Компания «Доктор Веб» представляет обзор вирусной активности в ноябре 2008 года. Этот месяц, в связи с закрытием хостинг-провайдера McColo Corporation, на долю которого приходилось до 75% мирового спам-трафика, можно разделить на две практически равные части. В то же время, наряду со спамом, вирусописатели в ноябре применяли и другие инструменты распространения вредоносного кода, в частности съёмные устройства.
AutoIt-черви
Свободно распространяемый язык автоматизации задач Microsoft Windows, называемый AutoIt, привлекает авторов вирусов своими широкими возможностями, что особенно проявилось в этом месяце. AutoIt характеризует лёгкость программирования. Несмотря на то, что программы на AutoIt пишутся в виде скриптов, в итоге создаётся исполняемый файл. При этом имеется возможность упаковки его исполняемой части. Авторы вирусов затрудняют анализ скрипта с помощью различных способов запутывания скрипт-кода при сохранении их функциональности.
Особую опасность вирусы, распространяемые посредством съёмных устройств, представляют для предприятий и государственных структур, которые вынуждены применять различные меры борьбе с ними. Это, в частности, использование специализированного программного обеспечения, ограничивающего возможность подключения съёмных устройств к рабочим станциям, а также, в некоторых случаях, тотальный запрет на использования подобных устройств.
В настоящее время открытое тестирование проходит версия 5.0 антивируса Dr.Web. В её состав входит поисковый модуль, позволяющий распаковывать файлы, содержащиеся в AutoIt-червях, а также анализировать AutoIt-скрипты. В вирусную базу Dr.Web подобные вирусы заносятся под именем Win32.HLLW.Autoruner.
Почтовые вирусы
До закрытия спам-хостера McColo ноябрьские почтовые рассылки, используемые для доставки вредоносных программ, были весьма многочисленными и разнообразными. При этом для мотивации пользователя, который должен был запустить вредоносный файл, использовался широкий набор методов, которые мы рассмотрим более подробно.
Trojan.PWS.GoldSpy.2454 (1,49% — доля данной вредоносной программы от общего количества писем с приложенными вредоносными файлами за ноябрь 2008 года) маскировался под электронную открытку. Данный метод используется достаточно давно, но до сих пор остаётся эффективным. Имя вредоносного исполняемого файла — card.exe. Для распространения другой модификации вируса — Trojan.PWS.GoldSpy.2466 — также использовались подобные письма, в которых содержалась прямая ссылка на вредоносный файл.
В свою очередь, для рассылки троянца Trojan.DownLoad.3735 (1,36%) использовался метод двойного расширения — в приложенном архиве active_key.zip содержался файл active_keys.zip<много пробелов>.exe. В письме приводились сведения, согласно которым аккаунт пользователя был заблокирован по его же просьбе, и ему предлагается его активировать. При этом название сервиса, к которому относится данный аккаунт, в письме не упоминалось. Для того чтобы узнать подробности процедуры активации, пользователю предлагалось открыть приложенный документ, якобы написанный в текстовом редакторе Microsoft Word, который на самом деле являлся исполняемым файлом, содержавшим вредоносный код. В другом варианте письма с этим вирусом содержались изменения отдельных пунктов контракта с пользователем.
Для распространения Trojan.PWS.GoldSpy.2456 (4,65%) применялся метод устрашения. В письме, которое получал пользователь, сообщалось о скорой блокировке доступа в Интернет. В качестве причин указывалась его незаконная деятельность по нарушению авторских прав. При этом предлагалось ознакомиться с информацией о подобной деятельности пользователя за последние 6 месяцев, которая находилась в приложенном файле, который, в свою очередь, являлся вредоносным объектом (user-EA49945X-activities.exe). Для распространения данного троянца также использовалась столь актуальная в ноябре тема, как выборы Президента США.
В другой рассылке сообщалось о том, что посылка не может быть доставлена получателю в связи с неверным указанием адреса доставки. Пользователю предлагалось распечатать приложенную «счёт-фактуру» (вредоносная программа, определяемая Dr.Web как Trojan.PWS.Panda.31 (2,50%)), а затем забрать посылку из офиса. В качестве устрашения использовалось сообщение о том, что пользователь будет вынужден оплатить $6 за каждый день хранения посылки в том случае, если не заберёт её в течение 10 дней с момента получения письма.
Также специалисты службы вирусного мониторинга компании «Доктор Веб» зафиксировали несколько русскоязычных рассылок. Так, в одной из них, рассылался «обновлённый отчёт», определяемый Dr.Web как Trojan.DownLoad.12539. Название файла здесь также содержало двойное расширение — DocNew.Doc<множество символов подчёркивания>.exe.
В другой русскоязычной рассылке предлагалось посетить бесплатный порно-сайт, на котором все ссылки вели на вредоносный файл с Trojan.Clb.23. В виде ссылок на «порно-ролики» также продолжилось распространение новых модификаций Trojan.DownLoad.4419.
В ноябре 2008 года были зафиксированы несколько рассылок, предлагающих пользователям научиться «легко зарабатывать деньги на аукционе eBay». К письму был приложен html-файл, определяемый Dr.Web как Trojan.Click.21795. В данном файле содержался зашифрованный скрипт, в результате действия которого открывался сайт, рекламирующий учебный курс. В других рассылках из этой серии рекламировался новый метод рассылки рекламных сообщений через новостные RSS-каналы, а также метод бесплатной рекламы сайтов посредством сервисов, предоставляемых Google, Yahoo и пр.
После закрытия спам-хостера McColo Corporation количество спама значительно уменьшилось, но со временем рассылка вредоносных программ посредством почтовых сообщений возобновилась. На данный момент такие рассылки непродолжительны по времени, хотя количество рассылаемых писем может достигать значительных значений. Так, продолжилась рассылка Trojan.PWS.Panda.31 и писем с зашифрованным скриптом, определяемым Dr.Web как Trojan.Click.21795.
