Поддельные торрент-трекеры и другие вирусные уловки апреля 2010 года
1 мая 2010 года
Поддельные торрент-трекеры и файлообменники
Специалисты компании «Доктор Веб» выявили сеть поддельных торрент-трекеров и файлообменников, размещенных в различных странах мира, но предназначенных в основном для русскоязычных пользователей. Пользуясь популярностью подобных ресурсов и беспечностью многих интернет-пользователей, осуществляющих поиск необходимой информации посредством поисковых систем, злоумышленники намеренно размещают на данных сайтах ссылки на любые музыкальные композиции, фильмы, книги и пр.
При этом поддельные торрент-трекеры и файлообменники занимают первые места в ответах поисковых систем на запросы пользователей. По всей видимости, для этого злоумышленники проводят поисковую оптимизацию и другие предварительные работы.
Когда пользователь попадает на поддельный сайт и проходит по ссылке на якобы архив с нужной информацией, на самом деле скачивается исполняемый файл размером 16 Мб, который определяется антивирусными продуктами Dr.Web как Tool.SMSSend.2.
При запуске данного файла пользователю предлагается отправить несколько платных SMS-сообщений для получения якобы пароля доступа к загруженному архиву. На самом деле в таких вредоносных файлах не содержится ничего полезного.
В настоящее время сервер статистики «Доктор Веб» фиксирует около 6 000 детектов Tool.SMSSend.2 в сутки.
Вирус-копирайтер
Кроме приведенных выше способов получения доходов злоумышленники активно осуществляли психологические атаки на пользователей торрент-трекеров. В апреле было зафиксировано широкое распространение вредоносной программы Trojan.Fakealert.14886 (по классификации «Доктор Веб»), которая при заражении системы выводит сообщение о том, что на компьютере пользователя обнаружены нелегальные торрент-файлы, что, в свою очередь, преследуется законом.
Распространяется Trojan.Fakealert.14886 под видом инсталлятора программного обеспечения. В случае если пользователь перезагрузил компьютер, не удалив данную программу штатными средствами, она, подобно троянцам семейства Trojan.Winlock, блокирует доступ в систему. Наибольшее распространение этой вредоносной программы было зафиксировано в Европе.
Также в апреле было зафиксировано распространение новой модификации Trojan.Winlock, которая сообщает пользователю о том, что он нарушает авторское право, и предлагает для дальнейшего скачивания воспользоваться "резервными зарубежными каналами связи" в обмен на платное SMS-сообщение.
Лжеантивирусы
Лжеантивирусы продолжили своё массированное распространение по англоязычным странам. Появляются новые вариации уже известных ранее интерфейсов, а также свежие образцы дизайна лжеантивирусов. Схемы распространения троянцев семейства Trojan.Fakealert не изменились, в то время как количество их детектов в сутки сервером статистики Dr.Web снизилось и составило в апреле около 750 000 против около 1 000 000 в марте.
Галерея Trojan.Fakealert
|
|
|
|
|
|
|
Блокировщики Windows
Темпы распространения блокировщиков Windows на территории России (Trojan.Winlock по классификации «Доктор Веб») в апреле также продолжали снижаться и составили около 720 детектов в сутки (против около 1 300 в сутки в марте). Однако количество новых разновидностей Trojan.Winlock в этом месяце по-прежнему росло. Пользователи продолжают ежедневно обращаться по данной проблеме в техподдержку компании "Доктор Веб".
Галерея Trojan.Winlock
|
|
|
|
|
|
|
|
|
|
Дозвонщик для смартфонов
В апреле было зафиксировано распространение вредоносной программы WinCE.Dialer.1, которая, будучи установлена на КПК, работающем под управлением ОС Windows Mobile, начинала самостоятельно звонить на платные телефонные номера, расположенные в различных странах. При этом, естественно, обнулялся счет владельца телефона.
Активная фаза деятельности троянца начинается через двое суток после успешного заражения системы. WinCE.Dialer.1 распространяется под видом игры для КПК.
