04 Августа 2011 08:08 04 Авг 2011 08:08 |

Поделиться

Обзор вирусной обстановки за июль: новые угрозы для ОС Android и блокировщики Windows

Компания «Доктор Веб», российский разработчик средств информационной безопасности, представила обзор вирусной обстановки за июль 2011 г. По данным компании, в июле вновь активизировались создатели «винлоков» и разработчики вредоносного ПО для мобильной платформы Android. Кроме того, специалистами «Доктор Веб» было обнаружено и обезврежено множество других опасных угроз.

Создатели вредоносных программ для мобильной ОС Android продолжают «радовать» пользователей очередными новинками. Так, в июле специалистами «Доктор Веб» в вирусные базы были добавлены описания 29 новых угроз для этой платформы, среди которых следует отметить две новых модификации трояна Android.Gongfu и программу Android.Ggtrack.1-2, предназначенную для кражи денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.

Кроме того, в июле была обнаружена и добавлена в базы программа-шпион Android.GoldDream.1. Эта вредоносная программа для Android, как и ее предшественницы, встроена в предназначенные для мобильных устройств легитимные приложения, такие как игры Drag Racing и Draw Slasher, и распространяется через альтернативные сайты-сборники ПО. Будучи запущенным в операционной системе, троян регистрируется в качестве фонового сервиса, собирает информацию об инфицированном устройстве, включая телефонный номер абонента и номер IMEI, после чего передает ее злоумышленникам на удаленный сервер. Вслед за этим Android.GoldDream.1 начинает отслеживать все входящие SMS-сообщения, а также входящие и исходящие телефонные звонки, и записывать сведения об этих событиях (в том числе телефонный номер, с которого или на который выполнялся звонок или отправлялось сообщение, а также само содержимое SMS) в хранящийся локально файл. Впоследствии этот файл может быть извлечен и передан авторам программы-шпиона. Кроме того, Android.GoldDream.1 в состоянии выполнять поступающие от удаленного центра команды для осуществления несанкционированной рассылки SMS, телефонных звонков, а также установки различных программ.

За истекший месяц специалистами «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к банковским системам. Среди них — Trojan.Carberp.1. Этот троян обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью троянской программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных.

Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т.д. Кроме того, троян имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.

Примерно с мая 2011 г. в «Доктор Веб» стали фиксировать случаи появления программ-вымогателей, ориентированных на западную аудиторию. Одной из них стала программа Trojan.Winlock.3794, собирающая у пользователей данные банковских карт. Среди реквизитов, которые троян передает злоумышленникам — имя, фамилия, дата рождения и адрес держателя карты, его телефонный номер, дата окончания срока действия карты, ее номер, код CVV2 и даже пинкод. Как подчеркнули в «Доктор Веб», это — первый случай появления трояна-блокировщика, собирающего данные о банковских картах. Ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное SMS-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.

Наиболее популярным именем файла, в котором скрываются подобные трояны, является xxx_video.exe (37,8% случаев заражения), на втором месте — pornoplayer.exe (28,6%), на третьем — xxx_video.avi (9,6%), причем в последнем случае упоминание файла с расширением .avi имеет именно вредоносная ссылка; сам файл, в котором содержится троян, может иметь иное имя и расширение. Такие имена вредоносных файлов, как install_flash_player.exe (1%), ponostar_video.exe и mpeg.exe (по 0,4%), скромно заняли последние строчки рейтинга. Таким образом, наиболее популярным способом распространения троянских программ семейства Trojan.Winlock по-прежнему являются порносайты, с которых пользователи загружают троянов под видом программы-проигрывателя либо видеоролика, сообщили в «Доктор Веб».

В последних числах июля 2011 г. был зафиксирован всплеск заражений троянской программой Trojan.Mayachok.1: многие пользователи неожиданно столкнулись с невозможностью выйти в интернет. При попытке открыть в окне браузера какой-либо сайт троян перенаправлял пользователя на заранее определенный URL, демонстрируя веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение. Если пользователь следовал указаниям злоумышленников, с его счета незамедлительно списывались средства. Один из способов распространения трояна — сообщения социальной сети «ВКонтакте»: пользователям предлагается скачать документ в формате .rtf, якобы рассказывающий о специальной программе для просмотра посещающих страницу пользователя гостей.

