Новости Software

Обзор вирусной активности за сентябрь от компании "Доктор Веб"

Компания «Доктор Веб» опубликовала обзор вирусной активности за сентябрь. Специалисты компании отмечают, что первый осенний месяц принёс с собой множество новых проблем, с которыми столкнулись пользователи. Среди них были и почтовые рассылки со ссылками на вредоносные программы, и трояны, которые шифруют документы, и лже-антивирусы. В начале месяца появились сразу 2 новые модификации трояна-вымогателя, шифрующего на компьютерах документы и требующего за расшифровку выкуп. Следует отметить, что рассылка последних модификаций данной вредоносной программы в последнее время происходит более интенсивно, чем прежде. После того, как все документы на компьютере зашифрованы, вирус выводит на Рабочий стол представленную ниже картинку, предлагающую прочитать текстовый файл, в котором описана процедура отправки денег авторам трояна.
trojan
Продолжая тему программ-вымогателей, можно отметить рост количества обращений пользователей с проблемой появления в браузере Internet Explorer плагинов, которые, занимая значительную часть экрана, требует отправки SMS-сообщения с мобильного телефона для того, чтобы получить инструкции по деинсталляции. Актуальной в сентябре стала и тема лже-антивирусов. Данные программы устанавливаются на систему и проявляют свою активность в виде демонстрации на рабочем столе сообщения о якобы найденном вирусе, для удаления которого из системы предлагают пользователю совершить определённые действия – скачать полную версию данной «антивирусной» программы и т.д. Данный вирус, как правило, отличается способностью отключать некоторые вкладки стандартного окна Windows, отвечающего за смену изображения на Рабочем столе - сообщение о «заражении» выводятся с помощью изменения данного изображения. Что касается спама, то наиболее заметными были рассылки нескольких типов, связанные с распространением вирусов. В частности, речь идет о сообщениях якобы содержащих ссылки на эротические ролики с участием известных людей. На деле же «ролики» оказы-вались вирусами, которые Dr.Web определяет как Trojan.DownLoad.4419. Данный троян довольно часто меняет используемые упаковщики и своё содержимое, так что в день может появляться до нескольких новых модификаций. Как обычно, в спаме присутствовали сообщения, призванные заставить пользователя ввести приватные данные на подставном сайте. Для таких сообщений характерно наличие ссылок, которые якобы ведут на известный сайт, но фактически открывают подставную страницу. Поэтому следует всегда следить за тем, какой фактически сайт открывается в браузере после перехода по ссылке из почтового сообщения. Похожий тип спама служит для завлечения пользователя на сайты, содержащие рекламу. Не обошлось в сентябре и без «штормовых» писем. «Источником» сообщения в основном выступала одна известная телекомпания – в письме содержались ссылки на «ролики», рассказывающие о выдуманных событиях. Для просмотра роликов предлагалось скачать «кодек», который, как правило, являлся одной из модификаций Trojan.DownLoad по классификации Dr.Web. В первый осенний месяц увеличилось количество рассылок писем с приложенными к ним файлами. Как правило, это были исполняемые файлы, заархивированные с помощью ZIP. Обычно в таких письмах содержится короткое сообщение, побуждающее пользователя, не колеблясь ни секунды, открыть вложение и просмотреть его содержимое. Это может быть информация о «задолженности», которую получатель должен погасить в ближайшее время, или предупреждение о приостановке доступа в Интернет в связи с нелегальной деятельностью пользователя, а также другие уловки. Примечательной оказалась русскоязычная рассылка, которая содержала в себе якобы заказанный пользователем прайс на полиграфические услуги. Файл был приложен к письму в формате Microsoft Excel и запакован архиватором ZIP. При открытии документ выглядел как спам, но содержал в себе макрос, который автоматически активировался. Макрос восстанавливал исполняемый файл, записывал его во временную папку профиля пользователя и запускал его. Восстановленный исполняемый файл определяется Dr.Web как Trojan.EmailSpy.136. Эта вредоносная программа собирает информацию об электронных адресах, содержащихся на компьютере пользователя, и передаёт автору вируса. Впоследствии эти адреса могут использоваться для дальнейшей рассылки спама. Необходимо отметить, что в сентябре был довольно большой поток писем со ссылкой на «электронные открытки». Как правило, сообщение представляет из себя небольшой текст со ссылкой на файл e-card.exe. В последнее время размер таких исполняемых файлов достигал 300-400 Кб и более. Данные файлы при запуске извлекают из себя целый комплект вредоносных программ. В качестве примера можно привести экземпляр, занесённый в вирусную базу Dr.Web под именем Trojan.MulDrop.19265, который после начала свой работы устанавливает в сис-тему Trojan.MulDrop.19266, Trojan.Siggen.252 и Trojan.Sentinel.based. Вариантов комплектации таких вредоносных программ может быть великое множество - практически каждая такая рассылка содержит в себе неповторяющийся набор вирусов. Полную версию обзора можно прочитать тут. Материалы по теме: - Dr.WEB для Windows - Антивирус + Антиспам.

window-new
Soft
Hard
Тренды 🔥