения этого представителя семейства почтовых червей остался неизменным с 2004 года – вложение в виде защищенного паролем ZIP-архива, а сам пароль указывался в теле инфицированного письма в виде графического изображения. Такой способ распространения был изобретен для максимального затруднения обнаружения червя почтовыми антивирусными фильтрами. Характерной особенностью “новой” модификации Win32.HLLM.Beagle является наличие rootkit-компоненты. Применение rootkit-технологий за последнее время стало главенствующей тенденцией при написании вредоносных кодов. Доказательство этому – многочисленные модификации BackDoor.Haxdoor, BackDoor.HackDef.
Цели киберпреступников неизменны – рассылка спама через компьютер пользователя, получение доступа к конфиденциальной информации. Главными “помощниками” злоумышленников остаются уязвимости в программном обеспечении и беспечность пользователей. В качестве очередного показательного примера беспечности пользователей можно отметить заражение более 1 млн компьютеров через баннер на сайте MySpace.com. Баннер эксплуатировал известную уязвимость в Windows Metafile (WMF), информация о которой была опубликована еще в январе 2006. В результате пользователю на компьютер загружались вредоносные программы, получившие названия по классификации “Доктор Веб” Trojan.PurityAd и Adware.ClickSpring.
Наиболее популярным методом распространения вирусного кода остается применение т. н. “троянских загрузчиков” (по классификации компании “Доктор Веб” – Trojan.DownLoader): когда дополнительные вредоносные коды незаметно для пользователя скачиваются из Интернета.
Другим ярким событием стало обнаружение вредоносных кодов, использующих недавно обнаруженную уязвимость в продуктах MS Power Point, предназначенных для подготовки презентационных материалов. Суть уязвимости заключалась в возможности скрытого запуска произвольного кода на целевой системе.
Нельзя также не отметить кратковременную возросшую (примерно на 12%) в середине июля активность т. н. “фишеров”. Технологии “фишеров” заключаются в рассылке потенциальным жертвам подложных писем якобы от имени какой-нибудь банковской системы, в которых их просят зайти на подделанный преступниками “сайт” такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях. Специалистами службы вирусного мониторинга компании “Доктор Веб” была разработана специальная запись, позволяющая детектировать широкий спектр модификаций подобного рода вредоносного кода – Trojan.Bankfraud.272.
Также июль этого года “подарил” миру еще один вид мошенничества – “вишинг” – технология интернет-мошенничества, разновидность фишинга, заключающаяся в использовании в злонамеренных целях war diallers (автонабирателей) и возможностей интернет-телефонии (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т. д. Потенциальные жертвы получают телефонные звонки, якобы от имени легальных организаций, в которых их просят ввести с клавиатуры телефона, смартфона или КПК пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях.
Конец месяца ознаменовался распространением по сети мгновенных сообщений (ICQ) новой модификации троянской программы, получившей по классификации компании “Доктор Веб” название Trojan.PWS.LDPinch.1061. Данный троянец предназначался для перехвата и дальнейшей передачи на удаленный сервер всех собранных паролей в целевой системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т. д.
Компания “Доктор Веб” представляет вирусную статистику за июль 2006 год для 20-ти наиболее распространенных вирусов:
Наименование вируса, процент от общего количества вирусов:
Win32.HLLM.Beagle – 25,08%;
Win32.HLLM.Netsky.35328 – 12%;
Win32.HLLM.MyDoom.based – 9,94%;
Win32.HLLM.Beagle.pswzip – 7,49%;
Win32.HLLM.Netsky.based – 7,46%;
Trojan.Bankfraud.272 – 7,25 %;
Win32.HLLM.MyDoom – 3,92%;
Win32.HLLM.Graz – 3,8%;
Win32.HLLM.Perf – 2,69%;
Win32.HLLM.MyDoom.33808 – 2,23%;
Win32.HLLM.MyDoom.49 – 2,14%;
Win32.HLLM.Beagle.19802 – 1,42%;
Win32.HLLM.Lovgate.9 – 1,11%;
Win32.HLLM.Perf.based – 1,08%;
Exploit.IframeBO – 1,01%;
Win32.HLLM.Beagle.27136 – 0,85%;
Win32.HLLM.Netsky – 0,81%;
Program.RemoteAdmin – 0,75%;
Win32.HLLM.Bagz – 0,73%;
Win32.HLLM.Generic.391 – 0,66%;
BackDoor.IRC.HellBot – 0,63%.
