В апреле ситуация на фронте вредоносных программ складывалась спокойно. Главными «игроками» на арене, как и ранее, стали представители почтовых червей семейств Win32.Dref и Win32.HLLM.Limar. Однако, на этот раз в их противостоянии проявились новые особенности - Win32.Dref стал распространяться в виде запароленного ZIP-архива с указанием пароля в графическом файле. Такой приём хоть и является не новым (его «изобрели» авторы другого семейства почтовых червей Win32.HLLM.Beagle), однако позволил Win32.Dref в первые дни достаточно успешно распространиться, поскольку далеко не все антивирусные продукты смогли обеспечить детектирование их на почтовых серверах. Проблема детектирования таких модификаций Win32.Dref в антивирусе была решена выпуском специальной записи, позволяющей детектировать такие архивы - Win32.Dref.pswzip.

В свою очередь, Win32.HLLM.Limar преподнёс весьма неприятный сюрприз – исходное тело червя было заражено полиморфным файловым вирусом Win32.Virut. Таким образом, пользователи получили комплект 2 в 1. Кроме того, в середине месяца Win32.HLLM.Limar вновь стал безоговорочным лидером всего инфицированного почтового трафика. Пиковые значения в отдельные дни превышали 80%-ю отметку.

Следует также отметить появление новой модификации почтового червя Win32.HLLM.Graz. Однако это появление прошло практически незаметным и предпосылок для эпидемии не возникло.

В этом месяце продолжилось распространение скриптового червя VBS.Igidak. По сравнению с предыдущим месяцем его присутствие оказалось не столь масштабным, однако тенденциозным стал метод обеспечения автозапуска в поражённой системе – на локальных дисках создаётся конфигурационный файл autorun.inf, в котором прописан путь к исполняемой части червя. Кроме того, и исполняемая часть червя и сам конфигурационный файл являются скрытыми. Поскольку, по умолчанию, в стандартном Проводнике Windows и большинстве файловых менеджеров отображение файлов, имеющих атрибуты системных или скрытых, отключено, то своевременное обнаружение посторонних файлов становится проблематичным. Подобный метод инфицирования системы заложен в других представителях вредоносных программ – Trojan.Recycled и Trojan.Corruptor.

В апреле возросло примерно на 20% количество загрузчиков, скачивающих вредоносные программы для похищения паролей к банковским системам (Trojan.PWS.Banker), а также загрузчиков, скачивающие программы для рассылки спама с поражённого компьютера – Trojan.Spambot.

Итоги спам-активности в апреле 2007 года

В подавляющем большинстве случаев те или иные спам-соообщения, поступающие на анализ в компанию “Доктор Веб” – это реклама каких-то определённых сервисов и услуг. Практически 80% спам-писем – это письма в виде графического изображения. Такой приём используется спамерами для обхода спам-фильтров, основанных на байесовских алгоритмах распознавания нежелательной корреспонденции. Кроме того, встречаются различные комбинаторные варианты - “прореживание” текста в теме писем пробелами, применение текста разных цветов писем.

Направленность англоязычной спам-корреспонденции преимущественно связана с медицинскими сервисами, в то время как русскоязычная корреспонденция связана с целым спектром услуг:
• коммерческая деятельность;
• туры и путешествия;
• определение значение фамилии человека;
• предметы быта.