Служба вирусного мониторинга компании «Доктор Веб» подвела итоги наблюдений за вирусной обстановкой в декабре 2006 года.

Последний месяц уходящего года ознаменовался обнаружением многочисленных уязвимостей в продуктах Outlook Express и Internet Explorer, которые предоставляют возможности выполнения произвольного кода на целевом компьютере, переполнения буфера при разборе адресной книги, удалённого просмотра файлов в папке Temporary Internet Files. Компания Microsoft присвоила этим уязвимостям статусы критических. Несмотря на то, что для этих продуктов уже выпущены соответствующие заплатки, опасность появления полноценной вредоносной программы остаётся по-прежнему высокой. Ведь, как показывает опыт, установкой обновлений большинство пользователей озадачиваются лишь после заражения компьютера.

В течение месяца отмечалась рассылка спам-писем, предлагающих пользователю либо посетить сайт пикантного содержания, либо посмотреть соответствующие фотографии. Ссылка, по которой предлагалось скачать архив, на самом деле вела на закачку троянского загрузчика, определяемого Dr.Web как Trojan.DownLoader.15512. В результате работы этого загрузчика компьютер пользователя превращается в участника рассылки спама, осуществляемой другой троянской программой – Trojan.Spambot.

Важно отметить появление троянской программы, получившей название по классификации Dr.Web Trojan.Encoder.10. Деструктивной функцией этой троянской программы является шифрование файлов на жёстких дисках (*.jpg, *.doc, *.txt, *.gif, *.rar, *.bmp) алгоритмом XOR длиной ключа 1 байт. В то время как его «предшественник» Trojan.Encoder.9 использовал 8-ми байтный ключ, а Trojan.Encoder.6 шифровал файлы с помощью криптоалгоритма RSA, Trojan.Encoder.10 заражает файлы, записываясь в начале этих файлов, и добавляет расширение *.exe. В результате заражённый файл запускается операционной системой как исполняемый с выводом сообщения

"имя_файла" was infected with dangerous and destructive virus or spyware.
CPS Anti-Spyware 2.0 deleted "имя_файла" from this path on your computer C:\ - now your system is fully protected CPS Anti-Spyware 2.0
allow you to recover all infected files with 100 guarantee.
Purshase full version CPS Anti-Spyware and restore "имя_файла"

и открывает Internet Explorer с нужным сайтом. Таким образом, можно сделать вывод, что данный троянец использовался исключительно в рекламных целях.

Общий рейтинг выглядит так:

Trojan.Bankfraud.272
Win32.HLLM.Limar.based
Win32.HLLM.Perf
Win32.HLLM.Beagle
Win32.HLLM.Netsky.35328 
Win32.HLLP.Sector
Win32.Dref 
Win32.HLLM.Netsky.based
Win32.HLLM.MyDoom.based
Win32.HLLM.MyDoom.33808
Win32.HLLM.Limar
Trojan.DownLoader.16958
Win32.HLLM.Graz
Win32.HLLM.MyDoom.49
Exploit.MS05-053
Win32.HLLM.Netsky
Win32.HLLM.Oder
Exploit.MS05-053
Exploit.IframeBO
Win32.HLLM.MyDoom