Вот топ-10 вирусов*, которые Dr.Web обнаружил и обезвредил в сети компании ВОЛЯ за последние 90 дней:
Вирус | Количество "детектов" | Win32.HLLP.Neshta | 3 028 689 | SCRIPT.Virus | 123 977 | Win32.HLLW.Gavir.ini | 41 969 | Trojan.DownLoader1.33930 | 40 009 | Win32.HLLW.Autoruner.based | 36 289 | Win32.HLLP.Whboy | 12 054 | Trojan.Inor | 7472 | Win32.HLLW.Autoruner.5555 | 6407 | Win32.HLLP.Rox.17 | 6259 | Win32.HLLP.Rox | 4594 | *Данные предоставлены специалистами «Доктор Веб ».
Эксперты ВОЛИ совместно со специалистами «Доктор Веб»
акцентируют внимание интернет-пользователей на наиболее опасных
представителях этого списка. Win32.HLLP.Neshta Распространенный
файловый вирус, который предположительно был создан белорусскими
студентами осенью 2005 года. В свое время Neshta, имя которого
происходит от белорусского «нешта» («нечто», «что-то») и вполне годится
для названия фильма ужасов, стал печально известен по всей Беларуси и в
некоторых странах СНГ: вирус широко распространился на территории этих
стран, доставив массу неудобств ряду компаний. Так, в 2007 году вирус на
несколько дней парализовал работу белорусского коммерческого банка
«Технобанк» и, следовательно, привел к ощутимым финансовым потерям. Интересно,
что создатели вируса «вшили» в его тело своеобразное послание миру,
передав привет всем белорусским девушкам и заодно Александру
Григорьевичу Лукашенко, а в конце послания философски отметив, что
«осень – плохая пора, а «Аливария» (марка белорусского пива) – лучшее
пиво». После того как вирус активируется в
системе (зачастую самим же пользователем), он копирует себя в файл
svchost.com в директории Windows и регистрируется в системном реестре
HKCRexefileshellopencommand. Это приводит к тому, что запуск любого
exe-файла сопровождается активацией вируса и заражением файла. Затем
вредоносная программа начинает сканировать логические диски компьютера в
поисках других исполняемых файлов. Таким образом, вирус способен в
очень короткие сроки заразить всю систему. SCRIPT.Virus Скрипт-вирус
– общее название для семейства вредоносных программ, написанных на
языках Visual Basic, Basic Script, Java Script, Jscript и представляющих
собой файлы-сценарии, или инструкции для исполнения. Интерпретаторы
перечисленных языков программирования по умолчанию входят в состав
операционных систем, в том числе Windows. Именно поэтому при активации
вируса операционная система без труда «понимает» вредоносный сценарий и
дает ему ход. Чаще всего такие вирусы называют интернет-червями. Обычно
скрипт-вирусы прорываются в компьютер пользователя через почтовые
сообщения с вложенными в них файлами-сценариями. Например, в начале
двухтысячных широкое распространение получили вирусы LoveLetter и Anna
Kournikova. Особенность этих «любовных писем» была в том, что по
внешнему виду они напоминали обычный jpg-файл – якобы безобидную
картинку. Но это была всего лишь видимость: файлы имели так называемое
двойное расширение. Так, в файле AnnaKournikova.jpg.vbs обозначение
«.jpg» – это часть имени, а «.vbs» – его настоящее расширение, которое
Windows прекрасно знает. Вследствие этого операционная система скрывает
расширение, оставляя только имя файла – в нашем случае он будет
выглядеть, как AnnaKournikova.jpg. К сожалению, неискушенные
пользователи, ни о чем не подозревая, собственноручно открывает вирусу
двери в систему, запуская подобные «безобидные» файлы. Естественно, имя
файла может быть самым разным, главное, чтобы пользователю захотелось
его открыть. Win32.HLLW.Gavir.ini Сетевой
червь, написанный на языке программирования Delphi. Попадая в систему,
вирус прописывается в процессе rundl132.exe и тем самым обеспечивает
себе автозагрузку при каждом запуске Windows. После активации вирус
сканирует логические диски компьютера и сетевые ресурсы в поисках
exe-файлов, а затем заражает их. Также червь ищет в сети активные
компьютеры с пустым администраторским паролем или с правами текущего
пользователя. Найдя подобный компьютер, вирус создает на нем свою копию и
запускает ее – и так до бесконечности. Файлы, инфицированные этим
вирусом, корректно лечатся антивирусным сканером Dr.Web. Win32.HLLW.Autoruner.based (Win32.HLLW.Autoruner.5555) Флешечный» червь, который проникает в систему в
основном через съёмные носители и сетевые диски, пользуясь встроенным в
ОС Windows механизмом автозапуска. Некоторые его модификации
определяются антивирусом Dr.Web как Win32.HLLW.Autorunner.5555. После
активации вирус внедряется в системные процессы Windows, останавливает
службу обновления ОС, а также обеспечивает себе автозапуск после
перезагрузки системы. Кроме того, червь способен блокировать
пользователю доступ к сайтам целого ряда антивирусных компаний. Также
вредоносная программа может увеличить стандартное для системы
ограничение на количество одновременных сетевых подключений. Основной
целью этого червя является создание бот-сети, которая может состоять из
множества зараженных компьютеров. Скрытно используя ресурсы этих
компьютеров, злоумышленники занимаются нелегальной или полулегальной
деятельностью – рассылают спам, перебирают пароли или атакуют различные
ресурсы «на отказ обслуживания» (DDoS-атаки). Кроме того, бот-сеть может
быть продана: действующие бот-сети пользуются большим спросом среди
хакеров. Win32.HLLP.Whboy Червь
китайского происхождения, который проникает в систему через уязвимости в
браузере при посещении специально сформированной веб-страницы, а также
посредством сетевых ресурсов и сменных носителей. Некоторые версии
внедряются в исполняемые файлы, другие распространяют файлы-дропперы,
которые предназначены для скрытной установки вирусов, содержащихся в их
теле, на компьютер пользователя. Ранние версии
вируса заражали исключительно китайскую версию Windows. После активации
червя на зараженном компьютере работа ОС затруднялась, происходило
изменение Рабочего стола: все значки превращались в изображения панды,
держащей у себя в лапах китайские ароматические свечи. Однако основной
вред от этого вируса заключается в том, что он может поразить локальную
сеть целой организации, блокируя выполнение важных системных процессов,
необходимых для нормальной работы компьютера, и препятствуя запуску
различных приложений. Эксперты компании ВОЛЯ
настоятельно рекомендуют поддерживать актуальность компьютерных программ
для защиты системы от вторжений и вирусов, поскольку последние
выполняют с ПК абонентов внешние атаки, рассылки спама и т.д. В
результате не только расходуется трафик абонента и перегружается
интернет-канал, но и возникает угроза включения IP-адреса абонента в
черные списки. Разумеется, в таких случаях специалисты ВОЛИ принимают
необходимые меры, уведомляя абонента о спам-рассылке, ведущейся с его
ПК. Однако и абоненты, в свою очередь, должны быстро реагировать на
подобные уведомления, ведь комфорт для всех пользователей и безопасность
сети можно обеспечить только совместными усилиями. ВОЛЯ
напоминает, что вводить какие-либо персональные данные на сайтах без
корректной проверки сертификатов безопасности (замок /https в строке,
где указан URL сайта) опасно. Внимательность и осторожность в таких
случаях – обязательные условия защиты персонального компьютера. Служба
поддержки ВОЛИ и «Доктор Веб» также выражают свою готовность прийти
пользователям на помощь при возникновении любых вопросов, связанных с
дополнительным сервисом «Защита от вирусов и СПАМа Dr.Web ».
Первоисточник: http://www.domik.net/novosti/virus-vs-antivirus--kto-kogo-n122908.html
|