Записи с меткой «хостинг»

Встречаются русский, немец и поляк: особенности национальной киберохоты

Эксперты «Лаборатории Касперского» составили общую картину киберугроз для россиян, сравнив их с опасностями, подстерегающими пользователей в других странах — Германии, Польше, Китае и США. Данные для исследования были получены от пользователей, согласившихся отправлять статистику срабатывания защитных механизмов продуктов «Лаборатории Касперского» в облачный сервис Kaspersky Security Network.

Согласно полученным данным, российские пользователи «лидируют» по количеству срабатываний веб-антивируса — в среднем это происходит 37 раз за год. За ними следуют жители Германии и США (18 и 11 соответственно). Реже всего эти инциденты происходят у пользователей из Китая — 8 раз в год. Такую же диспозицию можно наблюдать в рейтинге пользователей, у которых веб-антивирус сработал как минимум один раз: Россия имеет самый высокий показатель — 54,5%, а Китай — самый низкий, 32%.

Сравнение статистики по компьютерным угрозам в различных странах

Отдельного внимания заслуживает специфика распространения программ-вымогателей, в том числе нашумевшего в этом году троянца Cryptolocker, искажающего данные на жестком диске пользователя с помощью криптографических преобразований, а затем требующего денежного перевода для их дешифрования. Cryptolocker получил наибольшее распространение в англоговорящих странах: так, в США зарегистрировано более 1200 заражений. В идущем с большим отставанием Китае количество жертв этого троянца на порядки ниже и измеряется несколькими десятками. В Германии, России и Польше число подобных инцидентов было минимально.

Также подтверждается наблюдаемая в течение многих месяцев тенденция расположения вредоносных серверов в США и России — 45% всех веб-атак в 2013 году, проводились с использованием вредоносных ресурсов, расположенных на территории этих стран. Германия в мировом рейтинге занимает 4 место c долей 12,5%. Интересно, что из первой десятки выбыл Китай, властям которого в последние годы удалось убрать из локального киберпространства множество вредоносных хостингов, а также ужесточить правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась: если в 2010 году Китай занимал 3 место, то по итогам 2013 года он опустился 21-ю позицию в рейтинге.

По риску локального заражения из 5 рассмотренных стран лидирует Китай с уровнем 47%. За ним следует Россия с долей 42% — обе страны относятся к группе с высоким уровнем заражения. Оставшаяся тройка отнесена к группе «среднего уровня» — США демонстрирует наименьший из 5 стран уровень риска 29%. Следует отметить, что уязвимости операционных систем зачастую являются причиной успешного проведения атак. При этом многие пользователи во всем мире по-прежнему предпочитают Windows XP, несмотря на сомнения многих экспертов в безопасности этой системы и объявление Microsoft о намерении завершить в апреле следующего года ее поддержку.

«Несмотря на различия показателей по количеству срабатываний антивируса и риску заражения в Интернете, способы проведения атак во всех странах схожи. В первую очередь, это атаки с использованием эксплойтов через уязвимости веб-браузеров и их плагинов: так, если пользователь попадает на скомпрометированный сайт, он может подвергнуться заражению при наличии устаревших программных компонент на своем компьютере, — комментирует руководитель группы исследования уязвимостей Вячеслав Закоржевский, «Лаборатория Касперского». — Понимая разнообразие возможных способов заражения, в своих продуктах мы предоставляем защиту от полного спектра актуальных угроз, обеспечивая безопасность по всем фронтам для всех устройств и операционных систем».

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.

Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$q5MUM-4FSs1LWtMhmlGMX4WlxHU5ytoD_yr_8rqaY0p$

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.

****

Служба новостей «Лаборатории Касперского»

«Доктор Веб»: обзор вирусной активности за май 2013 года

Posted: 7 июня, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

3 июня 2013 года

В начале мая был обнаружен опасный троянец, подменяющий открываемые пользователями в окне браузера веб-страницы. Другая вредоносная программа, также добавленная в вирусные базы в мае, атаковала пользователей социальных сетей Facebook, Google Plus и Twitter. В конце месяца специалисты «Доктор Веб» перехватили еще один управляющий сервер ботнета Rmnet, с помощью которого был выявлен факт распространения двух новых компонентов этого файлового вируса. Также в мае были обнаружены и новые вредоносные объекты, угрожающие пользователям мобильной платформы Android, — в основном программы-шпионы.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, абсолютным лидером по числу заражений в мае стал троянец Trojan.Hosts.6815 (2,53% от общего количества инфицированных компьютеров), на втором месте расположился троянец Trojan.Mods.1, подменяющий содержимое просматриваемых пользователем веб-страниц — об этой вредоносной программе подробно рассказано в опубликованном на сайте Dr.Web новостном материале. Всего в течение месяца лечащей утилитой Dr.Web CureIt! было обнаружено 15 830 экземпляров этого троянца, что составляет 1,95% от общего числа выявленных угроз. По-прежнему велико число случаев обнаружения вредоносных программ семейства Trojan.Mayachok в оперативной памяти компьютеров пользователей, также на инфицированных ПК достаточно часто встречается бэкдор BackDoor.IRC.NgrBot.42 и различные модификации троянцев семейства Trojan.Redirect. Двадцатка наиболее распространенных майских угроз, по данным лечащей утилиты Dr.Web CureIt!, приведена в представленной ниже таблице.

Название %
Trojan.Hosts.6815 2.55
Trojan.Mods.1 2.01
Trojan.MayachokMEM.7 1.50
BackDoor.IRC.NgrBot.42 1.41
Trojan.Redirect.147 1.36
Trojan.Redirect.140 1.35
Trojan.Hosts.6838 1.22
Trojan.Mods.2 1.01
Trojan.Packed.24079 0.97
Trojan.DownLoader8.48947 0.85
Trojan.Zekos 0.85
Trojan.PWS.Stealer.1932 0.74
Win32.HLLP.Neshta 0.71
BackDoor.Gurl.2 0.69
Trojan.Hosts.6708 0.59
Trojan.SMSSend.2363 0.51
Trojan.Packed.142 0.49
Trojan.Packed.142 0.44
Trojan.Packed.142 0.42
Trojan.DownLoader9.19157 0.41

Ботнеты

Специалисты компании «Доктор Веб» в настоящее время взяли под контроль две подсети ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, каждая из которых имеет собственный управляющий сервер. В мае 2013 года общее количество активно действующих ботов в первой бот-сети Win32.Rmnet.12 составило 619 346 единиц, во второй — 459 524, при этом за последние 10 суток к первому ботнету присоединилось еще 116 617 инфицированных машин, а ко второму — 143 554. Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тысяч инфицированных машин соответственно. Вот как выглядит динамика прироста данных ботнетов за период с 19 по 29 мая 2013 года:

В то же самое время прирост бот-сети Win32.Rmnet.16 идет чрезвычайно медленными темпами: всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Таким образом, можно сделать вывод, что файловый вирус Win32.Rmnet.16 сегодня не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 года компания «Доктор Веб» сообщила о перехвате контроля над одним из управляющих серверов ботнета, созданного с использованием троянца BackDoor.Bulknet.739. Данная вредоносная программа предназначена для массовой рассылки спама и имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. Если на начало апреля к данному управляющему серверу обращалось всего порядка 7 000 инфицированных компьютеров, то на конец мая количество активно действующих ботов выросло до значения 17 242, при этом динамику роста ботнета в период с 19 по 29 мая можно проследить на представленном ниже графике.

В конце мая специалистам «Доктор Веб» удалось установить контроль еще над одним управляющим сервером бот-сети Rmnet. В этой подсети был выявлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй позволяет отключать на зараженной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG. Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на контролируемом специалистами «Доктор Веб» управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин. Динамику прироста бот-сети можно проследить с помощью представленной ниже диаграммы.

Более подробную информацию о данной угрозе можно получить из опубликованного компанией «Доктор Веб» новостного материала.

Продолжает действовать и ботнет BackDoor.Dande — этот троянец заражает только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов: информацию из этих приложений и ворует вышеупомянутый троянец. В настоящий момент специалистам «Доктор Веб» известно о двух подсетях BackDoor.Dande: в одной действует 331 зараженная машина, в другой насчитывается 1 291 инфицированный компьютер.

Несмотря на то, что с момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, прошло уже больше года, данная бот-сеть продолжает действовать и сегодня: на текущий момент в ней насчитывается 65 987 инфицированных «маков».

В феврале 2013 года компания «Доктор Веб» сообщала об обнаружении троянца Linux.Sshdkit, атакующего работающие под управлением ОС Linux серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец транслирует на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Угроза месяца: Trojan.Facebook.311

Пользователи социальных сетей уже неоднократно становились мишенью киберпреступников и распространителей вредоносных программ. Так, в середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311, представляющей собой написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Распространялись эти вредоносные плагины с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом «обновления безопасности для просмотра видео».

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить конфигурационный файл, содержащий соответствующий набор команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить «лайки», размещать сообщения на стене, отправлять личные сообщения и т. д. При этом вредоносная программа обладает функционалом для работы не только в социальной сети Facebook, но и для взаимодействия с социальными сетями Twitter и Google Plus, — в частности, она наделена функцией рассылки спама. С более подробным исследованием данной угрозы можно ознакомиться в новости на сайте «Доктор Веб».

Атака на пользователей Skype

23 мая многочисленные интернет-СМИ сообщили о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, поступали от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая в свою очередь закачивала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троянец рассылает сообщения по контакт-листам месседжеров Skype, Windows Messenger, QIP, Google Talk и Digsby.

Сигнатура троянца Trojan.SkypeSpam.11 была добавлена в вирусные базы Dr.Web еще 22 мая.

Угрозы для Android

Для мобильной платформы Android май оказался весьма неспокойным периодом: на протяжении всего месяца специалистами компании «Доктор Веб» фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Так, вредоносная программа Android.Pincer.2.origin, обнаруженная в середине месяца, является довольно опасным троянцем, предназначенным для перехвата входящих СМС-сообщений и переадресации их на удаленный сервер. Авторами Android.Pincer.2.origin предусмотрена возможность отслеживать сообщения, поступающие c определенного номера, для чего троянцу посредством СМС поступает соответствующая команда. Распространяемая злоумышленниками под видом установщика сертификата безопасности, данная вредоносная программа может представлять серьезную опасность для владельцев мобильных Android-устройств, т. к. среди перехватываемых ею сообщений могут находиться как проверочные (одноразовые) mTAN-коды систем «Банк-Клиент», так и другая конфиденциальная информация. Более подробно об этой угрозе можно узнать, прочитав соответствующую публикацию на сайте «Доктор Веб».

В мае также был обнаружен очередной троянец-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Аналогично предшественникам, новая вредоносная программа, добавленная в вирусную базу как Android.AccSteal.1.origin, распространялась под видом приложения из категории «для взрослых» и после запуска загружала на удаленный сервер следующую информацию: имя учетной записи Google Mail, IMEI-идентификатор и название модели мобильного устройства, а также номер сотового телефона пользователя.

Примечательно, что в отличие от других подобных вредоносных программ, троянец действительно выполняет ожидаемую от него функцию, а именно позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне. Учитывая, что Android.AccSteal.1.origin распространяется при помощи веб-сайта, страницы которого имитируют уже устаревший внешний вид каталога Google Play, такое поведение можно объяснить желанием злоумышленников вызвать как можно меньше подозрений со стороны пользователей, но при этом обеспечить достаточно высокий процент успешного сбора их персональной информации.

Киберпреступники не обошли стороной и китайских пользователей: троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из популярных китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об СМС-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троянец способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2013 00:00 — 30.05.2013 18:00
1 Trojan.PWS.Panda.3734 1.49%
2 Trojan.PWS.Panda.4379 1.20%
3 Trojan.Oficla.zip 0.90%
4 Trojan.Packed.196 0.80%
5 Trojan.Inject2.23 0.75%
6 Win32.HLLM.MyDoom.54464 0.63%
7 Trojan.DownLoader9.17531 0.58%
8 Trojan.PWS.Stealer.2877 0.54%
9 Trojan.PWS.Panda.655 0.54%
10 Trojan.PWS.Stealer.946 0.53%
11 Trojan.Packed.666 0.53%
12 Exploit.CVE2012-0158.28 0.49%
13 Trojan.PWS.Stealer.2833 0.46%
14 Win32.HLLM.MyDoom.33808 0.44%
15 Trojan.PWS.Stealer.2824 0.39%
16 Trojan.PWS.Stealer.2861 0.39%
17 Trojan.PWS.Stealer.2864 0.37%
18 Exploit.CVE2012-0158.27 0.34%
19 BackDoor.IRC.NgrBot.42 0.34%
20 VBS.Rmnet.2 0.32%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2013 00:00 — 30.05.2013 18:00
1 SCRIPT.Virus 0.71%
2 Adware.Downware.915 0.71%
3 Tool.Unwanted.JS.SMSFraud.26 0.50%
4 Win32.HLLW.MyBot 0.48%
5 Adware.InstallCore.115 0.47%
6 Adware.Downware.179 0.45%
7 Adware.InstallCore.114 0.45%
8 Adware.Downware.1157 0.44%
9 Adware.InstallCore.101 0.36%
10 Tool.Unwanted.JS.SMSFraud.29 0.33%
11 Adware.Webalta.11 0.33%
12 Adware.Downware.1132 0.32%
13 Tool.Unwanted.JS.SMSFraud.10 0.31%
14 Trojan.Hosts.6708 0.30%
15 BackDoor.IRC.NgrBot.42 0.28%
16 Trojan.DownLoader9.19157 0.28%
17 Tool.Skymonk.11 0.28%
18 Trojan.Hosts.6838 0.28%
19 Win32.HLLW.Shadow 0.27%
20 Win32.HLLW.Autoruner.59834 0.26%

ИСТОЧНИК