Спам и вирусы: смертельный альянс

[Shanker]

По статистике Brightmail Probe Network, доля спама в почтовом трафике неуклонно растет начиная с октября 2003 года Если рост продолжится и дальше такими же темпами, то к концу нынешнего года спам составит 80% всей почты интернете, сообщает Webplanet.ru.

Доля почтовых сообщений в интернете, идентифицированных как спам: Январь 2004 г. — 60%. Декабрь 2003 г. — 58%. Ноябрь 2003 г. — 56%. Октябрь 2003 г. — 52%. Сентябрь 2003 г. — 54%. Август 2003 г. — 50%. Июль 2003 г. — 50%. Июнь 2003 г. — 49%. Май 2003 г. — 48%. Апрель 2003 г. — 46%. Март 2003 г. — 45%. Февраль 2003 г. — 42%. Битва со спамом продолжается, но эксперты Brightmail прогнозируют, что в 2004 году победа будет на стороне мусора. По мнению вице-президента по маркетингу Brightmail Франсуа Лаваста (Francois Lavaste), до тех пор, пока не начнутся крупные судебные процессы над спамерами в рамках программы CAN SPAM, спама в интернете не станет меньше.

Антиспамерские ассоциации, конечно, борются со спамом и пытаются помочь простым пользователям и корпоративным клиентам, но ущерб от их деятельности тоже немалый. По подсчетам Jupiter Research, ущерб от потери ошибочно отфильтрованных сообщений к 2008 году составит $419 млн. Основная доля ущерба приходится на честных рекламщиков, которые рассылают рекламу с соблюдением всех возможных норм нетикета.

Январь 2004 г. был примечателен не только увеличением спама, но и рекордными вирусными эпидемиями. По оценкам компании mi2g, от различных модификаций червя «MyDoom» мировая экономика потерпела ущерб в размере $39 млрд от оплаты сверхурочных, аврального аутсорсинга, потери бизнеса, засорения каналов коммуникаций, снижения продуктивности, переделки служебного расписания, расходов на восстановление систем и софтверных апгрейдов. Это самый большой финансовый ущерб от почтовой эпидемии за всю историю. Хотя MyDoom начал распространяться в конце месяца, но он быстро возглавил лист самых «Грязная дюжина» самых популярных вирусов в январе по статистике Central Command, Inc.

Ссылка: http://www.securitylab.ru/42616.html

[medwed]

В Интернете появилась новая и более опасная модификация троянской программы Trojan.Encoder.6. Неосторожный пользователь, запустив программу «Вложение», тут же становится жертвой шантажиста. Файлы документов шифруются, а пользователю предлагается связаться со злоумышленником по указанному последним адресу электронной почты.
После поражения компьютера в каждой папке на всех виртуальных дисках машины появляется файл readme.txt следующего содержания:

Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY

Согласно данным, предоставленным газете ВЗГЛЯД компанией «Доктор Веб», специализирующейся на антивирусных решениях, все версии троянской программы рассылаются по электронной почте в виде спам-рассылок. Однако, по словам генерального директора компании Бориса Шарова, «вирус не имеет самостоятельного механизма распространения» – то есть, попав на компьютер жертвы, он не будет, в отличие от других подобных программ, рассылать собственную копию по всей адресной книге электронной почты.

Trojan.Encoder, выполняя свои деструктивные функции, не прячется, и пользователь может обнаружить его в активных процессах Windows. Тем не менее единственное, что может прервать работу вируса (помимо, разумеется, антивирусных приложений), – это форсированное выключение компьютера, что, правда, не избавит от необходимости «лечить» машину.

В настоящее время зафиксировано несколько вариантов троянской программы. В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины – 260 бит, что существенно усложняет процесс дешифровки пораженных им файлов.

Как отметил Борис Шаров, «предыдущие версии троянской программы можно было достаточно легко расшифровать из-за небольшой длины ключа». Однако новая модификация гораздо сильнее защищена от дешифровки и потому создать «противоядие» для нее сложнее.

Некоторое время спустя после появления вируса компания «Доктор Веб» выпустила обновления специальной утилиты дешифровки файлов, зашифрованных троянской программой Trojan.Encoder.6. Усовершенствованная утилита позволяет дешифровать файлы, зашифрованные с помощью различных шифровальных ключей. В настоящий момент механизм обезвреживания трояна уже включен в сам антивирус Dr.Web, что не требует скачивания отдельного софта.

В случае если файл зашифрован с помощью поддерживаемых вариантов ключей, он будет дешифрован и на выходе будет получен файл с расширением.decr. Готовый файл можно будет с легкостью открыть и изменить.

Первое упоминание вируса относится к январю 2006 года. Последние сообщения, связанные с данной разновидностью трояна, появились в середине апреля этого года. Повторное появление Trojan.Encoder было связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.A@m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в Интернете минимально, поскольку рассылает он письма исключительно на русском языке.

Trojan.Encoder.6, по словам специалистов «Доктор Веб», вряд ли вызовет крупномасштабную эпидемию в Интернете. Однако его опасность близка к максимальной и ее не стоит недооценивать. Стоит отметить, что «Лаборатория Касперского» пока не разработала собственного решения для троянской программы, а лишь предупредила об опасности нового вируса.

Эксперты обращают внимание пользователей на опасность данного трояна и призывают быть исключительно осторожными с любыми почтовыми сообщениями, приходящими от неизвестных адресатов.

Также эксперты советуют регулярно обновлять вирусные базы и не работать в системе с правами администратора. Если все же у вас возникли подозрения, что компьютер инфицирован, а антивируса на нем нет, проверьте все жесткие диски компьютера бесплатным сканером. Он не только проверит ваш компьютер, но и вылечит его в случае обнаружения инфекции, причем не только от вирусов, но и от шпионских программ и других вредоносных кодов.