Авторы Trojan.DownLoad.4419 выступили в новом амплуа, и разослали сообщение со ссылкой на подставной сайт, на котором предлагалось загрузить якобы бета-версию браузера Microsoft Internet Explorer 8.
Также возобновились рассылки на немецком языке, о которых компания «Доктор Веб» сообщала в обзоре вирусной активности за октябрь. В таких письмах сообщалось о денежных удержаниях, подробности чего якобы содержались в приложенном файле. И если раньше ярлык и вредоносный файл с «безопасным» расширением, в котором содержалась вредоносная программа, находились в одной папке, то в новой рассылке вредоносный файл находился внутри папки, а ярлык — снаружи. Dr.Web данный троянец определяет как Trojan.DownLoad.16843 (2,46%).
Фишинг
В ноябре 2008 года по многим странам прокатилась волна фишинговых рассылок, нацеленных на пользователей электронных денежных систем и банковских интернет-сервисов, а также других платных сервисов, предоставляемых различными компаниями. В частности, пострадали клиенты таких крупных банков как JPMorgan Chase Bank, RBC Royal Bank, пользователи Google AdWards и PayPal.
Помимо этого, активизировались SMS-мошенники, которые постоянно ищут новые методы для доставки сообщений, способных заинтересовать получателей.
За ноябрь 2008 года специалисты службы вирусного мониторинга компании «Доктор Веб» добавили в базу 25 461 вирусную запись. Каждый день в среднем добавлялось около 850 новых записей. Необходимо также учитывать, что одной вирусной записью антивирус Dr.Web позволяет определять множество модификаций вирусов. Для этого используются такие технологии обнаружения как Origins.Tracing™. Данная статистика говорит о необходимости постоянного обновления антивирусной программы с рекомендуемой частотой не реже 1 раза в час, что легко достигается с помощью встроенных в антивирусные решения Dr.Web средств автоматического обновления. Использование антиспам-модуля также на сегодняшний день является обязательным элементом защиты от паразитного почтового трафика, без которого работа с электронной почтой становится весьма затруднительной и опасной.
Вредоносные файлы, обнаруженные в ноябре в почтовом трафике
| 01.11.2008 00:00 — 01.12.2008 00:00 | ||
| 1 | Win32.HLLM.MyDoom.based | 13741 (15.33%) |
| 2 | Win32.Virut | 13036 (14.55%) |
| 3 | Win32.HLLM.Alaxala | 5705 (6.37%) |
| 4 | Trojan.MulDrop.13408 | 4534 (5.06%) |
| 5 | Win32.HLLM.Beagle | 4426 (4.94%) |
| 6 | Trojan.MulDrop.16727 | 4206 (4.69%) |
| 7 | Trojan.PWS.GoldSpy.2456 | 4145 (4.63%) |
| 8 | Win32.HLLW.Autoruner.2640 | 3032 (3.38%) |
| 9 | Trojan.MulDrop.18280 | 2580 (2.88%) |
| 10 | Trojan.PWS.Panda.31 | 2228 (2.49%) |
| 11 | Trojan.DownLoad.16843 | 2192 (2.45%) |
| 12 | Win32.HLLM.Netsky.35328 | 1888 (2.11%) |
| 13 | Win32.Virut.5 | 1497 (1.67%) |
| 14 | Win32.HLLM.MyDoom.33 | 1442 (1.61%) |
| 15 | Win32.HLLM.Netsky | 1361 (1.52%) |
| 16 | Trojan.PWS.GoldSpy.2454 | 1328 (1.48%) |
| 17 | Trojan.MulDrop.19648 | 1310 (1.46%) |
| 18 | Win32.HLLW.MyDoom.43010 | 1306 (1.46%) |
| 19 | Win32.HLLM.Mailbot | 1305 (1.46%) |
| 20 | Trojan.DownLoad.3735 | 1212 (1.35%) |
Вредоносные файлы, обнаруженные в ноябре на компьютерах пользователей
| 01.11.2008 00:00 — 01.12.2008 00:00 | ||
| 1 | Win32.HLLW.Gavir.ini | 2039696 (21.98%) |
| 2 | Win32.HLLM.Lovgate.2 | 414507 (4.47%) |
| 3 | VBS.Autoruner.7 | 310657 (3.35%) |
| 4 | Win32.HLLM.Generic.440 | 288404 (3.11%) |
| 5 | VBS.Autoruner.8 | 277825 (2.99%) |
| 6 | Win32.Alman | 275230 (2.97%) |
| 7 | DDoS.Kardraw | 252853 (2.72%) |
| 8 | Win32.HLLP.Whboy | 198018 (2.13%) |
| 9 | Trojan.Recycle | 192769 (2.08%) |
| 10 | Win32.HLLP.Neshta | 177445 (1.91%) |
| 11 | Win32.HLLP.Jeefo.36352 | 168291 (1.81%) |
| 12 | Win32.Virut.5 | 154206 (1.66%) |
| 13 | Win32.HLLW.Autoruner.274 | 147315 (1.59%) |
| 14 | Trojan.DownLoader.42350 | 132782 (1.43%) |
| 15 | Win32.HLLW.Autoruner.3631 | 120982 (1.30%) |
| 16 | VBS.Generic.548 | 110152 (1.19%) |
| 17 | Win32.HLLO.Black.2 | 97456 (1.05%) |
| 18 | Win32.HLLW.Autoruner.2805 | 89892 (0.97%) |
| 19 | Win32.HLLW.Cent | 88296 (0.95%) |
| 20 | Trojan.MulDrop.18538 | 86521 (0.93%) |