Обзор вирусной обстановки от «Доктор Веб»
Компания «Доктор Веб» обнародовала обзор вирусной активности в декабре 2008 г., согласно которому во второй половине месяца возросло число почтовых рассылок, с помощью которых возобновилось массовое распространение вредоносных программ. Продолжились фишинг-рассылки, появились новые методы, используемые SMS-мошенниками, кибер-преступники по-прежнему активно эксплуатировали социальные сети.
В декабре вышло очередное критическое обновление для ОС семейства Windows, которое закрыло уязвимость в обработчике XML. Оперативный выпуск обновления был связан с распространением эксплойта, использующего данную уязвимость (Exploit.CVE2008.4844 по классификации Dr.Web).
Имело место сразу несколько заметных случаев распространения вредоносных программ, в функционал которых входит блокирование доступа к документам пользователя. Одной из таких программ был троянец Trojan.Locker.8, который блокировал доступ к документам и папкам посредством их переименования на имена, не соответствующие стандартам, принятыми в Windows. Он распространялся в виде генератора серийных номеров на продукты, выпускаемые Adobe Systems. Троянец Trojan.Encoder.33 представлял собой новую модификацию программ, использующих шифрование пользовательских документов. На этот раз помимо шифрования файлов он перемещал их специально создаваемые папки, расположенные в профиле пользователя Windows. Оригинальные файлы заменялись сообщением "FileError_22001", при этом если документ имел текстовые формат, то и сообщение было в текстовом формате, на место же графических файлов помещался графический файл с тем же сообщением.
Авторы вирусов продолжали рассылать вредоносные программы под видом электронных открыток. В частности, в рассылке якобы от сервиса Hallmark давалась прямая ссылка на самораспаковывающийся архив, содержащий целый набор вполне безвредных системных утилит, которые использовались для нужд вредоносной программы, также входящей в состав архива. Эта программа содержится в вирусной базе Dr.Web под именем Trojan.Runner.15. Кроме того, авторы «электронных открыток» активно эксплуатировали тему рождественских праздников: пользователи электронной почты получили множество писем со ссылкой на сайт, откуда якобы можно скачать рождественскую открытку. На деле же все ссылки на подставном сайте вели на вредоносные программы, которые определяются Dr.Web как Trojan.Spambot.4202, Trojan.Spambot.4204, Trojan.Spambot.4214, а также Trojan.Promo.42.
Механизмы личных сообщений, реализованные на сайтах социальных сетей, продолжают использоваться для различных схем мошенничества. В частности, многие пользователи социальной сети «В контакте» получили от специально созданного для рассылки аккаунта сообщение о том, что пользователь этой социальной сети может получить денежный бонус. Подставной сайт имеет дизайн, похожий на официальный сайт «В контакте», и предлагает пользователю ввести свой логин и пароль. После этого выводится сообщение об условиях «акции», в котором, в частности, предлагается скачать программу и установить ее в мобильный телефон. На самом деле никакого бонуса пользователь не получал, а установленная в телефон программа начинала несанкционированную рассылку платных SMS-сообщений. Данная вредоносная определяется Dr.Web как одна из модификаций Java.SMSSend.
Как и в предыдущие месяцы, Интернет-мошенники активно использовали метод фишинга: в частности, его жертвами стали клиенты JPMorgan Chase Bank, Frost Bank, а также пользователи аукциона eBay.
В декабре был зафиксирован примечательный случай SMS-мошенничества, нацеленный на пользователей нелицензионных копий Windows. Trojan.SMSReg.1 при запуске копирует себя в папку установки Windows и прописывает себя в автозапуск. После этого троянец убирает с рабочего стола все окна и панели и отображается сообщение от имени корпорации Microsoft с требованием зарегистрировать используемую копию Windows с помощью SMS-сообщения.