Служба вирусного мониторинга компании «Доктор Веб» подвела итоги наблюдений за вирусной обстановкой в декабре 2006 года.
За последний месяц уходящего года были обнаружены многочисленные уязвимости в продуктах Outlook Express и Internet Explorer, которые предоставляют возможности выполнения произвольного кода на целевом компьютере, переполнения буфера при разборе адресной книги, удалённого просмотра файлов в папке Temporary Internet Files.
Компания Microsoft присвоила этим уязвимостям статусы критических. Несмотря на то, что для этих продуктов уже выпущены соответствующие заплатки, опасность появления полноценной вредоносной программы остаётся по-прежнему высокой. Ведь, как показывает опыт, установкой обновлений большинство пользователей озадачиваются лишь после заражения компьютера.
В течение месяца отмечалась рассылка спам-писем, предлагающих пользователю либо посетить сайт пикантного содержания, либо посмотреть соответствующие фотографии. Ссылка, по которой предлагалось скачать архив, на самом деле вела на закачку троянского загрузчика, определяемого Dr.Web как Trojan.DownLoader.15512. В результате работы этого загрузчика компьютер пользователя превращается в участника рассылки спама, осуществляемой другой троянской программой – Trojan.Spambot.
Важно отметить появление троянской программы, получившей название по классификации Dr.Web Trojan.Encoder.10. Деструктивной функцией этой троянской программы является шифрование файлов на жёстких дисках (.jpg, .doc, .txt, .gif, .rar, .bmp) алгоритмом XOR длиной ключа 1 байт. В то время как его «предшественник» Trojan.Encoder.9 использовал 8-ми байтный ключ, а Trojan.Encoder.6 шифровал файлы с помощью криптоалгоритма RSA. Trojan.Encoder.10 заражает файлы, записываясь в начале этих файлов, и добавляет расширение .exe. В результате заражённый файл запускается операционной системой как исполняемый с выводом сообщения: «имя_файла» was infected with dangerous and destructive virus or spyware. CPS Anti-Spyware 2.0 deleted «имя_файла» from this path on your computer C:\ - now your system is fully protected CPS Anti-Spyware 2.0 allow you to recover all infected files with 100 guarantee. Purshase full version CPS Anti-Spyware and restore «имя_файла», после чего открывает Internet Explorer с нужным сайтом. Таким образом, можно сделать вывод, что данный троянец использовался исключительно в рекламных целях.
Продолжая тему использования вредоносных программ в рекламе, можно привести в пример троянскую программу Trojan.Promo. После своей установки, троянец регистрируется на определённом сайте, получая уникальный идентификационный номер. После этого он периодически скачивает рекламную информацию. В системном трее отображается иконка, щёлкнув по которой, пользователь получает сообщение, что для избавления от рекламы ему нужно отправить платное SMS на специальный номер.
Также в этом месяце был зафиксирован выпуск очередной модификации почтового червя массовой рассылки Win32.HLLM.Limar, который, к счастью, не привел к столь масштабной эпидемии, которая наблюдалась в течение всей осени. Однако всё оказалось не так просто, и в конце месяца была зафиксирована мощная спам-рассылка поздравительных писем, в которых пользователям предлагалось посмотреть новогоднюю открытку во вложении. Тем пользователям, которые доверчиво открыли вложение, скачивалась из сети интернет очередная модификация Win32.HLLM.Limar и устанавливалась на компьютер. Специалистами службы вирусного мониторинга компании «Доктор Веб» были оперативно внесены записи, детектирующие перечисленные вредоносные программы как Trojan.DownLoader.16958, Trojan.DownLoader.16984 и Trojan.DownLoader.16985
Интересные материалы: все новости
|