Новости Software

Обзор вирусной активности за ноябрь от компании "Доктор Веб"

Компания «Доктор Веб» опубликовала обзор вирусной активности за ноябрь 2008 года. Специалисты компании отмечают, что в связи с закрытием хостинг-провайдера McColo Corporation, на долю которого приходилось до 75% мирового спам-трафика, количество спама в ноябре уменьшилось. В то же время, наряду со спамом, вирусописатели в ноябре применяли и другие инструменты распространения вредоносного кода, в частности съемные устройства. За ноябрь 2008 года специалисты службы вирусного мониторинга компании «Доктор Веб» добавили в базу 25 461 вирусную запись. Каждый день в среднем добавлялось около 850 новых записей. Необходимо также учитывать, что одной вирусной записью антивирус Dr.Web позволяет определять множество модификаций вирусов. До закрытия спам-хостера McColo ноябрьские почтовые рассылки, используемые для доставки вредоносных программ, были весьма многочисленными и разнообразными. При этом для мотивации пользователя, который должен был запустить вредоносный файл, использовался широкий набор методов. Trojan.PWS.GoldSpy.2454 (1,49% - доля данной вредоносной программы от общего количества писем с приложенными вредоносными файлами за ноябрь 2008 года) маскировался под электронную открытку. Данный метод используется достаточно давно, но до сих пор остается эффективным. Имя вредоносного исполняемого файла – card.exe. Для распространения другой модификации вируса - Trojan.PWS.GoldSpy.2466 – также использовались подобные письма, в которых содержалась прямая ссылка на вредоносный файл. В свою очередь, для рассылки троянца Trojan.DownLoad.3735 (1,36%) использовался метод двойного расширения – в приложенном архиве active_key.zip содержался файл active_keys.zip<много пробелов>.exe. В письме приводились сведения, согласно которым аккаунт пользователя был заблокирован по его же просьбе, и ему предлагается его активировать. При этом название сервиса, к которому относится данный аккаунт, в письме не упоминалось. Для того чтобы узнать подробности процедуры активации, пользователю предлагалось открыть приложенный документ, якобы написанный в текстовом редакторе Microsoft Word, который на самом деле являлся исполняемым файлом, содержавшим вредоносный код. В другом варианте письма с этим вирусом содержались изменения отдельных пунктов контракта с пользователем. Для распространения Trojan.PWS.GoldSpy.2456 (4,65%) применялся метод устрашения. В письме, которое получал пользователь, сообщалось о скорой блокировке доступа в Интернет. В качестве причин указывалась его незаконная деятельность по нарушению авторских прав. При этом предлагалось ознакомиться с информацией о подобной деятельности пользователя за последние 6 месяцев, которая находилась в приложенном файле, который, в свою очередь, являлся вредоносным объектом (user-EA49945X-activities.exe). Для распространения данного троянца также использовалась столь актуальная в ноябре тема, как выборы Президента США. В другой рассылке сообщалось о том, что посылка не может быть доставлена получателю в связи с неверным указанием адреса доставки. Пользователю предлагалось распечатать приложенную «счёт-фактуру» (вредоносная программа, определяемая Dr.Web как Trojan.PWS.Panda.31 (2,50%)), а затем забрать посылку из офиса. В качестве устрашения использовалось сообщение о том, что пользователь будет вынужден оплатить $6 за каждый день хранения посылки в том случае, если не заберет ее в течение 10 дней с момента получения письма. Также специалисты службы вирусного мониторинга компании «Доктор Веб» зафиксировали несколько русскоязычных рассылок. Так, в одной из них, рассылался «обновлённый отчёт», определяемый Dr.Web как Trojan.DownLoad.12539. Название файла здесь также содержало двойное расширение - DocNew.Doc<множество символов подчёркивания>.exe.
Отчет
В другой русскоязычной рассылке предлагалось посетить бесплатный порно-сайт, на котором все ссылки вели на вредоносный файл с Trojan.Clb.23. В виде ссылок на «порно-ролики» также продолжилось распространение новых модификаций Trojan.DownLoad.4419. В ноябре 2008 года были зафиксированы несколько рассылок, предлагающих пользователям научиться «легко зарабатывать деньги на аукционе eBay». К письму был приложен html-файл, определяемый Dr.Web как Trojan.Click.21795. В данном файле содержался зашифрованный скрипт, в результате действия которого открывался сайт, рекламирующий учебный курс. В других рассылках из этой серии рекламировался новый метод рассылки рекламных сообщений через новостные RSS-каналы, а также метод бесплатной рекламы сайтов посредством сервисов, предоставляемых Google, Yahoo и пр. После закрытия спам-хостера McColo Corporation количество спама значительно уменьшилось, но со временем рассылка вредоносных программ посредством почтовых сообщений возобновилась. На данный момент такие рассылки непродолжительны по времени, хотя количество рассылаемых писем может достигать значительных значений. Так, продолжилась рассылка Trojan.PWS.Panda.31 и писем с зашифрованным скриптом, определяемым Dr.Web как Trojan.Click.21795. Материалы по теме: - Dr.WEB для Windows - Антивирус + Антиспам.

window-new
Soft
Hard
Тренды 🔥