Обзор вирусной обстановки за июль 2009 года от компании «Доктор Веб»

Компания «Доктор Веб» представила обзор вирусной активности в июле 2009 года. Основная тенденция прошедшего месяца – появление нескольких эксплойтов, использующих уязвимости ОС Windows и другого популярного ПО. Несмотря на снижение вирусной активности в электронной почте, вирусописатели не прекращают изобретать новые способы привлечения внимания пользователей к своим сообщениям.

Середина июля 2009 года неожиданно ознаменовалась вредоносной активностью со стороны нескольких модификаций семейства Win32.HLLM.MyDoom. При этом предшествующий пик распространения этих червей наблюдался аж в 2004 году.

В настоящее время они используются в массированных DDoS-атаках на южнокорейские и американские веб-ресурсы. На рисунке ниже приведен дамп строковых констант из конфигурационного файла для вирусного компонента, непосредственно осуществляющего DDoS-атаку (обнаруживается Dr.Web как DDoS.Config).

На сегодняшний день число зараженных машин, участвующих в атаке, достигает десятков тысяч. В число атакованных веб-ресурсов входят интернет-сайты различных государственных структур США и Южной Кореи. Например, whitehouse.gov, nsa.gov, president.go.kr и многие другие. Распространяются новые модификации в основном через вложения в почтовом спаме. Таким образом, угроза давно минувших дней смогла провести массированную атаку и в наше время.

В июле появился новый червь для мобильных телефонов под управлением ОС Symbian Series 60 3rd Edition. Он распространяется с веб-ресурсов в виде заманчивого ПО для пользователя, а уже зараженные пользователи рассылают СМС¬-спам от своего имени по обнаруженным в телефоне контактам. В теле такого СМС-сообщения содержится интригующее послание с предложением проследовать по ссылке на сайт –распространитель вируса.

Эта угроза положила начало семейству Symbian.Worm и обнаруживается нами как Symbian.Worm.1. Особый интерес вызывает тот факт, что вредоносный дистрибутив, устанавливающий червя в систему, имеет цифровую подпись от Symbian Signed.

На данный момент этот сертификат уже отозван Symbian, о чем официально сообщается в блоге компании.

Symbian.Worm.1 похищает персональную информацию об абоненте и отправляет ее на удаленный сервер. Шаблоны СМС-сообщений для вредоносной рассылки могут обновляться при наличии интернет-соединения. Таким образом, получается своеобразный «мобильный» ботнет, имеющий обратную связь с киберпреступниками и собирающий для них персональные данные зараженных пользователей.

В июле 2009 года электронная почта для распространения вредоносных программ использовалась реже, чем в предыдущем месяце. Вместо этого в сообщениях спамеров появилось больше рекламы медицинских препаратов. Также были отмечены случаи использования таких популярных сервисов как Google Groups, Yahoo Groups, LiveJournal для хостинга спам-рекламы.

При этом вредоносное ПО в спаме за июль практически не встречалось. Исключением здесь является IRC.Flood.702, который распространялся под видом электронной открытки от одного из пользователей ICQ.

Киберпреступники не обделили вниманием и смерть Майкла Джексона, а также связанные с ней события. В частности, под видом секретной информации о подробностях данного события ими рассылалась ссылка на вредоносный сайт, откуда загружалась очередная модификация Trojan.PWS.Panda.122.

Под видом электронной открытки осуществлялись также рассылки вредоносных программ семейства BAT.Hosts, которые добавляли несколько строк в системный файл hosts. В результате этого при попытке пользователя открыть определённые сайты совершалось перенаправление его на фишинговые ресурсы, ориентированные на клиентов испанских банков. Исходные письма также были составлены на испанском языке.

В числе потенциальных жертв фишинга в июле оказались, как это стало уже привычным, пользователи интернет-аукциона eBay и клиенты банка America Online. Среди новых жертв фишинга отмечены клиенты американских банков Comerica Bank, Ally Bank и USAA.