Компания «Доктор Веб» представила обзор вирусной активности за октябрь 2008 г., который оказался богат на события. По данным компании, в октябре появились новые модификации лже-антивирусов, разнообразные инструменты, применяемые для скрытия от глаз пользователей признаков вредоносной программы в почтовых рассылках, новые модификации полиморфных файловых вирусов, а также виды социальной инженерии.
Значительное число обращений от пользователей поступило в связи с очередной модификацией файлового вируса семейства Win32.Sector – Win32.Sector.12. Если заражение данным вирусом уже состоялось, то с лечением могут возникнуть сложности, поскольку Win32.Sector.12 использует такие приемы, как внедрение в память запущенных системных процессов, противодействие работе известных антивирусных продуктов, руткит-технологии. Также вирусы семейства Win32.Sector имеют возможность скачивать и устанавливать в систему вредоносные программы из интернета, которые могут со временем обновляться на сайтах, содержащих это вредоносное ПО.
За прошедший месяц продолжали активно рассылаться письма с различными модификациями Trojan.DownLoad.4419. Данные почтовые сообщения обычно немногословны и содержат ссылку на якобы порно-ролик. После завершения загрузки страницы начинается закачка вредоносного исполняемого файла. Многочисленность и схожесть различных модификаций Trojan.DownLoad.4419 позволила аналитикам «Доктор Веб» создать записи, с помощью каждой из которых может определяться множество экземпляров этого семейства. В октябре в вирусной базе Dr.Web появились такие записи, как Trojan.Packed.1207, Trojan.Packed.1219 и другие.
Вирусописатели нередко используют технику подмены отображаемого в письме адреса страницы на другой. Однако Trojan.Click.21207 продемонстрировал, что для проникновения в систему вируса можно обойтись и без метода подмены страниц, а ссылка, по которой предлагается перейти, может при этом выглядеть вполне безопасно. В данном случае ссылка вела на JPG-файл (якобы интересную картинку), который на самом деле являлся вредоносным скриптом, написанным на языке JavaScript.
Из числа других значимых почтовых рассылок октября можно отметить Trojan.Packed.1198, который привлекал к себе внимание пользователей за счет упоминания имени Анжелины Джоли в заголовке письма. Также прошла массовая рассылка спама на немецком языке с просьбой ознакомиться с важными финансовыми документами, которые на самом деле оказывались вредоносными программами с названиями Trojan.DownLoad.3735 или Trojan.DownLoad.8932.
В октябре увеличилось число мошеннических рассылок, которые не содержат в себе вредоносные программы, но при этом тем или иным способом убеждают отсылать платные SMS-сообщения, в результате чего пользователи теряют денежные средства. Одна из таких рассылок, например, предлагала поучаствовать в «акции» по получению бонуса якобы от компании МТС. На самом деле никакой акции этот оператор не проводил, а подозрения могли вызвать ее условия, более схожие с лотереей. Следует отметить, что в последнее время мошенники все чаще прибегают к способу получения денег от своих жертв через отправку SMS-сообщений. Это связано с тем, что на данный момент мобильные телефоны есть практически у каждого пользователя интернета, а оформить номер для приема платных сообщений на данный момент тоже не составляет особого труда.
Как отмечается в отчете «Доктор Веб», в последнее время участились случаи рассылки вредоносного спама по ICQ. Как и в почтовом спаме, в ICQ-спаме рассылаются ссылки на вредоносные объекты. В октябре это была, например, рекламная программа Adware.FieryAds.4, а также множество других. Через ICQ также передаются сообщения, убеждающие отправить платное SMS. Следует также отметить увеличение количества случаев рассылки спама через ICQ вредоносными программами, от имени пользователей зараженного компьютера. При этом на компьютере пользователя факт заражения никак внешне не проявляется.
По оценкам экспертов «Доктор Веб», вирусописатели продолжает эксплуатировать популярность социальных сетей, количество которых в интернете неизменно растет. Так, например, вредоносная программа, определяемая Dr.Web как Trojan.Packed.673, распространялась через сеть odnoklassniki.ru. Схема применялась следующая: распространитель вируса создает себе специальный аккаунт на сайте odnoklassniki.ru, от имени которого потом ставит оценки фотографиям пользователей; когда пользователь переходит на страницу этого заранее созданного вирусописателем аккаунта, в информации «пользователя» указывается якобы его личный сайт, при переходе на который стартует загрузка вируса на компьютер жертвы.
[Via http://rss.feedsportal.com]
