• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Обзор вирусной активности в августе 2012 года: растущие ботнеты, уязвимость Java и новые угрозы для Android

В последний летний месяц 2012 года произошла заметная активизация вирусописателей и сетевых мошенников. В середине августа была зафиксирована, пожалуй, крупнейшая за минувшее полугодие волна взломов веб-сайтов в Рунете с целью распространения вредоносного ПО для мобильных устройств. А число новых угроз по сравнению с июлем 2012 года несколько возросло.

По данным статистики, в августе 2012 года наиболее распространенной вредоносной программой на компьютерах пользователей остается Trojan.Mayachok.1, причем количество экземпляров троянца, обнаруженных экспертами «Доктор Веб», по сравнению с предыдущим месяцем выросло на 6,5%. Этот рост можно, в частности, связать с тем, что Trojan.Mayachok.1 начали активно распространять создатели платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend. В статистических сводках Trojan.Mayachok.1 уверенно и с большим отрывом занимает лидирующую позицию, в то время как на втором месте разместился троянец-бэкдор BackDoor.Butirat.91, способный выполнять поступающие с удаленного сервера команды, а также загружать и запускать на инфицированном ПК различные файлы. Для сравнения: число обнаружений этой угрозы на 87,1% меньше по отношению к количеству выявленных экземпляров Trojan.Mayachok.1. В то же время общее количество компьютеров, инфицированных BackDoor.Butirat.91, за истекший месяц выросло на 41,8%.

Число обнаруженных на инфицированных компьютерах экземпляров вредоносных программ семейства Trojan.SMSSend осталось практически на прежнем уровне, однако следует обратить внимание на тот факт, что если ранее данную категорию троянцев можно было назвать относительно «безобидной», то с недавнего времени они стали представлять значительную опасность для пользователей. Напомним, что к семейству Trojan.SMSSend относятся архивы, максимально правдоподобно имитирующие программу установки различных популярных приложений. При открытии такого архива пользователю предлагается либо отправить на короткий номер платное СМС-сообщение, либо указать собственный мобильный телефон и ввести в специальное поле код, полученный в ответном СМС, подписавшись таким образом на какую-нибудь ненужную услугу с абонентской платой. Внутри архива, как правило, оказывается какой-либо бесполезный «мусор», иными словами, жертва не получает того, за что заплатила деньги.

Однако количество доверчивых пользователей Интернета, по всей видимости, стало понемногу снижаться, и прибыль от «бизнеса на платных архивах» пошла на убыль. Иначе трудно объяснить то обстоятельство, что создатели одной из партнерских программ по распространению платных архивов — ZIPPRO — сначала стали устанавливать на компьютеры скачавших архив пользователей тулбар «Спутник@Mail.Ru» и браузер «Интернет@Mail.ru», а позже специалисты «Доктор Веб» обнаружили в комплекте устанавливаемых жертве приложений еще и троянца Trojan.Mayachok.1. Основная опасность таких архивов заключается в том, что заражение другими вредоносными программами может произойти уже в момент запуска подобного приложения, даже если пользователь сразу закроет окно платного архива.

Среди угроз, выявленных в течение месяца в почтовом трафике, лидирует бэкдор BackDoor.Andromeda.22. Вторую и третью позицию занимают троянцы Trojan.Oficla.zip и Trojan.Necurs.21, не менее активно распространяются по электронной почте черви Win32.HLLM.MyDoom.54464, Win32.HLLM.MyDoom.33808 и Win32.HLLM.Netsky.35328.

Ботнеты

Несмотря на то, что с момента обнаружения крупнейшей в истории бот-сети Backdoor.Flashback.39, состоящей из инфицированных «маков», прошло уже более четырех месяцев, говорить об исчезновении этого ботнета пока еще преждевременно. На текущий момент в этой сети насчитывается 126 781 зараженная машина, что на 21 711 единиц меньше, чем в конце прошлого месяца. В целом темпы сокращения численности ботнета Backdoor.Flashback.39 заметно снизились (в прошлом месяце вредоносная сеть уменьшилась на 76524 машины).

Численность ботнета Win32.Rmnet.12 в течение августа перевалила за четыре миллиона и составила 4351349 инфицированных компьютеров. Можно сказать, что увеличение популяции данного весьма опасного файлового вируса продвигается прежними темпами: если в июле прирост вредоносной сети составил 480 с лишним тысяч инфицированных рабочих станций, то в августе к бот-сети присоединилось еще порядка 500 тысяч зараженных узлов. Динамика изменения численности ботнета Win32.Rmnet.12 показана на представленном ниже графике:

Напомним, что наибольшую угрозу данный файловый вирус представляет в первую очередь для жителей стран Юго-Восточной Азии: наибольшее число заражений приходится на долю таких государств, как Индонезия, Бангладеш, Вьетнам и Индия. На территории России сегодня выявлено 105268 инфицированных машин, что составляет 2,4% от общего количества зараженных компьютеров.

Понемногу увеличивается и численность «родственного» ботнета Win32.Rmnet.16, правда, как и прежде, не столь высокими темпами. Так, в течение августа к этой бот-сети присоединилось порядка 67 000 инфицированных ПК, в то время как ее общая численность составила 222300 узлов. Среднесуточный прирост ботнета составил примерно 1,5–2 тысячи зараженных узлов, однако к концу месяца резко сократился. Географически вирус наиболее распространен на территории Великобритании (72,1%) и Австралии (24,9%), в границах России Win32.Rmnet.16 распространения практически не имеет.

