десятка апрельских вирусов

Хит-парад апрельских вирусов

1 мая "Лаборатория Касперского" по традиции выпустила рейтинг самых распространенных вирусов прошлого месяца. По данным компании, апрель оказался еще более "вирусоактивным" месяцем, чем март. В течение первого весеннего месяца сразу 11 новых вирусов стремительно ворвались в хит-парад. Большинство среди новых вирусов составляют черви семейства Bagle, в том числе те, которые распространяются в виде запароленных архивов с паролем в теле письма или на приложенной картинке.

Впрочем, по распространенности черви Bagle пока не могут конкурировать с признаными лидерами - червями семейств MyDoom и NetSky. И хотя бурные эпидемии этих вирусов уже миновали, инциденты с их участием происходят еще весьма часто. Лидером апреля стал червь NetSky.b с долей 52,78%, на втором месте с 12,45% заражений находится MyDoom.a, а третью строку рейтинга занимает новая модификация NetSky с индексом d, ответственная за 8,98% заражений. Далее идут вирусы Mydoom.e, NetSky.q и старожил рейтинга I-Worm.Swen. На седьмом месте находятся пять модификаций Bagle, распространяющихся в запароленных архивах и объединенных под индексом PSW-Worm. Помимо Swen, в рейтинг попали такие "заслуженные" вирусы как Klez.h и несколько модификаций червя Mimail.

Целиком вирусная десятка апреля выглядит так:

I-Worm.NetSky.b 52,78%
I-Worm.Mydoom.a 12,45%
I-Worm.NetSky.d 8,98%
I-Worm.Mydoom.e 5,45%
I-Worm.NetSky.q 2,90%
I-Worm.Swen 2,37%
PSW-Worm 2,31%
I-Worm.Mydoom.g 2,30%
I-Worm.NetSky.c 1,65%
I-Worm.Bagle.i 0,75%

Обнаружена массовая рассылка троянской программы "Agent", заражающей компьютеры с помощью BMP-файлов.

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении массовой рассылки троянской программы "Agent", заражающей компьютеры при просмотре графических файлов формата BMP.

"Agent" использует брешь браузере Internet Explorer версий 5.0 и 5.5, которая позволяет запускать на компьютере вредоносный код при просмотре специально сконструированных BMP-файлов. Брешь была обнаружена 16 февраля 2004 г. (www.kaspersky.ru/news.html?id=145752935), что стало следствием утечки исходных кодов Windows (www.kaspersky.ru/news.html?id=145667021).

"Agent" был разослан по электронной почте при помощи спам-технологий. Зараженное письмо не содержит никаких отличительных признаков, кроме вложенного BMP-файла со случайным именем. Важно отметить, что данный файл создан специально для атаки русской версии Windows 2000 - на других версиях операционной системы вредоносный код работать не будет. Этот факт косвенно указывает на Россию и страны СНГ как наиболее вероятные места создания "Agent".

Если пользователь имел неосторожность запустить вложенный BMP-файл, "троянец" связывается с удаленным сервером, расположенным в доменной зоне Ливии, загружает с него другую троянскую программу - "Throd", и устанавливает ее на компьютере-жертве.

"Throd" представляет собой классическую программу-шпиона. При установке "троянец" регистрируется в ключе автозапуска системного реестра Windows и переходит в режим ожидания команд. В частности, с его помощью злоумышленники могут выполнять удаленные инструкции (копирование данных, считывание адресов из адресной книги Outlook и их пересылка на удаленный адрес), а также использовать зараженный компьютер как прокси-сервер для проведения анонимных сетевых преступлений.