Записи с меткой «CureIt»

Обзор вирусной активности за 2013 год

Posted: Январь 23, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

22 января 2014 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор вирусной активности по итогам минувшего года. 2013 год можно назвать весьма непростым с точки зрения угроз информационной безопасности. Как и в 2012 году, одной из основных тенденций в сфере вирусной активности стало массовое распространение троянцев-шифровальщиков, от действия которых пострадали пользователи во многих странах мира. Заметно выросло число вредоносных программ, предназначенных для демонстрации на компьютерах жертв назойливой рекламы, также в четвертом квартале увеличилось количество троянцев, ориентированных на добычу электронных криптовалют, таких как Bitcoin и Litecoin. Значительно расширился и ассортимент вредоносных программ, угрожающих пользователям мобильной платформы Google Android.

Вирусная обстановка

Согласно статистическим данным, собранным в течение года с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто встречающимися угрозами на компьютерах пользователей стали троянцы семейства Trojan.Hosts. Так, самой распространенной вредоносной программой в период с 1 января по 31 декабря 2013 года оказался Trojan.Hosts.6815 — троянец, модифицирующий на инфицированном компьютере системный файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу. Второе место в годовом рейтинге угроз занимает рекламный троянец Trojan.LoadMoney.1 — это приложение-загрузчик, распространяемый серверами партнерской программы LoadMoney. Данная программа загружает и устанавливает на компьютер жертвы различное нежелательное ПО. На третьем месте по числу выявленных в течение года экземпляров расположился бэкдор BackDoor.IRC.NgrBot.42 — вредоносная программа, хорошо известная специалистам по информационной безопасности еще с 2011 года. Троянцы этого семейства поддерживают связь с удаленным управляющим сервером по протоколу IRC (Internet Relay Chat) и способны выполнять широчайший спектр команд злоумышленников. Деструктивный функционал BackDoor.IRC.NgrBot.42 позволяет уничтожить на инфицированном компьютере загрузочную запись в случае нарушения целостности троянца, также эта вредоносная программа способна блокировать доступ к сайтам антивирусных компаний, перехватывать логины и пароли, используемые для авторизации на различных веб-сайтах. BackDoor.IRC.NgrBot.42 инфицирует все подключенные к компьютеру съемные носители, после этого троянец скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на собственный исполняемый файл. Таким образом, при попытке открытия любой директории на зараженном устройстве пользователь запускает вредоносное приложение.

Двадцатка угроз, наиболее часто встречавшихся на компьютерах пользователей по итогам 2013 года (согласно статистическим данным лучащей утилиты Dr.Web CureIt!), показана в представленной ниже таблице.

Название %
1 Trojan.Hosts.6815 1.74
2 Trojan.LoadMoney.1 1.38
3 BackDoor.IRC.NgrBot.42 1.14
4 Trojan.Mods.2 0.94
5 Trojan.MayachokMEM.4 0.72
6 Trojan.Hosts.6838 0.71
7 Win32.HLLP.Neshta 0.70
8 Trojan.SMSSend.2363 0.69
9 Trojan.Packed.24524 0.64
10 Trojan.Redirect.140 0.64
11 Trojan.Mods.1 0.57
12 Trojan.Packed.24079 0.56
13 Trojan.DownLoader9.19157 0.52
14 Trojan.MayachokMEM.7 0.52
15 Trojan.InstallMonster.38 0.50
16 Win32.HLLW.Gavir.ini 0.47
17 Win32.Sector.22 0.46
18 Trojan.StartPage.48148 0.44
19 Trojan.Zekos 0.43
20 BackDoor.Maxplus.24 0.40

Ботнеты

В течение года специалисты компании «Доктор Веб» отслеживали активность нескольких бот-сетей, организованных злоумышленниками с использованием троянских программ и файловых вирусов. Одна из них во втором полугодии практически прекратила свое существование. В то же самое время отдельные ботнеты все еще не только продолжают действовать, но и активно наращивают свою численность.

Так, вирусные аналитики «Доктор Веб» еще с сентября 2011 года наблюдают за активностью двух бот-сетей, организованных злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12. Данный вирус обладает возможностью саморазмножения без участия пользователя. Попав на инфицированный компьютер, он заражает исполняемые файлы, кроме того, он обладает возможностью выполнять поступающие с удаленного сервера команды (в том числе на уничтожение операционной системы), а также осуществлять кражу паролей от популярных FTP-клиентов. Помимо прочего, Win32.Rmnet.12 позволяет злоумышленникам осуществлять так называемые веб-инжекты — встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм.

К концу апреля 2013 года общее количество компьютеров, на которых было когда-либо зафиксировано присутствие файлового вируса Win32.Rmnet.12, составило 9 232 024, увеличившись за первые три месяца на 2,5 млн. Безусловно, определенное число ПК постепенно «излечивалось» от угрозы, однако к ботнету непрерывно присоединялись все новые и новые инфицированные машины. В мае среднее число активно действующих ботов в обеих подсетях Win32.Rmnet.12 составляло 1 078 870 единиц, при этом к ботнету присоединялось в совокупности порядка 25 000 зараженных компьютеров ежесуточно. Динамика прироста численности двух отслеживаемых специалистами «Доктор Веб» подсетей Win32.Rmnet.12 показана на представленных ниже диаграммах.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 1-я подсеть
graph

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 2-я подсеть
graph

Другая широко распространенная бот-сеть, состоящая из компьютеров, зараженных файловым вирусом Win32.Rmnet.16 — обновленной версией вируса Win32.Rmnet.12 — прекратила свой рост в сентябре 2013 года. Если в декабре 2012 года общая численность данного ботнета составляла 259 458 зараженных ПК, то к 31 декабря 2013 года их количество не превышало 1966, и в настоящий момент оно продолжает постепенно сокращаться.

В мае 2013 года специалистами компании «Доктор Веб» были обнаружены еще два представителя семейства Rmnet — вредоносные модули, распространявшиеся вместе с файловыми вирусами Win32.Rmnet и получившие общее наименование Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, второй позволял отключить ряд установленных на зараженной машине антивирусных программ.

По данным на 22 мая 2013 года вредоносные модули Trojan.Rmnet.19 были обнаружены на 18 000 пользовательских компьютерах, однако численность зараженных машин от месяца к месяцу неуклонно снижалась, пока не достигла значения 5456 инфицированных ПК, при этом количество активно действующих ботов было даже немного ниже указанного значения. Динамику этого процесса иллюстрирует представленная ниже диаграмма.

Динамика изменения численности ботнета Trojan.Rmnet.19 в 2013 году
graph

Не менее интересен и ботнет, состоящий из рабочих станций, зараженных троянцем BackDoor.Bulknet.739. Эта вредоносная программа, предназначенная для массовой рассылки спама, была добавлена в вирусные базы Dr.Web еще в октябре 2012 года. В апреле был зафиксирован пик распространения этого троянца: ежечасно фиксировалось заражение порядка 100 компьютеров, и к концу мая общая численность ботнета превысила 17 000 зараженных ПК. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Таиланда. В течение лета количество подключенных к бот-сети инфицированных компьютеров то росло, то снижалось, однако к осени наметилась стойкая тенденция к сокращению числа заражений, и в декабре ботнет практически прекратил свое существование. Данный процесс наглядно продемонстрирован на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Bulknet.739 в 2013 году
graph

Весьма интересен с точки зрения своего функционального назначения ботнет, для формирования которого злоумышленники использовали троянскую программу BackDoor.Dande. Ее особенность заключается в том, что этот бэкдор работает только на компьютерах с установленным специализированным программным обеспечением, предназначенным для закупки медикаментов, которое используют в основном аптеки и фармацевтические компании. К таким приложениям относятся прежде всего программы «Аналит: Фармация» для платформы «1С», «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Троянец предназначен для кражи информации о заказах из этих прикладных программ и ее передачи злоумышленникам.

