Служба вирусного мониторинга компании «Доктор Веб» подвела итоги наблюдений за вирусной обстановкой в декабре
2006 года.
Последний месяц уходящего года ознаменовался обнаружением многочисленных уязвимостей в продуктах Outlook Express и
Internet Explorer, которые предоставляют возможности выполнения произвольного кода на целевом компьютере, переполнения
буфера при разборе адресной книги, удалённого просмотра файлов в папке Temporary Internet Files. Компания Microsoft
присвоила этим уязвимостям статусы критических. Несмотря на то, что для этих продуктов уже выпущены соответствующие
заплатки, опасность появления полноценной вредоносной программы остаётся по-прежнему высокой. Ведь, как показывает опыт,
установкой обновлений большинство пользователей озадачиваются лишь после заражения компьютера.
В течение месяца отмечалась рассылка спам-писем, предлагающих пользователю либо посетить сайт пикантного содержания,
либо посмотреть соответствующие фотографии. Ссылка, по которой предлагалось скачать архив, на самом деле вела на закачку
троянского загрузчика, определяемого Dr.Web как Trojan.DownLoader.15512. В результате работы этого загрузчика
компьютер пользователя превращается в участника рассылки спама, осуществляемой другой троянской программой –
Trojan.Spambot.
Важно отметить появление троянской программы, получившей название по классификации Dr.Web Trojan.Encoder.10.
Деструктивной функцией этой троянской программы является шифрование файлов на жёстких дисках (*.jpg, *.doc, *.txt,
*.gif, *.rar, *.bmp) алгоритмом XOR длиной ключа 1 байт. В то время как его «предшественник» Trojan.Encoder.9
использовал 8-ми байтный ключ, а Trojan.Encoder.6 шифровал файлы с помощью криптоалгоритма RSA.
Trojan.Encoder.10 заражает файлы, записываясь в начале этих файлов, и добавляет расширение *.exe. В результате
заражённый файл запускается операционной системой как исполняемый с выводом сообщения:
| "имя_файла" was infected with dangerous and destructive virus or spyware.
CPS Anti-Spyware 2.0 deleted "имя_файла" from this path on your computer C:\ - now your system is fully protected CPS Anti-Spyware 2.0
allow you to recover all infected files with 100 guarantee.
Purshase full version CPS Anti-Spyware and restore "имя_файла" |
и открывает Internet Explorer с нужным сайтом. Таким образом, можно сделать вывод, что данный троянец использовался
исключительно в рекламных целях.
Продолжая тему использования вредоносных программ в рекламе, можно привести в пример троянскую программу
Trojan.Promo. После своей установки, троянец регистрируется на определённом сайте, получая уникальный
идентификационный номер. После этого он периодически скачивает рекламную информацию. В системном трее отображается
иконка, щёлкнув по которой, пользователь получает сообщение, что для избавления от рекламы ему нужно отправить платное
SMS на специальный номер.
Также в этом месяце был зафиксирован выпуск очередной модификации почтового червя массовой рассылки
Win32.HLLM.Limar, который, к счастью, не привел к столь масштабной эпидемии, которая наблюдалась в течение всей
осени. Однако всё оказалось не так просто, и в конце месяца была зафиксирована мощная спам-рассылка поздравительных
писем, в которых пользователям предлагалось посмотреть новогоднюю открытку во вложении. Тем пользователям, которые
доверчиво открыли вложение, скачивалась из сети Интернет очередная модификация Win32.HLLM.Limar и устанавливалась
на компьютер. Специалистами Службы вирусного мониторинга компании «Доктор Веб» были оперативно внесены записи,
детектирующие перечисленные вредоносные программы как Trojan.DownLoader.16958, Trojan.DownLoader.16984 и
Trojan.DownLoader.16985.
|
|
