JS.Gumblar

В аналитическом обзоре компании «Доктор Веб» за 1-ое полугодие 2009 года теснее рассказывалось о суровой опасности и больших темпах распространения вируса JS.Gumblar. С недавнего медли данная угроза начала распространяться и в Рф, что показано на графике ниже.



Как видно из приведенного графика, главной пик активности пришёлся на 28 мая и составил 13.7% от всех вредных страниц. На данный момент наблюдается понижение темпов распространения данной опасности, но она остается до сих пор актуальной.

Опять Trojan.Hosts...

Компания «Доктор Веб» теснее часто отмечала всплески активности вирусного семейства Trojan.Hosts – мы писали о этом и в нашем обзоре вирусной обстановки за 1-ое полугодие 2009 года, и в отдельном известии о активности Trojan.Hosts.75.

В разошедшейся по Вебу новинки о раскрытой базе паролей, покрывающей 10-ки тыщ учетных записей знаменитой социальной сети «ВКонтакте», речь следует лишь о одном фишинговом ресурсе, собирающем данные. Это только вершина беззаконного айсберга. На данный момент в семействе Trojan.Hosts насчитывается наиболее сотки разных экземпляров, и во почти всех из их применяется подобная техника для сбора данных о юзерах знаменитых ресурсов Веб.



Потому у нас есть небезосновательные опаски, что количество похищенных беззаконным методом пользовательских данных еще выше заявленных цифр. Ведь приведенные числа дотрагиваются лишь социальной сети «ВКонтакте».

Ежели Ваш комп подвергся инфецированию, для возобновления системы нужно отредактировать файл hosts, расположенный по умолчанию в папке C:WINDOWSsystem32driversetc. В данном файлике нужно бросить текстовую «шапку», расположенную в начале файла, строчку «127.0.0.1 localhost» и те строчки, которые юзер вносил в данный файл собственно. Другие строчки нужно удалить.

FlashBack

Середина июля 2009 года внезапно ознаменовалась вредной активностью со стороны нескольких модификаций семейства Win32.HLLM.MyDoom. При этом предыдущий пик распространения этих червяков наблюдался аж в 2004 году.

В истиннее время они употребляются в массированных DDoS-атаках на южнокорейские и южноамериканские веб-ресурсы. На рисунке ниже приведен дамп строковых констант из конфигурационного файла для вирусного компонента, конкретно исполняющего DDoS-атаку(находится Dr.Web как DDoS.Config).



На нынешний день число зараженных машин, участвующих в атаке, добивается 10-ов тыщ. В число атакованных веб-ресурсов входят интернет-сайты разных муниципальных структур США и Южной Кореи. К примеру, whitehouse.gov, nsa.gov, president.go.kr и почти все иные. Распространяются новейшие модификации в главном через вложения в почтовом мусоре. Таковым образом, угроза издавна прежних дней смогла провести массированную атаку и в наше время.

Мобильный ботнет

В июле возник новейший червяк для мобильных телефонов под управлением ОС Symbian Series 60 3rd Edition. Он распространяется с веб-ресурсов в виде соблазнительного ПО для юзера, а теснее зараженные юзеры рассылают СМС¬-спам от собственного имени по найденным в телефоне контактам. В теле такового СМС-сообщения содержится интригующее послание с предложением проследовать по ссылке на сайт –распространитель вируса.



Эта угроза положила начало семейству Symbian.Worm и находится нами как Symbian.Worm.1. Особенный энтузиазм вызывает тот факт, что вредный дистрибутив, устанавливающий червяка в систему, имеет цифровую подпись от Symbian Signed.



На данный момент этот сертификат теснее отозван Symbian, о чем официально сообщается в блоге компании.

Symbian.Worm.1 ворует индивидуальную информацию о абоненте и посылает ее на удаленный сервер. Шаблоны СМС-сообщений для вредной рассылки могут обновляться при наличии интернет-соединения. Таковым образом, выходит необыкновенный «мобильный» ботнет, имеющий обратную связь с киберпреступниками и собирающий для их индивидуальные данные зараженных юзеров.

Эксплойты

В первой половине месяца была найдена суровая уязвимость «нулевого дня» в одном из компонентов Microsoft DirectX, использующемся браузером MS Internet Explorer версии 6 и 7. Данной уязвимости оказались подвержены юзеры версий ОС Windows 2000/2003/XP(включая все заключительные обновления и x64-версии этих ОС). Суть данной уязвимости содержится в некорректной обработке потокового видео в ActiveX-компоненте msVidCtl.dll. Эта уязвимость может употребляться для распространения вредных программ с поддержкою умышленно сформированного злодеями веб-сайта, вызывающего переполнение стека и запускающего вредное ПО на целевой системе. Все обнаруживаемые профессионалами компании «Доктор Веб» эксплойты, использующие эту уязвимость, попадают в семейство Exploit.DirectShow.

