4 февраля 2014 года

Первый месяц 2014 года оказался весьма богатым на интересные события в сфере информационной безопасности: так, в январе был обнаружен первый в истории буткит для мобильной операционной системы Android. Специалистами компании «Доктор Веб» осуществляется мониторинг данного ботнета, к которому в общей сложности на конец месяца подключилось более 850 000 инфицированных устройств. Также в январе в вирусные базы «Доктор Веб» были включены записи новых угроз для операционных систем семейства Microsoft Windows.

Вирусная обстановка

Согласно статистическим данным, собранным в январе с использованием лечащей утилиты Dr.Web CureIt!, лидером по числу обнаруженных троянцев стал Trojan.Packed.24524 — установщик рекламных программ и сомнительных приложений, который распространяется злоумышленниками под видом легитимного ПО. Второе и третье место занимают широко известные рекламные троянцы Trojan.LoadMoney.1 и Trojan.InstallMonster.38. Также среди часто встречающихся на компьютерах пользователей угроз следует отметить бэкдор BackDoor.Bulknet.1329 и троянец-майнер Trojan.BtcMine.221, предназначенный для добычи электронных криптовалют. Двадцатка наиболее «популярных» вредоносных программ, обнаруженных на жестких дисках пользовательских ПК лечащей утилитой Dr.Web CureIt! в январе 2014 года, приведена в следующей таблице.

Ботнеты

Бот-сеть, созданная злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12, обладающего функциями бэкдора и способного похищать пароли от различных прикладных программ, продолжает постепенно расти. Так, в первой из двух контролируемых специалистами «Доктор Веб» подсетей в течение января регистрировалось в среднем 18 000 вновь инфицированных компьютеров в сутки. Динамику данного процесса можно проследить на представленной ниже диаграмме.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года
(1-я подсеть)

Во второй подсети Win32.Rmnet.12 в текущем месяце наблюдалась почти аналогичная динамика, однако количество ежесуточно подключавшихся к управляющему серверу зараженных компьютеров постепенно снижалось: если в начале месяца оно составляло порядка 20 000 рабочих станций, то в конце января — не более 12 000. Наглядно прирост второй подсети Win32.Rmnet.12 продемонстрирован на следующем графике.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года
(2-я подсеть)

За истекший месяц почти не изменилось число компьютеров, на которых антивирусное ПО Dr.Web зафиксировало наличие вредоносного модуля, детектируемого как Trojan.Rmnet.19: если в конце декабря оно составляло 2 607 рабочих станций, то на 29 января в этой бот-сети насчитывалось 2 633 инфицированных ПК. Также в течение первого месяца 2014 года сократилось число компьютеров, инфицированных троянцем BackDoor.Dande, — с 1098 до 930. Напомним, что эта вредоносная программа предназначена для хищения информации из автоматизированных систем заказа медикаментов, используемых фармацевтическими компаниями и аптеками.

Число компьютеров, работающих под управлением операционной системы Mac OS X, на которых обнаружено наличие троянской программы BackDoor.Flashback.39, за первые 30 дней 2014 года также практически не изменилось: если в конце декабря 2013 года оно составляло 28 829 инфицированных «маков», то спустя месяц — 28 160. Как и прежде, наибольшее количество случаев заражения — 14 733 — приходится на долю США, за Америкой следуют Канада (5 564 случая), Великобритания (4 120 случаев) и Австралия (1582 случая). На территории России обнаружено всего лишь два инфицированных компьютера под управлением Mac OS X.

Новый рекламный троянец

В январе специалисты компании «Доктор Веб» сообщили о распространении нового рекламного троянца Trojan.Zipvideom.1, использовавшего для заражения компьютеров массовые рассылки сообщений в социальной сети Facebook. Вредоносная программа состоит из нескольких компонентов, один из которых загружает с сайта злоумышленников и устанавливает на компьютере жертвы вредоносные плагины к браузерам Mozilla Firefox и Google Chrome.

Опасность этого троянца заключается в том, что загружаемые им плагины мешают свободному просмотру сайтов, демонстрируя назойливую рекламу, а также имеют возможность скачивать на компьютер жертвы другое нежелательное программное обеспечение. Установлено, что при посещении сайтов популярных социальных сетей (Twitter, Facebook, Google, YouTube, «ВКонтакте») эти плагины загружают Java-скрипты сомнительного назначения. Более подробная информация о данной угрозе представлена в опубликованной на сайте компании «Доктор Веб» обзорной статье.

Угрозы для Android

Для пользователей мобильных устройств под управлением ОС Android январь запомнился прежде всего появлением первого в истории буткита для этой платформы. Обнаруженная специалистами по информационной безопасности вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.Oldboot.1, размещалась злоумышленниками в загрузочной области файловой системы инфицированных устройств, что позволяло ей не только запускаться на ранней стадии загрузки операционной системы, но также и значительно усложняло ее полное удаление. После активации Android.Oldboot.1 извлекал из себя и помещал в системные каталоги несколько компонентов, устанавливая их как обычные приложения. В дальнейшем эти троянские объекты, детектируемые Антивирусом Dr.Web для Android как Android.Oldboot.2 и Android.Oldboot.1.origin, осуществляют подключение к удаленному серверу и, в соответствии с получаемой в ответ командой, могут выполнять различные вредоносные действия, в том числе загрузку, установку и удаление различных программ.

Согласно полученным вирусными аналитиками компании «Доктор Веб» сведениям, число мобильных устройств, инфицированных Android.Oldboot.1, по состоянию на конец января превысило 826 тысяч, а география распространения буткита представлена рядом стран Европы, Юго-Восточной Азии, а также Северной и Южной Америки. При этом стоит отметить, что большая часть зараженных устройств сосредоточена в Китае, рынок которого является основной целью киберпреступников, создавших данную вредоносную программу.

Страны с наибольшим числом инфицированных устройств

Более подробная информация об этой угрозе содержится в соответствующей публикации, размещенной на сайте компании «Доктор Веб».

Еще одной угрозой для китайских пользователей ОС Android в январе стала вредоносная программа Android.Spy.67.origin, которая распространялась в качестве некоего программного обновления и устанавливалась под видом популярных приложений, создавая несколько соответствующих им ярлыков на главном экране мобильного устройства.

При запуске троянец удалял эти ярлыки и выполнял сбор различной конфиденциальной информации пользователя, среди которой была история СМС-сообщений, журнал вызовов и GPS-координаты. Кроме того, вредоносная программа могла активировать камеру и микрофон мобильного устройства, а также выполняла индексацию имеющихся фотографий, создавая для них файлы-миниатюры. Все полученные данные в дальнейшем загружались на принадлежащий злоумышленникам сервер. Ко всему прочему при наличии root-доступа Android.Spy.67.origin нарушал работу ряда популярных в Китае антивирусных продуктов, удаляя их вирусные базы, а также устанавливал находящуюся внутри него вредоносную программу, которая могла осуществлять скрытую инсталляцию различных приложений. Данная вредоносная программа внесена в вирусную базу под именем Android.RootInst.1.origin.

Также в минувшем месяце был зафиксирован очередной случай появления вредоносного приложения в каталоге Google Play. В частности, троянская программа, внесенная в вирусную базу под именем Android.Click.3.origin, позиционировалась разработчиком как игровое приложение Real Basketball, посвященное баскетбольной тематике, однако на самом деле представляла собой бесполезную пустышку, содержащую нежелательный функционал.

Вопреки ожиданиям пользователей, желавшим получить игру, троянец устанавливался под видом приложения для доступа к каталогу Google Play и при запуске активировал его. Одновременно с этим незаметно для владельцев инфицированных устройств вредоносная программа осуществляла скрытый переход по заданным злоумышленниками URL-адресам, тем самым помогая предприимчивым мошенникам заработать на искусственном увеличении популярности соответствующих веб-сайтов, а также на кликах по рекламным объявлениям. Число загрузок троянца из каталога приложений составило как минимум 10 тысяч, поэтому даже в случае своевременного удаления разочарованными пользователями Android.Click.3.origin мог значительно пополнить бюджет своих создателей.

Кроме того, в январе продолжилось распространение вредоносных Android-приложений среди южнокорейских пользователей. За прошедший месяц специалистами компании «Доктор Веб» было зафиксировано более 140 подобных случаев, что несколько меньше аналогичного показателя декабря 2013 года. Наибольшее распространение в минувшем месяце получили троянцы Android.Backdoor.31.origin (55%), Android.Spy.71 (9%), Android.Spy.45.origin (8%), Android.Spy.47.origin (4%), а также Android.Spy.74 (3%). Примечательно, что среди обнаруженных вредоносных программ зафиксировано большое число новых модификаций, что говорит о высокой заинтересованности киберпреступников в присутствии на мобильном рынке Южной Кореи.

Android-угрозы, распространявшиеся в январе среди южнокорейских пользователей при помощи СМС-спама

Вредоносные файлы, обнаруженные в почтовом трафике в январе

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей