Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Обзор вирусной активности в мае 2012 года: лидирующий Trojan.Mayachok, шифровальщик Trojan.Matsnu и новые угрозы для ОС Android

4 июня 2012 года

Май 2012 года оказался довольно спокойным месяцем с точки зрения информационной безопасности: за минувшие тридцать дней не было зафиксировано серьезных вирусных эпидемий. Тем не менее, по-прежнему высоким остается число пострадавших от действий троянцев-шифровальщиков, все увереннее осваивающих западный рынок, появляются новые угрозы для мобильной операционной системы Android. Угрозой месяца стал Trojan.Matsnu.1, который шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована. От действий этой троянской программы пострадало большое количество пользователей по всему миру.

Вирусная обстановка

По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз занимает троянец Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к Интернету: он был обнаружен на 3,73% проверенных данной утилитой компьютеров. Причины столь высокой популярности этой угрозы вполне объяснимы: распространяясь с поддельных файлообменников под видом драйверов и полезных программ, а также в спам-рассылках, Trojan.Mayachok.1 приносит своим создателям неплохую прибыль, требуя у пользователей «активировать» доступ к тому или иному сайту, указав в соответствующем поле номер мобильного телефона и пришедший в ответном СМС-сообщении код. Таким образом жертва оказывается подписанной на псевдоуслугу, за оказание которой с ее счета мобильного оператора будет ежемесячно списывается абонентская плата. Вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, vk.com, odnoklassniki.ru, my.mail.ru.

Не отстают от него и банковские троянцы семейства Trojan.Carberp (1,3% случаев). Достаточно часто на инфицированных ПК удается обнаружить различные троянцы-даунлоадеры, вредоносные программы семейства Trojan.SMSSend (порядка 1,5%), Trojan.Hosts (около 0,5%) и всевозможные модификации IRC-ботов.

Если сравнить эту статистику с данными за предыдущий месяц, то можно увидеть, что число заражений троянцем Trojan.Mayachok.1 выросло на 1,36%: в мае количество обнаружений данной вредоносной программы увеличилось на 10,5 тысяч. А вот число обнаружений Trojan.Carberp наоборот сократилось практически на четверть. Несколько возросло количество случаев заражения троянцами семейства Trojan.Hosts, подменяющими содержимое файла Windows/System32/Drivers/etc/hosts, который отвечает за трансляцию сетевых адресов сайтов в их DNS-имена. Одной из весьма популярных модификаций данной вредоносной программы оказался Trojan.Hosts.5858, о массовом распространении которого среди зарубежных пользователей мы уже писали в одной из недавних новостей.

Распространение этого троянца осуществляется с использованием ресурсов бот-сети BackDoor.Andromeda. В случае заражения при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в Интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты.

Численность выявленных угроз других типов за истекший месяц фактически осталась на прежнем уровне.

Спам

Среди угроз, обнаруженных в мае в почтовых сообщениях, лидирует вредоносная программа Trojan.SMSSend.2856, представляющая собой вредоносный скрипт, который перенаправляет браузер пользователя на мошеннические сайты. В числе лидеров вредоносных рассылок также замечены Trojan.Mayachok.1 и Trojan.Carberp. Нередко в почтовых сообщениях обнаруживается червь Win32.HLLW.Shadow, известный также под именем «Kido», — эта программа способна загружать с удаленных серверов, устанавливать и запускать на компьютере жертвы различные приложения. Также в качестве вложений в сообщения e-mail нередко встречаются различные программы-загрузчики и троянец-руткит Trojan.NtRootKit.6725. Следует отметить, что по сравнению с апрелем 2012 года объем вредоносных вложений в почтовых сообщениях немного сократился, в то время как качественный их состав практически не претерпел изменений.

В конце мая был зафиксирован всплеск активности спамеров, рассылающих письма от имени Сбербанка России. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружается троянец-энкодер: при попытке распаковать скачанный архив хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными.

Пользователям рекомендуется проявлять внимательность и не загружать файлы с использованием ссылок, полученных в сомнительных почтовых сообщениях.

Ботнеты

Обнаруженная в начале апреля специалистами компании «Доктор Веб» бот-сеть BackDoor.Flashback.39, поразившая более 800 000 Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X, продолжает свое существование, хотя общая численность инфицированных машин заметно сократилась и продолжает уменьшаться с течением времени. На начало мая число ботов в сети снизилось до 529 355. По данным на 24 мая, в сети действовало 331 992 зараженных «мака», при этом среднесуточное количество присоединяющихся к сети новых ботов составляет 110 машин. В течение месяца это число также плавно сокращалось. На представленном ниже графике показана динамика изменения общей численности бот-сети BackDoor.Flashback.39 в мае 2012 года:

А вот так выглядит график регистрации новых ботов в сети BackDoor.Flashback.39:

В апреле компания «Доктор Веб» сообщила о перехвате крупного ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12: уже тогда его численность составляла более миллиона инфицированных компьютеров, расположенных преимущественно в странах ближнего востока и Азии. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он обладает функционалом бэкдора, позволяет выполнять поступающие от удаленного управляющего центра команды, а также «умеет» красть пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

На 29 мая 2012 года общая численность ботнета Win32.Rmnet.12 составляет уже 2 641 855 инфицированных машин, то есть только за последний месяц она превысила значение в два с половиной миллиона, увеличившись вдвое. География распространения вируса не претерпела существенных изменений: лидерами среди наиболее подвергшихся инфекции регионов по-прежнему остаются Индонезия, Бангладеш, Вьетнам, Индия и Египет, велико количество инфицированных ПК и в России. Динамика увеличения численности бот-сети Win32.Rmnet.12 в течение мая 2012 года представлена на следующей диаграмме:

График наглядно демонстрирует, что среднесуточное количество вновь зараженных машин, присоединившихся к бот-сети, составляет порядка 25 000, и объем ботнета продолжает расти весьма быстрыми темпами.

Примерно схожая ситуация наблюдается в отношении другой бот-сети, за которой внимательно следят специалисты компании «Доктор Веб», — Win32.Rmnet.16. В начале мая мы сообщали о том, что численность ботнета (по данным на 11.05.2012) составляла 55 310 инфицированных узлов, наибольшая доля которых была расположена на территории Великобритании. За прошедшие с этого момента 18 дней число зараженных машин достигло 84 491. График, демонстрирующий динамику регистрации в сети новых ботов, приведен ниже.

Из иллюстрации видно, что появление новых инфицированных машин в сети Win32.Rmnet.16 происходит неравномерно, но общее их количество, тем не менее, постепенно увеличивается.

Угроза месяца: Trojan.Matsnu.1

От действий этой троянской программы пострадало большое количество пользователей по всему миру: многочисленные запросы в службу технической поддержки компании «Доктор Веб» приходили из многих европейских стран, прежде всего из Германии.

Троянец написан на языке Ассемблер, распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троянец шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована либо была инфицирована троянцем-кодировщиком. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Чтобы расшифровать файлы, вирусописатели предлагают воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

screen

Одновременно с демонстрацией данного сообщения троянец ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:

  • убить систему (удалить все файлы на жестких дисках);
  • загрузить с сайта злоумышленников указанную программу и запустить ее;
  • загрузить и продемонстрировать другие изображения для диалогового окна;
  • сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса;
  • расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
  • зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
  • обновить список управляющих серверов;
  • обновить основной модуль троянца.

Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал. От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки.

