Недельный отчет Panda Software о вирусах и вторжениях

На прошлой неделе лаборатория PandaLabs зафиксировала массированную рассылку спамовых сообщений, содержащих файлы, зараженные червем Spamta.CY. Сообщения, содержащие червя, обладают различными заголовками, произвольно выбираемыми из списка вариантов. Сообщение содержит текстовое предупреждение пользователям о том, что с их компьютера отсылается электронная почта, зараженная вредоносным кодом. В некоторых случаях сообщение не содержит текста.

Вложенный файл также обладает произвольно выбираемым именем, таким как doc.dat.exe, body.zip или test.elm.exe, и содержит червя Spamta.CY. При запуске файла червь открывает блокнот Windows и отображает ряд бессмысленных символов. В то же время он ищет хранящиеся в системе электронные адреса, на которые отсылает себя, используя собственный SMTP-движок. Менее чем за 24 часа после появления Spamta.CY лаборатория PаndaLabs обнаружила появление 12 новых версий этого семейства червей. Кажется, что создатель этих червей пытается распространить как можно больше их версий с целью повысить вероятность заражения компьютеров.

Новообнаруженные версии Spamta схожи друг с другом и разработаны для быстрой отсылки по электронной почте. Однако создатель червя может внести иные модификации в новые версии, встроив в них более опасные функции, что является частой практикой среди авторов вредоносного ПО. Уязвимость MS06-055 была классифицирована как критическая. Она распространяется на Vector Markup Language (VML) на компьютерах с Windows 2003/XP, а также компьютерах под управлением Windows 2000 c браузером Internet Explorer версий 5.01 и 6.

Успешная эксплуатация этой уязвимости позволяет хакерам получать удаленный контроль над пораженным компьютером с теми же привилегиями, что пользователь, начавший сеанс. Поэтому, если пользователь обладает правами администратора, хакер получает полный контроль над системой. На данный момент эта уязвимость эксплуатировалась через специальным образом созданные веб-страницы.

Список наиболее часто обнаруживаемых в сентябре в России вредоносных программ выглядит следующим образом:
1. W32/Wukill.A.worm2, 92%
2. W32/Jeefo.A2, 29%
3. Trj/LdPinch.TB1, 88%
4. Trj/Xorpix.R1, 88%
5. W32/Sdbot.ftp.worm1, 77%
6. W32/Areses.BG.worm1, 46%
7. Trj/ Downloader.KHM1, 35%
8. W32/Areses.BD.worm1, 35%
9. W32/Bagle.pwdzip1, 25%
10. W32/Jeefo.A.drp1, 15%
11. W32/Netsky.P.worm1, 04%
12. Trj/Qhost.gen0, 83%
13. Exploit/ActXComp0, 73%
14. Trj/PdPinch.A0, 73%
15. Trj/OpenPass.A0, 63%
16. Exploit/Metafile0, 52%
17. Trj/Abwiz.A0, 52%
18. Trj/Jupillites.G0, 52%
19. W32/Areses.AO.worm0, 52%
20. W32/Netsky.Z.worm0, 52%