Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Вирусные угрозы мая 2010 года: снова блокировщики Windows, а также новые буткиты и шифровальщики

2 июня 2010 года

Май 2010 года запомнился новой вспышкой блокировщиков Windows (Trojan.Winlock, Trojan.AdultBan), значительную долю которых составили модификации, не требующие отправлять SMS-сообщения. «Порадовали» беспечных пользователей и новые виды шифровальщиков пользовательских документов (Trojan.Encoder). В течение месяца были замечены новые буткиты, для которых «Доктор Веб» оперативно разработал соответствующую процедуру лечения. Лжеантивирусы (Trojan.Fakealert), в свою очередь, стали занимать менее значительное место в статистике.

Новая волна блокировщиков

Начиная с 14 мая сервер статистики «Доктор Веб» стал фиксировать превышение среднего ежесуточного количества детектов блокировщиков Windows. В первые дни оно превышало ежесуточную норму за последние месяцы в несколько раз, а уже 18 мая было зафиксировано 215 000 детектов (Trojan.Winlock и Trojan.AdultBan) при норме в 1 500 детектов в сутки. Повышенная активность распространения блокировщиков сохранилась до конца мая.

Несмотря на то, что новая волна распространения Trojan.Winlock пришлась на вторую половину мая, всего за отчётный месяц было зафиксировано более 920 000 детектов блокировщиков Windows, и эта цифра впервые превысила прошлый ежемесячный максимум распространения данных вредоносных программ, который пришёлся на январь 2010 года. Все эти события хорошо видны на месячном графике детектов.

Блокировщики без SMS

Начиная с 7 мая пользователи начали обращаться в службу технической поддержки по поводу блокировщиков, которые вместо отправки платного SMS-сообщения требовали перевести деньги с помощью платежных терминалов. В течение мая злоумышленники в качестве транзита до получения наличных денег опробовали множество электронных денежных систем, среди которых присутствовали более или менее популярные - WebMoney, RBKMoney, "Единый кошелёк" ("Wallet One"). Такие блокировщики, как и их классические модификации, определяются антивирусными продуктами Dr.Web как Trojan.Winlock.

Тем не менее, к концу месяца пользователям чаще всего предлагалось перевести деньги на счёт мобильного телефона, зарегистрированного злоумышленниками у одного из российских сотовых операторов. Здесь важно отметить, что злоумышленники постоянно меняют номера таких телефонов, затрудняя противодействие своим противоправным деяниям и снижая вероятность обнаружения правоохранительными органами.

В сообщениях новых видов Trojan.Winlock, говорится о том, что код разблокировки будет находиться на чеке, который выдаёт терминал после перечисления необходимой суммы. Однако стоит учитывать тот факт, что отнюдь не каждый терминал может обрабатывать подобные запросы и отображать на чеке данную информацию. Некоторые злоумышленники могут и вовсе не предусматривать возможность распечатки кодов разблокировки на таких чеках - если деньги от пользователя-жертвы получены, то цель уже достигнута. Кроме того, к сожалению, не все терминалы вовремя оснащаются чековыми лентами.

Суммы, которые киберпреступники требуют отправить через терминалы в случае заражения такими «винлоками», колеблются в диапазоне от 250 до 500 рублей, т.е. приблизительно соответствуют запросам «классических» блокировщиков.

Появление подобных вредоносных программ стало катализатором новой волны общего распространения блокировщиков, так как новые их типы добавились к классическим модификациям, распространение которых не прекратилось. Также переход на альтернативные схемы монетизации преступных доходов позволяет обойти те преграды для реализации мошеннических схем, которые создают SMS-мошенникам совместные усилия сотовых операторов, агрегаторов, правоохранительных органов и антивирусных компаний. При использовании преступниками различных электронных платёжных систем бороться с ними станет существенно сложнее.

Мы напоминаем, что «Доктор Веб» регулярно публикует на сайте Dr.Web Unlocker коды разблокировки и для новых типов блокировщиков. Также на этом сайте можно найти пароли для расшифровки файлов, зашифрованных некоторыми модификациями Trojan.Encoder.

Вашему вниманию предлагается галерея наиболее заметных типов блокировщиков Windows, которые встречались на компьютерах интернет-пользователей в мае.

Галерея Trojan.Winlock

Новые буткиты

В мае разработчики «Доктор Веб» обнаружили такие новые буткиты (тип руткита, который прописывается в загрузочной области диска и стартует до запуска системы) как Trojan.Alipop и Trojan.Hashish. Первый ориентирован на китайских пользователей и служит для искусственной накрутки счётчика посещений некоторых сайтов. Второй бут-вирус предназначен для запуска любых "полезных" для злоумышленников модулей, которые он приносит в систему вместе с собой. В настоящее время Trojan.Hashish в своём составе содержит вредоносные объекты семейства Win32.HLLC.Asdas, отображающие баннеры в браузерах. Также в состав данной программы входит функционал, позволяющий заражать исполняемые файлы.

Специалисты компании «Доктор Веб» оперативно реализовали в сканере Dr.Web с графическим интерфейсом для Windows лечение от новых типов буткитов. В настоящее время лишь немногие антивирусные компании занимаются разработкой процедур лечения систем от подобных вредоносных программ, ещё реже можно увидеть оперативность в решении подобных задач. Многие антивирусные продукты, представленные на рынке, не имеют возможности лечения от буткита непосредственно из заражённой системы, а альтернативные способы могут быть недоступны для выполнения обычному пользователю. Более того, ряд антивирусов просто не в состоянии определить наличие буткита в системе.

Лжеантивирусы пошли на убыль

Несмотря на то, что в мае четко прослеживается тенденция к существенному сокращению распространения Trojan.Fakealert, злоумышленники, видимо, решили брать качеством. На европейских интернет-ресурсах, посвящённых борьбе с вредоносными программами, публикуются всё более сложные инструкции по лечению систем от новых лжеантивирусов. Но злоумышленникам тоже становится доступен этот опыт, и очередные модификации ставят перед пользователями всё новые задачи. Эта «гонка вооружений» очень похожа на борьбу с блокировщиками Windows, которые распространяются среди русскоязычных интернет-пользователей.

Вашему вниманию предлагается галерея скриншотов лжеантивирусов, которые были популярны в прошлом месяце.

Галерея Trojan.Fakealert

Шифровальщики

В мае появилось несколько новых модификаций шифровальщиков пользовательских файлов Trojan.Encoder. Кроме того, стало известно о распространении конструкторов таких вредоносных программ. С 15 по 17 мая был замечен всплеск распространения шифровальщиков, которые, базируясь на одном "движке", предлагали либо связаться пользователям-жертвам с преступниками через различные ICQ-аккаунты, либо отправить платное SMS-сообщение. Ежесуточное количество детектов в эти дни составляло 1 300 - 1 900 экземпляров при среднем уровне до 500 детектов.

Также были замечены новые модификации Trojan.Encoder, которые ставят своей целью дискредитацию компании «Доктор Веб». В этих случаях зашифрованные файлы имеют символику Dr.Web, такое же название вредоносной программе дают вирусописатели в своих текстах, обращённых к пользователям.

«Доктор Веб» рекомендует пользователям не поддаваться на подобные провокации, а в случае возникновения проблем с троянцами-шифровальщиками обращаться в вирусную лабораторию «Доктор Веб». Эти действия злоумышленников являются следствием активного противостояния им со стороны сотрудников компании.

Процент содержания вредоносных программ среди всех проверенных с помощью антивирусных продуктов Dr.Web объектов в мае 2010 г. существенно снизился как в почтовом трафике, так и среди файлов на компьютерах пользователей. Это может являться следствием значительного сокращения распространения лжеантивирусов (они полностью исчезли из TOP-20 вредоносных объектов, обнаруженных во вредоносном трафике), так и снижением активности наиболее крупных бот-сетей.

Вредоносные файлы, обнаруженные в мае в почтовом трафике

01.05.2010 00:00 - 01.06.2010 00:00
1 Trojan.Botnetlog.zip 112576 (22.36%)
2 Win32.HLLM.MyDoom.54464 95952 (19.05%)
3 Trojan.Winlock.1651 49108 (9.75%)
4 Win32.HLLW.Shadow.based 43598 (8.66%)
5 Trojan.DownLoad.37236 19956 (3.96%)
6 Win32.HLLW.Autoruner.4360 16815 (3.34%)
7 BackDoor.Siggen.17777 14187 (2.82%)
8 Trojan.Oficla.45 12008 (2.38%)
9 Trojan.MulDrop.64815 8296 (1.65%)
10 JS.Click.136 6842 (1.36%)
11 BAT.Lucky.2671 6301 (1.25%)
12 Win32.HLLW.Kati 6181 (1.23%)
13 Win32.HLLM.Netsky.18401 6056 (1.20%)
14 Trojan.MulDrop.55238 5556 (1.10%)
15 Win32.HLLM.Netsky.35328 5447 (1.08%)
16 Win32.HLLM.Netsky.based 5314 (1.06%)
17 Win32.HLLM.Netsky 4859 (0.96%)
18 Trojan.DownLoad1.55035 4034 (0.80%)
19 Exploit.PDF.820 3936 (0.78%)
20 Trojan.DownLoad1.54042 3928 (0.78%)

Всего проверено:8,016,805,833
Инфицировано:503,569 (0.00628%)

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

01.05.2010 00:00 - 01.06.2010 00:00
1 Trojan.PWS.Webmonier.364 3224492 (13.66%)
2 ACAD.Pasdoc 741227 (3.14%)
3 Win32.HLLW.Shadow 664019 (2.81%)
4 Win32.HLLM.Dref 659756 (2.80%)
5 VBS.Sifil 507591 (2.15%)
6 Win32.HLLP.Neshta 370930 (1.57%)
7 Trojan.WinSpy.641 364950 (1.55%)
8 Win32.HLLP.Jeefo.36352 323031 (1.37%)
9 Win32.HLLW.Shadow.based 318348 (1.35%)
10 Trojan.Winlock.1678 306182 (1.30%)
11 Win32.HLLW.Autoruner.21042 243231 (1.03%)
12 Win32.HLLW.Gavir.ini 222372 (0.94%)
13 Trojan.Winlock.1686 191359 (0.81%)
14 Win32.HLLW.Autoruner.5555 170284 (0.72%)
15 Trojan.DownLoad.32973 165409 (0.70%)
16 Win32.HLLP.PissOff.36864 156540 (0.66%)
17 Trojan.Inject.8798 132271 (0.56%)
18 Trojan.Winlock.1793 122261 (0.52%)
19 Win32.Virut.5 113156 (0.48%)
20 DDoS.Pamela 110075 (0.47%)

Всего проверено:855,347,743,950
Инфицировано:23,604,815 (0.00276%)

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А