Служба вирусного мониторинга компании «Доктор Веб» подвела итоги наблюдений за вирусной обстановкой в декабре 2006 года.

Последний месяц уходящего года ознаменовался обнаружением многочисленных уязвимостей в продуктах Outlook Express и Internet Explorer, которые предоставляют возможности выполнения произвольного кода на целевом компьютере, переполнения буфера при разборе адресной книги, удалённого просмотра файлов в папке Temporary Internet Files. Компания Microsoft присвоила этим уязвимостям статусы критических. Несмотря на то, что для этих продуктов уже выпущены соответствующие заплатки, опасность появления полноценной вредоносной программы остаётся по-прежнему высокой. Ведь, как показывает опыт, установкой обновлений большинство пользователей озадачиваются лишь после заражения компьютера. Подробнее об уязвимостях можно прочитать по ссылкам: Internet Explorer и Outlook Express.

В течение месяца отмечалась рассылка спам-писем, предлагающих пользователю либо посетить сайт пикантного содержания, либо посмотреть соответствующие фотографии. Ссылка, по которой предлагалось скачать архив, на самом деле вела на закачку троянского загрузчика, определяемого Dr.Web как Trojan.DownLoader.15512. В результате работы этого загрузчика компьютер пользователя превращается в участника рассылки спама, осуществляемой другой троянской программой – Trojan.Spambot.

Важно отметить появление троянской программы, получившей название по классификации Dr.Web Trojan.Encoder.10. Деструктивной функцией этой троянской программы является шифрование файлов на жёстких дисках (*.jpg, *.doc, *.txt, *.gif, *.rar, *.bmp) алгоритмом XOR длиной ключа 1 байт. В то время как его «предшественник» Trojan.Encoder.9 использовал 8-ми байтный ключ, а Trojan.Encoder.6 шифровал файлы с помощью криптоалгоритма RSA. Trojan.Encoder.10 заражает файлы, записываясь в начале этих файлов, и добавляет расширение *.exe. В результате заражённый файл запускается операционной системой как исполняемый с выводом сообщения

"имя_файла" was infected with dangerous and destructive virus or spyware.
CPS Anti-Spyware 2.0 deleted "имя_файла" from this path on your computer
C:\ - now your system is fully protected CPS Anti-Spyware 2.0 
allow you to recover all infected files with 100 guarantee.
Purshase full version CPS Anti-Spyware and restore "имя_файла"

и открывает Internet Explorer с нужным сайтом. Таким образом, можно сделать вывод, что данный троянец использовался исключительно в рекламных целях.

Продолжая тему использования вредоносных программ в рекламе, можно привести в пример троянскую программу Trojan.Promo. После своей установки, троянец регистрируется на определённом сайте, получая уникальный идентификационный номер. После этого он периодически скачивает рекламную информацию. В системном трее отображается иконка, щёлкнув по которой, пользователь получает сообщение, что для избавления от рекламы ему нужно отправить платное SMS на специальный номер.

Также в этом месяце был зафиксирован выпуск очередной модификации почтового червя массовой рассылки Win32.HLLM.Limar, который, к счастью, не привел к столь масштабной эпидемии, которая наблюдалась в течение всей осени. Однако всё оказалось не так просто, и в конце месяца была зафиксирована мощная спам-рассылка поздравительных писем, в которых пользователям предлагалось посмотреть новогоднюю открытку во вложении. Тем пользователям, которые доверчиво открыли вложение, скачивалась из сети Интернет очередная модификация Win32.HLLM.Limar и устанавливалась на компьютер. Специалистами Службы вирусного мониторинга компании «Доктор Веб» были оперативно внесены записи, детектирующие перечисленные вредоносные программы как Trojan.DownLoader.16958, Trojan.DownLoader.16984 и Trojan.DownLoader.16985

В декабре 2006 года вирусная база Dr.Web пополнилась 8290 записями.

Краткая таблица результатов онлайн-проверки за месяц:

Предлагаем ознакомиться со сводной таблицей вирусов, которые чаще всего обнаруживались на почтовых серверах и в сетях, защищенных Dr.Web Enterprise Suite в декабре 2006 года: