Rambler's Top100
Все новости Новости компаний

Обзор вирусной активности в сентябре 2012 года

01 октября 2012

В сентябре 2012 года заметно уменьшилось количество заражений опасной вредоносной программой Trojan.Mayachok.1, но в то же время появилось несколько новых ее модификаций, значительно отличающихся по своему исполнению. Также сентябрь был отмечен появлением новой модификации широко известного троянца BackDoor.BlackEnergy, обнаружением программ-шпионов для Android и ряда других вредоносных приложений.

Вирусная обстановка

По данным аналитиков компании «Доктор Веб», на протяжении не менее трех месяцев в рейтинге наиболее распространенных угроз лидировал троянец Trojan.Mayachok.1. Первые позиции он занимает и сейчас, однако общее число заражений снизилось за минувший месяц более чем в 15 раз, с 74 701 обнаруженных экземпляров в августе до 4 948 в сентябре. Число заражений по неделям также заметно сокращалось — динамика этого процесса показана на предложенном ниже графике.

Аналитики «Доктор Веб» связывают подобную статистику с появлением целого семейства новых модификаций данной угрозы, значительно отличающихся от первой версии троянца. В частности, в течение сентября в вирусные базы Dr.Web были добавлены записи для девяти вредоносных программ данного класса, отличающихся друг от друга в основном некоторыми техническими деталями. Вполне вероятно, что в ближайшее время можно ожидать появления других модификаций этого троянца с различным вредоносным функционалом и особенностями реализации. Напомним, что основное предназначение угроз семейства Trojan.Mayachok — выполнение веб-инжектов в просматриваемые пользователем в браузере веб-страницы.

На втором месте по популярности в вирусной статистике по-прежнему располагается троянец-бэкдор BackDoor.Butirat.91. При этом следует отметить, что число заражений этой вредоносной программой за месяц также сократилось на 20%. Одно из основных функциональных назначений BackDoor.Butirat.91 — кража и передача злоумышленникам паролей от популярных FTP-клиентов, среди которых — FlashFXP, Total Commander, FileZilla, FAR, WinSCP, FtpCommander, SmartFTP. Также троянец способен загружать с удаленных узлов и запускать на инфицированной машине исполняемые файлы и «накручивать» показатели различных счетчиков посещаемости веб-страниц. Для обычного пользователя заражение троянцем чревато утечкой разного рода конфиденциальных данных в руки злоумышленников, а также вероятностью потери контроля над работой собственного ПК.

Также среди наиболее часто выявляемых угроз на компьютерах пользователей можно назвать написанный на языке Delphi файловый вирус Win32.HLLP.Neshta, различные банковские троянцы, в том числе принадлежащие семейству Trojan.Carberp, и платные архивы, детектируемые антивирусным ПО Dr.Web как Trojan.SMSSend.

Ботнеты

Статистика численности бот-сети Backdoor.Flashback.39, состоящей из инфицированных компьютеров под управлением операционной системы Mac OS X, по-прежнему демонстрирует сокращение числа заражений. Так, в течение сентября численность инфицированных «маков» снизилась еще примерно на 10%, с 127 681 до 115 179, в то время как прирост ботнета практически остановился: сейчас к нему присоединяется не более одного компьютера в сутки.

Ботнет, состоящий из рабочих станций, инфицированных файловым вирусом Win32.Rmnet.12, продолжает бить все рекорды. За месяц он вырос еще на 500 000 инфицированных узлов, таким образом, общая численность бот-сети скоро превысит 5 млн. Динамика прироста этой сети показана на представленной ниже иллюстрации.

Демонстрирует уверенный рост и численность родственной бот-сети, созданной с использованием файлового вируса Win32.Rmnet.16. В среднем в течение суток к этому ботнету присоединяется до нескольких сотен новых инфицированных ПК, а общая его численность превысила 230 тысяч. Динамика роста данной бот-сети показана на диаграмме ниже.