Несмотря на то, что данная угроза была добавлена в вирусные базы еще в 2011 году, ботнет BackDoor.Dande продолжает успешно действовать до сих пор. Если на начало 2013 года в этой бот-сети насчитывалось в целом порядка 3000 инфицированных машин, то к марту их общее количество достигло уже 3800. Однако в мае численность бот-сети неожиданно сократилась практически вдвое, в течение лета снижалась незначительными темпами и к осени стабилизировалась на отметке около 1000 зараженных ПК. Эти колебания можно проследить на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Dande в 2013 году
graph

Наконец, следует сказать несколько слов о троянце Backdoor.Flashback.39, способном заражать Apple-совместимые компьютеры, работающие под управлением операционной системы Mac OS X. В 2012 году с помощью этой вредоносной программы злоумышленники создали самую крупную в истории бот-сеть, насчитывавшую более 800 000 зараженных «маков». Тогда новость о серьезной угрозе для компьютеров Apple облетела многочисленные средства массовой информации. Казалось, что пользователи Mac OS X во всем мире как минимум проинформированы о потенциальной опасности, и вскоре на планете не останется ни одного инфицированного Apple-совместимого компьютера. Однако беспечность приверженцев технологий Apple, по всей видимости, отложила свой отпечаток на динамику распространения угрозы: согласно достоверной информации, которой располагают специалисты «Доктор Веб», на конец января 2013 года во всем мире все еще насчитывалось порядка 75 000 зараженных Apple-совместимых компьютеров. Их количество постепенно сокращалось, но все же достаточно медленными темпами: в мае число заражений Backdoor.Flashback.39 составляло порядка 55 000, а в июне снизилось до 45 000 инфицированных машин, затем скорость сокращения бот-сети заметно упала. По данным на 31 декабря 2013 года численность ботнета Backdoor.Flashback.39 составляет 28 829 зараженных Apple-совместимых компьютеров, и он по-прежнему остается крупнейшим в мире.

Динамика изменения численности ботнета Backdoor.Flashback.39 в 2013 году
graph

Троянцы-энкодеры

В 2013 году массовое распространение троянцев семейства Trojan.Encoder, шифрующих файлы на компьютерах пользователей и требующих деньги за их расшифровку, приобрело масштабы самого настоящего бедствия. В течение года вирусные базы Dr.Web пополнились более 200 новыми модификациями энкодеров, а география распространения этих угроз значительно расширилась. Наметились и некоторые изменения в используемых злоумышленниками технологиях: прежде всего, для шифрования файлов стали использоваться более сложные алгоритмы, вследствие чего расшифровать данные, пострадавшие от действия некоторых модификаций Trojan.Encoder, становится невозможно. Кроме того, поиск потенциальных жертв стал вестись более целенаправленно. Например, злоумышленники прикрепляли вредоносные файлы к анкетам соискателей на должность бухгалтера и рассылали такие письма в компании, предлагавшие соответствующие вакансии. В подобных случаях могли быть зашифрованы весьма важные для жертвы файлы, содержащие, например, бухгалтерские расчеты, что повышало для злоумышленников шанс получить выкуп.

Всего в течение 2013 года в компанию «Доктор Веб» обратилось более 6 700 жертв троянцев-шифровальщиков. Помимо российских пользователей, во многих случаях пострадавшими оказывались жители иных стран — преимущественно из Украины, других бывших республик СССР, из США, Италии и стран Латинской Америки, хотя россияне составляли все же подавляющее большинство. Статистика обращений жертв троянцев-энкодеров по странам представлена на следующей диаграмме.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-энкодеров по странам
graph

В среднем специалисты компании ежесуточно обрабатывали от 20 до 35 поступающих заявок на расшифровку файлов. Динамика обращений в службу технической поддержки компании «Доктор Веб» за помощью в расшифровке файлов в период с апреля по декабрь 2013 года показана на представленном ниже графике.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-шифровальщиков в 2013 году
graph

Наиболее распространенными модификациями шифровальщиков в 2013 году стали Trojan.Archivelock, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.293, Trojan.Encoder.225, Trojan.Encoder.263, Trojan.Encoder.145 и Trojan.Encoder.215. Так, наиболее распространенный шифровальщик — Trojan.Encoder.94 — известен специалистам еще с 2010 года. Он шифрует только некоторые типы файлов, расположенных на дисках компьютера, при этом у данного троянца насчитывается самое большое (более 400) количество модификаций. Другой весьма распространенный энкодер, Trojan.Archivelock, стал известен в апреле 2012 года. Его особенность заключается в том, что эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца, который помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты — восстановление удаленных файлов после этого становится невозможным. Среди пострадавших от этой угрозы большое количество составляют жители Испании и Франции.

Trojan.Encoder.102 (более 17% случаев заражения) — также довольно старая вредоносная программа, первые образцы которой известны с 2011 года. Весьма распространенной угрозой является Trojan.Encoder.225 — он может проникнуть на атакуемый компьютер вместе с использующими уязвимость CVE-2012-0158 RTF-файлами, вложенными в сообщения электронной почты. В процессе шифрования файлов троянец пытался выдать себя за обновление Windows, демонстрируя на экране соответствующее окно.

graph

Также в течение года было зафиксировано множество обращений от жертв троянских программ Trojan.Encoder.205 и Trojan.Encoder.215 — в совокупности они составляют более 8% от общего числа инцидентов. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. Обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Наиболее популярные модификации троянцев-шифровальщиков, получившие широкое распространение в 2013 году, представлены на следующей диаграмме.

Наиболее распространенные модификации троянцев-шифровальщиков в 2013 году
graph

Винлоки

Программы-блокировщики, нарушающие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за разблокировку Windows, в 2013 году постепенно утрачивали свою популярность у вирусописателей, окончательно уступив пальму первенства троянцам-шифровальщикам и более «продвинутым» вредоносным программам, подобным представителям семейства Trojan.Mayachok (они блокируют доступ к Интернету с использованием механизма веб-инжектов). Всего в течение минувшего года в службу технической поддержки компании «Доктор Веб» обратились 3087 пользователей, пострадавших от винлоков, что на 71% меньше показателей прошлого года. При этом наибольшее количество запросов пришлось на первое полугодие, а ближе к концу 2013 года их число постепенно снижалось.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-блокировщиков в 2013 году (в процентах от максимального показателя — 633 обращения)
graph

Как и в случае с троянцами-шифровальщиками, большинство пользователей, пострадавших от действия винлоков, проживает на территории России, на втором месте по количеству заражений — Украина, далее следуют Казахстан и Беларусь. Зафиксированы случаи проникновения блокировщиков на компьютеры жителей Франции и других стран Евросоюза.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-блокировщиков по странам
graph

Дела финансовые

Программное обеспечение, предназначенное для работы с системами дистанционного банковского обслуживания (ДБО) и проведения платежей, — постоянный объект внимания злоумышленников. Помимо распространения ранее известных банковских троянцев, в 2013 году были выявлены и новые угрозы. Так, в течение года продолжились атаки злоумышленников на платежные терминалы. Новый вариант вредоносной программы Trojan.Dexter (известен также под названиями Alina, BlackPOS, Dexter, Vskimmer) нанес многомиллионный ущерб банкам в 40 странах мира. Эта вредоносная программа работает подобно скиммеру — устройству, которое прикрепляется к банкомату и копирует данные магнитного слоя на пластиковой карте. Dexter же делает копию данных не с кардридера, а из памяти торгового терминала (point-of-sale, POS-терминала). Подобным образом были скомпрометированы сотни тысяч кредитных и дебетовых карт.

Осенью 2013 года специалистами компании «Доктор Веб» была обнаружена модификация троянца семейства Trojan.Ibank, представлявшая угрозу для пользователей систем SAP (Systems, Applications and Products), предназначенных для управления внутренними процессами предприятия (бухгалтерским учетом, торговлей, производством, финансами, управлением персоналом, управлением складами и т. д.). Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в ОС. Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем.

Также в ноябре компания «Доктор Веб» сообщала о зафиксированных случаях распространения банковского троянца BackDoor.Caphaw с использованием массовой рассылки спама через программу Skype. В целях заражения пользовательских компьютеров злоумышленники рассылали Skype-сообщения, используя для этого аккаунты уже инфицированных пользователей. Троянская программа обладает весьма обширным спектром возможностей, например, она отслеживает активность пользователя и пытается определить попытки соединения с различными системами онлайн-банкинга. В случае установки такого соединения BackDoor.Caphaw может внедрять в просматриваемые пользователем веб-страницы постороннее содержимое и перехватывать данные, вводимые им в различные формы.

Тренд сезона — рекламные троянцы и майнеры

В течение 2013 года в числе лидеров среди обнаруживаемых на компьютерах пользователей угроз неизменно встречались троянские программы, предназначенные для демонстрации пользователям различной рекламы. Поскольку значительное число подобных угроз распространяется с использованием партнерских программ, позволяющих злоумышленникам заработать на количестве установок рекламного ПО, их число неуклонно растет. Среди лидеров по количеству обнаружений неизменно присутствует троянец Trojan.LoadMoney.1 — приложение-загрузчик, генерируемое серверами партнерской программы Loadmoney и предназначенное для загрузки и установки на компьютер жертвы различного нежелательного ПО. Другой угрозой, помогающей злоумышленникам заработать на накрутке посещаемости веб-сайтов, стал обнаруженный в начале 2013 года троянец BackDoor.Finder. Основное предназначение этой вредоносной программы — подмена поисковой выдачи: при попытке пользователя зараженной машины обратиться к поиску на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com вместо веб-страницы с результатами поиска он увидит в окне браузера ссылки на указанные злоумышленниками интернет-ресурсы. Наибольшее распространение BackDoor.Finder получил на территории США, при этом абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Пенсильвания, на третьем — Алабама.

graph

Схожим функционалом обладают еще два обнаруженных в 2013 году троянца — Trojan.Mods.1 и Trojan.Zekos. Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы. Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов популярных браузеров и демонстрация вместо искомого сайта принадлежащей злоумышленникам веб-страницы. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-ресурсам большинства антивирусных компаний и серверам Microsoft.

Также к категории рекламных троянцев можно, безусловно, отнести вредоносную программу Trojan.Lyrics — она демонстрирует на экране назойливую рекламу и открывает в окне браузера веб-сайты сомнительного содержания без ведома пользователя. С помощью этой программы меломаны якобы получают возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т. е. превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах или на страницах социальных сетей. Если программа установлена на компьютере пользователя, при открытии в окне браузера веб-сайтов на экране начинают появляться назойливые всплывающие окна, а также всевозможные рекламные сообщения, демонстрируемые в совершенно неожиданных местах веб-страниц. Кроме того, при нажатии на различные ссылки троянец способен перенаправлять пользователя на нерекомендуемые и мошеннические сайты. Некоторые из подобных веб-ресурсов замечены в распространении другого вредоносного ПО, в частности поддельных антивирусов, детектируемых Dr.Web как представители семейства Trojan.Fakealert.

screenshot

Не остались в стороне от данных тенденций и пользователи операционной системы Mac OS X — для них злоумышленники разработали вредоносную программу Trojan.Yontoo.1, ориентированную на загрузку и установку модулей расширения для браузеров Safari, Chrome и Firefox. Назначение данных расширений заключается в демонстрации пользователю рекламы при просмотре веб-страниц.

Во второй половине 2013 года активизировались вирусописатели, избравшие для себя в качестве основного способа заработка добычу (майнинг) электронных криптовалют Bitcoin и Litecoin. Первой из таких угроз стал обнаруженный специалистами «Доктор Веб» троянец Trojan.BtcMine.221, распространявшийся с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах, а на самом деле предназначенный для добычи криптовалюты Litecoin (одного из аналогов популярного платежного средства Bitcoin), для чего он использует аппаратные ресурсы компьютера без ведома пользователя. Наибольшее количество инфицированных троянцем Trojan.BtcMine.221 рабочих станций (56 576) расположено на территории США, на втором месте — Бразилия с показателем 31 567 ботов, на третьем — Турция (25 077). Россия с показателем 22 374 зарегистрированных установки занимает четвертое место. Средний ежесуточный доход злоумышленников составил 1 454,53 долл. США. Распространение зараженных компьютеров по странам показано на представленной ниже иллюстрации.

screenshot

Вскоре был обнаружен еще один похожий троянец — Trojan.BtcMine.218. Он запомнился специалистам тем, что в его теле были обнаружены записи, содержащие имена разработчиков данного вредоносного приложения, которые те не удалили, вероятно, по забывчивости. Также в конце года была выявлена очередная модификация вредоносной программы семейства Trojan.Mods, получившая наименование Trojan.Mods.10. Злоумышленники включили в нее модуль, предназначенный для добычи электронной криптовалюты Bitcoin. Основное же предназначение троянца — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами.

Угрозы для Linux

Минувший год запомнится специалистам по информационной безопасности возросшим числом угроз, направленных на ОС Linux. Наиболее интересной среди них можно назвать троянскую программу Linux.Hanthie, также известную под наименованием Hand of Thief. Злоумышленники, продающие ее на подпольных форумах, позиционируют данного троянца как «бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит)». Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE. Linux.Hanthie встраивает в браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Wease специальный граббер, который позволяет перехватывать HTTP- и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также программа реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется. При попытке обращения к запущенным скриптам bind или bc троянец выводит в командной консоли Linux следующее сообщение:

screenshot

Другая вредоносная программа, Linux.Sshdkit, предназначена для взлома веб-серверов, работающих под управлением операционной системы Linux. Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Вскоре была обнаружена еще одна модификация данной угрозы — Linux.Sshdkit.6, в ней злоумышленники модифицировали метод определения адресов серверов, на которые троянец передает похищенную информацию с целью затруднить перехват вирусными аналитиками украденных паролей.

Троянец Linux.Fokirtor.1 — бэкдор для GNU/Linux, в мае 2013 года атаковавший серверы внутренней системы одного из крупных хостинг-провайдеров, пытаясь похитить конфиденциальную информацию клиентов. Поскольку целевая система была хорошо защищена, злоумышленники замаскировали бэкдор под серверные процессы (SSH и др.), чтобы скрыть подозрительный сетевой трафик или используемые вредоносные файлы от проверки службой безопасности. Сигнатура данной вредоносной программы также была добавлена в вирусные базы Dr.Web.

Помимо перечисленных выше угроз в 2013 году вирусные базы Dr.Web пополнились записями для нескольких модификаций Linux-троянцев, предназначенных для организации DDoS-атак — это семейство получило общее наименование Linux.DDoS. Кроме того, среди обнаруженных за истекшие 12 месяцев угроз для Linux следует перечислить следующие: Linux.Darlloz — червь, эксплуатирующий уязвимости в PHP, Linux.Cdorked — бэкдор, способный инфицировать веб-серверы, и троянец Linux.Trolomod, предназначенный для атак на http-серверы Apache.

Угрозы для Android

Что же касается мобильных угроз, то в 2013 году, как и в последние несколько лет, наибольшая опасность подстерегала владельцев устройств под управлением ОС Android. За прошедшие 12 месяцев вирусная база компании «Доктор Веб» пополнилась записями для 1547 новых вредоносных, нежелательных и потенциально опасных программ, достигнув объема в 2814 вирусных описаний. Таким образом, с момента появления в 2010 году первых вредоносных Android-приложений, число которых на тот момент насчитывало 30 единиц, их количество увеличилось почти в 94 раза.

Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web за период с 2010 по 2013 год
graph

Традиционно наибольшую угрозу для пользователей составили троянцы, отправляющие дорогостоящие СМС-сообщения и выполняющие подписку на платные услуги. К ним, в частности, относятся вредоносные программы многочисленного семейства Android.SmsSend, присоединившиеся к ним троянцы семейства Android.SmsBot, а также ряд других вредоносных приложений с аналогичными функциями.

Не меньшую опасность представляли Android-угрозы, направленные на кражу конфиденциальной информации пользователей. К таким угрозам, в частности, относятся вредоносные программы семейств Android.Spy и Android.SmsSpy, среди которых присутствует большое число банковских троянцев, способных красть аутентификационные данные, а также СМС-сообщения, в которых могут содержаться разнообразные ценные сведения.

screenshot

screenshot

Весьма показательным в связи с этим является продолжившееся увеличение числа предложений по оказанию различных незаконных услуг и сервисов, таких как создание и продажа вредоносных Android-приложений: к популярным и распространенным на черном рынке СМС-троянцам киберпреступники добавили и троянцев-шпионов, способных добавить хлопот многим пользователям.

screenshot

По сравнению с предыдущим годом, в пять раз выросло количество поддельных антивирусных приложений Android.Fakealert, которые обнаруживают на мобильных устройствах несуществующие угрозы и за определенную плату предлагают их владельцам произвести лечение.

screenshot screenshot

Кроме того, в минувшем году было обнаружено несколько уязвимостей ОС Android, использование которых могло способствовать распространению различных вредоносных приложений. Среди троянцев, в которых злоумышленниками были успешно применены найденные программные ошибки, — Android.Nimefas.1.origin, представлявший комплексную угрозу, а также троянец-шпион Android.Spy.40.origin.

Более подробно об этих и других угрозах можно ознакомиться в соответствующем обзоре мобильных угроз, опубликованном на сайте компании «Доктор Веб».

Сетевые мошенничества

Не дремлют и сетевые мошенники, различными способами выманивающие средства у пользователей Интернета. Киберпреступники в своих схемах монетизации часто используют социальную инженерию и иные приемы психологического воздействия на людей, попавших в стесненные жизненные обстоятельства (например, ищущих работу из-за недостатка финансовых средств либо по другой причине). Так, одним из весьма распространенных способов сетевого мошенничества в 2013 году стал обман пользователей сайтов, содействующих в трудоустройстве. Злоумышленники регистрируются на сайтах служб занятости (hh.ru, superjob.ru и т. п.) в качестве работодателей, получая при этом доступ к контактным данным потенциальных жертв, после чего отправляют им сообщения электронной почты с предложением вакансии от лица крупной российской или иностранной фирмы и ссылкой якобы на сайт работодателя. В письме злоумышленники указывают высокую сумму предлагаемого оклада с расчетом привлечь адресата на мошеннический сайт и втянуть в ложное анкетирование, на одном из этапов которого ему предлагают ввести в специальную форму номер мобильного телефона, а затем — полученный в ответном СМС-сообщении подтверждающий код. Отослав такое СМС, пользователь становится жертвой мошенничества: он оказывается подписанным на некую псевдоуслугу, а со счета его мобильного телефона будут регулярно сниматься денежные средства.

screenshot

В 2013 году сетевые жулики принялись строить самые настоящие мошеннические порталы с широчайшим спектром предложений. При каждой перезагрузке такого сайта в окне браузера демонстрируется новая веб-страница, рекламирующая очередную псевдоуслугу. Среди них — чудесное избавление от варикоза путем прослушивания аудиокурса, отбеливание зубов при помощи медитаций, «проверенные» методы избавления от прыщей, тысяча способов увеличения объема губ или груди без хирургического вмешательства, курс для девушек по соблазнению мужчин и, конечно же, дистанционная помощь женщинам, которым не удается завести ребенка. Следует отметить, что если большинство описанных выше «курсов» встречались нашим специалистам и раньше, то предложения забеременеть путем прослушивания компакт-диска появились в ассортименте сетевых жуликов относительно недавно.

screenshot

Еще одна тенденция 2013 года — появление в сети большого числа интернет-ресурсов, предлагающих лечение тяжелых заболеваний, таких как туберкулез, при помощи сушеных медведок — насекомых из отряда прямокрылых. Создатели подобных сайтов продают медведок оптом, причем по весьма внушительной цене — стоимость полного курса «лечения» может достигать 250 тысяч руб.

Получили широкое распространение и вполне традиционные методы сетевого мошенничества, например реклама всевозможных магических обрядов, для проведения которых доверчивым пользователям предлагается приобрести различные артефакты, в частности «волшебные свечи», «в которые специальным образом введены Энергии Любви, Гармонии, Счастья», или «цилиндры фараона», якобы созданные российскими учеными на основе древнеегипетских рукописей, чудом сохранившихся до наших дней. Кроме того, мошенники разработали несколько веб-страниц, предлагавших посетителям «скачать» излучение различных лекарств из специального «информационного центра», после чего доверчивым пользователям предлагалось дождаться окончания процесса записи «целебного излучения» на компакт-диск.

screenshot

Активно действовали сетевые мошенники и на различных сайтах знакомств. Представляясь иностранцами, киберпреступники ищут одиноких женщин, которым в процессе общения предлагают отправить по почте дорогой подарок (планшет, смартфон или ювелирное украшение). Однако поскольку презент представляет большую ценность, отправитель не рискует отсылать отправление обычной почтой, вместо этого он предпочитает воспользоваться услугами частной курьерской службы. За сайтами подобных служб обычно скрываются мошеннические веб-страницы: жертве сообщают, что отправитель не оплатил стоимость доставки посылки до получателя — эту сумму злоумышленники и предлагают выплатить жертве. Вполне естественно, что вскоре после оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении.

screenshot

Специалисты компании «Доктор Веб» призывают пользователей быть внимательнее, относиться с опаской к подозрительным предложениям, а также не доверять случайным знакомым в Интернете. Не следует вводить на подозрительных веб-сайтах номер телефона и подтверждающие коды, полученные в СМС-сообщениях. Сетевые мошенники обладают богатой фантазией, поэтому осторожность и здоровая подозрительность никогда не повредят.

Перспективы

Исходя из текущей ситуации, складывающейся в сфере информационной безопасности, можно предположить, что в 2014 году продолжится значительный рост количества угроз для мобильной платформы Android. В сентябре 2013 года специалистами компании «Доктор Веб» был обнаружен крупнейший в истории ботнет, состоящий из зараженных несколькими модификациями троянца Android.SmsSend мобильных устройств. Имеются достаточные основания считать, что этот ботнет был далеко не последним в истории, и возникновение новых мобильных бот-сетей — дело времени.

Появление в публичном доступе специальных программ-конструкторов, позволяющих даже неискушенным в программировании злоумышленникам создавать новые модификации троянцев-шифровальщиков, наверняка повлечет за собой рост количества заражений этими вредоносными программами. Вполне вероятно и заметное расширение географии распространения троянцев-энкодеров.

Одновременно с постепенным ростом ассортимента анонимных платежных систем, использующих в своей основе аналогичные Bitcoin криптовалюты, будут множиться и разновидности троянцев, использующих для их добычи аппаратные ресурсы компьютеров жертв. По всей видимости, злоумышленники будут все чаще задействовать для обеспечения связи вредоносных программ с управляющими серверами ресурсы сети Tor, а также возможности P2P-сетей. Заметно вырастет и количество рекламных троянцев, в том числе реализованных в виде надстроек к популярным браузерам.

Реклама

DRWEB

 

Середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков: в октябре в службу технической поддержки компании «Доктор Веб» обратились сотни пострадавших от действий троянцев-энкодеров. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Google Android, которая давно уже находится под прицелом злоумышленников.

