Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации, сложившейся в декабре 2007 г. На протяжении всего декабря Спам (spam)-обстановка была достаточно спокойной. Лишь в конце месяца была зафиксирована традиционная для этого времени года волна Спам (spam)-рассылок, связанных преимущественно с подготовкой к Новому году и Рождеству.

Предложения злоумышленников оригинальностью не отличались: пользователи получали стандартные письма с предложениями заказа полиграфии и новогодних подарков. На их фоне уже ставшие привычными рассылки, рекламирующие базы данных, фармацевтические препараты и прочее, быстро отошли на второй план.

Правда, не обошлось без одного интересного момента, который сразу обратил на себя внимание. Речь идет о хорошо спланированной фишерской атаке, явно направленной на пользователей системы «Яндекс - (yandex) – Деньги» и зафиксированной 22 декабря. Эта атака была относительно краткой, но, надо полагать, вместе с тем и опасной, так как адрес рассылки никакого отношения к порталу «Яндекс - (yandex)» не имеет.

Интересно, что в октябре наблюдалась аналогичная фишерская атака за тем лишь исключением, что в качестве ссылки указывался домен yanclex.ru, в то время как в данном случае переадресация шла на yanrex.com.

Также следует отметить распространение новой версии так называемого «штормового червя» (Storm Worm), который в этот раз спрятался под видом некоего «Секретного Санты». Зафиксированы как минимум два вида Спам (spam)-сообщений с заголовками «Your Secret Santa» и «Merry Christmas From your Secret Santa». В обоих письмах авторы просили пользователя уделить им минутку-другую и пройти по предложенной ниже ссылке на веб-страницу, содержащую установочный скрипт. По характеру работы «Санта» напоминает известную вредоносную программу для рассылки спама BackDoor.Groan и детектируется как Trojan.Packed.262.

Приведем еще два примера Спам (spam)-рассылки, зафиксированной в декабре. Первый – распространение почтового червя Win32.HLLM.Graz (также аналогичного программе BackDoor.Groan). Суть его действия осталась неизменной: в теле письма содержится URL (ссылка) на веб-страницу, при переходе на которую (в браузере Internet Explorer) происходит автоматическое инфицирование компьютеров. Второй пример – Спам (spam)-рассылка вредоносных программ семейства BackDoor.Bulknet, которые – чтобы успешно скрываться в системе и восстанавливать ключи реестра – используют rootkit-технологии и сами рассылают Спам (spam).

Кроме того, в последние дни декабря был зафиксирован рост спамерских рассылок и в новых каналах его распространения – в частности, посредством известного интернет-пейджера ICQ. Все такие сообщения содержали предложения получить доступ к базам порнофильмов, для активации которого требовалось отправить платное SMS, а также традиционную рассылку продаваемых баз.

Наконец, отдельного упоминания заслуживает Спам (spam)-рассылка, обусловленная активностью троянов Trojan.Spambot 2386 и Trojan.Spambot 2387. Речь идет о ряде сообщений с общим названием «New Year Postcard», представленных в нескольких вариантах, но содержащих одну и ту же ссылку на happycards2008.com. Начиная с 26 декабря, это уже второй случай рассылки, связанной с успешной атакой троянов на компьютеры конечных пользователей.

Подпись автора

Член Клуба <Антияой>
Член клуба Позити ффф