Компания «Доктор Веб» представляет обзор вирусной активности в августе 2008 года.

Несмотря на отсутствие в августе новых сколько-нибудь интересных с точки зрения вирусного анализа вредоносных программ, этот месяц все же был насыщен различными событиями на вирусном фронте.

Август ознаменовался появлением новой модификации Trojan.Encoder - Trojan.Encoder.19. О нём мы уже рассказывали в наших новостях. Данный троян занимается тем, что шифрует пользовательские файлы, находящиеся на компьютере, после чего удаляется, а затем предлагает расшифровать их за некоторое вознаграждение. Специалисты компании «Доктор Веб» оперативно отреагировали на появление этой вредоносной программы и предложили пользователям бесплатную утилиту-дешифратор.

Основным транспортом попадания вирусов на компьютеры пользователей продолжают оставаться почтовые рассылки с содержащимися в них ссылками на вредоносные файлы или сайты, в которые, в свою очередь, внедрены скрипты, начинающие автоматическую закачку вредоносных файлов или завлекающие тем или иным образом пользователей скачать, а затем и запустить эти файлы. Как правило, это письма со ссылками на якобы эротические видеоролики со знаменитостями, либо так называемые «штормовые» письма, содержащие якобы срочные выпуски новостей от известных новостных агентств с предложением просмотреть на сайте ролик, посвящённый выдуманному событию. Практически все такие вредоносные файлы определяются антивирусом Dr.Web как очередные модификации Trojan.Fakealert, Trojan.DownLoad или Trojan.Packed и представляют собой исполняемые файлы, запакованные каждый раз новым упаковщиком (такие упаковщики также называют полиморфными упаковщиками). В зависимости от целей авторов того или иного вируса, при запуске данные вредоносные файлы начинают закачку из Интернета и запуск на компьютере пользователей других вредоносных программ. Практически все такие почтовые сообщения отфильтровываются антиспамом, встроенным в антивирусные продукты под маркой Dr.Web.

Ниже пойдёт речь о некоторых из вирусов, которые рассылаются при помощи спам-сообщений, и которые заслуживают отдельного внимания.

Политические события, которые находят широкий резонанс в мире, обычно не остаются незамеченными и в виртуальном пространстве. В августе вирусописателями довольно активно эксплуатировались кавказские события. В частности, была зафиксирована рассылка писем с темой «Journalists shot in Georgia» и приложенным архивом Georgia.zip, содержимое которого антивирус Dr.Web определяет как Trojan.Packed.151.

Естественное желание пользователей обезопасить информацию, хранящуюся на компьютерах, активно используется злоумышленниками для распространения троянских программ. В частности, всё чаще пользователю предлагается скачать самый лучший и бесплатный антивирус или критическое обновление для используемой операционной системы. На поверку все эти программы оказываются троянами. Особо стоит выделить августовскую рассылку почтовых сообщений с предложением скачать антивирус с названием Antivirus XP 2008, который антивирусом Dr.Web определяется как Trojan.Fakealert.995.

В последнее время вирусописатели редко используют способ рассылки вирусов, при котором вредоносный файл прикреплён непосредственно к почтовому сообщению. Тем не менее, в августе было зафиксировано несколько крупных рассылок писем с приложенными к ним файлами, которые Dr.Web определяет как Trojan.Click.19861 и Trojan.Click.19769. В дни массовой рассылки этих вирусов доля почтового трафика, в котором содержались соответствующие файлы, достигала 90% от всего вредоносного почтового трафика.

Примечательный вирус
По информации из вирусной лаборатории компании «Доктор Веб», в конце августа получил распространение новый вариант Backdoor.Haxdoor - BackDoor.Haxdoor.559. Новая модификация вируса позволяет воровать с компьютера пользователя сертификаты и пароли от банк-клиентов инвестиционного банка "КИТФинанс" и платёжной системы faktura.ru, предоставляющей услуги онлайн-банкинга для 134 банков России.

Вирус распространяется через систему обмена сообщений ICQ в виде GIF-файла, который на самом деле является зашифрованным скриптом. Когда пользователь запускает вредоносный GIF-файл, скрипт автоматически скачивает из Интернета остальные компоненты вредоносной программы.

Статистика обнаружений вредоносных файлов в почтовых потоках

Статистика обнаружений вредоносных файлов на рабочих станциях