Процент вредоносных объектов во всём проверенном антивирусными продуктами Dr.Web почтовом трафике в апреле 2010 года вырос на 28 %. Процент вредоносных файлов среди всех проверенных файлов на компьютерах пользователей вырос в 2,12 раза. Это может говорить о том, что злоумышленники меньше внимания уделяли в апреле распространению вредоносных программ посредством канала электронной почты и больше использовали другие каналы – заражённые сайты, эксплойты PDF, Flash (SWF), браузеров и проч.
Вредоносные файлы, обнаруженные в апреле в почтовом трафике
| 01.03.2010 00:00 - 01.04.2010 00:00 | ||
| 1 | Trojan.DownLoad.41551 | 11193316 (13.64%) |
| 2 | Trojan.DownLoad.37236 | 9927963 (12.10%) |
| 3 | Trojan.DownLoad.47256 | 7320678 (8.92%) |
| 4 | Trojan.Botnetlog.zip | 5865274 (7.15%) |
| 5 | Trojan.MulDrop.40896 | 5147022 (6.27%) |
| 6 | Trojan.Fakealert.5115 | 5100040 (6.22%) |
| 7 | Trojan.Packed.683 | 4148051 (5.06%) |
| 8 | Trojan.Fakealert.5238 | 3808296 (4.64%) |
| 9 | Trojan.DownLoad.50246 | 2921645 (3.56%) |
| 10 | Trojan.Fakealert.5825 | 2484216 (3.03%) |
| 11 | Trojan.Fakealert.5437 | 1834890 (2.24%) |
| 12 | Trojan.Fakealert.5356 | 1659867 (2.02%) |
| 13 | Trojan.Fakealert.5784 | 1445121 (1.76%) |
| 14 | Trojan.Fakealert.5229 | 1338146 (1.63%) |
| 15 | Trojan.PWS.Panda.122 | 1332036 (1.62%) |
| 16 | Trojan.Fakealert.11956 | 1267041 (1.54%) |
| 17 | Trojan.Fakealert.5457 | 1162458 (1.42%) |
| 18 | Trojan.Siggen.18256 | 1106066 (1.35%) |
| 19 | Trojan.Packed.19694 | 1099122 (1.34%) |
| 20 | Trojan.MulDrop.46275 | 1058813 (1.29%) |
| Всего проверено: | 17,689,058,602 |
| Инфицировано: | 82,042,532 (0.464%) |
Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей
| 01.04.2010 00:00 - 01.05.2010 00:00 | ||
| 1 | Win32.HLLW.Shadow | 834227 (2.84%) |
| 2 | Trojan.AuxSpy.187 | 829685 (2.82%) |
| 3 | VBS.Sifil | 525939 (1.79%) |
| 4 | Trojan.Starter.516 | 438173 (1.49%) |
| 5 | ACAD.Pasdoc | 419684 (1.43%) |
| 6 | Win32.HLLW.Gavir.ini | 364819 (1.24%) |
| 7 | Win32.HLLW.Shadow.based | 339566 (1.16%) |
| 8 | Trojan.DownLoad.32973 | 330055 (1.12%) |
| 9 | Trojan.AuxSpy.111 | 283554 (0.97%) |
| 10 | Trojan.AntiAV.6 | 231204 (0.79%) |
| 11 | Win32.HLLW.Autoruner.9410 | 170593 (0.58%) |
| 12 | Win32.Dref | 162827 (0.55%) |
| 13 | IRC.Apulia.1215 | 155887 (0.53%) |
| 14 | BackDoor.Tdss.2459 | 153602 (0.52%) |
| 15 | Trojan.PWS.GoldSpy.3382 | 148201 (0.50%) |
| 16 | Win32.HLLW.Autoruner.5555 | 143042 (0.49%) |
| 17 | HTTP.Content.Malformed | 132141 (0.45%) |
| 18 | Win32.Alman.1 | 119085 (0.41%) |
| 19 | Win32.HLLW.Share | 102652 (0.35%) |
| 20 | Trojan.PWS.Siggen.2674 | 85937 (0.29%) |
| Всего проверено: | 77,991,983,505 |
| Инфицировано: | 22,880,659 (0.0293%) |
Оцените
Сделайте репост
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Поставьте «Нравится»
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Чтобы проголосовать надо войти на страницу новости через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети для наград за активности в них. Видео о связывании аккаунта
Нам важно Ваше мнение
Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @
Другие комментарии