«Доктор Веб»: Обзор вирусной и спам-активности в декабре 2007 года

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации, сложившейся в декабре 2007 года. На протяжении всего декабря спам-обстановка была достаточно спокойной. Лишь в конце месяца была зафиксирована традиционная для этого времени года волна спам-рассылок, связанных преимущественно с подготовкой к Новому году и Рождеству.
Предложения злоумышленников оригинальностью не отличались: пользователи получали стандартные письма с предложениями заказа полиграфии и новогодних подарков. На их фоне уже ставшие привычными рассылки, рекламирующие базы данных, фармацевтические препараты и пр., быстро отошли на второй план.
Правда, не обошлось без одного интересного момента, который сразу обратил на себя внимание. Речь идет о хорошо спланированной фишерской атаке, явно направленной на пользователей системы «Яндекс – Деньги» и зафиксированной 22 декабря. Эта атака была относительно краткой, но, надо полагать, вместе с тем и опасной, так как адрес рассылки (qkd@boetticher.com) никакого отношения к порталу «Яндекс» не имеет. Интересно, что в октябре наблюдалась аналогичная фишерская атака за тем лишь исключением, что в качестве ссылки указывался домен YANCLEX.RU, в то время как в данном случае переадресация шла на YANREX.COM. Вот его данные:

Domain Name: YANREX.COM

Registrant:
N/A
Steven Lucas (steven_lucas_2000@yahoo.com)
5215/2 SW 152 Court, P.O. Box 1547
Beaverton
Oregon,97011
US
Tel. +9.9239278345

Creation Date: 11-Dec-2007
Expiration Date: 11-Dec-2008

Domain servers in listed order:
ns2.security4u.cn
ns1.security4u.cn


Cоответствующие правила для детектирования этой спам-рассылки были добавлены в соответствующий модуль антиспам-продуктов компании «Доктор Веб».

Также следует отметить распространение новой версии так называемого «штормового червя» (Storm Worm), который в этот раз спрятался под видом некоего «Секретного Санты». Зафиксированы как минимум два вида спам-сообщений с заголовками «Your Secret Santa» и «Merry Christmas From your Secret Santa». В обоих письмах авторы просили пользователя уделить им минутку-другую и пройти по предложенной ниже ссылке на веб-страницу, содержащую установочный скрипт. По характеру работы «Санта» напоминает известную вредоносную программу для рассылки спама BackDoor.Groan и детектируется как Trojan.Packed.262.

Приведем еще два примера спам-рассылки, зафиксированной в декабре. Первый – распространение почтового червя Win32.HLLM.Graz (также аналогичного программе BackDoor.Groan). Суть его действия осталась неизменной: в теле письма содержится ссылка на веб-страницу, при переходе на которую (в обозревателе Internet Explorer) происходит автоматическое инфицирование компьютеров. Второй пример – спам-рассылка вредоносных программ семейства BackDoor.Bulknet, которые – чтобы успешно скрываться в системе и восстанавливать ключи реестра – используют rootkit-технологии и сами рассылают спам.

Кроме того, в последние дни декабря был зафиксирован рост спамерских рассылок и в новых каналах его распространения – в частности, посредством известного интернет-пейджера ICQ. Все такие сообщения содержали предложения получить доступ к базам порнофильмов, для активации которого требовалось отправить платное SMS, а также традиционную рассылку продаваемых баз. Вот пример одного из таких сообщений:
Здравствуйте. Ниже перечислены базы/стоиmость
Таможня Украины 2006/2007 -150/400
Таможня России 2006/2007 -150/400
Строительная база-данных 2007
СПД-ЧПЕН 2006 - 200
Балансы 2006/2007 -150
Обемы производства 2006 -150
Минстат 2006/2007 - 150
Плательщики НДС 2006г - 200
Физлица 2006/2007 - 150/200
Физлица+место работы 2006 - 400
ГНАУ 2005/2006/2007 - 100/150/200
Земля 2006 - 100 ГАИ 2005 - 100

Наконец, отдельного упоминания заслуживает спам-рассылка, обусловленная активностью троянов Trojan.Spambot 2386 и Trojan.Spambot 2387. Речь идет о ряде сообщений с общим названием «New Year Postcard», представленных в нескольких вариантах, но содержащих одну и ту же ссылку на http://happycards2008.com/. Начиная с 26 декабря, это уже второй случай рассылки, связанной с успешной атакой троянов на компьютеры конечных пользователей. Антивирус компании «Доктор Веб» успешно детектирует и блокирует эти атаки с момента их первого появления.

Опубликовал: Игорь Плотников (info@spbit.ru)

Рубрики: Интернет, ПО, Web, Безопасность

Ключевые слова: Интернет ТВ, Интернет-магазин бытовой техники, программирование, языки программирования, программное обеспечение, программное обеспечение Microsoft, программное обеспечение лицензия, разработка программного обеспечения, операционная система Windows, операционные системы, Unix, Linux, Windows, Windows Server 2003, Windows Vista, программы Windows, WebMoney, веб-дизайн, веб-интерфейс, веб-общение, веб-сайт, веб-сервис, веб-студия, разработка веб сайтов, управление проектами, онлайн, РБК Софт, CRM, CRM-система, ERP-системы, SAP, ERP, внедрение CRM, внедрение, Java, Java-приложения, разработки , разработка программ, центр разработки, Kaspersky, McAfee, Dr.Web, Trend Micro, Symantec, Lotus, , 1С:Предприятие, 1С 8, 1С 7.7, 1С 8.0, Microsoft, Майкрософт, Oracle, электронное правительство, Электронная Россия, SQL, SQL Server, SQL сервер, MS SQL, электронная торговля, интернет-аукционы, электронные торги, цифровая подпись, электронная подпись, блог, Agnitum