Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Политика и мошенничество: вирусные события сентября 2010 года

4 октября 2010 года

Средства массовой информации в сентябре были переполнены сообщениями о начавшейся кибервойне, связанной с распространением вредоносной программы Trojan.Stuxnet, и предположениями о целях создателей данного троянца. Тем временем интернет-мошенники тестировали нестандартные приемы вымогания денег, владельцы бот-сетей использовали беспечность сетевых системных администраторов, а авторы вредоносных программ для Android наносили «точечные удары».

Trojan.Stuxnet и политика

В сентябре СМИ пестрели новостями о троянце Trojan.Stuxnet, появление которого получило широкую огласку в связи с географией распространения. Публикации эти зачастую носили политический характер: распространение Trojan.Stuxnet связывалось с саботажем запуска иранской атомной электростанции, на фоне чего технические новинки вирусописателей, примененные при создании троянца, отошли на второй план. В последних числах сентября появилась информация о том, что данный троянец получил широкое распространение в Китае и направлен против китайских предприятий. Некоторые эксперты пытаются выявить цели авторов программы с помощью лингвистического анализа надписей, обнаруженных в коде троянца.

Trojan.Stuxnet действительно является достаточно технологичной современной вредоносной программой. Для ее распространения использовалось несколько неизвестных ранее уязвимостей Windows. Несмотря на политику, для специалистов компании «Доктор Веб» этот троянец — не более чем еще одна вредоносная программа, от которой необходимо защитить пользователей антивируса Dr.Web. В настоящее время распространяются и другие, не менее технологичные вирусы, например, 64-битная модификация руткита Trojan.Tdss (известен также как TDL), над организацией лечения которых также ведется кропотливая работа.

Интернет-мошенничество

В сентябре увеличилось количество запросов в техподдержку компании «Доктор Веб» по вопросам разблокировки компьютера, а также доступа к сайтам и популярному ПО. Если в августе таких обращений было в среднем 107 в сутки, то в сентябре эта планка поднялась до 124 обращений.

В то же время блокировщики Windows продолжают вытесняться другим мошенническим ПО. В частности, в сентябре появилось несколько троянцев, использующих новые методы перенаправления страниц в браузерах. Появились троянцы, блокирующие возможность работы в интернет-мессенджерах.

Из каналов монетизации преступных доходов интернет-мошенников преобладала отправка денег на счет мобильного телефона злоумышленника (около 25%) и отправка платных СМС-сообщений (около 70%), из которых примерно в 80% случаев требовалась отправка платного СМС-сообщения на номер 6681.

Компания «Доктор Веб», как и ранее, предлагает бесплатную поддержку пользователям, пострадавшим от интернет-мошенничества.

Перенаправление страниц

За прошедший месяц злоумышленники применили сразу два новых метода, позволяющих подменять страницы в интернет-браузерах пользователей. Как и всегда в таких случаях, не обошлось без внесения дополнительных записей в системный файл hosts, но при этом были использованы новые технологии.

Trojan.Hosts.1581 подменял страницы сайтов нескольких российских банков таким образом, что вводимые на вредоносных сайтах параметры удаленного доступа к банковским счетам отправлялись злоумышленникам. Было обнаружено, что данная модификация Trojan.Hosts обладает руткит-составляющей, позволяющей троянцу фильтровать файловые операции и операции с системным реестром.

Троянцы семейства Trojan.HttpBlock применили другую тактику. На заражаемом компьютере эта вредоносная программа устанавливает собственный веб-сервер, именно на него и происходит перенаправление с популярных сайтов, в частности с поисковых систем. Целью злоумышленников было вымогание денег за разблокировку доступа к ним.

Блокировщик мессенджеров

В конце сентября началось распространение троянца Trojan.IMLock, который после заражения системы блокирует запуск популярных интернет-мессенджеров ICQ, QIP и Skype, выводя при этом сообщение, оформленное в стиле заблокированного ПО.

В этом сообщении говорится о том, что для доступа к своему аккаунту пользователь должен отправить платное СМС-сообщение на номер 6681. Для лечения достаточно провести проверку системы сканером Dr.Web.

Вредоносный сайт только для Android

В сентябре появилась новая вредоносная программа для Android (Android.SmsSend.2), которая по функционалу мало отличалась от известных ранее — рассылала платные СМС-сообщения с зараженных мобильных устройств. Но при этом важной особенностью Android.SmsSend.2 явился тот факт, что эта программа начинала загружаться с вредоносного сайта только тогда, когда пользователь заходил туда с мобильного устройства под управлением Android. Видимо, это, по задумке злоумышленников, должно воспрепятствовать мониторингу вредоносных сайтов, с которых рассылаются подобные троянцы.

Новые тенденции в бот-сетях

В конце сентября специалисты компании «Доктор Веб» обнаружили бот-сеть, состоящую из компьютеров, на которых установлена и работает серверная часть ПО Radmin. Это ПО широко используется для удаленного управления компьютерами. Вредоносная программа, которая заражает компьютеры и подключает их к бот-сети, по классификации Dr.Web получила наименование Win32.HLLW.RAhack.

Заражение происходило лишь на тех компьютерах, на которых административный пароль для доступа к Radmin оказывался в списке известных червю паролей. Оказалось, что простые пароли используют многие администраторы.

Если говорить о возможных тенденциях октября 2010 года, то в этом месяце вполне можно ждать новые типы вредоносных программ, которые подменяют страницы при просмотре некоторых сайтов в браузере, а также позволяют осуществлять новые схемы интернет-мошенничества. Это две наиболее доходные статьи незаконного заработка киберпреступников в последнее время. Владельцы бот-сетей, которые часто являются транспортом для распространения вредоносных программ, будут и далее пытаться создать их на основе нестандартных программных либо аппаратных решений, т.к. в этом случае достигается главная цель – пользователь часто не подозревает о том, что компьютер заражен.

Вредоносные файлы, обнаруженные в сентябре в почтовом трафике

01.09.2010 00:00 - 01.10.2010 00:00
1
337845 (11.46%)
2
308357 (10.46%)
3
252490 (8.57%)
4
246976 (8.38%)
5
230637 (7.82%)
6
118139 (4.01%)
7
102740 (3.49%)
8
90503 (3.07%)
9
65819 (2.23%)
10
57658 (1.96%)
11
52397 (1.78%)
12
49619 (1.68%)
13
49478 (1.68%)
14
43600 (1.48%)
15
32908 (1.12%)
16
26135 (0.89%)
17
24706 (0.84%)
18
24681 (0.84%)
19
22101 (0.75%)
20
19668 (0.67%)

Всего проверено: 22,631,101,955
Инфицировано: 2,947,658 (0.01%)

Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей

01.09.2010 00:00 - 01.10.2010 00:00
1
8273098 (23.82%)
2
5135896 (14.79%)
3
3690668 (10.63%)
4
1977696 (5.70%)
5
1927627 (5.55%)
6
1370895 (3.95%)
7
1300940 (3.75%)
8
1091703 (3.14%)
9
1042949 (3.00%)
10
823512 (2.37%)
11
795502 (2.29%)
12
620668 (1.79%)
13
561893 (1.62%)
14
298586 (0.86%)
15
248724 (0.72%)
16
228104 (0.66%)
17
213306 (0.61%)
18
151676 (0.44%)
19
145085 (0.42%)
20
136102 (0.39%)

Всего проверено: 12,949,782,895,195,462
Инфицировано: 34,724,949 (0.00%)

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии