«Доктор Веб»: обзор вирусной обстановки за ноябрь 2008 г.
Компания «Доктор Веб» представляет обзор вирусной активности в ноябре 2008 г. Этот месяц, в связи с закрытием хостинг-провайдера McColo Corporation, на долю которого приходилось до 75% мирового спам-трафика, можно разделить на две практически равные части. В то же время, наряду со спамом, вирусописатели в ноябре применяли и другие инструменты распространения вредоносного кода, в частности съемные устройства.
До закрытия спам-хостера McColo ноябрьские почтовые рассылки, используемые для доставки вредоносных программ, были весьма многочисленными и разнообразными. При этом для мотивации пользователя, который должен был запустить вредоносный файл, использовался широкий набор методов.
Trojan.PWS.GoldSpy.2454 (доля данной вредоносной программы от общего количества писем с приложенными вредоносными файлами за ноябрь 2008 г. составила 1,49%) маскировался под электронную открытку. Данный метод используется достаточно давно, но до сих пор остается эффективным. Имя вредоносного исполняемого файла – card.exe. Для распространения другой модификации вируса - Trojan.PWS.GoldSpy.2466 – также использовались подобные письма, в которых содержалась прямая ссылка на вредоносный файл.
В свою очередь, для рассылки трояна Trojan.DownLoad.3735 (1,36%) использовался метод двойного расширения – в приложенном архиве active_key.zip содержался файл active_keys.zip.exe. В письме приводились сведения, согласно которым аккаунт пользователя был заблокирован по его же просьбе, и ему предлагается его активировать. При этом название сервиса, к которому относится данный аккаунт, в письме не упоминалось. Для того чтобы узнать подробности процедуры активации, пользователю предлагалось открыть приложенный документ, якобы написанный в текстовом редакторе Microsoft Word, который на самом деле являлся исполняемым файлом, содержавшим вредоносный код. В другом варианте письма с этим вирусом содержались изменения отдельных пунктов контракта с пользователем.
Для распространения Trojan.PWS.GoldSpy.2456 (4,65%) применялся метод устрашения. В письме, которое получал пользователь, сообщалось о скорой блокировке доступа в интернет. В качестве причин указывалась его незаконная деятельность по нарушению авторских прав. При этом предлагалось ознакомиться с информацией о подобной деятельности пользователя за последние 6 месяцев, которая находилась в приложенном файле, который, в свою очередь, являлся вредоносным объектом (user-EA49945X-activities.exe). Для распространения данного трояна также использовалась столь актуальная в ноябре тема, как выборы президента США.
В другой рассылке сообщалось о том, что посылка не может быть доставлена получателю в связи с неверным указанием адреса доставки. Пользователю предлагалось распечатать приложенную «счет-фактуру» (вредоносная программа, определяемая Dr.Web как Trojan.PWS.Panda.31; доля - 2,50%), а затем забрать посылку из офиса. В качестве устрашения использовалось сообщение о том, что пользователь будет вынужден оплатить $6 за каждый день хранения посылки в том случае, если не заберет ее в течение 10 дней с момента получения письма.
Также специалисты службы вирусного мониторинга компании «Доктор Веб» зафиксировали несколько русскоязычных рассылок. Так, в одной из них, рассылался «обновленный отчет», определяемый Dr.Web как Trojan.DownLoad.12539. Название файла здесь также содержало двойное расширение - DocNew.Doc.exe.
В другой русскоязычной рассылке предлагалось посетить бесплатный порно-сайт, на котором все ссылки вели на вредоносный файл с Trojan.Clb.23. В виде ссылок на «порно-ролики» также продолжилось распространение новых модификаций Trojan.DownLoad.4419.
В ноябре 2008 г. были зафиксированы несколько рассылок, предлагающих пользователям научиться «легко зарабатывать деньги на аукционе eBay». К письму был приложен html-файл, определяемый Dr.Web как Trojan.Click.21795. В данном файле содержался зашифрованный скрипт, в результате действия которого открывался сайт, рекламирующий учебный курс. В других рассылках из этой серии рекламировался новый метод рассылки рекламных сообщений через новостные RSS-каналы, а также метод бесплатной рекламы сайтов посредством сервисов, предоставляемых Google, Yahoo и пр.
После закрытия спам-хостера McColo Corporation количество спама значительно уменьшилось, но со временем рассылка вредоносных программ посредством почтовых сообщений возобновилась. На данный момент такие рассылки непродолжительны по времени, хотя количество рассылаемых писем может достигать значительных значений. Так, продолжилась рассылка Trojan.PWS.Panda.31 и писем с зашифрованным скриптом, определяемым Dr.Web как Trojan.Click.21795.
Авторы Trojan.DownLoad.4419 выступили в новом амплуа и разослали сообщение со ссылкой на подставной сайт, на котором предлагалось загрузить якобы бета-версию браузера Microsoft Internet Explorer 8.
