вирусы

Компания «Доктор Веб» провела анализ вирусной ситуации в октябре 2007 года. Специалисты компании обратили внимание на новый метод для обхода антиспам-фильтров – применение вложений в виде звукового файла в формате mp3. Кстати, "Лаборатория Касперского" проигнорировала это событие в своем отчете.

По-прежнему пользователи получают спам-рассылку Storm Worm, в которой им предлагают скачать открытку. При переходе по предложенной ссылке открывается веб-страница, выполненная в мультипликационном стиле. В коде страницы размещён загрузочный скрипт, определяемый антивирусом Dr.Web как VBS.Psyme.438. В результате выполнения скрипта происходит несанкционированная установка исполняемого файла.

В прошлом месяце было зафиксировано также появление двух вредоносных программ для распространения по системе VoIP Skype – Win32.HLLW.Pykse и Trojan.PWS.Skyper. Их появление символизирует, что в обозримом будущем число вредоносных программ, распространяющихся по Skype, может возрасти.

Нельзя не отметить также появление вредоносного документа PDF, использующий уязвимости в программном обеспечении Adobe Systems Reader и Acrobat.

"Лаборатория Касперского" опубликовала отчет о вирусах по итогам октября. По мнению специалистов ЛК, в октябре вирусы вели себя необычно: вирусная статистика стабилизировалась. Трем вредоносным программам удалось остаться на тех же самых позициях, что и месяц назад. Колебания большинства остальных участников рейтинга также были весьма незначительными. Первое место среди вирусов в октябре занял Packed.Win32.NSAnti.r — фактически целое семейство разнообразных троянцев, упакованных «хакерским» протектором NSAnti. Черви Rays и Brontok вернулись в первую пятерку, хотя летом они ненадолго пропадали из поля зрения пользователей. Лидер по темпам роста в сентябре — скрипт-вирус VBS.Small.a — остался на своей 8-ой позиции, но, учитывая его способность к такому же виду размножения, как у Rays и Brontok, можно прогнозировать дальнейшее присутствие его в наших отчетах и даже повышение на несколько пунктов. IM-черви Sohanad продолжают наращивать темпы своего распространения — варианты .t и .as прибавили каждый по две позиции, и первый их них уже добрался до 10-го места.

Онлайн-итоги октября

  • В двадцатке появилось 5 новых вредоносных и потенциально опасных программ: Packed.Win32.NSAnti.r, Trojan-Downloader.VBS.Psyme.ga, Trojan.Win32.VB.atg, Trojan-Downloader.Win32.AutoIt.q, not-a-virus:Porn-Dialer.Win32.AdultBrowser.
  • Свои показатели повысили: not-a-virus:AdWare.Win32.BHO.cc, Email-Worm.Win32.Rays, IM-Worm.Win32.Sohanad.t, IM-Worm.Win32.Sohanad.as, Worm.Win32.AutoIt.c
  • Свои показатели понизили: Trojan.Win32.Dialer.qn, Trojan-Downloader.Win32.Small.ddp, not-a-virus:Monitor.Win32.Perflogger.ca, not-a-virus:PSWTool.Win32.RAS.a, not-a-virus:Monitor.Win32.Perflogger.ad, Trojan-Spy.Win32.Perfloger.ab
  • Не изменили показателей: Email-Worm.Win32.Brontok.q, Virus.VBS.Small.a, Trojan.Win32.Obfuscated.en

Специалисты японской компании Trend Micro сообщили о появлении в сети трояна Troj_Captchar.A, который предлагает пользователям посмотреть стриптиз в обмен на помощь в преодолении систем защиты от автоматических регистраций.

Троян загружается на компьютер другими троянами или червями, уже захватившими систему, и подключается к удаленному серверу. При поступлении с сервера изображений CAPTCHA (графический тест), которые необходимо расшифровать, троян активирует игру. Пользователь видит изображение одетой девушки в привлекательной позе и приглашение на стриптиз. По мере правильного ввода содержимого CAPTCHA, на экране появляется изображение девушки с уже меньшим количеством одежды. Тем временем, данные отправляются на сервер и используются для автоматической регистрации почтовых ящиков.

PandaLabs описала трех новых червей: Nussack.A, Nama.A и FlashJumper.M.

Nussack.A выполняет многочисленные вредоносные действия. Функции кейлоггера позволяют ему записывать нажатия на клавиши и клики мышкой. Кроме того, его действия часто бывают раздражающими, так как он: открывает и закрывает CD-DVD-привод, демонстрирует сообщение “I Love Kasun” и вызывает мерцание окна Internet Explorer. Для распространения червь копирует себя на различные съемные носители такие, как карты памяти USB, цифровые камеры и MP3-плееры.

Nama.A использует для распространения такой же способ. Он обманом заставляет пользователя запустить себя, а затем копируется в систему под именем XLS-файла, но при этом с расширением VBS. Затем он скрывает расширения всех файлов, чтобы пользователи не смогли заметить разницы между оригинальным файлом и копией червя. Этот червь блокирует запуск программ при загрузке системы. Также он создает записи в реестре, которые влияют на производительность системы, и могут вывести её из строя, не будучи корректно исправленными после заражения. Nama.A также выполняет другие вредоносные действия: скрывает опции Найти и Выполнить в меню Пуск и блокирует доступ к консоли MS-DOS.

FlashJumper.M – это червь, который копирует себя на носители, подключенные к системе, включая сетевые носители. Также он создает на всех из них файл autorun.inf, чтобы иметь возможность запускаться при доступе пользователей к накопителю через Windows explorer. Этот червь также создает ключ в реестре Windows, чтобы запускаться при каждой загрузке системы.

PandaLabs описала три новых вируса - UzaScreener.A, Winko.G и Destructor.A.

UzaScreener.A проникает в компьютер под видом папки Windows - My_Personal_Data. Если пользователь попытается её открыть, то немедленно запустит червя. Этот вредоносный код предназначен для перезагрузки компьютера при каждом включении. Как только компьютер перезагрузится 10 раз, фон системного окна заменяется новым, содержащим следующий текст: “U.Z.A. Operating system”. Он также изменяет изображение, которое появляется при включении компьютера, и выполняет различные вредоносные действия для того, чтобы отключить диспетчер задач. UzaScreener.A также демонстрирует следующее сообщение: “U.Z.A O/S is a virus made by ANJ which is dedicated to his very sweet and lovely wife, AAZ...With lots of love (U.Z.A O/S – это вирус, созданный ANJ и посвященный его очень милой и одинокой жене, AAZ…C любовью) ”.

Червь Winko.G распространяется посредством создания своих копий на всех возможных системных накопителях, включая съемные носители. Также он создает файл AUTORUN.INF, который запускается при каждом обращении к зараженным блокам. Этот червь занимается загрузкой вредоносных кодов из семейств троянов Lineage и Gamania, предназначенных для кражи паролей к онлайновым играм на различных сайтах. Кроме того, он создает несколько новых записей в реестре Windows и уничтожает записи из отчета, который отображает сообщения о системных ошибках.

Destructor.A копируется на все накопители зараженной системы, в результате чего червь запускается при обращении пользователей к зараженному ресурсу. Данный вредоносный код одновременно запускает несколько процессов, замедляя работоспособность системы. Кроме того, он заменяет фон на новый со словом: “Destructor”. Данный червь создает несколько записей в реестре Windows, что позволяет ему запускаться при каждой перезагрузке системы, и изменяет стартовую страницу Internet Explorer.