|
Компания «Доктор Веб» представляет обзор вирусной активности в марте 2009 года.
Весна – пора, когда природа просыпается от зимнего сна, активизируются социальные процессы между людьми. Вирусописатели ведут себя не всегда последовательно, позволяют себе общение с разработчиками антивирусов посредством текстовых сообщений, внедрённых в код вредоносных программ, и другими способами.
Тексты в вирусах
Послания, обращённые к вирусным аналитикам, носят очень разный характер и указывают на культурную, национальную, политическую принадлежность вирусописателей. Некоторые из них составляют довольно пространные послания. Так, автор вируса Win32.HLLP.Neshta описал своё отношение к используемым языкам программирования, указал свою любимую марку пива и передал привет. К сожалению, мы можем привести данное сообщение лишь частично «Delphi-the best... off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам.… Восень – кепская пара... Алiварыя – лепшае пiва! Best regards 2…»
Чувства юмора у вирусописателей не отнять. Одни экземпляры вирусов содержат попытку разозлить того, кто пытается разобраться во вредоносном коде: «Looking for something?» («Что-то ищете?») В других, например, в разновидности Trojan.Fakealert высказывается сомнение в способностях специалистов антивирусной лаборатории некой компании и предлагается создать вирусную запись, которая определяет этот вирус лишь по текстовой строчке «Hello stupid developers of the… You can use this string as signature of this PE… Well, you got this text, but this will be all you get…»
Впрочем, иные вирусописатели недовольны перспективой анализа созданных ими вредоносных файлов, и беспокойство их настолько сильно, что они прямо о нём заявляют словами: «I dont need your interest in». Ясно, что автор вируса никак не заинтересован в разборке своего продукта, но это никоим образом не мешает попасть продукту в вирусную базу.
Мониторы как вирусный транспорт
Современные мониторы настолько функциональны, что появилась возможность писать вредоносные программы и для них. Так, в марте специалисты компании «Доктор Веб» впервые обнаружили новый тип вирусов, представители которого могут заражать мониторы. Данный тип вирусов получил название Trojan.Monitoring. Пока такие вирусы носят концептуальный характер, т.е. не содержат деструктивных функций. Имеющиеся модификации вирусов всего лишь выводят на экран надписи вида «Здесь был Вася» или «Hello, world!»
В будущем же с прекращением использования старых моделей мониторов эти вирусы могут стать весьма популярными. Необходимо учитывать и то, что у домашних пользователей и на рабочих местах в последнее время часто используется несколько системных блоков, к которым подключается один и тот же монитор. При этом переключение монитора между системными блоками производится обычно с помощью специальных устройств (свитчей), облегчающих процесс переключения монитора. Но с помощью таких устройств через один и тот же монитор в считанные секунды можно заразить сразу все системы в подключённых к монитору системных блоках.
Почтовые руткиты
8 марта, в Международный женский день проявилось новое явление – массовые рассылки электронных открыток-невидимок, посвящённые этому празднику. Достоверность этой информации пока подтвердить не удаётся, т.к. их существование имеющиеся у компании «Доктор Веб» факты подтверждают лишь косвенно. В ходе экспериментов выяснилось, что на отправку с помощью электронного сообщения файла размером 1МБ фактически тратится примерно на 30% больше трафика. Предполагается, что «пропадающий» трафик злоумышленники используют в своих целях, но зафиксировать такие передачи данных пока не получилось. Вероятно, речь идёт о почтовых руткитах – вредоносных программах, скрыто передающихся в почтовом трафике. Они в отличие от классических руткитов (программ), умеют скрывать своё присутсвие в системе.
В связи с распространением новых опасных типов вирусов «Доктор Веб» рекомендует пользователям сократить время работы за компьютером, особенно в Интернете, уменьшить количество используемых для работы системных блоков, мониторов и других периферийных устройств, выпущенных за последний год. В этом случае вероятность пострадать от вредоносных программ существенно снижается, в т.ч. в периоды работы за компьютером.
Вредоносные файлы, обнаруженные в марте в почтовом трафике
Win32.HLLW.Schatten.based 5279 (16.08%)
Win32.Virus 5279 (16.08%)
Win32.HLLM.Doom3.based 3887 (11.84%)
Trojan.MulltiInstall.13408 1998 (6.09%)
Trojan.MulltiInstall.18280 1709 (5.21%)
Win32.HLLM.NetHimmel 1624 (4.95%)
Win32.HLLM.Beegle 1248 (3.80%)
Trojan.MulltiInstall.16727 1137 (3.46%)
Win32.HLLW.BrutUs.3 1134 (3.45%)
Win32.HLLW.Clavier.ini 964 (2.94%)
Всего проверено 407,872,927.
Инфицировано 32,825 (0,01%)
Вредоносные файлы, обнаруженные в марте на компьютерах пользователей
Win32.HLLW.Clavier.ini – 1286547 (11,59%)
Win32.HLLW.Schatten.based – 708219 (6,38%)
Win32.Virus – 590383 (5,32%)
Win32.Virus.5 – 581150 (5,24%)
DDoS.Quardro – 436268 (3,93%)
Win32.HLLW.AutoStarter.5555 – 422478 (3,81%)
Trojan.UpLoader.42350 – 408332 (368%)
Win128.Alman – 391507 (3,53%)
Trojan.Ender.881 – 253295 (2,.28%)
Win32.Track.17 – 244931 (2,21%)
Всего проверено 82,631,570,946
Инфицировано 11,096,591 (0,01%) |
Антивирус 
Сделать стартовой
Добавить в избранное