Также возобновились рассылки на немецком языке. В таких письмах сообщалось о денежных удержаниях, подробности якобы содержались в приложенном файле. И если раньше ярлык и вредоносный файл с «безопасным» расширением, в котором содержалась вредоносная программа, находились в одной папке, то в новой рассылке вредоносный файл находился внутри папки, а ярлык - снаружи. Dr.Web данный троян определяет как Trojan.DownLoad.16843 (2,46%).
Свободно распространяемый язык автоматизации задач Microsoft Windows, называемый AutoIt, привлекает авторов вирусов своими широкими возможностями, а также легкостью программирования, что особенно проявилось в ноябре. Несмотря на то, что программы на AutoIt пишутся в виде скриптов, в итоге создается исполняемый файл. При этом имеется возможность упаковки его исполняемой части. Авторы вирусов затрудняют анализ скрипта с помощью различных способов запутывания скрипт-кода при сохранении их функциональности. Для распространения вирусов, созданных на языке AutoIt, используются съемные устройства.
Особую опасность такие вирусы представляют для предприятий и государственных структур, которые вынуждены применять различные меры борьбе с ними. Это, в частности, использование специализированного ПО, ограничивающего возможность подключения съемных устройств к рабочим станциям, а также, в некоторых случаях, тотальный запрет на использование подобных устройств.
В настоящее время открытое тестирование проходит версия 5.0 антивируса Dr.Web. В ее состав входит поисковый модуль, позволяющий распаковывать файлы, содержащиеся в AutoIt-червях, а также анализировать AutoIt-скрипты. В вирусную базу Dr.Web подобные вирусы заносятся под именем Win32.HLLW.Autoruner.
Кроме того, в ноябре 2008 г. по многим странам прокатилась волна фишинговых рассылок, нацеленных на пользователей электронных денежных систем и банковских интернет-сервисов, а также других платных сервисов, предоставляемых различными компаниями. В частности, пострадали клиенты таких крупных банков, как JPMorgan Chase Bank, RBC Royal Bank, пользователи Google AdWords и PayPal. Помимо этого, активизировались SMS-мошенники, которые постоянно ищут новые методы для доставки сообщений, способных заинтересовать получателей.
За ноябрь 2008 г. специалисты службы вирусного мониторинга компании «Доктор Веб» добавили в базу 25 461 вирусную запись. Каждый день в среднем добавлялось около 850 новых записей. Необходимо также учитывать, что одной вирусной записью антивирус Dr.Web позволяет определять множество модификаций вирусов. Для этого используются такие технологии обнаружения, как Origins.Tracing.
«Доктор Веб» также представил две вирусные двадцатки, составленные на основе данных, полученных в ноябре. Первая таблица включает вредоносные файлы, обнаруженные в почтовом трафике:
Win32.HLLM.MyDoom.based 13741 (15,33%)
Win32.Virut 13036 (14,55%)
Win32.HLLM.Alaxala 5705 (6,37%)
Trojan.MulDrop.13408 4534 (5,06%)
Win32.HLLM.Beagle 4426 (4,94%)
Trojan.MulDrop.16727 4206 (4,69%)
Trojan.PWS.GoldSpy.2456 4145 (4,63%)
Win32.HLLW.Autoruner.2640 3032 (3,38%)
Trojan.MulDrop.18280 2580 (2,88%)
Trojan.PWS.Panda.31 2228 (2,49%)
Trojan.DownLoad.16843 2192 (2,45%)
Win32.HLLM.Netsky.35328 1888 (2,11%)
Win32.Virut.5 1497 (1,67%)
Win32.HLLM.MyDoom.33 1442 (1,61%)
Win32.HLLM.Netsky 1361 (1,52%)
Trojan.PWS.GoldSpy.2454 1328 (1,48%)
Trojan.MulDrop.19648 1310 (1,46%)
Win32.HLLW.MyDoom.43010 1306 (1,46%)
Win32.HLLM.Mailbot 1305 (1,46%)
Trojan.DownLoad.3735 1212 (1,35%)
Вторая таблица содержит вредоносные файлы, обнаруженные в ноябре на компьютерах пользователей:
Win32.HLLW.Gavir.ini 2039696 (21,98%)
Win32.HLLM.Lovgate.2 414507 (4,47%)
VBS.Autoruner.7 310657 (3,35%)
Win32.HLLM.Generic.440 288404 (3,11%)
VBS.Autoruner.8 277825 (2,99%)
Win32.Alman 275230 (2,97%)
DDoS.Kardraw 252853 (2,72%)
Win32.HLLP.Whboy 198018 (2,13%)
Trojan.Recycle 192769 (2,08%)
Win32.HLLP.Neshta 177445 (1,91%)
Win32.HLLP.Jeefo.36352 168291 (1,81%)
Win32.Virut.5 154206 (1,66%)
Win32.HLLW.Autoruner.274 147315 (1,59%)
Trojan.DownLoader.42350 132782 (1,43%)
Win32.HLLW.Autoruner.3631 120982 (1,30%)
VBS.Generic.548 110152 (1,19%)
Win32.HLLO.Black.2 97456 (1,05%)
Win32.HLLW.Autoruner.2805 89892 (0,97%)
Win32.HLLW.Cent 88296 (0,95%)
Trojan.MulDrop.18538 86521 (0,93%)