YOOU.ru - новости, слушать радио онлайн
  USD ЦБ
EUR ЦБ
Погода в Москвее
Погода в Санкт-Петербурге

Слушайте радио онлайн на YOOU.ru !

  Новости Статьи Программа ТВ Радио онлайн
  Поиск:  
   
  Пример:  
 
 
Главная страница > Новости > Наука и образование >
(20:14) 06.10.2008

В начале месяца появились сразу 2 новые модификации трояна-вымогателя, шифрующего на компьютерах документы и требующего за расшифровку выкуп. Следует отметить, что рассылка последних модификаций данной вредоносной программы в последнее время происходит более интенсивно, чем прежде. После того, как все документы на компьютере зашифрованы, вирус выводит на Рабочий стол представленную ниже картинку, предлагающую прочитать текстовый файл, в котором описана процедура отправки денег авторам трояна, говорят вирусные аналитики «Доктор Веб».

В отчете также отмечается и рост количества обращений пользователей с проблемой появления в браузере Internet Explorer плагинов, которые, занимая значительную часть экрана, требует отправки SMS-сообщения с мобильного телефона для того, чтобы получить инструкции по деинсталляции. Актуальной в сентябре стала и тема лже-антивирусов. Данные программы устанавливаются на систему и проявляют свою активность в виде демонстрации на рабочем столе сообщения о якобы найденном вирусе, для удаления которого из системы предлагают пользователю совершить определённые действия – скачать полную версию данной «антивирусной» программы и т.д. Данный вирус, как правило, отличается способностью отключать некоторые вкладки стандартного окна Windows, отвечающего за смену изображения на Рабочем столе - сообщение о «заражении» выводятся с помощью изменения данного изображения. По классификации Dr.Web данный вирус получил название Trojan.Fakealert.

Что касается спама, то наиболее заметными были рассылки нескольких типов, связанные с распространением вирусов. В частности, речь идет о сообщениях якобы содержащих ссылки на эротические ролики с участием известных людей. На деле же «ролики» оказывались вирусами, которые Dr.Web определяет как Trojan.DownLoad.4419. Данный троян довольно часто меняет используемые упаковщики и своё содержимое, так что в день мо-жет появляться до нескольких новых модификаций.

Как обычно, в спаме присутствовали сообщения, призванные заставить пользователя ввести приватные данные на подставном сайте. Для таких сообщений характерно наличие ссылок, которые якобы ведут на известный сайт, но фактически открывают подставную страницу. Поэтому следует всегда следить за тем, какой фактически сайт открывается в браузере после перехода по ссылке из почтового сообщения. Похожий тип спама служит для завлечения пользователя на сайты, содержащие рекламу.

Не обошлось в сентябре и без «штормовых» писем. «Источником» сообщения в основном выступала одна известная телекомпания – в письме содержались ссылки на «ролики», рассказывающие о выдуманных событиях. Для просмотра роликов предлагалось скачать «кодек», который, как правило, являлся одной из модификаций Trojan.DownLoad по классификации Dr.Web.

В первый осенний месяц увеличилось количество рассылок писем с приложенными к ним файлами. Как правило, это были исполняемые файлы, заархивированные с помощью ZIP. Обычно в таких письмах содержится короткое сообщение, побуждающее пользователя, не колеблясь ни секунды, открыть вложение и просмотреть его содержимое. Это может быть информация о «задолженности», которую получатель должен погасить в ближайшее время, или предупреждение о приостановке доступа в Интернет в связи с нелегальной деятельностью пользователя, а также другие уловки. Данные вложения определяются антивирусом Dr.Web как одна из модификаций Trojan.Inject или Trojan.PWS.GoldSpy.

Примечательной оказалась русскоязычная рассылка, которая содержала в себе якобы заказанный пользователем прайс на полиграфические услуги. Файл был приложен к письму в формате Microsoft Excel и запакован архиватором ZIP. При открытии документ выглядел как спам, но содержал в себе макрос, который автоматически активировался. Макрос восстанавливал исполняемый файл, записывал его во временную папку профиля пользователя и запускал его. Восстановленный исполняемый файл определяется Dr.Web как Trojan.EmailSpy.136. Эта вредоносная программа собирает информацию об электронных адресах, содержащихся на компьютере пользователя, и передаёт автору вируса. Впоследствии эти адреса могут использоваться для дальнейшей рассылки спама.

Необходимо отметить, что в сентябре был довольно большой поток писем со ссылкой на «электронные открытки». Как правило, сообщение представляет из себя небольшой текст со ссылкой на файл e-card.exe. В последнее время размер таких исполняемых файлов достигал 300-400 Кб и более. Данные файлы при запуске извлекают из себя целый комплект вредоносных программ. В качестве примера можно привести экземпляр, занесённый в вирусную базу Dr.Web под именем Trojan.MulDrop.19265, который после начала свой работы устанавливает в сис-тему Trojan.MulDrop.19266, Trojan.Siggen.252 и Trojan.Sentinel.based. Вариантов комплектации таких вредоносных программ может быть великое множество - практически каждая такая рассылка содержит в себе неповторяющийся набор вирусов.

К заметным тенденциям сентября можно отнести возрастающую популярность языка программирования AutoIt, который всё чаще используется для создания вирусов. Данный язык распространяется свободно и служит обычно для автоматизации задач в ОС Windows. Его последние версии обладают настолько широкими возможностями (связь по протоколам TCP и UDP, включение файлов в компилированный файл, которые можно извлекать при запуске, возможность посылать нажатия клавиш в другие приложения и пр.), что вкупе с простотой в использовании язык привлекает к себе внимание всё большего числа вирусописателей.

Наиболее массовые рассылки сентября содержали в себе вредоносные программы Win32.HLLW.Autoruner.2640 и Trojan.Recycle.


Страницы : 1 2 все



// Наука и образование
Источник:  http://www.cybersecurity.ru/news/56530.html




 
 

 

Copyright © 2008-2015, "YOOU"   Главная  Слушать радио  Предложить свою новость
Написать нам  WestSite