Служба вирусного мониторинга компании «Доктор Веб» подвела итоги наблюдений за вирусной обстановкой в декабре 2006 года.
Последний месяц уходящего года ознаменовался обнаружением многочисленных уязвимостей в продуктах Outlook Express и Internet Explorer, которые предоставляют возможности выполнения произвольного кода на целевом компьютере, переполнения буфера при разборе адресной книги, удалённого просмотра файлов в папке Temporary Internet Files. Компания Microsoft присвоила этим уязвимостям статусы критических. Несмотря на то, что для этих продуктов уже выпущены соответствующие заплатки, опасность появления полноценной вредоносной программы остаётся по-прежнему высокой. Ведь, как показывает опыт, установкой обновлений большинство пользователей озадачиваются лишь после заражения компьютера.
В течение месяца отмечалась рассылка спам-писем, предлагающих пользователю либо посетить сайт пикантного содержания, либо посмотреть соответствующие фотографии. Ссылка, по которой предлагалось скачать архив, на самом деле вела на закачку троянского загрузчика, определяемого Dr.Web как Trojan.DownLoader.15512. В результате работы этого загрузчика компьютер пользователя превращается в участника рассылки спама, осуществляемой другой троянской программой – Trojan.Spambot.
Важно отметить появление троянской программы, получившей название по классификации Dr.Web Trojan.Encoder.10. Деструктивной функцией этой троянской программы является шифрование файлов на жёстких дисках (*.jpg, *.doc, *.txt, *.gif, *.rar, *.bmp) алгоритмом XOR длиной ключа 1 байт. В то время как его «предшественник» Trojan.Encoder.9 использовал 8-ми байтный ключ, а Trojan.Encoder.6 шифровал файлы с помощью криптоалгоритма RSA, Trojan.Encoder.10 заражает файлы, записываясь в начале этих файлов, и добавляет расширение *.exe. В результате заражённый файл запускается операционной системой как исполняемый с выводом сообщения
"имя_файла" was infected with dangerous and destructive virus or spyware.
CPS Anti-Spyware 2.0 deleted "имя_файла" from this path on your computer C:\ - now your system is fully protected CPS Anti-Spyware 2.0
allow you to recover all infected files with 100 guarantee.
Purshase full version CPS Anti-Spyware and restore "имя_файла"
и открывает Internet Explorer с нужным сайтом. Таким образом, можно сделать вывод, что данный троянец использовался исключительно в рекламных целях.
Общий рейтинг выглядит так:
- Trojan.Bankfraud.272
- Win32.HLLM.Limar.based
- Win32.HLLM.Perf
- Win32.HLLM.Beagle
- Win32.HLLM.Netsky.35328
- Win32.HLLP.Sector
- Win32.Dref
- Win32.HLLM.Netsky.based
- Win32.HLLM.MyDoom.based
- Win32.HLLM.MyDoom.33808
- Win32.HLLM.Limar
- Trojan.DownLoader.16958
- Win32.HLLM.Graz
- Win32.HLLM.MyDoom.49
- Exploit.MS05-053
- Win32.HLLM.Netsky
- Win32.HLLM.Oder
- Exploit.MS05-053
- Exploit.IframeBO
- Win32.HLLM.MyDoom