Архив новостей

Обзор вирусной активности, октябрь 2007

Позиция Изменение позиции Вредоносная программа Вердикт PDM Доля, проценты
1 Email-Worm.Win32.NetSky.q Trojan.generic 20,11
2
New
Trojan-Spy.HTML.Fraud.ay <Not detected> (phishing email) 10,83
3
-1
Email-Worm.Win32.NetSky.aa Trojan.generic 9,07
4
+3
Worm.Win32.Feebs.gen Hidden Data Sending 5,97
5
-2
Email-Worm.Win32.Mydoom.l Trojan.generic 5,85
6
New
Exploit.Win32.PDF-URI.k <Not detected> (PDF exploit) 5,17
7
+1
Email-Worm.Win32.NetSky.t Trojan.generic 4,94
8 -4 Email-Worm.Win32.Bagle.gt Trojan.generic 4,31
9 -4 Email-Worm.Win32.Nyxem.e Trojan.generic 4,16
10
-4
Net-Worm.Win32.Mytob.c Trojan.generic 4,12
11 Email-Worm.Win32.NetSky.x Trojan.generic 2,72
12 Email-Worm.Win32.Scano.gen Trojan.generic 2,61
13 +1 Net-Worm.Win32.Mytob.t Worm.P2P.generic 2,37
14
New
Virus.Win32.Virut.a <Not detected> (file infector, not operational if KAV installed) 1,87
15
+3
Net-Worm.Win32.Mytob.u Worm.P2P.generic 1,75
16
-6
Email-Worm.Win32.NetSky.b Trojan.generic 1,40
17
Return
Email-Worm.Win32.LovGate.w Trojan.generic 1,28
18
-3
Net-Worm.Win32.Mytob.dam <Not detected> (damaged files) 1,28
19
-6
Exploit.Win32.IMG-WMF.y <Not detected> (WMF exploit) 1,07
20
-11
Trojan-Spy.HTML.Paylap.bg <Not detected> (phishing email) 1,07
Остальные вредоносные программы 8,05

 

Если бы двадцатка составлялась не по итогам полного месяца, а, скажем, по данным с 1 по 26 октября, то в ней не оказалось бы двух весьма важных вещей.

Речь идет о двух масштабных рассылках, состоявшихся в самом конце месяца. Они оказались одними из самых массовых за последнее время, особенно применительно к российскому сектору Интернета.

Первая из них, фишинговая, вывела на второе место рейтинга троянца-шпиона Fraud.ay. Неизвестные злоумышленники в очередной раз пожелали заполучить аккаунты пользователей системы «Яндекс.Деньги», создав несколько десятков поддельных сайтов и устроив спам-рассылку писем «от администрации сервиса» со ссылкой и просьбой к пользователям перейти по ней с целью ввода своих данных. Интересно следующее: мошенники настолько наплевательски отнеслись к своему детищу, что даже не проверили работоспособность ссылок в фишинговых письмах. В адресе сайта ими была допущена одна ошибка, которая при попытке обращения из стандартных клиентов MS Outlook/MS Outlook Express не позволяла его открыть. Единственным «почтовиком», игнорировавшим ошибку, оказался The Bat!. Именно в нем злоумышленники и создавали свое письмо, даже не удосужившись протестировать его на других почтовых клиентах.

Кроме того, фишинговые сайты были размещены на ресурсах, ранее уже использовавшихся для подобных атак и потому занесенных в списки запрещенных Международной антифишинговой группы. Как следствие — вход на сайт при помощи браузеров Internet Explorer 7 и Mozilla Firefox блокировался встроенными в них антифишинг-фильтрами.

В общем, много шума и никакого результата. Насколько массовой была рассылка, настолько же она оказалась и неэффективной.

Более интересна вторая атака, начавшаяся днем в пятницу, 26 октября. Электронную почту наводнили письма, содержащие в качестве вложения PDF-файл. Это был недавно открытый и уже известный эксплойт уязвимости в продуктах компании Adobe. При открытии такого PDF-документа происходило выполнение зловредного кода, в результате чего в систему пользователя устанавливался троянец-загрузчик. Численное выражение масштабов атаки — на шестом месте нашего отчета (Exploit.Win32.PDF-URI.k).

Помимо двух названных вредоносных программ новичком октябрьской статистики также стал классический файловый вирус — Virut.a. Впервые обнаруженный еще в мае 2006 года, сейчас он смог попасть в отчеты благодаря распространенности в электронной почте. Каким же образом? Уже традиционным для современных вирусов — путем заражения файлов других почтовых червей. Сравнение с «рыбой-прилипалой» из мира дикой природы давно уже имеет хождение в мире вредоносных программ. Вот так и Virut, буквально на «спинах» других червей, распространяется по миру.

Все прочие места в двадцатке остались за старыми и хорошо нам известными представителями червей — NetSky, Mydoom, Bagle, Feebs, Nyxem, Scano. Даже возвращение в двадцатку Lovegate.w не выглядит чем-то неожиданным — он по-прежнему весьма активен в странах неподалеку от своей «родины» — Юго-Восточной Азии.

Единственный новичок прошлого, сентябрьского отчета — фишинговая атака Paylap.bg — опустилась на последнее, двадцатое место.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент — 8,05 — от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

Итоги октября

  • В двадцатке появились 3 новых вредоносных программы: Trojan-Spy.HTML.Fraud.ay, Exploit.Win32.PDF-URI.k, Virus.Win32.Virut.a
  • Повысили свои показатели: Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.t, Net-Worm.Win32.Mytob.t, Net-Worm.Win32.Mytob.u
  • Понизили свои показатели: Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Nyxem.e, Net-Worm.Win32.Mytob.c, Email-Worm.Win32.NetSky.b, Net-Worm.Win32.Mytob.dam, Exploit.Win32.IMG-WMF.y, Trojan-Spy.HTML.Paylap.bg
  • Вернулся в двадцатку: Email-Worm.Win32.LovGate.w

Обзор вирусной активности, октябрь 2007

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике