Вредоносное ПО (Обзор)

[PcKill]

[Для просмотра ссылок требуется регистрация. Зарегистрироваться...]

Новый почтовый червь распространяется под видом сообщений о начале ядерной войны

13 ноября 2006 г.

Служба вирусного мониторинга компании «Доктор Веб» сообщает о распространении нового почтового червя, получившего название по классификации Dr.Web – Win32.Dref. У других производителей червь получил название Email-Worm.Win32.Luder.a, Email-Worm.Win32.Glowa, Worm.Glowa. Червь появился в начале ноября, и на сегодняшний день число его модификаций перевалило за десяток.

В рассылаемых сообщениях червь сообщает о якобы начавшейся ядерной войне между Российской Федерацией и США, предлагая доверчивым пользователям ознакомиться в подробностями, которые они могут почерпнуть из приложенного к письму файла. Отдельные модификации Win32.Dref предлагают пользователям ознакомиться с подробностями смерти президентов упомянутых стран. Вложения представляют собой файлы с расширением *.exe (open.exe, truth.exe, war.exe, last.exe, about me.exe, a.exe, never.exe, latest news.exe, read me.exe).

Будучи запущенным неосторожным пользователем, червь заражает все исполняемые файлы, а также добавляет исполняемый файл во все найденные rar-архивы, создаёт свои копии с расширением *.t на сетевых ресурсах. Свою работу при последующем запуске системы обеспечивает оригинальным способом - зараженные файлы не содержат тело вируса, а только небольшой код, который запускает основное тело из другого файла. В результате работы червя заметно снижается производительность компьютера.

Компания «Доктор Веб» предупреждает пользователей не открывать письма, пришедшие от неизвестных адресатов и, тем более, не открывать вложения, прикреплённые к таким письмам.

Если вы подозреваете, что ваш компьютер оказался поражённым Win32.Dref, и у вас нет установленного антивируса, бесплатная утилита Dr.Web CureIt! поможет корректно вылечить исполняемые файлы. При этом следует обратить внимание на то, что для поиска инфицированных червем rar-архивов необходимо использовать дисковый сканер Dr.Web. Следует помнить, что Dr.Web не производит лечения инфицированных архивов, поэтому при обнаружении инфицированных червем rar-архивов удалять копию червя из архива придется вручную.

[PcKill]

Новый компьютерный вирус-паразит

В интернете появился новый вид вируса, который при попадании на компьютер пользователя первым делом излечивает его от других вредоносных программ. Для этого SpamThru загружает из интернета на компьютер пользователя библиотеки, необходимые для работы антивирусного модуля вируса. Сообщается, что при этом используются DLL Антивируса Касперского.

После того, как троян загрузил все необходимые файлы, в реестре прописывается ключ, необходимый для полноценной работы антивирусного модуля. Таким образом обеспечивается работоспособность программы, которая воспринимает модуль как лицензионную копию Антивируса Касперского, сообщает SecureWorks, компания, силами которой и был обнаружен и идентифицирован вирус SpamThru.

Спустя 10 минут после загрузки всего необходимого для собственной работы, вирус начинает сканирование системы, удаляя при этом все известные вирусы и другие вредоносные программы. При этом себя, кончено же, SpamThru не проверяет, и оставляет на компьютере для дальнейшей деятельности. После перезагрузки троян начинает ту работу, для которой он и был предназначен, так как теперь трафик, необходимый для его полноценной работы, свободен.

SpamThru, имеющий собственный спаммерский движок, загружает на зараженный компьютер файлы, содержащие всю необходимую для спама информацию – списки рассылок, случайные фразы и генератор обратных адресов. При этом для доставки шаблонов будущих спам-писем с координирующего сервера используется AES-шифрование, которое предотвращает использование шаблонов конкурентами.

После этого создается сообщение, содержащее картинку в формате GIF, которая имеет разные размеры в каждом письме, что серьезно затрудняет борьбу анти-спаммерских программ, и отправляется по назначению.

Так, что пользователи КАСПЕРЫЧА будьте осторожны)

[PcKill]

Посетители FastMP3Search.com.ar рискуют "подцепить" вирус

Администрация сайта StopBadware.org (посетитель этого сайта может узнать, что грозит его компьютеру при заражении каким-либо вредоносным кодом, и как защититься от подобной напасти) и специалисты Центра демократии и технологий (Center for Democracy and Technology, CDT) намерены подать в Федеральную торговую комиссию (FTC) США коллективную жалобу на сайт FastMP3Search.com.ar.

Антивирусные специалисты утверждают, что FastMP3Search.com.ar, позиционирующий себя как онлайновый поисковик музыки, распространяет вредоносное программное обеспечение. Посетителям сайта предлагается установить небольшой плагин, который якобы позволяет загружать найденные поисковиком MP3-файлы. На самом деле, "плагин" представляет собой набор вредоносного ПО, в котором нашлось место рекламному модулю и трояну. После загрузки софт отключает штатный брандмауэр Windows.

Один из основателей StopBadware Джон Полфри отметил, что за годы работы специалисты организации сталкивались с самыми разными видами вирусной активности, однако подобный наглый способ распространения вирусного ПО встречают впервые. Специалисты StopBadware попробовали скачать хотя бы один MP3-файл при помощи FastMP3Search.com.ar, однако попытки успехом не увенчались.

В настоящее время открыть главную страницу FastMP3Search.com.ar не удается - сайт недоступен. При попытке открыть главную страницу сайта через страницу поиска Google появляется сообщение, предупреждающее, что посещение сайта небезопасно.

Эксперты StopBadware, созданной при поддержке Sun Microsystems, Google и Lenovo, не смогли определить владельца сайта FastMP3Search.com.ar, однако выяснили, что сайт зарегистрирован в Аргентине. В StopBadware надеются, что это удастся сделать FTC, которая может обратиться за помощью к аргентинским властям, сообщает News.com.

[Deementor]

обнавляйте свои антивирусные бызы каждый день, принудительно или настройте автоматически но на каждый день, пользуйте проверенные антивирусники и файрволлы, так как не только вирусы страшны, но и программы (официальные) в которых встроенны "шпионы" не уж то вам все равно, если прогмулина отсылает своим "хозяевам" где вы в сети, с кем вы в сети и все такое? Я сщитаю так: "Даешь свободное и не кем ни контролируемое передвежение в сети"!!!!!!! а то скоро мы вообще станем платить налоги за виртуальную собственность. Типа поиграл в онлайн-игру, накопил там средства, купил что нить, а тут вам налоговая "простите сэр, вот у вас виртуальная собственность есть, заплатите налог"

[Deementor]

Для информации:
Вновь появился датошный вирус, который ничего не делает, акромя как посылает запрос на флоп, процессы в tascmgr.exe следующие: temp1, temp2, антивирями пока не определяется.
Если подцепили, то вот пилюлька.
В редакторе реестра /правка/найти\наберите run и тщательно отслеживайте все ключи, подозрительные удаляйте, но только не перестарайтесь

[PcKill]

Вирус Warezov устроил эпидемию через ICQ

Вчера многие рунетчики получили по ICQ от знакомых приглашение на странный сайт seruijingandeshijinpos.com. Лучше не нажимать эту ссылку: иначе ваш компьютер превратится в тыкву.

Вирусные сообщения по аське начинаются короткой фразой "check this" или "my picture" - уже здесь русскоязычные пользователи могут насторожиться, если сообщение пришло от соотечественника (с чего бы это ему вдруг говорить по-английски?). После английской фразы следует ссылка на один из файлов, находящихся на домене seruijingandeshijinpos.com.

Первые вирусные ICQ-рассылки такого рода регистрировались еще осенью. Однако вчера это уже напоминало эпидемию. В частности, главред "Вебпланеты" получил за час аж четыре таких сообщения c ICQ-адресов знакомых красивых девушек, и с трудом сдержал себя в руках.

Как выяснила китайская антивирусная группа C.I.S.R.T, по присланным адресам-ссылкам располагаются трояны семейства Warezov. Сами китайцы скачали версию Email-Worm.Win32.Warezov.et, но предупреждают, что там можно подцепить и другие версии этого червя. На зараженном компьютере вирус выполняет различные вредносные действия, включая кражу адресов и персональных данных. Он может блокировать работу антивирусов, а также загружать через Интернет и запускать другие вредоносные программы. Кроме того, червь еще и размножается, то есть рассылает себя друзьям зараженного пользователя.

Китайцы также сообщают, что с этим вирусом уже борется "Антивирус Касперского". Однако не советуем надеяться на это без оглядки. Дело в том, что семейство Warezov размножается и мутирует очень быстро, и еще осенью разнообразные версии этого червя вышли в лидеры среди прочих почтовых вредителей. Эксперты "Лаборатории Касперского" предполагают, что вирус создали россияне или жители какой-то другой из стран СНГ, где используется кириллица.

Но сейчас на сайте "Лаборатории Касперского" висит лишь старое ноябрьское сообщение о том, что в антивирусные базы добавлено свыше 30 новых образцов Warezov. Однако прошел уже месяц, и в комментариях к этому предупреждению Касперского уже пишут, что новые версии червя не боятся антивируса. Кроме того, даже если антивирус Касперского обнаружил Warezov, это еще не вылечит компьютер: вирусные файлы надо удалять вручную.

При этом в осеннем предупреждении Касперского говорится лишь об опасности со стороны электронной почты - а про вариант эпидемии через ICQ там ничего не сказано. Хотя на этот счет есть старый и простой метод: не кликать по подозрительным ссылкам. На элементарный встречный вопрос по ICQ ("а что это за ссылка?") данный вирус пока что не умеет отвечать.

Будьте осторожны!

[Deementor]

Боюсь повторить соседей из раздела ICQ, но все таки считаю нужным.
Если Вас достал ICQ спам и прочая не нужная вам лабуда, то отключите в настройках: Общие/показывать мой онлайн-статус для web поиска.

Проверенно специально для пользователей и гостей форума NoWa.сс
Антивирус NOD32 вчерашнего обновления, база 1928(20061219) выносит предупреждения о подозрительном содержимом данного

Цитата: seruijingandeshijinpos.com.

домена.

[PcKill]

Итак, буду здесь выкладывать ТОП самых распространных Вирусов, троянов и прочей нечести. Во избежание ФЛУДА, тему буду обновлять только Я

TOP 20 вредоносных программ на 20.12.2006

TOP 20 по количеству обнаружений за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Email-Worm.Win32.Warezov.dn
3 IM-Worm.Win32.Qucan.h
4 Trojan-Downloader.Win32.Obfuscated.ba
5 Trojan-Downloader.Win32.Obfuscated.n
6 Trojan-Downloader.Win32.Small.cxx
7 IM-Worm.Win32.Qucan.n
8 Trojan-Downloader.Win32.Tiny.bm
9 Email-Worm.Win32.Warezov.fb
10 Trojan.Win32.Conycspa.i
11 Trojan-Downloader.Win32.Busky.gen
12 Trojan-Proxy.Win32.Small.bo
13 Trojan-Clicker.Win32.Agent.hz
14 Trojan.Win32.Agent.ws
15 Trojan-Downloader.Win32.Agent.bdb
16 Email-Worm.Win32.Bagle.gt
17 Trojan-Proxy.Win32.Agent.jw
18 Trojan-Downloader.Win32.Zlob.bfw
19 Trojan-Spy.Win32.Agent.pr
20 Trojan-Dropper.Win32.Agent.ol
TOP 20 по количеству обнаруженных модификаций за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Busky.gen
3 Dialer.Win32.GBDialer.i
4 Trojan.Win32.DNSChanger.gi
5 Trojan.Win32.DNSChanger.hj
6 Trojan-Downloader.Win32.Small.ebj
7 Trojan-Downloader.Win32.Obfuscated.n
8 Trojan.Win32.DNSChanger.gp
9 Dialer.Win32.PluginAccess.s
10 Trojan-Dropper.Win32.Delf.aal
11 Trojan-Clicker.Win32.Small.kj
12 Trojan-Downloader.Win32.Tiny.bm
13 Trojan-Dropper.Win32.Delf.rc
14 Dialer.Win32.InstantAccess.af
15 Trojan.Win32.Agent.vg
16 AdvWare.Win32.Trymedia.b
17 Trojan-Downloader.Win32.Zlob.bfw
18 Trojan-Downloader.Win32.Tiny.et
19 Dialer.Win32.InstantAccess.ai
20 AdvWare.Win32.Casino.q
TOP 20 по количеству обнаружений за месяц
1 IM-Worm.Win32.Qucan.h
2 Trojan-Downloader.Win32.Small.dam
3 Email-Worm.Win32.Warezov.fb
4 Trojan-Downloader.Win32.Tiny.et
5 IM-Worm.Win32.Qucan.n
6 Email-Worm.Win32.Warezov.hb
7 IM-Worm.Win32.Qucan.a
8 Email-Worm.Win32.Banwarum.f
9 Trojan-Downloader.Win32.Busky.gen
10 Trojan-Downloader.Win32.Small.cxx
11 Trojan-Downloader.Win32.Tiny.bm
12 IM-Worm.Win32.Sohanad.e
13 Trojan-Downloader.Win32.Obfuscated.ba
14 Email-Worm.Win32.Warezov.dn
15 Email-Worm.Win32.Glowa.n
16 Trojan-Downloader.Win32.Tiny.bw
17 Trojan.Win32.Conycspa.i
18 Trojan-Clicker.Win32.Agent.hz
19 Trojan-Downloader.Win32.Obfuscated.n
20 Trojan-Proxy.Win32.Small.bo
За прошедшие два дня:
обнаружено вредоносных программ: 3275
уникальных разновидностей: 1013

Особенности и тенденции
За последнии сутки фиксируется повышенная активность почтового червя Email-Worm.Win32.Warezov после относительного затишья, которое длилось несколько дней.

[PcKill]

Червь, угрожающий пользователям Skype, оказался трояном

В понедельник, 18 декабря в блоге компании Websense Security Labs появилось предварительное уведомление о новой вредоносной программе, распространяющейся через популярную сеть IP-телефонии Skype.

Специалисты Websense отмечали, что червь способен инфицировать компьютеры пользователей Skype, общающихся в режиме чата. При этом сначала пользователю якобы приходит сообщение с предложением загрузить исполняемый файл с именем sp.exe. После запуска вредоносная программа, согласно уведомлению Websense, устанавливала на ПК троянский модуль, ворующий пароли, и затем активировала процедуры самораспространения. Эксперты Websense подчеркивали, что большинство инфицированных червем компьютеров находятся на территории Азиатско-Тихоокеанского региона, преимущественно, в Корее.

Однако в ходе более детального изучения кода программы было установлено, что она не способна размножаться самостоятельно и представляет собой обыкновенный троян. Кстати, специалисты F-Secure сразу после появления сообщений о вредоносном коде усомнились в том, что он разрабатывался специально в расчете на сеть Skype.

Не так давно компания Skype выпустила обновленные версии клиентских программ для операционных систем Windows и Windows Mobile. Кроме того, компания объявила, что со следующего года будет введена плата за звонки с компьютеров на мобильные и стационарные телефоны на территории Соединенных Штатов и Канады. В настоящее время сеть Skype насчитывает порядка 140 миллионов зарегистрированных пользователей. Ежедневно к службе присоединяются до 250 тысяч человек.

[PcKill]

TOP 20 вредоносных программ на 24.12.2006

24.12.2006 TOP 20 по количеству обнаружений за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Busky.gen
3 IM-Worm.Win32.Qucan.h
4 Trojan-Downloader.Win32.Zlob.bhw
5 IM-Worm.Win32.Qucan.n
6 Trojan.Win32.DNSChanger.hj
7 Trojan.Win32.Zapchast.cp
8 Trojan-Downloader.Win32.Tiny.et
9 Trojan.Win32.DNSChanger.gi
10 Trojan-Downloader.Win32.Obfuscated.bc
11 Trojan-Downloader.Win32.Zlob.bhk
12 Trojan-Downloader.Win32.Busky.r
13 Trojan-Downloader.Win32.Small.cib
14 Trojan-Downloader.Win32.Small.cxx
15 Trojan-Downloader.Win32.Zlob.bef
16 Trojan-Downloader.Win32.Zlob.bfi
17 Trojan-Downloader.Win32.Agent.bdb
18 Backdoor.Win32.Padodor.ax
19 Trojan-Downloader.Win32.Zlob.bfw
20 Trojan-Proxy.Win32.Dlena.bf

TOP 20 по количеству обнаруженных модификаций за последние два дня
1 Trojan-Downloader.Win32.Busky.gen
2 Trojan-Downloader.Win32.Small.dam
3 Trojan-Downloader.Win32.Tiny.et
4 Trojan.Win32.DNSChanger.gi
5 Trojan.Win32.DNSChanger.hj
6 Email-Worm.Win32.Scano.bf
7 Dialer.Win32.CapreDeam.p
8 Trojan.Win32.DNSChanger.gp
9 Trojan-Proxy.Win32.Lager.eq
10 Dialer.Win32.GBDialer.i
11 Dialer.Win32.Agent.ao
12 Trojan-Downloader.Win32.Small.edb
13 Trojan.Win32.Diamin.go
14 Dialer.Win32.InstantAccess.ai
15 Trojan-Downloader.Win32.Zlob.bhk
16 Dialer.Win32.InstantAccess.aj
17 Trojan-Dropper.Win32.Delf.aal
18 Trojan-Downloader.Win32.Zlob.axx
19 Trojan-Downloader.Win32.Zlob.bef
20 Trojan-Downloader.Win32.Zlob.sd

TOP 20 по количеству обнаружений за месяц
1 IM-Worm.Win32.Qucan.h
2 Trojan-Downloader.Win32.Small.dam
3 Email-Worm.Win32.Warezov.fb
4 Trojan-Downloader.Win32.Tiny.et
5 Email-Worm.Win32.Warezov.hb
6 IM-Worm.Win32.Qucan.a
7 Trojan-Downloader.Win32.Busky.gen
8 IM-Worm.Win32.Qucan.n
9 Trojan-Downloader.Win32.Small.cxx
10 IM-Worm.Win32.Sohanad.e
11 Trojan-Downloader.Win32.Tiny.bm
12 Trojan-Downloader.Win32.Obfuscated.ba
13 Email-Worm.Win32.Warezov.dn
14 Email-Worm.Win32.Banwarum.f
15 Email-Worm.Win32.Glowa.n
16 Trojan.Win32.Conycspa.i
17 Trojan-Clicker.Win32.Agent.hz
18 Trojan-Downloader.Win32.Obfuscated.n
19 Trojan-Proxy.Win32.Small.bo
20 Trojan-Downloader.Win32.Tiny.bw

За прошедшие два дня:
обнаружено вредоносных программ: 2422
уникальных разновидностей: 758

[PcKill]

Продолжу тему!
Я думаю что нет смысла описывать Trojan-Downloader так как, почти все пользователи когда нибудь, да встречались с этим трояном... Все выще перечисленные модификации Trojan-Downloader уже давно детектются антивирусами Kaspersky, DrWEb, BiDefender, Avira. Насчет NOD'A 32 я не уверен, скорее всего детектются, но даже если нет, то эвристика нода должна с ними справитсья

Переходим дальше...

Описание трояна Qucan

Цитата: Имя: Tr/Dldr.Qucan Обнаружен: 02/10/2006 Вид: Троянская программа В реальных условиях: Да Отмеченные факты заражения: Низкий Потенциал распространения: Низкий Потенциал повреждений: От низкого до среднего Файл статистики: Да Размер файла: 9.216 байт. Метод распространения: • Нет собственной процедуры распространения Псевдонимы (аliases): • Kaspersky: IM-Worm.Win32.Qucan.a • Eset: Win32/KillAV.NBD • Bitdefender: Win32.Worm.IM.Sohanat.A Ранее были обнаружены как: • Worm/Qucan Операционные системы: • Windows 95 • Windows 98 • Windows 98 SE • Windows NT • Windows ME • Windows 2000 • Windows XP • Windows 2003 Последствия: • Отключение приложений безопасности • Загружает вредоносные файлы • Изменение реестра

Как видно, он уже детектится Kaspersky'м, Nod'oм и Bitdefender, Avir'ой и также должен детектится DrWeb!

Едем дальше...

Описание Zapchas

Цитата: Имя: TR/Zapchas Обнаружен: 17/11/2005 Вид: Троянская программа В реальных условиях: Нет Отмеченные факты заражения: Низкий Потенциал распространения: Низкий Потенциал повреждений: От низкого до среднего Файл статистики: Да Размер файла: 912.374 байт. Общее Метод распространения: • Нет собственной процедуры распространения Псевдонимы (аliases): • F-Secure: Backdoor.IRC.Zapchast • Sophos: Troj/Zapchas-CN • Grisoft: IRC/BackDoor.Flood Операционные системы: • Windows 98 • Windows 98 SE • Windows NT • Windows ME • Windows 2000 • Windows XP • Windows 2003 Последствия: • Создает файлы • Создает вредоносные файлы • Изменение реестра

Вирус точно детектится Avir'ой, BitDefender, Sophos, Kaspersky и DrWeb. Насколько известно, AVG и NOD находят не все модификации этого антивируса.

Next...

Троян Lager
Описание

Цитата: Имя: TR/Lager Обнаружен: 14/02/2006 Вид: Троянская программа В реальных условиях: Нет Отмеченные факты заражения: Низкий Потенциал распространения: Низкий Потенциал повреждений: От низкого до среднего Файл статистики: Да Размер файла: 48.164 байт. Метод распространения: • Нет собственной процедуры распространения Псевдонимы (аliases): • Kaspersky: Trojan-Proxy.Win32.Lager.ah • TrendMicro: TROJ_GALAPOPER.T • VirusBuster: virus Trojan.PR.Lager.Y • Bitdefender: Trojan.Spy.Agent.CN Операционные системы: • Windows 95 • Windows 98 • Windows 98 SE • Windows NT • Windows ME • Windows 2000 • Windows XP • Windows 2003 Последствия: • Загружает вродоносный файл • Создает файлы • Изменение реестра

Как видно выше детектится Касперским, Bitdefedner и другими.
DrWEb должен детектить, Avira тоже и NOD, но не все модификации.

На сегодня все. =)


Если выше написано, что ваш антивирус находит этого зверя, то не будьте уверены на 100 % так, как каждый день появляются новые модификации вирусов... и 100% защити не существует!

[PcKill]

TOP 20 вредоносных программ на 30.12.2006

30.12.2006

TOP 20 по количеству обнаружений за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Tibs.jy
3 Trojan-Downloader.Win32.Small.edz
4 Trojan-Proxy.Win32.Small.bo
5 Dialer.Win32.GBDialer.i
6 Trojan-Downloader.Win32.Small.cxx
7 AdvWare.Win32.WebSearch.bf
8 Dialer.Win32.PluginAccess.s
9 Trojan-Downloader.Win32.Small.edn
10 IM-Worm.Win32.Qucan.n
11 Trojan-Downloader.Win32.Zlob.bed
12 AdvWare.Win32.PluginDL.a
13 Email-Worm.Win32.Bagle.gt
14 Trojan-Downloader.Win32.Zlob.biv
15 Trojan-Downloader.Win32.Agent.bdb
16 Trojan-Downloader.Win32.Zlob.biq
17 Trojan-Downloader.Win32.Zlob.bis
18 Trojan-Dropper.Win32.Agent.ol
19 Dialer.Win32.CapreDeam.p
20 Trojan-Downloader.Win32.Obfuscated.n

TOP 20 по количеству обнаруженных модификаций за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Tibs.jy
3 Dialer.Win32.GBDialer.i
4 Dialer.Win32.PluginAccess.s
5 Dialer.Win32.CapreDeam.p
6 Dialer.Win32.Agent.ao
7 Trojan-Downloader.Win32.Obfuscated.n
8 Trojan.Win32.DNSChanger.hj
9 Trojan.Win32.Diamin.go
10 Dialer.Win32.EgroupDial.x
11 Trojan-Downloader.Win32.Adload.fk
12 Trojan-Proxy.Win32.Horst.te
13 Trojan-Downloader.Win32.Adload.fy
14 Trojan-Downloader.Win32.Small.awa
15 Trojan-Downloader.Win32.Zlob.bed
16 AdvWare.Win32.Trymedia.b
17 Trojan-Downloader.Win32.Zlob.biq
18 Trojan-Dropper.Win32.Agent.azn
19 Backdoor.Win32.Agent.fo
20 Backdoor.Win32.Tiny.t

TOP 20 по количеству обнаружений за месяц
1 Trojan-Downloader.Win32.Small.dam
2 IM-Worm.Win32.Qucan.h
3 Email-Worm.Win32.Warezov.fb
4 Trojan-Downloader.Win32.Tiny.et
5 Trojan-Downloader.Win32.Busky.gen
6 Trojan-Downloader.Win32.Small.cxx
7 IM-Worm.Win32.Qucan.n
8 Trojan-Downloader.Win32.Obfuscated.ba
9 Trojan-Downloader.Win32.Tiny.bm
10 Email-Worm.Win32.Warezov.dn
11 IM-Worm.Win32.Qucan.a
12 Trojan.Win32.Conycspa.i
13 Email-Worm.Win32.Warezov.hb
14 Trojan-Proxy.Win32.Small.bo
15 Trojan-Downloader.Win32.Small.edn
16 Trojan-Clicker.Win32.Agent.hz
17 Email-Worm.Win32.Glowa.n
18 Trojan-Downloader.Win32.Obfuscated.n
19 IM-Worm.Win32.Sohanad.e
20 Email-Worm.Win32.Banwarum.f

За прошедшие два дня:
обнаружено вредоносных программ: 2436
уникальных разновидностей: 995

Особенности:
Наблюдается всплеск активности Trojan-Downloader.Win32.Tibs.jy и Trojan-Downloader.Win32.Small.edz, они расылаются по электронной почте. Опасность подобных зловредов возрастает в связи с тем, что перед праздниками многие пользователи снижают бдительность и открывают файлы с именами типа "postcard.exe" или ""greeting card.exe", считая их поздравительными открытками.

[PcKill]

Опасный троянец распространяется под видом новогодней открытки!

Служба вирусного мониторинга компании «Доктор Веб» сообщает о появлении в Сети и массовом распространении посредством электронной почты вредоносной программы, получившей наименование по классификации Dr.Web Trojan.DownLoader.16958. Данная программа разослана с помощью массовой спам-рассылки под видом поздравления с Новым годом.
Технические подробности:

Тема: postcard
Тело письма:
Hi, you've just received a postcard.
For: <реальный адрес получателя>
From: ---
Text: Happy New Year!
Postcard:
Сlick on attachment to view a postcard
---
Pre-holidays Postcards.
[Для просмотра ссылок требуется регистрация. Зарегистрироваться...]

Вложение представляет собой ZIP-архив, содержащий файл postcard.exe.

По данным Службы вирусного мониторинга компании «Доктор Веб», присутствие этой троянской программы обнаружено в примерно 54% зараженного почтового трафика русскоязычного сектора сети Интернет. Немного позднее было выпущено ещё два варианта этого троянца, получивших наименования Trojan.DownLoader.16984 и Trojan.DownLoader.16985. Данные троянцы, будучи запущенными на исполнение неосторожным пользователем, устанавливают на компьютер ставший уже печально известным почтовый червь массовой рассылки Win32.HLLM.Limar. Таким образом, можно констатировать тот факт, что авторы Win32.HLLM.Limar лишь сменили метод распространения своего «детища», в очередной раз делая ставку на «человеческий фактор» - интерес к подарку, который скрывается в красивой новогодней упаковке.


Хотелось бы отметить, что антивирус Dr.Web в очередной раз показал свой высокий класс в распознавании вредоносных программ – данные троянцы детектировались эвристическим анализатором (DLOADER.Trojan) ещё до внесения записей о них в вирусные базы.


Компания «Доктор Веб» призывает пользователей не открывать письма, пришедшие от неизвестных адресатов и, тем более, не открывать вложения, прикреплённые к таким письмам.

[PcKill]

Email-Worm.Win32.Warezov

16.01.2007 16:10, GMT +0300, Москва

Статус : информационный

«Лаборатория Касперского» сообщает о перехвате массовых рассылок новых версий Email-Worm.Win32.Warezov, начавшихся 15 января 2007 года.

Каждая новая рассылка содержит в себе новую версию этой вредоносной программы. Все варианты похожи друг на друга и распространяются в качестве вложений в зараженные электронные письма. После своего запуска, они пытаются остановить запущенные на компьютере антивирусы и межсетевые экраны и загрузить из интернета другие вредоносные программы.

Все последние перехваченные варианты были добавлены в антивирусные базы Антивируса Касперского.

Пользователям Антивируса Касперского 6.0 рекомендуется активизировать модуль проактивной защиты, способный детектировать новые версии Warezov без необходимости обновления антивирусных баз.

Более подробная информация о функционале новых версий этой вредоносной программы будет доступна в ближайшее время.

[Для просмотра ссылок требуется регистрация. Зарегистрироваться...]

[PcKill]

Опасный троянец маскируется под видеоролики о важнейших мировых событиях

21 января 2007 года

Служба вирусного мониторинга компании «Доктор Веб» сообщает о довольно быстром увеличении присутствия в почтовом трафике спам-сообщений, несущих в качестве вложения троянскую программу Trojan.Spambot (по классификации Dr.Web). Данный троянец является фактически копией другой аналогичной вредоносной программы - BackDoor.Groan - с несколько измененнным упаковщиком. На 23-00 20 января письма, имеющие во вложении BackDoor.Groan, составляли 87% всего инфицированного почтового трафика.

Огромное количество экземпляров троянца в интернете объясняется массированными спам-рассылками, организованными по всему миру. При этом замысел его создателей весьма прост - привлечь внимание пользователей и вызвать их естественное любопытство броским заголовком, сообщающим о каком-либо весьма актуальном событии в мировой политике. Текст в сообщении при этом отсутствует, таким образом, пользователь, не искушенный в вопросах безопасности, сразу переходит к "основной теме" - то есть, запускает опасное вложение - исполняемый файл -одним щелчком мыши.

Будучи запущенным, программа сбрасывает в системный каталог Windows и устанавливает в системе драйвер (имя файла - wincom32.sys, соответствующая запись создается в системном реестре), который может в дальнейшем закачивать другие вредоносные программы, оставаясь при этом невидимым для менеджера задач.

Письма, которые приходят с вложением, содержащим данную разновидность троянца Trojan.Spambot, могут иметь следующие заголовки:
Russian missle shot down Chinese satellite
Russian missle shot down USA satellite
The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
Fidel Castro dead!

Имена исполняемых файлов, которые были зафиксированы Службой вирусного мониторинга «Доктор Веб» применительно к этим спам-рассылкам, были следующими:
Full video.exe
Full clip.exe
Full news.exe
Full story.exe
Video.exe

Специалисты компании «Доктор Веб» еще раз предостерегают всех пользователей от излишнего любопытства при получении писем с вложениями от неизвестных адресатов. В ближайшие дни вполне возможно нарастание присутствия в сети данной троянской программы вследствие продолжения спам-рассылок инфицированных сообщений, с различными вариациями заголовок писем, а также имен прилагаемых файлов.