Rambler's Top100
Все новости Новости отрасли

Обзор вирусной активности в августе 2013 года

03 сентября 2013

В августе было выявлено много новых киберугроз, среди которых - троянец, устанавливающий на инфицированные компьютеры ПО от известного коммуникационного портала; программа, взламывающая сайты, работающие под управлением популярных CMS, и троянец-шпион, угрожающий ользователям Linux.

Вирусная обстановка

Согласно статистическим сведениям, собранным на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, лидером среди всех выявленных угроз по-прежнему является Trojan.Loadmoney.1. Этой записью антивирусное ПО Dr.Web детектирует приложение для загрузки торрентов одноименной партнерской программы, которое также устанавливает на компьютеры пользователей различное ПО от известного российского коммуникационного портала. Кроме того, в начале августа специалистами «Доктор Веб» был обнаружен троянец Trojan.LMclicker.1, предназначенный для накрутки показателей в партнерской программе Loadmoney.

Второе место по распространенности занимает троянец Trojan.Hosts.6815, модифицирующий на инфицированном компьютере файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. На третьем месте располагается IRC-бот BackDoor.IRC.Cirilico.119, за ним с небольшим отрывом следует Trojan.BtcMine.142 — вредоносная программа, использующая ресурсы инфицированного компьютера для добычи электронной валюты Bitcoin. Двадцатка наиболее распространенных угроз, обнаруженных в августе на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, представлена в расположенной ниже таблице.

Название

Кол-во

%

Trojan.LoadMoney.1

32564

3.94

Trojan.Hosts.6815

19553

2.37

BackDoor.IRC.Cirilico.119

17453

2.11

Trojan.BtcMine.142

17272

2.09

Trojan.Mods.2

14618

1.77

Trojan.MayachokMEM.7

13486

1.63

Trojan.DownLoad3.26006

9345

1.13

BackDoor.IRC.NgrBot.42

8018

0.97

Trojan.MayachokMEM.8

7193

0.87

Trojan.DownLoader9.19157

6977

0.84

Trojan.Mods.1

6821

0.83

Trojan.Fraudster.524

6230

0.75

Trojan.Hosts.6838

6098

0.74

BackDoor.Bulknet.963

5815

0.70

Win32.HLLP.Neshta

5673

0.69

Trojan.BtcMine.146

5416

0.66

Trojan.Winlock.8811

5409

0.65

BackDoor.Maxplus.24

5354

0.65

Win32.HLLW.Autoruner1.51068

5184

0.63

Trojan.Inject2.23

5160

0.62

Ботнеты

Численность ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает немного расти. В первой подсети среднесуточный прирост вновь инфицированных ПК составляет примерно 12 000 машин, во второй подсети — 10 500.

Рост ботнета, состоящего из машин, инфицированных файловым вирусом Win32.Rmnet.16, также продолжается прежними темпами: в среднем ежесуточно к данной бот-сети присоединяется порядка 1500 вновь инфицированных ПК. Динамику процесса можно проследить на представленной ниже диаграмме.

Статистика распространения вредоносного модуля, детектируемого антивирусным ПО Dr.Web как Trojan.Rmnet.19, также демонстрирует незначительный прирост: всего в течение августа было зафиксировано 685 новых случаев заражения, а общая численность бот-сети осталась примерно на прежнем уровне и составляет на 28 августа 5014 инфицированных компьютеров. Постепенно увеличиваются и количественные показатели спам-ботнета BackDoor.Bulknet.739. Среднесуточное количество активно действующих ботов в данной сети практически не изменилось по сравнению с предыдущим месяцем и составило около двух с половиной тысяч, а среднее число регистрирующихся в сети вновь инфицированных ПК составило 500–600 рабочих станций в сутки.

Общая численность ботнета, созданного с использованием троянской программы BackDoor.Dande (эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний), за месяц практически не претерпела изменений: в конце августа в нем насчитывалось 1279 инфицированных компьютеров. 

Практически не изменилось и количество Apple-совместимых компьютеров, инфицированных троянцем BackDoor.Flashback.39: в конце августа общее число зараженных «маков» составило 38 822. Больше всего инфицированных машин зафиксировано на территории США (20 020), на втором месте располагается Канада (7102), на третьем — Великобритания (5200). Далее следуют Австралия с показателем 3571 компьютер, 313 пользователей зараженных «макинтошей» проживают во Франции, 236 — в Мексике, 218 — в Испании, 148 — в Италии, 146 — в Германии, 129 — в Бразилии. На территории России зафиксирован только один случай заражения BackDoor.Flashback.39.

Угроза месяца: Linux.Hanthie

Еще год назад, до возникновения эпидемии троянца BackDoor.Flashback.39, пользователи были уверены в полной безопасности операционной системы Mac OS X, в настоящее время бытует мнение о том, что в природе не существует угроз для платформы Linux. Тем не менее, в августе специалисты компании «Доктор Веб» провели исследование очередного троянца для данной операционной системы, получившего название Linux.Hanthie.

Linux.Hanthie (также известен под названием Hand of Thief) позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит). Гибкая настройка бота осуществляется через файл конфигурации. 

После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В троянце предусмотрены средства противодействия анализу и запуску в изолированных и виртуальных окружениях. Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии. Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE. 

Основной вредоносный функционал Linux.Hanthie заключается в перехвате и отправке злоумышленникам содержимого заполняемых пользователем форм. Троянец позволяет встраивать граббер в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. Кроме того, троянец реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется.

Другие события месяца

Обнародована схема атак на клиентов банков через их Android-устройства и компьютеры. Троянцы, созданные при помощи конструктора Android-программ Perkele, способны обойти многофакторную аутентификацию, которую используют многие банки. Множество клиентов немецких банков стали жертвами мошенничества, инсталлировав на свои устройства вредоносную программу, присланную злоумышленниками под видом сертификата безопасности банка. Детально преступная схема выглядит следующим образом.

Когда жертва посещает веб-сайт своего банка, троянец (Zeus или Citadel, или любой другой) выполняет веб-инжект (встраивает код) в браузер жертвы, предлагая пользователю ввести номер мобильного телефона и тип операционной системы. Эта информация передается обратно на атакующий сервер, который направляет запрос браузеру жертвы, побуждая жертву сканировать QR-код со своего мобильного устройства, чтобы якобы установить дополнительный защитный модуль, который на самом деле является вредоносной программой. Как только жертва сканирует QR-код, вредоносная программа загружается и устанавливается на мобильный телефон жертвы, что позволяет злоумышленникам перехватывать поступающие СМС. В этот момент вредоносная программа на компьютере жертвы автоматически инициирует финансовые операции со счета жертвы. Когда банк отправляет СМС с одноразовым кодом, троянец его перехватывает и отправляет на сервер атакующего, а вредоносный скрипт на устройстве жертвы получает код и завершает несанкционированные транзакции.

Российские финансовые учреждения также вызывают интерес у киберпреступников. По данным популярного информационного портала, некоторое время в Интернете существовал фишинговый сайт, копирующий веб-страницу находящегося в Москве Первого Депозитного Банка. Сотрудники этого банка сообщили в ЦБ РФ о мошенническом ресурсе. В настоящее время сайт-клон недоступен. Можно отметить совпадение: материал о поддельном сайте опубликован 19 августа, а на следующий день на реальном сайте банка сообщалось о другой фальшивке: на рынке появились подделки банковских гарантий, якобы выданных Первым Депозитным Банком.

Помимо махинаций с денежными средствами все большую популярность у киберпреступников приобретают различные мошеннические схемы торговли «виртуальным товаром», например «лайками» социальных сетей. Некоторые пользователи готовы платить реальные деньги за эти виртуальные «знаки внимания». Кроме того, «лайки» помогают фирмам продвигать товары или услуги на рынке: число «лайков», которыми отмечен тот или иной товар, повышают его популярность в глазах потенциальных покупателей. Злоумышленники торгуют фальшивыми учетными записями подписчиков Twitter и Instagram, используя для их создания необычную версию вредоносного ПО Trojan.PWS.Panda. Антивирусное ПО Dr.Web детектирует данную угрозу как Trojan.PWS.Panda.106. 

Также в августе было зафиксировано распространение новой версии троянца семейства BackDoor.Maxplus, выполняющей функции кейлоггера и подключающей зараженный компьютер к созданной злоумышленниками пиринговой сети. Чтобы избежать детектирования антивирусным ПО, троянец использует нетривиальные способы маскировки. Запустившись на инфицированном устройстве, он копирует себя сразу в две директории, расположенные с нарушением алфавитного порядка. При этом названия исполняемых файлов BackDoor.Maxplus записаны в реестре справа налево, как в текстах, написанных на семитских языках (арабском, иврите). Сигнатура данной вредоносной программы добавлена в вирусные базы компании Dr.Web.

Мобильные угрозы

Последний летний месяц оказался относительно спокойным в плане появления угроз для мобильных устройств. Так, в августе вирусные базы Dr.Web пополнились очередными записями для нескольких СМС-троянцев семейства Android.SmsSend, которые служат для отправки премиум-сообщений на короткие номера и подписки абонентов на различные платные услуги. Кроме того, в течение месяца было зафиксировано большое число разнообразных коммерческих шпионских приложений, включая версии, которые предназначены для работы на iOS-устройствах, подвергавшихся процедуре jailbreak. Данные приложения опасны тем, что, будучи установленными злоумышленниками, способны скрытно от пользователя осуществлять мониторинг его активности, например, перехватывать СМС-сообщения, получать информацию о совершаемых звонках, отслеживать GPS-координаты и пересылать на удаленный сервер все собранные данные.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.