Первый месяц 2007 года показал, что вирусописатели не собирались
использовать новогодние праздники для отдыха, а готовили новые ловушки для
пользователей. Показательным примером стало появление в интернет
спам-писем, в которых пользователям предлагалось посмотреть видео-ролик
казни Саддама Хусейна. Сама казнь была осуществлена 30.12.2006 в условиях
секретности, однако, позже в прессе появились кадры самой казни, снятые с
помощью мобильного телефона.
В мир были выпущено несколько модификаций вредоносных программ, получивших
наименования по классификации Dr.Web – Trojan.DownLoader.17224,
Trojan.DownLoader.17246, Trojan.DownLoader.17456. Будучи запущенными,
данные вредоносные программы закачивают на компьютер пользователя и
запускают программы для похищения конфиденциальной информации -
Trojan.PWS.Banker.6321, Trojan.PWS.Banker.6322, Trojan.PWS.Banker.6276. О
том, что с его компьютера происходит утечка конфиденциальной информации,
пользователь может даже не догадываться, поскольку при запуске ?ролика?
запускается медиа-плеер.
Успешность использования политических тем для распространения вредоносных
программ подтвердила ещe одна волна спам-рассылки "роликов", детектируемых
Dr.Web как BackDoor.Groan, Trojan.Spambot. По данным статистики,
поступающей с почтовых серверов, количество писем, содержащих во вложении
BackDoor.Groan, составляли 87%-90% всего инфицированного почтового
трафика. Запуск вложения приводит к установке в поражённую систему
драйвера, который используется для закачки других вредоносных программ.
Кроме того, в BackDoor.Groan содержится функция работы с пиринговыми
сетями. Пиринговая сеть формируется с целью управлениями участниками сети,
несанкционированной закачкой и запуска любых файлов на поражeнных
компьютерах.
Скачиваемые BackDoor.Groan вредоносные программы в течение длительного
времени регулярно обновлялись. По данным статистики, поступающей в
компанию "Доктор Веб", обновления происходили несколько раз в день для
затруднения задачи детектирования.
Тем не менее, использование броских заголовков на политические темы не
является чем-то новым. Достаточно вспомнить появление в ноябре 2006 в
интернет червя Win32.Dref, копии которого были разосланы по всему миру
спам-рассылкой писем с заголовками о начале ядерной войны.
В январе авторы почтового червя Win32.HLLM.Limar вновь напомнили о себе,
выпустив несколько модификаций своего "детища" 15-го и 23-го января,
соответственно, тем самым "поздравив" пользователей и антивирусные
компании с Новым годом по старому стилю и с 5 месяцами своего появления в
интернет.
В январе было зафиксировано распространение сетевого червя китайского
происхождения, заражавшего исполняемые файлы. Чеврь получил наименование
по классификации Dr.Web Win32.HLLP.Whboy. Компанией "Доктор Веб" было
зафиксировано несколько вариантов представителей данного семейства. В
отдельных модификациях отсутствовал механизм заражения исполняемых файлов,
лишь функция распространения (Win32.HLLW.Whboy). Червь вызвал локальные
эпидемии в КНР, а также в отдельных регионах США и Европы.
Распространяется Win32.HLLP.Whboy посредством уязвимости в браузере при
посещении специально сформированной веб-страницы. Кроме распространения по
сетевым ресурсам, червь копирует себя на внешние устройства, если такие
подключены к компьютеру на момент заражения.
Источник: Allsoft.ru