«Доктор Веб»: обзор вирусной обстановки за март 2007 года
Служба вирусного мониторинга компании «» провела анализ вирусной обстановки в марте 2007 года.
В целом март выдался достаточно спокойным, хотя без сюрприза не обошлось. Однако подобное спокойствие является, скорее «затишьем перед бурей», поскольку, как показывает практика, масштабные эпидемии возникают спонтанно. Противоборство почтовых червей семейств Win32.Dref (известный также как Storm Worm) и Win32.HLLM.Limar (известный также как Email-Worm.Win32.Warezov и Win32/Stration), пик которого приходился на февраль 2007 года, в марте носило достаточно вялотекущий характер. Авторы Win32.HLLM.Limar выпустили две волны своего «творения». Они, тем не менее, были достаточно быстро локализованы и не привели к возникновению эпидемии. Авторы Win32.Dref придерживаются своей методики частого обновления программных модулей с использованием полиморфных упаковщиков.
В середине месяца были зафиксированы всплески распространения сетевых и почтовых червей китайского происхождения – представители небезызвестных семейств Win32.HLLW.Whboy, Win32.HLLW.Gavir, Win32.HLLW.Hang, а также новые, Win32.HLLW.Bush, Win32.HLLM.Cobas. Кроме того, в течение целого месяца отмечалось появление новых модификаций почтового червя семейства Win32.HLLM.Graz.
Упоминаемым сюрпризом стало не столько появление, сколь массовость заражений скрипт-вирусом, получившим наименование по классификации Dr.Web – VBS.Igidak. В Службу вирусного мониторинга компании «Доктор Веб», а также в Службу технической поддержки неоднократно поступали сигналы от пользователей о заражении компьютеров VBS.Igidak. Любопытным моментов является тот факт, что основным источником заражения были flash-накопители. Во времена, когда основным источником эпидемий являются почтовые и сетевые черви, различные троянские программы, распространяющихся по сети Интернет, подобная массовость выглядит достаточно неоднозначно.
Тем не менее, данная эпидемия носила краткосрочный характер, о чём свидетельствуют данные статистики:
Кроме того, возобновилось распространение вредоносной программы, получившей наименование по классификации Dr.Web – Trojan.Plastix. Впервые эта программа, распространявшаяся под видом универсального генератора кодов пополнения счетов мобильных операторов, была зафиксирована в конце 2005 года. Тех, кто рискнул воспользоваться столь “полезной” программой, ждало серьёзное разочарование – их компьютер оказывался практически неработоспособен, потому что происходят многочисленные изменения в системном реестре – блокируется сама работа с реестром, блокируется закрытие окон, удаляются все ярлыки с Рабочего стола и.т.д.
При старте Windows пользователю выводится окно с сообщением о том, что его компьютер поражён, и для его лечения необходимо перевести на определённый почтовый ящик указанную в сообщении денежную сумму. Подобного рода кибершантаж хоть и встречается не часто - последняя «волна» наблюдалась в январе 2006, когда активно распространялись модификации Trojan.Encoder.6 - однако каждый раз приводит к возникновению локальной эпидемии. Необходимо помнить, что в подобных ситуациях не стоит переводить деньги злоумышленникам.
Это лишний раз подтверждает тот факт, что необходимо с осторожностью относиться к скачиваемым программам и подвергать их предварительной антивирусной проверке прежде, чем запускать их. В случае, если Ваш компьютер оказался поражён Trojan.Plastix, Вы всегда можете обратиться в Службу технической поддержки компании «Доктор Веб», где Вам помогут восстановить работоспособность компьютера.
В марте 2007 года вирусная база Dr.Web пополнилась 7129 записями.
Краткая таблица результатов онлайн-проверки за месяц:
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах и серверах Dr.Web Enterprise Suite в марте 2007 года:
