Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Рождество — лучшее время для распространения вирусов: вирусный декабрь 2010 года

18 января 2011 года

Декабрь завершил 2010 год распространением вредоносных программ с использованием технологий, которые вирусописатели изобретали на протяжении всего года. Злоумышленники применили новые технологии, позволяющие удалять с компьютера пользователя антивирусное ПО, а западноевропейские пользователи во время празднования католического Рождества ощутили на себе эпидемию распространения вредоносной программы, подменяющей результаты запросов в поисковых системах.

Праздники как время для распространения вирусов

Сложно сказать, чем конкретно руководствуются авторы вредоносных программ в каждом конкретном случае, когда выбирают для распространения результатов своей «работы» всеобщие праздники. Может быть, тем, что в это время антивирусные компании могут не среагировать оперативно на появление новой угрозы, или тем, что пользователь не будет во время праздников заниматься проблемой с заражением системы, и тем самым злоумышленники с большей вероятностью смогут достигнуть своей цели. Но, несмотря на то, что современные антивирусные компании работают в круглосуточном режиме, злоумышленников по-прежнему притягивают праздники.

Так, западноевропейские пользователи компьютеров ощутили на себе распространение вредоносной программы Trojan.Hottrend.32. Данная вредоносная программа была добавлена в вирусную базу Dr.Web 8 декабря 2010 года, но пик ее распространения пришелся на 24–25 декабря — время, когда Западная Европа празднует католическое Рождество.

Основной сложностью, с которой столкнулись многие антивирусы при лечении компьютеров, зараженных Trojan.Hottrend.32, были связаны с тем, что лечение проводилось не полностью, и после такого «лечения» после перезагрузки компьютера система уже не загружалась корректно — пользователи наблюдали BSOD — так называемый «синий экран смерти».

Дело в том, что данный троянец — многокомпонентный. Многие антивирусы смогли определить в системе вредоносные библиотеки, расположенные в системном каталоге Windows, и удалить их. Но при этом такие антивирусы не восстанавливали системные файлы, которые заражаются при установке троянца в систему для запуска из этих системных процессов вредоносных библиотек. Пользователей Dr.Web при этом ожидал приятный сюрприз — антивирус с лечением системы справился успешно, удаляя как вредоносные dll-библиотеки, так и восстанавливая системные файлы. Зараженные системные файлы Dr.Web определяет как Win32.Dat.15.

Интересна связь последних модификаций Trojan.Hottrend с другими известными вредоносными программами. Так, установщик Trojan.Hottrend.34 использует уязвимость, которую использовал ранее BackDoor.Tdss, широко известный также как TDL4, позволяющую троянцу поднять привилегии своей работы в современных версиях Windows. При этом используется уязвимость Планировщика Windows. Соответствующий компонент определяется Dr.Web как Exploit.TaskScheduler.1. Если необходимо, Trojan.Hottrend.34 также использует уязвимость в подсистеме печати Windows. Схожий, но несколько модифицированный эксплойт был использован в одном из банковских троянцев Trojan.PWS.Ibank.279.

Антивирусы снова можно удалить

В декабре появилась информация о многокомпонентном троянце Trojan.VkBase.1, научившемся удалять современные антивирусные продукты. Для этого троянец перезагружал систему в Безопасный режим. Поскольку модуль самозащиты в антивирусе Dr.Web функционирует и в Безопасном режиме Windows, то для удаления антивируса Dr.Web злоумышленники использовали специальный загружаемый модуль, использовавший уязвимость, — Trojan.AVKill.2942. В настоящее время данная уязвимость закрыта. Таким образом, пользователи Dr.Web оказались первыми защищены от подобных атак вирусописателей.

Целью Trojan.VkBase.1 являлась банальная блокировка компьютеров с целью вымогания выкупа за разблокировку, но после разблокирования системы пользователей ждал очередной сюрприз — несмотря на то, что антивирусная программа, установленная ранее, была удалена вредоносной программой при заражении системы, пользователю предлагалась иллюзия того, что антивирусная программа продолжает работать в нормальном режиме. Для этого авторы программы использовали модуль Trojan.Fakealert.19448, который имитировал установленный ранее антивирус, хотя на самом деле это не соответствовало действительности.

Интернет-мошенничество декабря

Количество обращений пользователей, пострадавших от интернет-мошенничества, в декабре увеличилось незначительно (на 5%) и составило 164 обращения в сутки.

Количество блокировщиков Windows, требующих отправить деньги злоумышленникам на счет мобильного телефона, в декабре 2010 года снова увеличилось с 60% до 70% всех вредоносных программ, связанных с интернет-мошенничеством. Можно говорить о том, что авторы блокировщиков Windows почти отказались от схем монетизации, связанных с платными СМС-сообщениями. При этом старые схемы с СМС-сообщениями используются в других типах вредоносных программ.

В также декабре набрала обороты новая модификация схемы, при которой пользователь отправляет деньги на счет мобильного телефона мошенников. При использовании этой схемы пользователей не заставляют идти к терминалу — достаточно воспользоваться сервисом передачи денег со счета мобильного телефона пользователя-жертвы на счет мобильного телефона злоумышленника. Такую возможность сейчас поддерживают все известные сотовые операторы. Число блокировщиков, использующие такую схему, в декабре составило около четверти всех запросов пользователей, при этом в ноябре 2010 года они практически отсутствовали.

Другие угрозы декабря 2010 года

Анализируя статистику, собранную сервером статистики Dr.Web за декабрь 2010 года, можно также отметить серьезное распространение через электронную почту клиентов бот-сетей (Trojan.Oficla), а также вредоносных программ, цель которых — удаление антивирусных продуктов, установленных на компьютерах пользователей (Trojan.AVKill). Стараются не отставать от них и троянцы, ворующие пароли от интернет-аккаунтов, принадлежащих пользователям (Trojan.PWS.Panda).

Если взглянуть на статистику вредоносных программ, обнаруженных на компьютерах пользователей, можно заметить, что по-прежнему в двадцатку самых распространенных программ входят специально написанные ярлыки, которые определяются Dr.Web как Exploit.Cpllnk, при этом патч, закрывающий данную уязвимость, производитель Windows выпустил еще вначале августа 2010 года. Это говорит о том, что многие пользователи до сих пор не установили критические обновления системы за август прошлого года, т. е. не считают необходимым следовать элементарным правилам информационной безопасности и подвергают свои системы дополнительному риску заражения.

Вредоносные файлы, обнаруженные в декабре в почтовом трафике

01.12.2010 00:00 - 01.01.2011 00:00 

1

Trojan.DownLoad1.58681

585624 (10.67%)

2

Trojan.Packed.20878

424313 (7.73%)

3

Trojan.Oficla.zip

310037 (5.65%)

4

Trojan.Packed.20312

258656 (4.71%)

5

Trojan.DownLoad.41551

241333 (4.40%)

6

Trojan.Oficla.38

146380 (2.67%)

7

Trojan.AVKill.2788

111996 (2.04%)

8

Win32.HLLM.Beagle

108907 (1.98%)

9

Trojan.PWS.Panda.114

94719 (1.73%)

10

W97M.Killer

86120 (1.57%)

11

Trojan.DownLoader1.17157

68893 (1.25%)

12

Win32.HLLW.Autoruner.35407

60270 (1.10%)

13

Trojan.MulDrop1.54160

52069 (0.95%)

14

Trojan.PWS.Panda.387

51701 (0.94%)

15

Trojan.Oficla.48

51661 (0.94%)

16

Trojan.Oficla.73

51660 (0.94%)

17

Trojan.Botnetlog.zip

43136 (0.79%)

18

Win32.HLLM.MyDoom.54464

36344 (0.66%)

19

Trojan.AVKill.3097

35781 (0.65%)

20

Trojan.Inject.12703

34457 (0.63%)

Всего проверено: 49,621,212,845

Инфицировано: 5,489,646

Вредоносные файлы, обнаруженные в декабре на компьютерах пользователей

01.12.2010 00:00 - 01.01.2011 00:00 

1

Win32.HLLP.Whboy.45

26157925 (35.09%)

2

Win32.HLLP.Neshta

19074952 (25.59%)

3

Win32.Siggen.8

9701550 (13.01%)

4

Win32.HLLP.Whboy.105

3029087 (4.06%)

5

Win32.HLLP.Rox

1778666 (2.39%)

6

Win32.HLLP.Novosel

1694940 (2.27%)

7

Win32.Antidot.1

1417299 (1.90%)

8

ACAD.Pasdoc

880117 (1.18%)

9

Win32.HLLP.Whboy

837595 (1.12%)

10

Trojan.MulDrop1.48542

813936 (1.09%)

11

JS.Nimda

649954 (0.87%)

12

HTTP.Content.Malformed

500629 (0.67%)

13

Trojan.DownLoad.32973

373241 (0.50%)

14

Win32.HLLW.Shadow.based

348344 (0.47%)

15

Exploit.Cpllnk

338660 (0.45%)

16

Win32.Sector.22

310594 (0.42%)

17

Win32.HLLW.Autoruner.5517

206193 (0.28%)

18

Win32.Sector.21

185741 (0.25%)

19

Trojan.MulDrop.54146

176975 (0.24%)

20

Trojan.DownLoader.42350

175097 (0.23%)

Всего проверено: 112,698,120,297

Инфицировано: 74,550,079

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии