Спецпроекты

Безопасность Пользователю Интернет

Март 2013: рост числа заражений троянами-шифровальщиками в Европе и появление рекламных троянов для Mac OS X

Компания «Доктор Веб» опубликовала обзор вирусной активности за март 2013 г. По наблюдениям аналитиков компании, одна из наиболее отчетливых тенденций марта — временное снижение и новый виток роста темпов массового распространения среди пользователей интернета вредоносных программ семейства Trojan.Hosts. Пик этой эпидемии пришелся на начало 2013 г. Также март был отмечен ростом числа заражений троянами-шифровальщиками в Европе и появлением рекламных троянов для операционной системы Mac OS X, сообщили CNews в компании.

По данным, полученным с использованием лечащей утилиты Dr.Web CureIt!, в марте 2013 г. наиболее распространенной угрозой стали вредоносные программы семейства Trojan.Hosts. В течение месяца было зафиксировано около 186,5 тыс. случаев изменения данными троянами системного файла hosts, ответственного за трансляцию сетевых адресов в их DNS-имена, что составляет более 10% от общего числа выявленных угроз.

Одним из наиболее популярных способов распространения этих троянов является взлом веб-сайтов с целью размещения специального командного интерпретатора, с помощью которого злоумышленники модифицировали файл .htaccess и помещали на сайт специальный вредоносный скрипт-обработчик. При обращении к такому интернет-ресурсу скрипт-обработчик выдает пользователю веб-страницу, содержащую ссылки на различные вредоносные приложения. Альтернативный способ распространения угроз семейства  Trojan.Hosts — использование бэкдоров и троянов-загрузчиков. При этом наиболее популярной модификацией данной вредоносной программы, согласно статистике, является Trojan.Hosts.6815.

В начале 2013 г. распространение угроз семейства Trojan.Hosts приняло масштабы эпидемии: ежедневно антивирусное ПО Dr.Web фиксировало более 9,5 тыс. случаев заражения. Пик распространения троянов  Trojan.Hosts  пришелся на январь и середину февраля, в начале марта эта волна понемногу пошла на спад, а во второй половине месяца количество случаев инфицирования вновь начало расти.

Среди других наиболее распространенных угроз, обнаруженных на компьютерах пользователей в марте 2013 г., в компании отметили сетевого червя  Win32.HLLW.Phorpiex.54. Эта вредоносная программа, распространяясь с использованием рассылок по каналам электронной почты, а также путем самокопирования на съемные носители. Червь способен предоставлять злоумышленникам несанкционированный доступ к инфицированному компьютеру.

На четвертом месте в статистике заражений расположился один из платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend.2363, за ним следуют трояны BackDoor.IRC.NgrBot.42 и Win32.HLLP.Neshta.

Мартовская двадцатка наиболее распространенных вредоносных программ по данным, полученным от пользователей лечащей утилиты Dr.Web CureIt!, выглядит следующим образом:

  1. Trojan.Hosts 10,96%
  2. Trojan.Hosts.6815 1,62%
  3. Win32.HLLW.Phorpiex.54 1,11%
  4. Trojan.SMSSend.2363 1,02%
  5. BackDoor.IRC.NgrBot.42 0,91%
  6. Win32.HLLP.Neshta 0,80%
  7. Trojan.StartPage.48148 0,69%
  8. Trojan.Click2.47013 0,66%
  9. Trojan.MayachokMEM.4 0,59%
  10. Win32.Sector.22 0,56%
  11. Trojan.Mayachok.18024 0,56%
  12. BackDoor.Andromeda.22 0,55%
  13. Trojan.Mayachok.18582 0,54%
  14. BackDoor.Butirat.245 0,51%
  15. Trojan.Winlock.6426 0,47%
  16. Exploit.CVE2012-1723.13 0,43%
  17. Trojan.Popuper.42548 0,41%
  18. Trojan.PWS.Panda.368 0,40%
  19. Trojan.Hosts.6708 0,40%
  20. Trojan.Rmnet 0,39%

Общий размер ботнета, состоящего из инфицированных файловым вирусом Win32.Rmnet.12 рабочих станций, с начала года увеличился на 2 млн компьютеров, достигнув в марте рекордной отметки в 8,5 млн зараженных машин (против 6,5 млн в декабре 2012 г.). Таким образом, среднесуточный прирост ботнета Win32.Rmnet.12 в феврале и марте составил 20–22 тыс. инфицированных компьютеров.

Файловый вирус Win32.Rmnet.12 может реализовывать функции бэкдора, выполняя поступающие от удаленного сервера команды. Также он способен красть пароли от популярных FTP-клиентов, которые могут быть использованы для организации сетевых атак или заражения сайтов. Как и другие файловые вирусы, Win32.Rmnet.12 обладает способностью к саморепликации и может заражать файловые объекты.

Продолжается постепенный рост бот-сети Win32.Rmnet.16 — еще одной модификации файлового вируса семейства Win32.Rmnet. В декабре численность этого ботнета составляла 259,4 тыс. инфицированных машин, а в конце марта их число достигло 262,1 тыс., увеличившись за три месяца всего на 2,6 тыс. узлов. Среднесуточный прирост ботнета составил 20–30 заражений.

Фармацевтические компании по-прежнему подвержены заражению опасным трояном BackDoor.Dande, ворующим информацию из программ электронного заказа медикаментов, таких как специализированная конфигурация «Аналит: Фармация 7.7» для платформы , «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. По данным на конец 2012 г., в этой бот-сети числился 3031 инфицированный компьютер; а по состоянию на 27 марта 2013 г. в России таких компьютеров насчитывается уже 3066, и еще порядка 800 инфицированных узлов находятся за пределами РФ. В среднем ежесуточно к ботнету BackDoor.Dande присоединяется 1–2 зараженных узла.

В январе 2013 г. «Доктор Веб» сообщал о распространении (преимущественно на территории США) трояна BackDoor.Finder, подменяющего поисковые запросы пользователей браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxthon, Google Chrome, Safari, Opera, Netscape или Avant. На сегодняшний день к контролируемым специалистами «Доктор Веб» управляющим серверам подключилось 5,4 тыс. ботов.

В течение марта было отмечено широкое распространение троянов-шифровальщиков, среди которых в компании особо выделяют Trojan.ArchiveLock.20  — вредоносную программу, упаковывающую пользовательские файлы в защищенный паролем архив WinRAR. Если до недавнего времени этот троян был знаком только нашим соотечественникам, то в марте были зафиксированы многочисленные случаи заражения компьютеров пользователей европейских стран, в том числе Испании и Франции. Только в период с 23 по 26 марта в службу технической поддержки «Доктор Веб» обратилось 150 итальянских пользователей, пострадавших от данной вредоносной программы, и их количество продолжает расти.

Для распространения трояна злоумышленники пытаются получить доступ к атакуемой машине по протоколу RDP методом подбора пароля. Запустившись на инфицированном компьютере, Trojan.ArchiveLock.20 удаляет содержимое «Корзины» и хранящиеся на компьютере резервные копии данных, после чего помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы с использованием консольного приложения WinRAR. Исходные файлы при этом уничтожаются с помощью специальной утилиты, вследствие чего их восстановление становится невозможным.

В некоторых случаях специалисты «Доктор Веб» могут восстановить файлы, заархивированные Trojan.ArchiveLock.20: для этого следует создать заявку в категории «Запрос на лечение» на сайте компании.

В марте было также отмечено появление троянской программы, предназначенной для демонстрации рекламы и нацеленной на Mac OS X — Trojan.Yontoo.1. Распространяясь под видом кодеков для просмотра видео, а также иных программ, таких как медиаплееры, программы для улучшения качества просмотра видео, «ускорители» загрузки файлов из интернета и т.д., Trojan.Yontoo.1 устанавливает на инфицированный «мак» плагины для браузеров Safari, Google Chrome и Mozilla Firefox.

Этот плагин, в свою очередь, получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ, а также передает на удаленный сервер данные о том, какие веб-страницы открывает пользователь в своем браузере, пояснили в специалисты «Доктор Веб».

Для ОС Android в области вирусных событий март оказался весьма насыщенным периодом. Так, в начале месяца в вирусную базу Dr.Web была внесена запись для довольно примитивного трояна, получившего имя Android.Biggboss. Эта вредоносная программа распространялась на различных сайтах-сборниках ПО в модифицированных злоумышленниками приложениях и предназначалась для пользователей из Индии. Будучи установленным на мобильное Android-устройство, Android.Biggboss загружался в качестве системного сервиса при запуске ОС и демонстрировал диалоговое окно, в котором говорилось о получении важного сообщения из некоего отдела кадров. В случае согласия пользователя просмотреть это «сообщение» троян открывал в веб-браузере специальный URL, по которому осуществлялась загрузка изображения, содержащего поддельное обращение от отдела кадров компании TATA India Limited, не имеющей никакого отношения к настоящей корпорации TATA. Наряду с заманчивым описанием потенциальной должности, обращение содержало призыв перевести определенную денежную сумму на банковский счет мошенников с целью гарантировать кандидату получение вакантного места.

Также в марте получили распространение новые представители троянских программ-шпионов, направленных против японских пользователей и предназначенных для кражи конфиденциальной информации из телефонной книги их мобильных Android-устройств. В вирусную базу Dr.Web они были внесены под именами Android.EmailSpy.2.origin, Android.EmailSpy.3.origin и Android.EmailSpy.4.origin. Как и прежде, трояны распространялись под видом самых разнообразных приложений, например видеоплеера, эмулятора игр и фотоаппарата-рентгена.

Примечательно, что некоторые модификации этих новых вредоносных программ получили возможность рассылать по обнаруженным в телефонной книге номерам SMS-сообщения, содержащие ссылку на загрузку соответствующих версий троянов, что, в свою очередь, увеличивает скорость их распространения и число пострадавших пользователей.

Кроме того, в марте было выявлено несколько новых модификаций вредоносных программ семейства Android.SmsSend, а также очередные представители коммерческих шпионских приложений, в частности, Android.Recon.3.origin и Program.Childtrack.1.origin.

По версии «Доктор Веб», мартовская двадцатка вредоносных файлов, наиболее часто обнаруживаемых в почтовом трафике, включает:

  1. Trojan.Packed 1,32%
  2. Trojan.Inject2.23 1,28%
  3. Trojan.Necurs.97 1,27%
  4. JS.Redirector.155 1,07%
  5. Trojan.PWS.Stealer.1932 0,92%
  6. Win32.HLLM.MyDoom.54464 0,63%
  7. BackDoor.Slym.1498 0,54%
  8. Win32.HLLM.MyDoom.33808 0,48%
  9. Trojan.PWS.Panda.547 0,44%
  10. JS.Redirector.186 0,41%
  11. Trojan.Packed.196 0,40%
  12. SCRIPT.Virus 0,33%
  13. BackDoor.IRC.NgrBot.42 0,33%
  14. Trojan.PWS.Panda.655 0,31%
  15. Trojan.Siggen5.528 0,30%
  16. Trojan.DownLoader1.64229 0,28%
  17. Exploit.CVE2012-0158.19 0,26%
  18. Trojan.KillProc.22394 0,26%
  19. Win32.HLLM.Graz 0,26%
  20. Win32.HLLM.Beagle 0,25%

Соответственно, в двадцатку вредоносных файлов, наиболее часто обнаруживаемых в марте на компьютерах пользователей, вошли:

  1. SCRIPT.Virus 0,65%
  2. Adware.Downware.915 0,63%
  3. Tool.Unwanted.JS.SMSFraud.26 0,54%
  4. JS.IFrame.387 0,44%
  5. Adware.Downware.179 0,44%
  6. Tool.Unwanted.JS.SMSFraud.10 0,37%
  7. JS.Redirector.175 0,34%
  8. Trojan.Fraudster.407 0,33%
  9. Trojan.Fraudster.394 0,33%
  10. Adware.Webalta.11 0,33%
  11. Trojan.Fraudster.424 0,31%
  12. Adware.Downware.910 0,30%
  13. Win32.HLLW.Shadow 0,28%
  14. Adware.InstallCore.99 0,28%
  15. Trojan.PWS.SpySweep.389 0,27%
  16. Tool.Skymonk.12 0,26%
  17. Win32.HLLW.Autoruner.59834 0,26%
  18. Adware.InstallCore.53 0,26%
  19. Tool.Skymonk.11 0,25%
  20. JS.Redirector.179 0,24%

Татьяна Короткова

Короткая ссылка