По данным virusinfo.tut.by
Наиболее распространенные вирусы, по итогам прошедшей недели:
| 1 | W32/Netsky.Q-mm | 39% |
| 2 | W32/Netsky.D-mm | 15% |
| 3 | W32/Netsky.B-mm | 12% |
| 4 | W32/MyDoom-mm | 7% |
| 5 | W32/Bagle.G-mm | 7% |
| 6 | W32/Netsky.C-mm | 5% |
| 7 | W32/Netsky.R-mm | 4% |
| 8 | W32/Bagle.J-mm | 2% |
| 9 | W32/Bagle.I-mm | 2% |
| 10 | W32/MyDoom.E-mm | 1% |
Первые три места (а также 6-е и 7-е) занимают различные версии почтового червя W32/Netsky. Для распространения вирус рассылает инфицированные файлы по электронной почте, а также копирует себя в каталоги, имеющие в имени подстроку "shar", "kazaa", "mule" (обычно это открытые для общего доступа ресурсы). При распространении по электронной почте червь может дописывать в тело письма сообщение о том, что это письмо было проверено антивирусом и вирусов не содержит. Червь использует уязвимость IFRAME браузера Microsoft Internet Explorer (версии 5.01, 5.5), из-за которой вирус получает возможность сохранить на диск присоединенный к письму файл и запустить его, например, при просмотре пользователем письма в Outlook Express. "Заплатка", устраняющая эту уязвимость, доступна по адресу www.microsoft.com/windows/ie/download/critical/Q290108/default.asp. W32/Netsky удаляет из реестра ключи, создаваемые червями семейства W32/Bagle (если такие ключи есть в реестре).
Четвертое и десятое места занимают различные версии W32/MyDoom. Этот червь не использует уязвимости программного обеспечения, то есть вирус может получить управление только в случае запуска файла пользователем. Присоединенный к письму файл с кодом вируса имеет размер около 22 килобайт. Расширения файла: .exe, .pif, .cmd, .scr. Часто вирус находится в zip-архиве. Иконка файла призвана убедить пользователя, что это текстовый файл. После запуска вируса открывается окно Notepad, заполненное случайными символами.
Пятое, восьмое и девятое места занимают различные версии W32/Bagle. Для распространения червь использует e-mail и файлообменные сети. Вирус использует уязвимости браузера Microsoft Internet Explorer (версии 5.01, 5.5, 6.0, 6.0 for Windows Server 2003), описание которых доступно по адресам www.microsoft.com/technet/security/bulletin/MS03-032.mspx и www.microsoft.com/technet/security/bulletin/MS03-040.mspx. При запуске пользователем скрипта, содержащегося в письме, с зараженного сайта на компьютер-жертву загружается исполняемый файл с кодом червя. Также к письму может быть прикреплен архив с исполняемым файлом, при этом пароль на архив содержится в теле письма. Червь заражает .exe-файлы, а также ищет и удаляет ключи реестра, принадлежащие вирусам семейства W32/Netsky. Кроме этого, червь пытается завершить процессы антивирусных программ и межсетевых экранов.
Все названные черви устанавливают backdoor-компонент, позволяющий злоумышленнику загружать на зараженный компьютер файлы и выполнять команды.
Чтобы избежать заражения вирусами, используйте и регулярно обновляйте антивирус, устанавливайте "заплатки" для применяемых программ.
Максим ГОРБАЧЕВ,
ОДО "ВирусБлокАда",
mg@vba.com.by
Версия для печати
Горячие темы