Бот-сети

По-прежнему, великое количество вредных программ распространяется с целью роста числа так именуемых зомби-компьютеров, из которых строятся громадные бот-сети, обхватывающие фактически весь Веб.. Такие сети величаются бот-сетями. В качестве образца активно развивающихся в истиннее время бот-сетей можнож привести такие как Tdss и Virut.

Осмотрим досконально один из способов инфецирования, которые употребляют обладатели бот-сети Tdss. Через съёмные носители и в виде липовых кодеков для проигрывания видео-файлов на комп юзера поступает и запускается вредный файл, который определяется Dr.Web как Win32.HLLW.Autoruner.4612. Опосля пуска вирус заражает все доступные жёсткие и съёмные диски, а потом создаёт собственный 2-ой компонент - вредный файл, который так же определяется как Win32.HLLW.Autoruner.4612.

Для пуска данного компонента вирус создаёт измененную копию одной из системных библиотек, определяемая Dr.Web как Trojan.Starter.896, а также исполняется перезапуск одной из системных служб для того, чтоб система начала применять измененную библиотеку.

Win32.HLLW.Autoruner.4612 является бэкдором, т.к. исполняет события по команде злодея незначительно от юзера. К счастью, набор вероятных событий данного бэкдора ограничен загрузкой и исполнением файлов, загружаемых с заблаговременно приготовленного сервера. Передача файлов инициируется Win32.HLLW.Autoruner.4612 без помощи других. В ответ на этот запрос сервер бот-сети Tdss передаёт зашифрованные данные, представляющие из себя выполняемые файлы и аннотации, нужные для установки загружаемых вредных программ и их пуска.

Одной из загружаемых Win32.HLLW.Autoruner.4612 программ с сервера бот-сети Tdss является троянец Trojan.DnsChange.1008. Данная вредная программа изменяет DNS-сервера на компе юзера, что может привести как к перехвату пользовательского интернет-трафика, так и в целом к блокировке доступа в Веб.

Обладатели бот-сети Virut для инфецирования компов употребляют полиморфный файловый вирус Win32.Virut, который заражает выполняемые файлы Windows, а также записывает в конец HTML-документов особый тег, с поддержкою которого при открытии такового документа активизируется загрузка вредных программ с серверов бот-сети. Таковым механизмом работы Win32.Virut разъясняется его веское пребывание в почтовом трафике – юзеры нередко прикладывают HTML-документы к своим письмам, почти все из которых оказываются заражёнными Win32.Virut, что выводит этот вирус на 1-ые места в статистике вредного почтового трафика в критериях неимения крупномасштабных массовых рассылок писем с вредоносными вложениями.



Актуальная версия вредной программы Win32.Virut.56 употребляет несколько способов инфецирования выполняемых файлов в зависимости от их структуры, но в любом случае главное тело вируса постоянно дописывается в конец файла, код вируса шифруется. При этом код расшифровщика вставляется в неиспользуемые участки заражённого файла и является полиморфным, т.е. различается в разных заражённых файлах. Также в полиморфном коде вируса может скрываться код, взятый из заражённого файла, ежели вирусу это нужно для воплощения процедуры инфецирования.

Win32.Virut.56 содержит в себе свою реализацию IRC-клиента, с поддержкою которого данная вредная программа может получать команды по скачиванию и запуску иных вредных программ на заражённом компе.

Вредные программы

В течение первой половины февраля 2009 года в почтовом трафике веское количество вредных почтовых известий содержали ссылки на вредные веб ресурсы с типо открытками, приуроченными ко дню Святого Валентина. На самом деле заместо открытки по ссылке юзер закачивал одну из множества модификаций Trojan.Spambot – вредной программы, которая занимается несанкционированной рассылкой мусора с заражённых компов.

Творцы вредных программ в погоне за прибылью не постоянно превосходно тестируют свои творения, в итоге чего же вирусописатель не получает средства, на которые рассчитывает, но юзер при этом всё одинаково утрачивает доступ к документам. Так Trojan.Encoder.36 записывает собственный код к пользовательским документам, что приводит к невозможности их открыть. Но из-за оплошности, допущенной творцом данной вредной программы, опосля порчи документов не выводится известие с контактными данными злодея и параметрами электронного счёта, на который по задумке юзеры обязаны были отправлять валютные средства за расшифровку документов. Для возобновления файлов, испорченных Trojan.Encoder.36 довольно просканировать их антивирусом Dr.Web.



В заключительные месяцы количество спам-рассылок с вредоносными вложениями веско сократилось. Но и в истиннее время встречаются единичные рассылки сходственного типа. В одной из спам-рассылок конца февраля сообщалось о том, что одна из фото юзера была расположена в Вебе. Эта фото типо прикрепрелена к письму в виде zip-архива. В архиве размещен файл Foto_Jenna.Jpg[множество знаков подчёркивания].exe, который определяется антивирусом Dr.Web как Trojan.DownLoad.9125.

Спам

Творцы спам-рассылок всё почаще пользуются завышенным энтузиазмом народонаселения к теме нестабильной денежной обстановки. Всё почаще прибывают известия, в которых предлагается поучаствовать в денежных схемах, схожих на «финансовые пирамиды», или предлагаются иные методы «быстро заработать в Интернете».

Почти все компании в заключительные месяцы испытывают трудности, связанные с недостаточностью заказов на издаваемую продукцию либо оказываемые сервисы, потому всё почаще происходят рассылки, в которых предлагается «реклама в Интернете», которая на самом деле ограничивается рассылкой обыденных спам-писем, содержащих рекламу. Конкретно благодаря сходственным маркетинговым рассылкам во 2-ой половине февраля 2009 года веско возрос общий поток мусора, который при сохранении данной тенденции может теснее в последующем месяце превысить уровень первой половины декабря прошедшего года, до закрытия нескольких больших спам-хостеров.

Что дотрагивается фишинга и иных способов мошенничества, то в заключительнее время сократилось число сходственных рассылок на британском языке. При этом возросло число локализованных известий. В частности, в феврале были замечены фишинг-рассылки, нацеленные на клиентов Правэкс-банка(Украина)и клиентов Raiffeisen Bank, находящихся в Румынии.

Вредные файлы, обнаруженные в феврале в почтовом трафике



Всего проверено: 315,981,994
Инфицировано: 74,379(0.02%)

Вредные файлы, обнаруженные в феврале на компах пользователей



Всего проверено: 68,834,531,277
Инфицировано: 9,924,181(0.01%)

-Счастье не имеет сравнительной ступени.(Жорис де Брюйн)