Обзор вирусной активности за январь от компании "Доктор Веб"
Как обычно, эксплуатировались темы, связанные с событиями в общественно-политической жизни. В начале месяца интернет захлестнула волна спама. В письмах пользователям предлагалось посмотреть видео-ролик казни Саддама Хусейна, которая секретно состоялась 30 декабря 2006 года. При попытке запустить ролик выводилось сообщение об ошибке и одновременно активизировался троян Trojan.DownLoader.17224, Trojan.DownLoader.17246 или Trojan.DownLoader.17456, который скачивал и изапускал одну из других вредоносных программ – Trojan.PWS.Banker.6321, Trojan.PWS.Banker.6322 или Trojan.PWS.Banker.6276. Эти трояны, в свою очередь, отсылали с компьютера конфиденциальную информацию.
Другой горячей темой спам-заголовков было сообщение о начале ядерной войны. В таких письмах содержались трояны BackDoor.Groan и Trojan.Spambot. По данным статистики, поступающей с почтовых серверов, количество писем, содержащих во вложении BackDoor.Groan, составляли 87-90% всего инфицированного почтового трафика. Запуск вложения в таком письме приводит к установке в поражённую систему драйвера, который используется для закачки других вредоносных программ. Кроме того, в BackDoor.Groan содержится функция работы с пиринговыми сетями, управляющими участниками сети, несанкционированной закачкой и запуском любых файлов на поражённых компьютерах. Скачиваемые BackDoor.Groan вредоносные программы регулярно обновлялись, что усложняло их определение антивирусными программами.
Черви в январе распространялись также активно. 15-го и 23-го января авторы почтового червя Win32.HLLM.Limar вновь напомнили о себе, выпустив несколько модификаций своего «детища».
Было также зафиксировано распространение сетевого червя китайского происхождения, заражавшего исполняемые файлы. Червь получил наименование по классификации Dr.Web Win32.HLLP.Whboy.
Компанией «Доктор Веб» было зафиксировано несколько представителей данного семейства. В отдельных модификациях отсутствовал механизм заражения исполняемых файлов, лишь функция распространения (Win32.HLLW.Whboy). Червь вызвал локальные эпидемии в КНР, а также в отдельных регионах США и Европы. Распространяется Win32.HLLP.Whboy из-за уязвимости в Internet Explorer при посещении специально сформированной веб-страницы. Кроме распространения по сетевым ресурсам, червь копирует себя на внешние устройства, если такие подключены к компьютеру на момент заражения.