Новая версия троянца BackDoor.BlackEnergy

Троянцы семейства BackDoor.BlackEnergy известны как минимум с марта 2011 года и широко распространены. Вредоносные программы BackDoor.BlackEnergy представляют собой многофункциональный бэкдор, способный среди прочего загружать с сервера злоумышленников и устанавливать в инфицированной системе различные исполняемые файлы. BackDoor.BlackEnergy поддерживает взаимодействие с большим числом различных плагинов, и в течение продолжительного времени с использованием данного троянца действовал один из крупнейших ботнетов, ориентированных на рассылку спама. Благодаря усилиям ряда компаний и специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин, что привело к заметному снижению общемирового объема спам-трафика. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.

Новая модификация бэкдора, добавленная в вирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. В качестве «горячей темы» злоумышленники используют скандальный фильм «Невинность мусульман», который вызвал волну протестов по всему миру и уже успел привести к человеческим жертвам. Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена «WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

Угроза месяца: Trojan.Mayachok.17727

Как уже упоминалось ранее, широко распространенный троянец Trojan.Mayachok.1 понемногу сдает свои позиции, уступая место новым модификациям данной угрозы. Одной из таких модификаций является Trojan.Mayachok.17727, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2012 года.

В отличие от Trojan.Mayachok.1, в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR, которая, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.

Угрозы для Android

В сентябре 2012 года в вирусные базы Dr.Web было добавлено множество записей для угроз, представляющих опасность для пользователей мобильной операционной системы Google Android. Одной из таких вредоносных программ является Android.EmailSpy.origin — ориентированный на японских пользователей троянец, ворующий контактные данные из адресной книги Android, в частности, адреса электронной почты, которые впоследствии могут быть использованы злоумышленниками для организации спам-рассылок. Во второй половине месяца в вирусные базы был добавлен троянец Android.SmsSpy.6.origin, основное функциональное назначение которого — перехват СМС-сообщений на инфицированном устройстве. Троянец распространялся на территории Франции при помощи массовой СМС-рассылки, предлагавшей пользователям скачать с сайта злоумышленников обновление проигрывателя Flash, под видом которого загружалась вредоносная программа.

Среди других добавленных в базы программ — Android.Iconos.3.origin, распространявшийся под видом приложения-автоответчика. Помимо основных заявленных разработчиком функций, Android.Iconos.3.origin собирал и отправлял на удаленный сервер хранящуюся на мобильном устройстве конфиденциальную информацию и отсылал без ведома пользователя платное СМС-сообщение. А в начале сентября в вирусные базы были добавлены записи для шпионов Android.Loozfon.origin и (чуть позднее) Android.Loozfon.2.origin, ориентированных в первую очередь на японскую аудиторию. Данные приложения также используются в целях компрометации персональных данных на мобильных устройствах, работающих под управлением ОС Android. Встречаются среди опасных для пользователя программ и коммерческие шпионы, такие как Program.AccuTrack.origin и Program.Spycontrol.2.origin, также позволяющие передавать конфиденциальные данные с устройства на удаленный сервер.

Троянец Android.Temai.origin, попавший в вирусные базы в сентябре 2012 года, предназначался для «накрутки» счетчиков установки приложений на различных сайтах-каталогах мобильного ПО. Троянец загружал на инфицированное устройство приложение, отправлял сигнал об успешной инсталляции, после чего удалял скачанный пакет. Помимо собственно вредоносных программ, базы Dr.Web для Android и Dr.Web для Android Light пополнились записями о новых модификациях коммерческих рекламных модулей, таких как Adware.Leadbolt.2.origin и Adware.Startapp.5.origin.

Другие угрозы сентября

26 августа компания FireEye сообщила об обнаружении критической уязвимости в Java Runtime Environment версий 1.7x, получившей обозначение CVE-2012-4681. Компания Oracle выпустила соответствующее обновление безопасности только 30 августа, и, следовательно, уязвимость оставалась незакрытой в течение как минимум четырех суток, чем не замедлили воспользоваться злоумышленники. Специалисты компании «Доктор Веб» установили, что с использованием этого эксплойта распространялось несколько вредоносных программ, среди которых был обнаружен троянец Trojan.Rodricter.

В начале месяца были отмечены факты распространения нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные. Угроза получила наименование Trojan.Proxy.23968.

 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.