Критическая уязвимость Java

В 20-х числах августа компания FireEye, а вслед за ней и другие разработчики антивирусного ПО сообщили об обнаружении критической уязвимости Java Runtime Environment версий 1.7x, названной CVE-2012-4681. Первые заметки о данной уязвимости были опубликованы 26 августа, а уже на следующий день уязвимость CVE-2012-4681 успела попасть в активно распространяемый среди злоумышленников пакет эксплойтов BlackHole Exploit Кit. Разработчик JRE, компания Oracle, выпустила соответствующее обновление безопасности 30 августа, следовательно, пользователи Java оставались беззащитны перед злоумышленниками как минимум в течение четырех суток.

В настоящее время с использованием уязвимостей Java распространяется троянская программа Trojan.Rodricter.21, обладающая богатыми функциональными возможностями, включающими подмену пользовательских запросов, «накрутку» посещаемости различных сайтов и т. д. Была выявлена и альтернативная цепочка редиректов, в финале которой на компьютер жертвы загружается вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.DownLoader6.29607.

Специалисты компании «Доктор Веб» полагают, что использование данных уязвимостей Java злоумышленниками представляет серьезную опасность для пользователей и может нанести им значительный ущерб. Аналитики настоятельно рекомендуют пользователям установить наиболее актуальные обновления безопасности.

Угрозы для мобильной платформы Android

Август оказался весьма урожайным месяцем с точки зрения угроз, ориентированных на мобильную платформу Google Android. В течение месяца было зафиксировано рекордное количество случаев взлома веб-сайтов с целью распространения вредоносных программ для мобильных платформ. Всего, по подсчетам специалистов «Доктор Веб», атакам подверглись более 2000 русскоязычных интернет-ресурсов, среди которых было отмечено множество популярных и посещаемых сайтов. Злоумышленники изменяли настройки сайтов таким образом, что при открытии веб-страницы на мобильном устройстве пользователь автоматически перенаправлялся на один из вредоносных ресурсов, с которых распространяются троянские программы семейства Android.SmsSend..

В августе получил распространение весьма любопытный троянец Android.SmsSend.186.origin, также ориентированный на мобильную платформу Android. В отличие от большинства других вредоносных программ семейства Android.SmsSend, данный троянец проникает на мобильное устройство с использованием специального дроппера. Еще одной отличительной чертой Android.SmsSend.186.origin является то обстоятельство, что этот троянец обладает способностью сопротивляться попыткам его удаления.

Среди других угроз для Android, добавленных в базы Dr.Web в августе, следует отметить Android.Luckycat.1.origin — троянца, предназначенного для хищения пользовательской информации (такой как IMEI устройства, номер телефона, хранящиеся на устройстве файлы) и ее передачи на принадлежащий злоумышленникам сервер. Помимо этого Android.Luckycat.1.origin «умеет» обрабатывать поступающие от злоумышленников команды. Также была выявлена целая группа вредоносных программ для мобильных платформ, относящаяся к знаменитому семейству Zeus/SpyEye — троянцев, предназначенных для кражи паролей. Версия для ОС Android была добавлена в базы под именем Android.Panda.2.origin, версии для BlackBerry — BlackBerry.Panda.1, BlackBerry.Panda.2 и BlackBerry.Panda.3.

Кроме того, в августе было зафиксировано появление нового троянца-загрузчика для ОС Android, получившего имя Android.DownLoader.5.origin. Весьма активно распространялись троянские программы среди японских пользователей Android — в августе пользователи мобильных устройств из Страны восходящего солнца подверглись сразу нескольким массированным спам-атакам. Наконец, следует отметить, что в августе было выявлено большое количество коммерческих шпионских программ: в течение месяца в вирусные базы Dr.Web было добавлено множество подобных приложений, среди них — FinSpy для Android, Symbian OS и iOS.

Угроза месяца: Trojan.Mayachok.17516

Наиболее интересной троянской программой из всех, обнаруженных в августе 2012 года, можно назвать новую модификацию широко распространенного и довольно опасного троянца Trojan.Mayachok, получившую название Trojan.Mayachok.17516.  Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.

Прочие угрозы августа

Во второй половине месяца было зафиксировано распространение троянской программы BackDoor.IRC.Codex.1. Данная вредоносная программа способна загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения, принимать участие в DDoS-атаках, передавать злоумышленникам информацию, вводимую пользователем в веб-формы, и красть пароли от популярных FTP-клиентов.

В ходе расследования инцидента, связанного с распространением опасных троянских программ вместе с платными архивами, специалисты «Доктор Веб» установили, что для установки на компьютеры жертв вредоносного ПО создатели платных архивов разработали собственного троянца, получившего название Trojan.Zipro.

22 августа компания «Доктор Веб» сообщила об обнаружении кросс-платформенной троянской программы BackDoor.Wirenet.1, предназначенной для кражи паролей и способной работать как в операционной системе Linux, так и в Mac OS X. Разработчики продают этот программный продукт в качестве шпионской программы, при этом существует версия BackDoor.Wirenet.1 для операционных систем Solaris и Microsoft Windows.

Китайские вирусописатели сумели удивить специалистов по информационной безопасности, создав довольно сложную и многокомпонентную вредоносную программу Trojan.Xytets, которую можно одновременно отнести и к категории буткитов, и к категории руткитов. Троянец состоит из восьми функциональных модулей различного назначения, обладает технологиями антиотладки, умеет инфицировать главную загрузочную запись и скрывать следы своего присутствия в инфицированной системе. Следует отметить, что Trojan.Xytets обладает весьма развитым вредоносным функционалом, разнообразие которого также отличает его в ряду других вредоносных программ.

Оставить свой комментарий:

Комментарии по материалу