Угрозы для Android

Последний месяц весны также ознаменовался появлением новых угроз для мобильной платформы Google Android. В начале мая мы сообщали о троянцах, представляющих угрозу для мобильных телефонов с root-доступом. Данные вредоносные программы реализованы по «принципу матрешки»: модифицированное злоумышленниками приложение содержит другой зашифрованный программный apk-файл. Троянцы устанавливают в систему программу-загрузчик, способную скачивать и запускать на инфицированном устройстве другие приложения.

screen

Помимо этого в мае было выявлено вредоносное приложение для мобильной платформы Android, добавленное в вирусные базы под именем Android.Proxy.1.origin. Распространяясь под видом системного обновления со взломанных злоумышленниками сайтов, троянец запускает на инфицированном устройстве простой прокси-сервер, благодаря которому хакеры могут получить несанкционированный доступ к частным сетям, к которым подключается устройство. Загрузка данного троянца начинается автоматически при посещении модифицированных злоумышленниками веб-сайтов, в структуру которых добавлен скрытый элемент IFRAME, однако для того чтобы мобильное устройство оказалось инфицированным, пользователь должен установить данное приложение.

screen

Винлоки и энкодеры

Среди запросов от пользователей, поступивших в течение мая в службу технической поддержки компании «Доктор Веб», по-прежнему велико количество обращений, связанных с действием программ-блокировщиков, — 21,2% от общего количества. Это число незначительно сократилось по сравнению с апрелем, также немного снизилось количество запросов о расшифровке файлов, пострадавших в результате заражения ПК вредоносными программами семейства Trojan.Encoder, — таковых насчитывается 0,71%. По поводу прочих вирусных угроз за истекший месяц в компанию обратилось 5,3% пользователей, запросы технического характера составили 44% от общего количества обращений в техподдержку.

Короткой строкой

Среди иных угроз информационной безопасности, выявленных в мае 2012 года, необходимо отметить следующие:

  • Сетевые мошенники обратили свое внимание на социальную сеть Facebook.
  • Вредоносная программа Win32.HLLW.Autoruner.64548, распространяющаяся путем создания своей копии на диске и размещения в корневой папке файла autorun.inf, ищет и инфицирует RAR-архивы.
  • Специалистами компании «Доктор Веб» был обнаружен IRC-бот BackDoor.IRC.Aryan.1, способный загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера.
  • Другой IRC-бот, распространяющий спам в сетях мгновенного обмена сообщениями, использует в своей работе оригинальный механизм поиска запущенных процессов с помощью счетчиков производительности, размещающихся в системном реестре Windows.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2012 00:00 - 31.05.2012 16:00 
1BackDoor.Andromeda.2210.81%
2Trojan.Siggen.651113.60%
3BackDoor.Bulknet.5462.70%
4Trojan.DownLoader6.3802.70%
5Trojan.Packed.225442.70%
6Win32.HLLM.MyDoom.544642.70%
7Win32.HLLM.MyDoom.338081.80%
8Trojan.DownLoader6.85881.80%
9Trojan.PWS.Banker1.22691.80%
10Trojan.Winlock.60681.80%
11Win32.HLLM.Beagle1.80%
12Trojan.Inject.127030.90%
13Win32.HLLM.Netsky.184010.90%
14Adware.Downware.2350.90%
15Exploit.PDF.28620.90%
16JS.IFrame.1170.90%
17Trojan.Siggen4.10470.90%
18X97M.Escape.20.90%
19Trojan.DownLoader6.95950.90%
20Trojan.SMSSend.26660.90%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2012 00:00 - 31.05.2012 16:00 
1Trojan.Fraudster.2920.73%
2Trojan.Mayachok.10.68%
3Trojan.Fraudster.2560.67%
4Tool.Unwanted.JS.SMSFraud.150.62%
5Trojan.Carberp.300.61%
6Trojan.SMSSend.28560.56%
7Win32.HLLW.Shadow0.55%
8Trojan.SMSSend.27780.52%
9Trojan.Fraudster.2960.51%
10SCRIPT.Virus0.51%
11Trojan.SMSSend.28720.50%
12Win32.HLLW.Shadow.based0.50%
13Tool.Unwanted.JS.SMSFraud.100.49%
14Trojan.Fraudster.2520.47%
15Trojan.NtRootKit.67250.47%
16Trojan.SMSSend.27260.44%
17Trojan.Fraudster.2610.42%
18Tool.InstallToolbar.740.41%
19Trojan.MulDrop3.496570.40%
20Adware.Downware.1790.39%

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии