Заметным событием стало появление и распространение почтового червя массовой рассылки Win32.HLLM.Limar. Темы инфицированных писем не блещут новизной: наиболее часто встречающиеся - Mail server report, Server report, Error, Mail Delivery System - т.е. имитируется ошибка доставки корреспонденции. Подобный метод введения пользователя в заблуждение уже встречался раньше - в многочисленных модификациях почтового червя Win32.HLLM.MyDoom. Win32.HLLM.Limar обладает функциями обновления своих программных модулей, закачки дополнительных вредоносных программ, а также противодействия некоторым программам сетевой безопасности. В базу Dr.Web была внесена запись, позволяющая детектировать широкий спектр модификаций данного червя - Win32.HLLM.Limar.based.
Службой вирусного мониторинга компании "Доктор Веб" в течение месяца наблюдались различного рода фишинговые атаки. Наиболее массовой была атака от имени Fifth Third Bank - в письмах сообщалось об обновлении применяемого программного обеспечения, и пользователю предлагалось подтвердить свои личные данные. Переход по ссылкам, указанным в письмах, приводил к потере денежных средств неосторожного пользователя. Другими примерами фишинга были письма от имени банковской системы PayPal, а также платёжной системы Visa. Подобные письма детектируются антивирусов Dr.Web как Trojan.Bankfraud.380 - Trojan.Bankfraud.388.
Определённым, но несильным "возмутителем спокойствия" стал Trojan.Encoder.9 - попытка возрождения нашумевших в своё время модификаций семейства Trojan.Encoder. Но в отличие от своих ранних модификаций, Trojan.Encoder.9 является лишь слабой попыткой вирусописателя сыграть на "славе" предыдущих модификаций этого семейства - шифрует файлы при помощи алгоритма XOR, длина ключа составляет 8 байт. Шифруемые файлы переименовывает с префиксом "_CRYPTED_". При шифровании округляет размер файла, чтобы он был кратен 8 - дописывает от 1 до 8 нулевых байт. Напомним, что более ранние представители семейства Trojan.Encoder шифровали файлы, применяя криптоалгоритм RSA.
Популярность тенденции распространения вирусов посредством спам-писем подтвердило появление червя Win32.HLLW.Cicar, маскирующегося под пикантный клип некой Daniela Cicarelli. Будучи запущенным неосторожным пользователем, червь закачивал на компьютер жертвы другую вредоносную программу для похищения паролей к банковским системам, получившую наименование по классификации Dr.Web - Trojan.PWS.Banker.5094.
Большой шум вызвало "появление" троянской программы для мобильных телефонов Trojan.Webser, аналог Trojan.RedBrowser. Данный троян представляет собой Java-приложение (J2ME), что позволяет удалить его штатными средствами мобильного телефона без применения антивирусных средств. Еще в мае этого года вирусной лабораторией компании "Доктор Веб" было обнаружено приложение, получившие по классификации Dr.Web название Adware.Freesms, которое послужило основой для Trojan.Webser, и было, очевидно, "пробой пера" автора. - троянские программы данного типа не могут самостоятельно распространяться и выполнять свои функции на мобильном устройстве. Для того, чтобы троянская программа начала функционировать, пользователю необходимо самому установить данное приложение и дать разрешение на запуск и доступ к сети.
Другим заметным представителем вредоносных программ является Trojan.Popuper, распространяющийся, в основном, под видом кодека для различных мультимедийных файлов. Для затруднения детектирования своего "детища" антивирусными средствами, авторы троянской программы часто модифицируют её на уровне исходных текстов.
В сентябре 2006 года возросло количество вредоносных программ, направленных на похищение паролей с целевого компьютера - главный акцент делается пароли к банковским системам. Наиболее популярным установки вредоносных программ на компьютер пользователя по-прежнему остаётся применение различного рода загрузчиков.
Компания "Доктор Веб" представляет вирусную статистику за сентябрь 2006 год для 20-ти наиболее распространённых вирусов.
| Наименование вируса | % от общего кол-ва вирусов |
|---|---|
| Win32.HLLM.Beagle | 17.09 |
| Win32.HLLM.Netsky.35328 | 13.57 |
| Win32.HLLM.Perf | 10.63 |
| Win32.HLLM.Netsky.based | 9.31 |
| Win32.HLLM.MyDoom.based | 8.41 |
| Trojan.Bankfraud.272 | 6.00 |
| Win32.HLLM.Beagle.pswzip | 4.24 |
| Win32.HLLM.Graz | 3.83 |
| Win32.HLLM.MyDoom | 3.15 |
| Win32.HLLM.MyDoom.33808 | 2.47 |
| Win32.HLLM.MyDoom.49 | 1.87 |
| Win32.HLLM.Beagle.19802 | 1.31 |
| Win32.HLLM.Netsky | 1.22 |
| Exploit.IframeBO | 1.16 |
| Win32.HLLM.Limar.based | 1.15 |
| Program.RemoteAdmin | 1.05 |
| Win32.HLLM.Bagz | 0.96 |
| Win32.HLLM.Perf.based | 0.75 |
| Win32.HLLM.Lovgate.9 | 0.74 |
| Win32.HLLM.Beagle.27136 | 0.66 |
| Прочие вредоносные программы | 10.39 |