В декабре вышло очередное критическое обновление для операционных систем семейства Windows, которое закрыло уязвимость в обработчике XML. Причиной оперативного выпуска обновления стало распространение эксплойта, тот, что использовал данную уязвимость. Данный эксплойт по классификации Dr.Web имеет наименование Exploit.CVE2008.4844.

При запуске он осуществляет проверку наличия в системе браузера Internet Explorer 7, а ещё проверку на то, что он загружен в ОС Windows XP или Windows 2003 Server, вслед за тем чего создаёт сознательно подготовленный XML-тег, в результате обработки которого начинается загрузка со нарочно подготовленного сайта и установка в систему вредоносных программ.

Блокирование доступа к документам В декабре появилось немедленно немного заметных случаев распространения вредоносных программ, в функционал которых входит блокирование доступа к документам пользователя. Одной из таких программ стал троянец Trojan.Locker.8, который блокировал доступ к документам и папкам посредством их переименования на имена, не соответствующие стандартам, принятыми в Windows. Тот самый троянец распространялся в виде генератора серийных номеров на продукты, выпускаемые Adobe Systems.

Trojan.Encoder.33 представлял из себя новую модификацию программ, использующих шифрование пользовательских документов. На этот раз кроме шифрования файлов троянец перемещал их специально создаваемые папки, расположенные в профиле пользователя Windows.

Оригинальные файлы заменялись сообщением "FileError 22001", при этом если протокол имел текстовые формат, то и извещение было в текстовом формате, на местоположение же графических файлов помещалось графический файл с тем же сообщением.

Почтовые рассылки Вирусописатели продолжают рассылать вредоносные программы под видом электронных открыток. Для этого в почтовых сообщениях могут включаться как прямые ссылки на якобы электронные рассылки, так и В частности, в рассылке от якобы сервиса Hallmark давалась прямая ссылка на самораспаковывающийся архив, который содержал весь комплект совершенно безвредных системных утилит, которые использовались для своих нужно вредоносной программой, также входящей состав архива.

Данная вредоносная программа содержится в вирусной базе Dr.Web под именем Trojan.Runner.15. Также авторами "электронных открыток" активно эксплуатировалась задача рождественских праздников.

В течение последней декады декабря пользователи электронной почты получили море писем со ссылкой на сайт, откель якобы позволительно скачать рождественскую открытку.

На деле же все ссылки на данном подставном сайте вели на различные вредоносные программы, которые определяются Dr.Web как Trojan.Spambot.4202, Trojan.Spambot.4204, Trojan.Spambot.4214, а также Trojan.Promo.42. С 16 по 23 декабря была заметна русскоязычная рассылка, к которой была приложена якобы фотография.

На самом деле в приложенном архиве находился исполняемый файл DC005.JPG уймище символов подчёркивания. Trojan.DownLoad.9125. Данный троянец при запуске загружает из Интернета вредоносную программу Trojan.PWS.GoldSpy.2581, которая, в свою очередность устанавливает в систему ещё два своих компонента - Trojan.PWS.GoldSpy.2579 и Trojan.PWS.GoldSpy.2580.

Рассылка данного троянца, к сожалению, подтверждает высказанную прежде тенденцию о том, что почтовые сообщения всё чаще используются в качестве транспорта для троянцев, ворующих пользовательские пароли. Социальные сети Механизмы личных сообщений, реализованные на сайтах социальных сетей, продолжают применяться для различных схем мошенничества.

В частности, многие пользователи социальной сети "В контакте" получили сообщение от специально созданного для рассылки аккаунта том, что пользователь этой социальной сети может принять денежный бонус. Подставной сайт имеет дизайн, схожий на служебный сайт социальной сети "В контакте" и предлагает пользователю ввести логин и пароль на свойский аккаунт.

Затем этого выводится сообщение об условиях "акции", в котором, в частности, предлагается скачать программу и определить её в мобильный телефон. На самом деле никакого бонуса пользователь в итоге не получал, а программа, установленная в телефон, начинала несанкционированную рассылку платных SMS-сообщений. Данная вредоносная определяется Dr.Web как одна из модификаций Java.SMSSend.

Фишинг В декабре, как и в предыдущие месяцы, интернет-мошенниками активно использовался приём фишинга. В частности, в прошедшем месяце жертвами фишинга оказались клиенты JPMorgan Chase Bank, Frost Bank, а также пользователи интернет-аукциона eBay. SMS-мошенничество В декабре был зафиксирован примечательный происшествие SMS-мошенничества, ориентированный на пользователей нелицензионных копий Windows.

по материалам http://cio-world.ru/it-news/394124/