Также была найдена подобная уязвимость в Office Web Components Spreadsheet ActiveX-компоненте. Суть оплошности, приводящей к таковым катастрофическим последствиям, кроется в некорректной проверке границ данных в способе msDataSourceObject(). Все обнаруженные эксплойты такового типа по классификации Dr.Web попадают в семейство Exploit.SpreadSheet.

Заключительную версию браузера Firefox злодеи тоже не обделили вниманием. Поближе к середине месяца была найдена ошибка при обработке javascript-сценариев, которая может привести к повреждению памяти Just-in-Time-компилятора опосля возврата данных из собственных функций. Все обнаруженные эксплойты такового типа попадают в семейство Exploit.Mozilla по версии Dr.Web.

Поближе к концу месяца была найдена критическая уязвимость «нулевого дня» в продуктах компании Adobe(Reader, Acrobat и Flash Player). Уязвимой оказалась библиотека authplay.dll, которая отвечает за обработку SWF-файлов, интегрированных в PDF-документы. Она работает как при открытии умышленно сформированного PDF-документа, так и при посещении вредных веб-ресурсов, эксплуатирующих эту уязвимость. Все обнаруженные вредные PDF-файлы попали в семейство Exploit.PDF. На момент публикации обзора эта уязвимость еще не была закрыта.

Все перечисленные выше уязвимости на данный момент активно употребляются злодеями для распространения вредных программ с поддержкою умышленно приготовленных веб-ресурсов.

Для всех этих уязвимостей на момент публикации обзора теснее выпущены патчи. В связи с сиим «Доктор Веб» настойчиво советует установить заключительные обновления для используемого программного обеспечения.

Червяк Win32.HLLW.Facebook в Twitter

В июле 2009 года возросла вредная активность червяка Win32.HLLW.Facebook(Koobface)в социальной сети Twitter.



О завышенной активности вирусного семейства Win32.HLLW.Facebook предостерегают в собственном блоге и создатели данной социальной сети.



Вирусными аналитиками компании «Доктор Веб» было установлено, что все модификации червяка Win32.HLLW.Facebook незначительны, и базисные методы его работы не претерпели конфигураций ни в одном из приобретенных нами вредных файлов. Это позволило воплотить действенное обнаружение данной опасности при поддержки технологии Origins Tracing. Сейчас большая часть новейших модификаций обнаруживаются как Win32.HLLW.Facebook.origin.

Trojan.Winlock

В июле продолжилось распространение троянцев, блокирующих работу ОС Windows. При этом величайшую популярность в прошедшем месяце получила тема маскировки этих троянцев под антивирусные продукты.



Почтовые вирусы и фишинг

В июле 2009 года электронная почта для распространения вредных программ использовалась реже, чем в прошлом месяце. Заместо этого в известиях спамеров возникло больше рекламы мед препаратов. Также были отмечены случаи применения таковых знаменитых сервисов как Google Groups, Yahoo Groups, LiveJournal для хостинга спам-рекламы.











При этом вредное ПО в мусоре за июль фактически не встречалось. Исключением тут является IRC.Flood.702, который распространялся под видом электронной открытки от 1-го из юзеров ICQ.



Киберпреступники не обделили вниманием и погибель Майкла Джексона, а также связанные с ней действия. В частности, под видом скрытой инфы о подробностях данного действия ними рассылалась ссылка на вредный сайт, откуда загружалась еще одна модификация Trojan.PWS.Panda.122.



Под видом электронной открытки исполнялись также рассылки вредных программ семейства BAT.Hosts, которые прибавляли несколько строк в системный файл hosts. В итоге этого при попытке юзера открыть определённые веб ресурсы совершалось перенаправление его на фишинговые ресурсы, направленные на клиентов испанских банков. Начальные письма также были составлены на испанском языке.



В числе возможных жертв фишинга в июле оказались, как это стало теснее обыкновенным, юзеры интернет-аукциона eBay и клиенты банка America Online. Посреди новейших жертв фишинга отмечены клиенты южноамериканских банков Comerica Bank, Ally Bank и USAA.







Вредные файлы, обнаруженные в июле в почтовом трафике



Всего проверено: 137,012,732,015
Инфицировано: 36,051,605(0.0263%)

Вредные файлы, обнаруженные в июле на компах пользователей



Всего проверено: 210,224,776,255
Инфицировано: 24,478,202(0.0116%)

-Ежели бы финал войны можнож было предугадать, прекратились бы всякие войны.(Кароль Бунш)