Обзор вирусной активности за октябрь от компании "Доктор Веб"

Компания «Доктор Веб» опубликовала обзор вирусной активности за октябрь 2008 года. Специалисты компании отмечают, что октябрь оказался богат на события. Прежде всего, это новые модификации уже привычных лже-антивирусов, разнообразные инструменты, применяемые авторами вирусов для скрытия от глаз пользователей признаков вредоносной программы в почтовых рассылках, новые модификации полиморфных файловых вирусов, а также виды социальной инженерии.

Значительное число обращений от пользователей поступило в связи с очередной модификации файлового вируса семейства Win32.Sector – Win32.Sector.12. Вирус использует такие приёмы, как внедрение в память запущенных системных процессов, противодействие работе известных антивирусных продуктов, руткит-технологии. Также вирусы семейства Win32.Sector имеют возможность скачивать и устанавливать в систему вредоносные программы из Интернета, которые могут со временем обновляться на сайтах, содержащих это вредоносное ПО.

За прошедший месяц продолжали активно рассылаться письма с различными модификациями Trojan.DownLoad.4419. Данные почтовые сообщения обычно немногословны и содержат ссылку на якобы порно-ролик. Причем, если ранее открывающиеся страницы представляли из себя подделку интерфейса популярного интернет-сервиса YouTube, то в октябре некоторые из рассылок ссылались на специально созданные страницы с другим, на этот раз более лаконичным, интерфейсом. В любом случае, после завершения загрузки страницы начинается закачка вредоносного исполняемого файла.

В октябре авторы вирусов вновь напомнили о том, что вредоносные программы могут рассылаться с помощью архива, защищённого паролем. Пароль при этом чаще всего находится в теле письма. В рассылке есть запароленный архив с исполняемым файлом, который определяется Dr.Web как Trojan.PWS.GoldSpy.2268.

Антивирусные компании в последнее время часто напоминают пользователям о необходимости проверять, страницы с какими именно адресами открываются в браузере при переходе к ним со ссылок из почтовых сообщений. Дело в том, что вирусописатели зачастую используют технику подмены отображаемого в письме адреса страницы на другой. Trojan.Click.21207 продемонстрировал, что для проникновения в систему вируса можно обойтись и без метода подмены страниц, а ссылка, по которой предлагается перейти, может при этом выглядеть вполне безопасно.

Из числа других значимых почтовых рассылок октября можно отметить Trojan.Packed.1198, который привлекал к себе внимание пользователей благодаря упоминания имени Анжелины Джоли в заголовке письма. Также прошла массовая рассылка спама на немецком языке с просьбой ознакомиться с важными финансовыми документами, которые на самом деле оказывались вредоносными программами с названиями Trojan.DownLoad.3735 или Trojan.DownLoad.8932.

В октябре увеличилось число мошеннических рассылок, которые не содержат в себе вредоносные программы, но при этом тем или иным способом убеждают отсылать платные SMS-сообщения, в результате чего пользователи теряют денежные средства. Одна из таких рассылок, например, предлагала поучаствовать в «акции» по получения бонуса от компании МТС. На самом деле никакой акции этот оператор не проводил, а подозрения могли вызвать ее условия, более схожие с лотереей. Следует отметить, что в последнее время мошенники всё чаще прибегают к способу получения денег от своих жертв через отправку SMS-сообщений. Это связано с тем, что на данный момент мобильные телефоны есть практически у каждого пользователя Интернета, а оформить номер для приёма платных сообщений на данный момент тоже не составляет особого труда.

В последнее время участились случаи рассылки вредоносного спама по ICQ. Как и в почтовом спаме, в ICQ-спаме рассылаются ссылки на вредоносные объекты. В октябре это была, например, рекламная программа Adware.FieryAds.4, а также множество других. Через ICQ также передаются сообщения, убеждающие отправить платное SMS (одно из них показано ниже). Следует также отметить увеличение количества случаев рассылки спама через ICQ вредоносными программами, от имени пользователей заражённого компьютера. При этом на компьютере пользователя факт заражения никак внешне не проявляется. О нём можно узнать часто только из ответного сообщения пользователя, уже получившего спам-сообщение, которое навело его на подозрение.

icq вирус

Вирусописатели продолжает эксплуатировать популярность социальных сетей, количество которые в Интернете неизменно растет. В качестве примечательного способа распространения вредоносной программы, определяемой Dr.Web как Trojan.Packed.673, можно привести следующий: распространитель вируса создаёт себе специальный аккаунт на сайте odnoklassniki.ru, от имени которого потом ставит оценки фотографиям пользователей; когда пользователь переходит на страницу этого заранее созданного вирусописателем аккаунта, в информации «пользователя» указывается якобы его личный сайт, открыв который, он и «добьётся» цели автора, т.е. загрузки вируса на свой компьютер.

В целом в октябре можно отметить некоторое увеличение способов и активности распространения вредоносных программ. К сожалению, в большинстве случае пользователи сами запускают их у себя на компьютере, поддаваясь методам социальной инженерии.

Сергей и Марина Бондаренко, 3DNews

Коды для вставки в блог\форум




Интересные новости
СБУ разоблачила 385 интернет-агитаторов, распространявших фейки о COVID-19 для нагнетания паникиСБУ разоблачила 385 интернет-агитаторов, распространявших фейки о COVID-19 для нагнетания паники
За неделю в Украине зафиксировали почти 11 тысяч кибератакЗа неделю в Украине зафиксировали почти 11 тысяч кибератак
Омбудсмен пообещала защитить персональные данные украинцевОмбудсмен пообещала защитить персональные данные украинцев
После утечки данных в Telegram количество пользователей "Дії" не снизилось, - министрПосле утечки данных в Telegram количество пользователей "Дії" не снизилось, - министр
YouTube заблокировал ролик, в котором роSSиян призывают голосовать за поправки в Конституцию и пугают геямиYouTube заблокировал ролик, в котором роSSиян призывают голосовать за поправки в Конституцию и пугают геями
Блок рекламы


Похожие новости

Стоимость Zoom из-за пандемии выросла вдвое. Глава компании за день увеличил свой капитал более чем на $800 миллионовСтоимость Zoom из-за пандемии выросла вдвое. Глава компании за день увеличил свой капитал более чем на $800 миллионов
После 19 лет работы из Google ушел главный "серый кардинал" компанииПосле 19 лет работы из Google ушел главный "серый кардинал" компании
Facebook отчитался о самом низком росте выручки с момента основания компанииFacebook отчитался о самом низком росте выручки с момента основания компании
Facebook позволил помечать компании как "временно закрытые"Facebook позволил помечать компании как "временно закрытые"
Google Мой бизнес позволил помечать компании как «временно закрытые»Google Мой бизнес позволил помечать компании как «временно закрытые»
Facebook ведёт переговоры о покупке доли в индийской телекоммуникационной компании Reliance JioFacebook ведёт переговоры о покупке доли в индийской телекоммуникационной компании Reliance Jio
Google покажет, какие места и компании временно закрыты в связи с COVID-19Google покажет, какие места и компании временно закрыты в связи с COVID-19
Описание компании в GMB не влияет на ранжирование в GoogleОписание компании в GMB не влияет на ранжирование в Google
Google скрывает отзывы на компании под ссылкой «More»Google скрывает отзывы на компании под ссылкой «More»
В США хотят заставить IT-компании вывести пользователей из «пузыря фильтров»В США хотят заставить IT-компании вывести пользователей из «пузыря фильтров»
Последние новости

Подгружаем последние новости