Обзор вирусной активности за декабрь от компании "Доктор Веб"

Компания «Доктор Веб» опубликовала обзор вирусной активности за ноябрь 2008 года. Последний месяц прошедшего года подтвердил прогнозы, которые были даны в обзоре вирусной обстановки за 2008 год. В частности, во второй половине декабря возросло число почтовых рассылок, с помощью которых возобновилось массовое распространение вредоносных программ. Также продолжились фишинг-рассылки, появились новые методы, используемые SMS-мошенниками, по-прежнему кибер-преступниками активно эксплуатируются социальные сети.

В декабре появилось сразу несколько заметных случаев распространения вредоносных программ, которые блокируют доступ к документам пользователя. Одной из таких программ стал троянец Trojan.Locker.8, который блокировал доступ к документам и папкам посредством их переименования на имена, не соответствующие стандартам, принятыми в Windows. Этот троянец распространялся в виде генератора серийных номеров на продукты, выпускаемые Adobe Systems.

Trojan.Encoder.33 представлял из себя новую модификацию программ, использующих шифрование пользовательских документов. На этот раз помимо шифрования файлов троянец перемещал их специально создаваемые папки, расположенные в профиле пользователя Windows. Оригинальные файлы заменялись сообщением "FileError_22001", при этом если документ имел текстовый формат, то и сообщение было в текстовом формате, на место же графических файлов помещался графический файл с тем же сообщением.

Вирусописатели продолжают рассылать вредоносные программы под видом электронных открыток. В частности, в рассылке от якобы сервиса Hallmark давалась прямая ссылка на самораспаковывающийся архив, содержащий целый набор вполне безвредных системных утилит, которые использовались для своих нужд вредоносной программой, также входящей состав архива.

Также авторами «электронных открыток» активно эксплуатировалась тема рождественских праздников. В течение последней декады декабря пользователи электронной почты получили множество писем со ссылкой на сайт, откуда якобы можно скачать рождественскую открытку. На деле же все ссылки на данном подставном сайте вели на различные вредоносные программы, которые определяются Dr.Web как Trojan.Spambot.4202, Trojan.Spambot.4204, Trojan.Spambot.4214, а также Trojan.Promo.42.

С 16 по 23 декабря была заметна русскоязычная рассылка, к которой была приложена якобы фотография. На самом деле в приложенном архиве находился исполняемый файл DC005.JPG[множество символов подчёркивания].exe, который является троянцем Trojan.DownLoad.9125. Данный троянец при запуске загружает из Интернета вредоносную программу Trojan.PWS.GoldSpy.2581, которая, в свою очередь устанавливает в систему ещё два своих компонента - Trojan.PWS.GoldSpy.2579 и Trojan.PWS.GoldSpy.2580. Рассылка данного троянца, к сожалению, подтверждает высказанную ранее тенденцию о том, что почтовые сообщения всё чаще используются в качестве транспорта для троянцев, ворующих пользовательские пароли.

ТРоян

Механизмы личных сообщений, реализованные на сайтах социальных сетей, продолжают использоваться для различных схем мошенничества. В частности, многие пользователи социальной сети «В контакте» получили сообщение от специально созданного для рассылки аккаунта о том, что пользователь этой социальной сети может получить денежный бонус.

Подставной сайт имеет дизайн, похожий на официальный сайт социальной сети «В контакте» и предлагает пользователю ввести логин и пароль на свой аккаунт.

После этого выводится сообщение об условиях «акции», в котором, в частности, предлагается скачать программу и установить её в мобильный телефон.

На самом деле никакого бонуса пользователь в итоге не получал, а программа, установленная в телефон, начинала несанкционированную рассылку платных SMS-сообщений. Данная вредоносная определяется Dr.Web как одна из модификаций Java.SMSSend.

В декабре, как и в предыдущие месяцы, интернет-мошенниками активно использовался метод фишинга. В частности, в прошедшем месяце жертвами фишинга оказались клиенты JPMorgan Chase Bank, Frost Bank, а также пользователи интернет-аукциона eBay.

В декабре был зафиксирован примечательный случай SMS-мошенничества, ориентированный на пользователей нелицензионных копий Windows. Trojan.SMSReg.1 при запуске копирует себя папку установки Windows и прописывает себя в автозапуск. После этого троянец убирает с рабочего стола все окна и панели и отображается сообщение от имени корпорации Майкрософт с требованием зарегистрировать используемую копию Windows с помощью SMS-сообщения.

Сергей и Марина Бондаренко, 3DNews





Интересные новости
Незавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости
Работников киевской IТ компании уличили в торговле программами для взлома мессенджеров
На подводных лодках ВМС Германии установлен софт компании, работающей на армию РоSSии, - Bild
Safari на iOS отправляет данные китайской компании Tencent
Google забанит расширения для Chrome, которые собирают много данных об активности пользователей
Как украинские IT-компании нанимают джуниоров: исследование
Украинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работу
Крымские и роSSийские компании покупают программы Microsoft в обход санкций
Cтало доступным обновление MacOS High Sierra от компании Apple
В компании «M.E.Doc» признались в факте своего взлома и распространения вируса Petya
Антивирусные компании выпустили дешифратор для вируса-вымогателя XData: инструкция по дешифровке
Последние новости
Подгружаем последние новости