• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Обзор вирусной активности в мае 2012 года

Май 2012 года оказался довольно спокойным месяцем с точки зрения информационной безопасности: за минувшие тридцать дней не было зафиксировано серьезных вирусных эпидемий. Тем не менее, по-прежнему высоким остается число пострадавших от действий троянцев-шифровальщиков, все увереннее осваивающих западный рынок, появляются новые угрозы для мобильной операционной системы Android.

По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз занимает троянец Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к Интернету: он был обнаружен на 3,73% проверенных данной утилитой компьютеров. Причины столь высокой популярности этой угрозы вполне объяснимы: распространяясь с поддельных файлообменников под видом драйверов и полезных программ, а также в спам-рассылках, Trojan.Mayachok.1 приносит своим создателям неплохую прибыль, требуя у пользователей «активировать» доступ к тому или иному сайту, указав в соответствующем поле номер мобильного телефона и пришедший в ответном СМС-сообщении код. Таким образом жертва оказывается подписанной на псевдоуслугу, за оказание которой с ее счета мобильного оператора будет ежемесячно списывается абонентская плата.

Не отстают от него и банковские троянцы семейства Trojan.Carberp (1,3% случаев). Достаточно часто на инфицированных ПК удается обнаружить различные троянцы-даунлоадеры, вредоносные программы семейства Trojan.SMSSend (порядка 1,5%), Trojan.Hosts (около 0,5%) и всевозможные модификации IRC-ботов.

Если сравнить эту статистику с данными за предыдущий месяц, то можно увидеть, что число заражений троянцем Trojan.Mayachok.1 выросло на 1,36%: в мае количество обнаружений данной вредоносной программы увеличилось на 10,5 тысяч. А вот число обнаружений Trojan.Carberp наоборот сократилось практически на четверть. Несколько возросло количество случаев заражения троянцами семейства Trojan.Hosts, подменяющими содержимое файла Windows/System32/Drivers/etc/hosts, который отвечает за трансляцию сетевых адресов сайтов в их DNS-имена. Одной из весьма популярных модификаций данной вредоносной программы оказался Trojan.Hosts.5858.

Распространение этого троянца осуществляется с использованием ресурсов бот-сети BackDoor.Andromeda. В случае заражения при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в Интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты.

Спам

Среди угроз, обнаруженных в мае в почтовых сообщениях, лидирует вредоносная программа Trojan.SMSSend.2856, представляющая собой вредоносный скрипт, который перенаправляет браузер пользователя на мошеннические сайты. В числе лидеров вредоносных рассылок также замечены Trojan.Mayachok.1 и Trojan.Carberp. Нередко в почтовых сообщениях обнаруживается червь Win32.HLLW.Shadow, известный также под именем «Kido», — эта программа способна загружать с удаленных серверов, устанавливать и запускать на компьютере жертвы различные приложения. Также в качестве вложений в сообщения e-mail нередко встречаются различные программы-загрузчики и троянец-руткит Trojan.NtRootKit.6725. Следует отметить, что по сравнению с апрелем 2012 года объем вредоносных вложений в почтовых сообщениях немного сократился, в то время как качественный их состав практически не претерпел изменений.

В конце мая был зафиксирован всплеск активности спамеров, рассылающих письма от имени Сбербанка России. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружается троянец-энкодер: при попытке распаковать скачанный архив хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными.

Ботнеты

Обнаруженная в начале апреля специалистами компании «Доктор Веб» бот-сеть BackDoor.Flashback.39, поразившая более 800 000 Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X, продолжает свое существование, хотя общая численность инфицированных машин заметно сократилась и продолжает уменьшаться с течением времени. На начало мая число ботов в сети снизилось до 529 355. По данным на 24 мая, в сети действовало 331 992 зараженных «мака», при этом среднесуточное количество присоединяющихся к сети новых ботов составляет 110 машин. В течение месяца это число также плавно сокращалось. На представленном ниже графике показана динамика изменения общей численности бот-сети BackDoor.Flashback.39 в мае 2012 года:

В апреле компания «Доктор Веб» сообщила о перехвате крупного ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12: уже тогда его численность составляла более миллиона инфицированных компьютеров, расположенных преимущественно в странах ближнего востока и Азии. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он обладает функционалом бэкдора, позволяет выполнять поступающие от удаленного управляющего центра команды, а также «умеет» красть пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

На 29 мая 2012 года общая численность ботнета Win32.Rmnet.12 составляет уже 2 641 855 инфицированных машин, то есть только за последний месяц она превысила значение в два с половиной миллиона, увеличившись вдвое. География распространения вируса не претерпела существенных изменений: лидерами среди наиболее подвергшихся инфекции регионов по-прежнему остаются Индонезия, Бангладеш, Вьетнам, Индия и Египет, велико количество инфицированных ПК и в России. Динамика увеличения численности бот-сети Win32.Rmnet.12 в течение мая 2012 года представлена на следующей диаграмме:

Среднесуточное количество вновь зараженных машин, присоединившихся к бот-сети, составляет порядка 25 000, и объем ботнета продолжает расти весьма быстрыми темпами.

Примерно схожая ситуация наблюдается в отношении другой бот-сети, за которой внимательно следят специалисты компании «Доктор Веб», — Win32.Rmnet.16. Численность ботнета по данным на 11.05.2012 составляла 55 310 инфицированных узлов, наибольшая доля которых была расположена на территории Великобритании. Через 18 дней число зараженных машин достигло уже 84 491.

Угроза месяца: Trojan.Matsnu.1

От действий этой троянской программы пострадало большое количество пользователей по всему миру: многочисленные запросы в службу технической поддержки компании «Доктор Веб» приходили из многих европейских стран, прежде всего из Германии.

Троянец написан на языке Ассемблер, распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троянец шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована либо была инфицирована троянцем-кодировщиком. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Чтобы расшифровать файлы, вирусописатели предлагают воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

Одновременно с демонстрацией данного сообщения троянец ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:

• убить систему (удалить все файлы на жестких дисках);
• загрузить с сайта злоумышленников указанную программу и запустить ее;
• загрузить и продемонстрировать другие изображения для диалогового окна;
• сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса;
• расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
• зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
• обновить список управляющих серверов;
• обновить основной модуль троянца.

Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал. От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки.

Угрозы для Android

Последний месяц весны также ознаменовался появлением новых угроз для мобильной платформы Google Android. В начале мая эксперты сообщали о троянцах, представляющих угрозу для мобильных телефонов с root-доступом. Данные вредоносные программы реализованы по «принципу матрешки»: модифицированное злоумышленниками приложение содержит другой зашифрованный программный apk-файл. Троянцы устанавливают в систему программу-загрузчик, способную скачивать и запускать на инфицированном устройстве другие приложения.

Помимо этого в мае было выявлено вредоносное приложение для мобильной платформы Android, добавленное в вирусные базы под именем Android.Proxy.1.origin. Распространяясь под видом системного обновления со взломанных злоумышленниками сайтов, троянец запускает на инфицированном устройстве простой прокси-сервер, благодаря которому хакеры могут получить несанкционированный доступ к частным сетям, к которым подключается устройство. Загрузка данного троянца начинается автоматически при посещении модифицированных злоумышленниками веб-сайтов, в структуру которых добавлен скрытый элемент IFRAME, однако для того чтобы мобильное устройство оказалось инфицированным, пользователь должен установить данное приложение.

Винлоки и энкодеры

Среди запросов от пользователей, поступивших в течение мая в службу технической поддержки компании «Доктор Веб», по-прежнему велико количество обращений, связанных с действием программ-блокировщиков, — 21,2% от общего количества. Это число незначительно сократилось по сравнению с апрелем, также немного снизилось количество запросов о расшифровке файлов, пострадавших в результате заражения ПК вредоносными программами семейства Trojan.Encoder, — таковых насчитывается 0,71%. По поводу прочих вирусных угроз за истекший месяц в компанию обратилось 5,3% пользователей, запросы технического характера составили 44% от общего количества обращений в техподдержку.

Короткой строкой

Среди иных угроз информационной безопасности, выявленных в мае 2012 года, необходимо отметить следующие:

• Сетевые мошенники обратили свое внимание на социальную сеть Facebook.
• Вредоносная программа Win32.HLLW.Autoruner.64548, распространяющаяся путем создания своей копии на диске и размещения в корневой папке файла autorun.inf, ищет и инфицирует RAR-архивы.
• Специалистами компании «Доктор Веб» был обнаружен IRC-бот BackDoor.IRC.Aryan.1, способный загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера.
• Другой IRC-бот, распространяющий спам в сетях мгновенного обмена сообщениями, использует в своей работе оригинальный механизм поиска запущенных процессов с помощью счетчиков производительности, размещающихся в системном реестре Windows.

Оставить свой комментарий:

Комментарии по материалу