Как власти сэкономят 155 млрд руб. на стимулировании спроса на беспилотники

Импортонезависимость

Данная угроза была не единственной, так или иначе затронувшей соцсеть «ВКонтакте» — к таковым можно отнести и распространение троянской программы Trojan.VkSpam, инфицирующей компьютеры благодаря спам-рассылкам на сайте «ВКонтакте». Как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя «ВКонтакте». И в том, и в другом случае троян демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения. Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя.

Кроме того, в июле был обнаружен троян, крадущий у пользователей не файлы электронных кошельков или реквизиты доступа к платежным системам, а вычислительные ресурсы. На сегодняшний день известно несколько вредоносных программ, занимающихся майнингом, или, иными словами, «добычей» электронной валюты Bitcoin, в частности, Trojan.Coinbit и некоторые версии Trojan.VkBase. Новый троян, Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Распространяется эта вредоносная программа с различных ресурсов, никак не связанных с официальным сайтом проекта Bitcoin, отметили в «Доктор Веб».

Компания также опубликовала рейтинги наиболее распространенных в июле вредоносных программ в почтовом трафике и на компьютерах пользователей. Так, в топ-20 зловредов, обнаруженных в почтовом трафике, вошли:

1. Trojan.Tenagour.3 21388 (14,56%)
2. Win32.HLLM.MyDoom.54464 17624 (11,99%)
3. Win32.HLLM.MyDoom.33808 15827 (10,77%)
4. Win32.HLLM.Netsky.18401 7746 (5,27%)
5. Win32.HLLM.MyDoom.based 7464 (5,08%)
6. Win32.HLLM.Netsky 6676 (4,54%)
7. Win32.HLLM.Netsky.35328 5216 (3,55%)
8. Trojan.PWS.Banker.57999 3906 (2,66%)
9. Trojan.DownLoad2.31588 3032 (2,06%)
10. BackDoor.IRC.Nite.60 2646 (1,80%)
11. Trojan.Packed.21790 2579 (1,76%)
12. Trojan.DownLoader4.3483 2421 (1,65%)
13. Trojan.DownLoader4.372 2184 (1,49%)
14. Trojan.MulDrop1.54160 2142 (1,46%)
15. Win32.HLLM.Beagle 2071 (1,41%)
16. Trojan.PWS.Siggen.18719 1758 (1,20%)
17. Win32.HLLM.Perf 1472 (1,00%)
18. Win32.HLLW.Autoruner.52856 1420 (0,97%)
19. Exploit.IframeBO 1350 (0,92%)
20. Win32.HLLM.MyDoom.33 1257 (0,86%)

В свою очередь, июльский рейтинг топ-20 вирусов, обнаруженных на пользовательских компьютерах, включает:

1. JS.Click.218 114599272 (60,12%)
2. Win32.Siggen.8 13149524 (6,90%)
3. JS.IFrame.112 11440667 (6,00%)
4. Win32.Rmnet.12 10631422 (5,58%)
5. JS.IFrame.95 8711978 (4,57%)
6. JS.IFrame.117 5662466 (2,97%)
7. JS.Click.222 4025723 (2,11%)
8. Win32.HLLP.Neshta 3667732 (1,92%)
9. Trojan.MulDrop1.48542 3646674 (1,91%)
10. Win32.HLLP.Whboy.101 2548789 (1,34%)
11. JS.Click.223 2054152 (1,08%)
12. Win32.HLLP.Rox 1763730 (0,93%)
13. VBS.Redlof 1121512 (0,59%)
14. Win32.HLLW.Whboy 811492 (0,43%)
15. Win32.Gael.3666 648264 (0,34%)
16. Trojan.NtRootKit.10544 507715 (0,27%)
17. Trojan.PWS.Ibank.300 336559 (0,18%)
18. Win32.HLLP.Whboy 247904 (0,13%)
19. Exploit.Cpllnk 223049 (0,12%)
20. Trojan.DownLoader4.10788 189955 (0,10%)

Среди стран, размещающих на своих серверах раздающие вредоносное ПО сайты, в июле первое место заняла Россия — с показателем 58,8%. Ее догоняют США, но с серверов этого государства пользователями загружается всего лишь 15,6% троянов. На третьем месте Украина (7,1%), ненамного опережающая республику Молдова (6,8%), которая, в свою очередь, вырвалась вперед относительно Канады (3,1%). Затем следуют Румыния (2,3%), Япония (2,3%), Германия (1,7%) и замыкают список Израиль, Корея и Бразилия (1,3% и по 0,5% соответственно).

Татьяна Короткова

Поделиться

Подписаться на новости Короткая ссылка