Вирусная обстановка

Согласно статистике, собранной в октябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, в списке выявленных угроз, как и прежде, лидирует Trojan.LoadMoney.1 — приложение-загрузчик, созданное организаторами партнерской программы Loadmoney. Также в лидерах списка — еще одна его модификация, Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815: это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы. Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей — троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11. Двадцатка наиболее актуальных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! в октябре, представлена в следующей таблице:

Название Кол-во %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

Ботнеты

Динамика прироста ботнета, образованного зараженными файловым вирусом Win32.Rmnet.12 компьютерами, в октябре осталась практически неизменной: ежесуточно к первой бот-сети подключалось в среднем порядка 15 000 вновь инфицированных ПК, ко второй — 11 000, что в целом соответствует показателям за сентябрь. Изменение численности обеих подсетей Win32.Rmnet.12 в октябре 2013 года можно проследить на представленных ниже графиках:

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (1-я подсеть)
screenshot

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (2-я подсеть)
screenshot

Продолжает уменьшаться количество компьютеров, на которых антивирусное ПО фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — если на начало октября таковых насчитывалось 4 640, то уже к концу месяца это число составило 3 851.

Практически неизменным остается размер ботнета BackDoor.Bulknet.739: по данным на 28 октября в этой сети числится 1 539 инфицированных компьютеров. В свою очередь, немного снизилась численность ботнета BackDoor.Dande, основным предназначением которого является кража конфиденциальной информации у представителей российских фармацевтических компаний. В конце сентября насчитывалось 1 232 рабочие станции, инфицированные этим троянцем, а в двадцатых числах октября это значение составило уже 1 105.

Постепенно снижается и количество Apple-совместимых компьютеров, инфицированных работающим под управлением Mac OS X троянцем BackDoor.Flashback.39. В конце сентября число заражений составляло 38 288, а спустя месяц количество инфицированных «маков» снизилось до 31 553.

Угрозы для Android

В минувшем месяце специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

screenshot screenshot

screenshot

Как и многие аналогичные вредоносные программы, эти троянцы способны перехватывать поступающие СМС-сообщения, в которых может содержаться различная ценная информация, включающая как одноразовые mTAN-пароли и иные финансовые реквизиты, так и личную или деловую переписку. Однако в данном случае наибольший интерес представляет троянец Android.Spy.40.origin, при создании которого была использована очередная ошибка ОС Android, позволяющая ему избежать обнаружения антивирусными программами. Для этого злоумышленникам было необходимо лишь определенным образом изменить структуру троянского apk-пакета, после чего он мог успешно обходить сканирование. Более подробная информация об этой угрозе содержится в соответствующей публикации на сайте нашей компании.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

screenshot screenshot

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять СМС-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Прочие события октября

Call-центр мошенников «блокирует» карты Сбербанка

Мошенники нашли очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых СМС-уведомлений.

При открытии карты клиентов предупреждают, что СМС-сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Пользователя в подобных случаях может насторожить следующее: ему не могут внятно объяснить причину блокировки карты, просят назвать конфиденциальные данные карты, предлагают подойти к ближайшему банкомату для выполнения сомнительной операции и т. п.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей СМС, который ведут крупные СМС-агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Gameover продолжается: Upatre распространяет шифровальщика CryptoLocker вместе с банковским троянцем Gameover ZeuS

Получила развитие ситуация, связанная с сообщением компании Dell SecureWorks от 10 октября этого года о распространении банковского троянца Gameover ZeuS при помощи троянца-загрузчика. Специалисты по информационной безопасности выяснили, что с этим же загрузчиком распространятся программа-шифровальщик CryptoLocker, вымогающая у владельцев зараженных компьютеров плату за расшифровку файлов.

Троянец из семейства Trojan.DownLoad — это файл небольшого размера, реализующий простую функцию загрузки других вредоносных программ на компьютер жертвы. Он маскируется под zip- или pdf-файл, и распространяется как вложение в спам-сообщения. Стоит пользователю открыть такое вложение, и на компьютер загружается вредоносное ПО, в первую очередь – банковские троянцы семейства Zbot/ZeuS, а теперь и CryptoLocker. Данный шифровальщик не только блокирует доступ к системе, но и вынуждает пользователя оплачивать расшифровку файлов.

Зарубежные эксперты исследовали образец такого спам-сообщения. Вредоносное вложение содержит загрузчик Trojan.DownLoad, скачивающий программу Trojan.PWS.Panda. Именно она фактически загружает CryptoLocker.

Таким образом, пользователь, компьютер которого заражен указанными вредоносными программами, рискует потерять не только учетные данные для онлайн-банкинга и деньги вследствие несанкционированных банковских операций, но и другие свои файлы, зашифрованные CryptoLocker. Самостоятельная расшифровка данных из-за сложности применяемого метода шифрования невозможна.

Троянец CryptoLocker детектируется антивирусом Dr.Web как Trojan.Encoder.304 (образец добавлен в вирусную базу 25 октября 2013 года).

Пользователи, установившие антивирус Dr.Web, защищены от данных угроз. Однако из-за большой комплексной опасности, которую представляют эти вредоносные программы, рекомендуется соблюдать дополнительные меры предосторожности: не открывать вложения в письмах, поступивших из недостоверных источников; избегать переходов по непроверенным ссылкам; регулярно делать резервные копии файлов; пользоваться лицензионным ПО и своевременно обновлять его.

Подробности октябрьских DDOS-атак на сайты российских банков

Представитель службы безопасности Центробанка России Артем Сычев сообщил о подробностях DDOS-атак, организованных в начале октября 2013 года на сайты ЦБ, Сбербанка, ВТБ, Альфа-банка, Газпромбанка и Россельхозбанка.

Бот-сеть из 400 компьютеров, находящихся в Европе, начинала каждую атаку в первой половине дня. В ряде случаев акция продолжалась в течение суток. Банки были атакованы последовательно: первым под удар попал сайт Сбербанка, последним — сайт ВТБ. Целью кибератак был скрипт, обрабатывающий публикацию курсов валют на сайте финансового учреждения. Угроз банковским сервисам в ходе атак выявлено не было, персональные данные и счета клиентов риску не подвергались. По словам Сычева, работа сайта Центробанка прерывалась всего на 7 минут.

О своей причастности к указанным кибератакам заявила группа «Кавказские анонимусы». В этой связи Сычев сообщил о «монетизации преступных действий в киберпространстве, приводящей к тому, что атаки становятся коммерчески выгодными. Распространена ситуация, когда заказчиками являются граждане России, а исполнителями — люди, находящиеся в Европе или Азии. Атакующие машины могут иметь зарубежные IP-адреса».

Dexter: новая тенденция угроз для владельцев банковских карт

Новый вариант вредоносной программы Dexter нанес многомиллионный ущерб большинству южноафриканских банков. Скомпрометированы сотни тысяч кредитных и дебетовых карт. Dexter заражает компьютеры с подключенными к ним торговыми терминалами (point-of-sale, POS-терминалами) для платежей в торговых сетях и ресторанах, похищает данные с пластиковых карт, загруженные в оперативную память компьютера, шифрует их и отправляет на сервер злоумышленников.

По данным зарубежных исследователей, Dexter был выявлен еще в 2012 году. Модификации обнаруженного троянца известны также под названиями Alina, BlackPOS, Vskimmer. За несколько месяцев были заражены сотни компьютеров торговых терминалов в 40 странах. Большинство зараженных систем находилось в Северной Америке и Великобритании.

Образцы указанного вредоносного ПО детектируются антивирусом Dr.Web как Trojan.Packed.23683, Trojan.Packed.23684 и Trojan.Packed.23685. Они добавлены в вирусную базу 27 сентября 2012 года.

Рассылка банковских троянцев семейства P2P Zeus: адрес известен

На многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 000 почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. Предполагается, что их реальный адрес — fraud@aexp.com, зарегистрированный на сервере с IP-адресом 190.213.190.211, относящемся к региону Тринидад и Тобаго. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь.

Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web).

Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Образцы троянцев Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909, распространявшиеся в указанной рассылке, добавлены в вирусную базу Dr.Web 9 и 10 октября 2013 года.

Вредоносная программа P2P Zeus детектируется Dr.Web как Trojan.PWS.Panda.4379. Этот банковский троянец опасен тем, что относится к числу наиболее распространенных. Он передает злоумышленникам данные для доступа к банковским сервисам, похищает ключи и пароли от различных программ, отслеживает нажатия клавиш, делает снимки экрана, объединяет зараженные устройства в бот-сети, выполняет поступающие с сервера злоумышленников команды, перенаправляет жертву на поддельные (фишинговые) сайты для кражи конфиденциальной информации. По мнению специалистов компании «Доктор Веб», указанная спам-кампания нацелена на клиентов различных банков. Чтобы избежать опасности, пользователям рекомендуется не открывать вложения в письмах, поступивших из подозрительных источников; не переходить по подозрительным ссылкам; защищать устройство при помощи антивирусных программ и своевременно обновлять ПО.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2013 00:00 — 31.10.2013 23:00
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2013 00:00 — 31.10.2013 23:00
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%

12 марта 2013 года

Февраль 2013 года запомнится специалистам по информационной безопасности ростом количества заражений пользовательских компьютеров троянскими программами семейства Trojan.Hosts, а также взломов веб-сайтов с целью распространения вредоносного ПО. Также в феврале был обнаружен троянец, атакующий серверы под управлением ОС Linux, активизировались и сетевые мошенники, выискивающие своих жертв на сайтах знакомств.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой в последний месяц зимы как и прежде стали троянцы семейства Trojan.Mayachok, при этом чаще всего на компьютерах пользователей обнаруживалась модификация Trojan.Mayachok.18566. Не менее часто лечащая утилита фиксировала наличие платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend, при этом абсолютным лидером среди них является Trojan.SMSSend.2363.

Такие архивы злоумышленниками используются по стандартной модели — они обычно маскируются под программу установки какого-либо приложения и требуют после своего запуска отправить платное СМС-сообщение или принуждают пользователя подписаться на ту или иную «услугу». Архив, как правило, не содержит заявленного ПО и, кроме того, нередко содействует распространению других, более опасных вредоносных программ. Также достаточно велико количество заражений троянскими программами BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 и Win32.HLLP.Neshta. Сведения об угрозах, обнаруженных с использованием лечащей утилиты Dr.Web CureIt! в феврале, представлены в следующей таблице:

Угроза %
Trojan.MayachokMEM.4 2,00
Trojan.SMSSend.2363 1,38
Trojan.Mayachok.18566 1,20
BackDoor.IRC.NgrBot.42 1,14
Trojan.Click2.47013 0,79
Win32.HLLP.Neshta 0,78
Trojan.StartPage.48148 0,77
Trojan.Fraudster.245 0,73
Trojan.Hosts.5268 0,70
Win32.HLLW.Phorpiex.54 0,69
Win32.Sector.22 0,65
Trojan.Mayachok.18579 0,61
Trojan.Hosts.6814 0,59
Trojan.Hosts.6815 0,59
Trojan.Hosts.6838 0,55
BackDoor.Butirat.245 0,54
Trojan.Hosts.6809 0,52
Win32.HLLW.Gavir.ini 0,51
Exploit.CVE2012-1723.13 0,51
Trojan.Mayachok.18397 0,47

Угроза месяца: Linux.Sshdkit

Наиболее интересной угрозой, обнаруженной в феврале специалистами компании «Доктор Веб», можно назвать троянскую программу Linux.Sshdkit, заражающую серверы под управлением операционной системы Linux. Троянец представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный механизм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.

Специалистам компании «Доктор Веб» удалось перехватить несколько управляющих серверов Linux.Sshdkit. На начало марта к перехваченным управляющим центрам обратилось 476 инфицированных серверов, однако многие из них принадлежат хостинг-провайдерам и поддерживают работу значительного числа веб-сайтов, к которым злоумышленники получили доступ. Больше всего инфицированных серверов, а именно 132, находится на территории США, второе место с показателем 37 случаев заражения заняла Украина, на третьем месте расположились Нидерланды. Общие статистические данные, полученные специалистами «Доктор Веб» с использованием перехваченных управляющих центров Linux.Sshdkit, приведены в следующей таблице:

Страна Кол-во инфицированных серверов %
США 132 27,7
Украина 37 7,8
Нидерланды 29 6,1
Таиланд 23 4,8
Турция 22 4,6
Германия 19 4,0
Индия 19 4,0
Великобритания 17 3,6
Италия 17 3,6
Франция 15 3,2
Индонезия 12 2,5
Австралия 10 2,1
Россия 10 2,1
Канада 10 2,1
Аргентина 10 2,1
Бразилия 10 2,1
Южная Корея 7 1,5
Вьетнам 7 1,5
Чили 6 1,3
Испания 6 1,3
Китай 5 1,1
Румыния 5 1,1
Мексика 5 1,1
Южная Африка 4 0,8
Другие страны 39 7,9

Более подробную информацию о данной угрозе можно почерпнуть из этого информационного материала.

Распространение Trojan.Hosts и взломы веб-сайтов

В конце февраля — начале марта 2013 года был зафиксирован очередной всплеск атак на веб-сайты с целью распространения вредоносного ПО. Используя украденные данные для доступа к ресурсам по протоколу FTP, злоумышленники подменяли файл .htaccess и внедряли собственный скрипт-обработчик. В результате посетители взломанного веб-сайта подвергались опасности заражения различными троянскими программами. В частности, с использованием этого метода были зафиксированы факты распространения троянцев семейства Trojan.Hosts — данные вредоносные программы модифицируют один из файлов (%systemroot%/system32/drivers/hosts), в результате чего браузер автоматически перенаправляет жертву на специально созданную злоумышленниками веб-страницу. Наглядным примером активной деятельности злоумышленников являются сайты, размещающие решенные домашние задания для учащихся средних общеобразовательных учреждений. Попав на такую страницу, пользователь перенаправлялся на зараженный интернет-ресурс, с которого на его компьютер загружался троянец Trojan.Hosts и другие опасные приложения.

Угрозы для Android

Февраль 2013 года оказался весьма неспокойным с точки зрения угроз для мобильной платформы Android. Так, в начале февраля вирусные базы Dr.Web пополнились записью для троянца Android.Claco.1.origin, который распространялся в каталоге Google Play под видом утилиты для оптимизации скорости работы операционной системы. Запускаясь на мобильном устройстве, этот троянец мог выполнить отправку СМС-сообщений по команде злоумышленников, открыть произвольный URL в браузере, а также загрузить персональную информацию пользователя (такую как содержимое карты памяти, СМС-сообщения, фотографии и контакты из телефонной книги) на удаленный сервер. Однако главной особенностью Android.Claco.1.origin являлось то, что с его помощью могли быть инфицированы компьютеры под управлением Windows: подключаясь к удаленному серверу, троянец мог загружать с него другие вредоносные файлы и помещать их на карту памяти мобильного устройства. Среди этих объектов присутствовал исполняемый файл и файл autorun.inf, который осуществлял автоматический запуск соответствующей ему вредоносной программы при подключении инфицированной карты памяти к Windows-компьютеру. Стоит отметить, что, начиная с Windows Vista, функция автозапуска имеет статус отключенной по умолчанию, поэтому для многих пользователей Windows угроза со стороны Android.Claco.1.origin была незначительной.

Другой заметной вредоносной программой в феврале стал троянец Android.Damon.1.origin, который распространялся злоумышленниками на популярных китайских веб-сайтах в модифицированных ими приложениях. Android.Damon.1.origin способен выполнять отправку СМС-сообщений в соответствии с принимаемой командой от удаленного сервера, совершать звонки, открывать произвольный URL, загружать на сервер персональную информацию владельца мобильного устройства (например, содержимое телефонной книги, историю звонков, координаты пользователя), а также выполнять некоторые другие функции.

Кроме того, в течение месяца в вирусные базы Dr.Web вносились записи для новых представителей семейства СМС-троянцев Android.SmsSend.

Другие угрозы февраля

В конце долгой зимы заметно активизировались сетевые мошенники, в частности, промышляющие в поисках жертв на сайтах знакомств. Как правило, мошенники представляются эмигрантами либо иностранцами с русскими корнями — именно этим они объясняют хороший уровень владения русским языком. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей «избраннице» какой-либо дорогой подарок: электронный планшет, смартфон или ювелирное украшение. Злоумышленники завлекают потенциальных жертв на поддельный сайт курьерской службы, где им предлагается оплатить доставку посылки. Естественно, в случае оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении. Подробнее об этом способе мошенничества рассказано в нашем информационном материале.

В начале февраля были зафиксированы случаи распространения вредоносных программ с использованием встроенного приложения социальной сети Facebook — этому инциденту посвящена статья, опубликованная на сайте news.drweb.com.

Наконец, в середине месяца специалистами компании «Доктор Веб» был обнаружен забавный троянец-винлок. О том, чем эта вредоносная программа насмешила вирусных аналитиков, можно узнать из нашей публикации.

Вредоносные файлы, обнаруженные в почтовом трафике в феврале

 01.02.2013 00:00 — 28.02.2013 11:00
1 BackDoor.Andromeda.22 1.18%
2 JS.Redirector.185 1.12%
3 Win32.HLLM.MyDoom.54464 0.53%
4 Win32.HLLM.MyDoom.33808 0.39%
5 Trojan.Necurs.97 0.39%
6 Trojan.PWS.Panda.786 0.39%
7 Trojan.DownLoad3.20933 0.39%
8 Trojan.PWS.Stealer.1932 0.39%
9 Trojan.Oficla.zip 0.37%
10 Tool.PassView.525 0.33%
11 Trojan.Packed.2820 0.31%
12 SCRIPT.Virus 0.29%
13 Trojan.PWS.Panda.655 0.29%
14 BackDoor.Tordev.8 0.29%
15 Win32.HLLM.Beagle 0.27%
16 Trojan.Packed.196 0.27%
17 Trojan.PWS.Stealer.2155 0.26%
18 BackDoor.Andromeda.150 0.26%
19 Trojan.KeyLogger.16674 0.24%
20 Win32.HLLM.Graz 0.24%

Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

 01.02.2013 00:00 — 28.02.2013 11:00
1 Trojan.Fraudster.245 0.77%
2 SCRIPT.Virus 0.70%
3 Tool.Unwanted.JS.SMSFraud.26 0.63%
4 Adware.Downware.915 0.61%
5 JS.IFrame.387 0.52%
6 Adware.Downware.179 0.49%
7 Tool.Unwanted.JS.SMSFraud.10 0.42%
8 Trojan.Fraudster.394 0.36%
9 Adware.Webalta.11 0.36%
10 Tool.Skymonk.11 0.33%
11 Trojan.Fraudster.407 0.32%
12 Win32.HLLW.Shadow 0.31%
13 Tool.Skymonk.12 0.30%
14 JS.Redirector.175 0.30%
15 Adware.Downware.910 0.29%
16 Adware.InstallCore.53 0.29%
17 Win32.HLLW.Autoruner1.33556 0.29%
18 Adware.Downware.774 0.29%
19 Win32.HLLW.Autoruner.59834 0.29%
20 JS.Redirector.179 0.27%

ИСТОЧНИК

Первый месяц 2013 года не преподнес сюрпризов — видимо, сказались долгие новогодние каникулы, на время которых вирусописатели перебрались в теплые края. Основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok, а также появление новых угроз как для операционной системы Windows, так и для мобильной платформы Android.

Вирусная обстановка

В январе 2013 года в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Напомним, что Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 года, стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. Иными словами, этот троянец заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows. Основное функциональное назначение этой вредоносной программы — блокировка доступа в Интернет и демонстрация в окне браузера предложения скачать «обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном СМС код. Таким образом пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.

screen

screen

screen

Поскольку вредоносный объект, подменяющий просматриваемые пользователем веб-страницы, находится в оперативной памяти компьютера, переустановка браузеров, использование служебной программы «Восстановление системы» и даже запуск Windows в режиме защиты от сбоев не позволяют избавиться от троянца. Наиболее эффективным методом лечения заражения является только сканирование инфицированного компьютера с помощью лечащих утилит Dr.Web CureIt! и Dr.Web LiveCD. Подробный технический анализ данной угрозы приведен в опубликованной нами статье.

Соответственно, среди обнаруженных утилитой Dr.Web CureIt! угроз велико количество детектов троянца Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 000 случаев), также в январе на компьютерах пользователей часто выявлялся троянец Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend, велико число заражений троянской программой BackDoor.IRC.NgrBot.42. Сводные данные о 20 наиболее распространенных угрозах, обнаруженных в январе 2013 года на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, представлены в опубликованной ниже таблице:

Название %
Trojan.MayachokMEM.4 4.85
Trojan.Mayachok.2 2.39
Trojan.SMSSend.2363 2.26
Trojan.Mayachok.18550 1.50
BackDoor.IRC.NgrBot.42 0.94
Trojan.BhoSiggen.6713 0.87
Trojan.StartPage.48148 0.85
Trojan.DownLoader7.16737 0.75
Win32.HLLP.Neshta 0.71
Trojan.Hosts.5268 0.66
Win32.HLLW.Phorpiex.54 0.64
Trojan.Mayachok.18024 0.60
Trojan.Mayachok.18397 0.59
Win32.Sector.22 0.54
Trojan.Mayachok.17994 0.53
Trojan.Mayachok.1 0.47
Win32.HLLW.Gavir.ini 0.46
Trojan.Click2.47013 0.46
BackDoor.Butirat.245 0.45
Trojan.Mayachok.18566 0.45

Ботнет BlackEnergy возрождается

В январе 2013 года специалистами компании «Доктор Веб» было зафиксировано появление новой модификации вредоносной программы BlackEnergy, получившей наименование BackDoor.BlackEnergy.36. О ликвидации бот-сети BlackEnergy — крупнейшего ботнета, предназначенного для рассылки спама — летом 2012 года сообщили многие мировые СМИ. В период своей максимальной активности бот-сеть BlackEnergy рассылала более 18 миллиардов писем в день, однако благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.

Однако уже в январе 2013 года злоумышленники предприняли попытку создания новой бот-сети с использованием вредоносной программы BackDoor.BlackEnergy.36. Основных отличий этой модификации троянца от его предыдущих редакций два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром. В первое время злоумышленники не отдавали ботам каких-либо команд, вероятно, ожидая, пока растущий ботнет достигнет определенных размеров, однако вскоре с использованием бот-сети была предпринята попытка DDoS-атаки на один из популярнейших в российском Интернете развлекательных ресурсов. Троянец был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda. Более подробную информацию об этой угрозе можно почерпнуть из опубликованного на сайте drweb.com новостного материала.

Угрозы для Android

Большая популярность мобильных устройств под управлением ОС Android привела к закономерному увеличению интереса злоумышленников к персональной информации, хранимой на таких устройствах. Наметившаяся в 2012 году тенденция к увеличению числа вредоносных и потенциально опасных приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом нового 2013 года.

Так, в начале января был обнаружен очередной Android-троянец, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств. Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе троянца. Примечательно, что злоумышленники попытались разнообразить «каталог», предлагая к загрузке сразу несколько различных «приложений», однако во всех случаях это была одна и та же вредоносная программа. В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме: после запуска он уведомлял пользователя о выполнении предварительной настройки, однако через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троянец скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер. Полученные сведения в дальнейшем могут быть использованы злоумышленниками для организации новых спам-кампаний или для продажи на черном рынке.

screen

Также в январе специалистами «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Напомним, что коммерческие шпионские программы позволяют контролировать самые разнообразные функции мобильных устройств: отслеживать СМС-переписку, входящие и исходящие телефонные звонки, получать GPS-координаты пользователя и т. д. Помимо легального применения, очень часто такое программное обеспечение может быть использовано без ведома владельца устройства, поэтому его конфиденциальная информация может подвергаться существенному риску. Большое число новых семейств коммерческих шпионских приложений, обнаруженных в январе, говорит о том, что на подобные услуги имеется достаточный спрос, и число таких программ в ближайшее время будет стабильно увеличиваться.

screen

Другие угрозы января

В начале января 2013 года специалистами компании «Доктор Веб» была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троянец встраивается в процессы наиболее популярных браузеров (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant), после чего перехватывает обращения пользователей к сайтам различных поисковых систем (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, http://www.wiki.com, http://www.alexa.com или yandex.com) и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки. Подробнее об этой вредоносной программе можно прочитать в опубликованной на нашем сайте статье.

Также в январе был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.ButiratBackDoor.Butirat.245. Данный троянец способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов. Дополнительные сведения о данной угрозе можно получить в размещенном на сайте drweb.com новостном материале.

Вредоносные файлы, обнаруженные в почтовом трафике в январе

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.Redirector.162 1.11%
2 Trojan.PWS.Stealer.1932 0.73%
3 Win32.HLLM.MyDoom.54464 0.64%
4 Trojan.Oficla.zip 0.58%
5 BackDoor.Andromeda.22 0.54%
6 Trojan.PWS.Panda.547 0.47%
7 Trojan.PWS.Panda.655 0.47%
8 Win32.HLLM.MyDoom.33808 0.45%
9 Trojan.Winlock.7048 0.45%
10 Trojan.Packed.23728 0.41%
11 Win32.HLLM.Beagle 0.36%
12 Trojan.Inject.64560 0.36%
13 Win32.HLLM.Netsky.35328 0.26%
14 VBS.Rmnet.2 0.26%
15 Trojan.PWS.Stealer.715 0.26%
16 Win32.HLLM.Graz 0.26%
17 Trojan.PWS.Panda.2401 0.26%
18 BackDoor.Bebloh.21 0.24%
19 Trojan.PWS.Panda.786 0.24%
20 Win32.HLLM.Netsky.18401 0.24%

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.IFrame.363 0.75%
2 Tool.Unwanted.JS.SMSFraud.26 0.73%
3 SCRIPT.Virus 0.56%
4 Adware.Downware.774 0.47%
5 Tool.Unwanted.JS.SMSFraud.10 0.42%
6 Adware.Downware.179 0.41%
7 JS.IFrame.387 0.40%
8 Tool.Unwanted.JS.SMSFraud.30 0.38%
9 Adware.InstallCore.53 0.34%
10 Trojan.Fraudster.394 0.34%
11 Adware.Webalta.11 0.33%
12 Tool.Skymonk.11 0.32%
13 Trojan.SMSSend.2363 0.30%
14 JS.Redirector.175 0.29%
15 Trojan.Hosts.6613 0.28%
16 Win32.HLLW.Shadow 0.28%
17 Win32.HLLW.Autoruner.59834 0.27%
18 Adware.Downware.804 0.26%
19 Trojan.Fraudster.245 0.25%
20 JS.IFrame.356 0.25%

В первой половине октября 2012 года был замечен резкий всплеск активности троянцев-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троянец Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype.

Вирусная обстановка

Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы троянца BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троянец Trojan.Mayachok.17994, а вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз следует отметить многочисленные модификации троянцев семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 года), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201. Десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, показана в представленной ниже таблице.

Угроза %
Trojan.MayachokMEM.4 2,34
BackDoor.IRC.NgrBot.42 2,18
Exploit.CVE2012-1723.13 1,64
Trojan.Mayachok.17994 1,47
Trojan.Mayachok.1 1,29
Java.Downloader.697 1,18
Trojan.SMSSend.2363 0,96
Win32.HLLP.Neshta 0,93
Trojan.Mayachok.17986 0,82
Win32.Sector.22 0,71

Распределение обнаруженных в течение месяца угроз по классам показано на следующей диаграмме:

screen

Ботнеты

Специалисты компании «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, широко известный ботнет Backdoor.Flashback.39, который составляют инфицированные компьютеры под управлением операционной системы Mac OS X, в течение месяца сократился очень незначительно: по данным на 30 октября популяция этого троянца составляет 105730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109372. Прирост бот-сети Backdoor.Flashback.39 практически остановился, однако владельцы Apple-совместимых компьютеров, судя по всему, не торопятся проводить антивирусную проверку своих машин, чтобы окончательно избавиться от данного троянца.

Как и предполагалось ранее, в начале октября бот-сеть Win32.Rmnet.12 преодолела по числу зараженных ПК пятимиллионную отметку, а к концу месяца достигла пяти с половиной миллионов инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Динамика изменения численности этого ботнета показана на приведенном ниже графике:

screen

Как уже упоминалось ранее, файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета. При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).

Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться — динамику этого процесса можно проследить на представленной ниже диаграмме. Общая численность сети на 30 октября 2012 года составила 254838 инфицированных ПК, что на 16373 компьютера больше по сравнению с показателями на начало месяца.

screen

Вредоносный спам

В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.

screen

Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97. Мы подробно рассказывали о подобных вредоносных рассылках в одном из своих новостных материалов, но по-прежнему рекомендуем пользователям проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Наконец, в последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.

Угрозы для Android

С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Напомним, что эти троянцы представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для троянца Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троянец не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.

Угроза месяца: Trojan.GBPBoot.1

Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование Trojan.GBPBoot.1.

С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 можно назвать довольно примитивным: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа прежде всего тем, что имеет возможность серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи. Более подробно узнать о внутреннем устройстве троянца Trojan.GBPBoot.1 можно из опубликованного компанией «Доктор Веб» информационного материала.

Другие угрозы октября

В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. С подробной информацией об этой угрозе можно ознакомиться в соответствующей статье, опубликованной на сайте news.drweb.com.

Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения, подробно описанным в опубликованной на сайте Dr.Web обзорной статье.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2012 00:00 — 31.10.2012 23:00
1 Trojan.Necurs.97 1.40%
2 Trojan.Oficla.zip 1.20%
3 JS.Redirector.145 1.13%
4 Trojan.PWS.Stealer.946 0.84%
5 JS.Redirector.150 0.80%
6 Win32.HLLM.MyDoom.54464 0.58%
7 Exploit.CVE2010-3333.6 0.53%
8 BackDoor.Andromeda.22 0.53%
9 Trojan.PWS.Panda.786 0.47%
10 Trojan.DownLoader6.56603 0.47%
11 Win32.HLLM.MyDoom.33808 0.42%
12 Trojan.Siggen4.25819 0.42%
13 BackDoor.Kuluoz.3 0.38%
14 Trojan.Packed.18626 0.36%
15 Trojan.DownLoader7.6770 0.31%
16 Win32.HLLM.Beagle 0.31%
17 Win32.HLLM.Netsky.35328 0.29%
18 Trojan.PWS.UFR.2334 0.29%
19 Trojan.Winlock.6566 0.27%
20 SCRIPT.Virus 0.24%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2012 00:00 — 31.10.2012 23:00
1 Adware.Downware.533 0.82%
2 SCRIPT.Virus 0.51%
3 Tool.Unwanted.JS.SMSFraud.10 0.38%
4 Adware.Downware.179 0.34%
5 Tool.Skymonk.6 0.31%
6 Trojan.Fraudster.329 0.31%
7 Trojan.Fraudster.296 0.30%
8 Adware.Downware.426 0.29%
9 Win32.HLLW.Autoruner.59834 0.27%
10 Win32.HLLW.Shadow 0.27%
11 Tool.Unwanted.JS.SMSFraud.15 0.26%
12 Trojan.Fraudster.320 0.26%
13 Trojan.Fraudster.344 0.25%
14 Trojan.Fraudster.347 0.25%
15 Adware.InstallCore.53 0.25%
16 Trojan.Siggen4.23472 0.24%
17 JS.IFrame.317 0.23%
18 Exploit.CVE2012-1723.13 0.23%
19 Trojan.SMSSend.2363 0.23%
20 Adware.Downware.316 0.23%