10 Апреля 2009 17:04 10 Апр 2009 17:04 |

Поделиться

«Доктор Веб»: обзор вирусной обстановки за март 2009 г.

Компания «Доктор Веб» представила обзор вирусной активности за март 2009 г. По информации «Доктор Веб», в прошедшем месяце было отмечено большое количество новых случаев мошенничества с использованием вредоносных программ, в то же время, бот-сети продолжили своё качественное развитие - их авторы стали применять более агрессивные методы их распространения и эксплуатации.

Как отмечается, в марте 2009 г. наибольшее внимание привлекли бот-сети Tdss и Shadow. Они начали использовать новые методы для увеличения эффективности своей деятельности, а также продолжили применять уже хорошо зарекомендовавшие себя способы распространения – через съёмные диски, через общие сетевые ресурсы, с использованием известных уязвимостей.

В последней модификации полиморфного червя Win32.HLLW.Shadow.based появилась новая функциональность, включающая закрытие использованных ранее для заражения компьютеров уязвимостей. Кроме того, последняя модификация Win32.HLLW.Shadow.based также использует генератор адресов, который создаёт, руководствуясь определённым алгоритмом, 50 000 адресов серверов в сутки, из них отбирает 500 адресов, с которых осуществляются попытки получить инструкции и загружаются обновлённые вредоносные модули. Этот новый алгоритм работы существенно усложняет работу по противодействию работе данной бот-сети, так как невозможно вычислить все адреса серверов, участвующих в работе бот-сети и прекратить их работу на законных основаниях, пояснили в «Доктор Веб».

В свою очередь, BackDoor.Tdss, использующийся злоумышленниками для расширения бот-сети Tdss, использует несколько другие методы – от версии к версии дорабатываются используемые руткит-методы скрытия в системе, для того чтобы более эффективно противодействовать работе антивирусных программ. Так, современные версии BackDoor.Tdss научились довольно эффективно препятствовать работе файловых мониторов антивирусов. Также, кроме использования уязвимостей ОС семейства Windows, данный бэкдор применяет и такой метод распространения вредоносных программ – в виде кодеков для проигрывания видеороликов. Несмотря на общеизвестность, данный метод до сих пор вполне успешно работает.

По данным «Доктор Веб», за последний месяц в очередной раз наблюдался значительный рост новых схем мошенничества с помощью вредоносных программ.

Клиентов банков, использующих банковские пластиковые карточки, в прошлом месяце взволновала новость об обнаруженных в системах некоторых банкоматов, принадлежащих российским банкам, вредоносных программ. Данные программы собирали для злоумышленников информацию, хранящуюся на банковских карточках, а также балансы счетов, которые передаются в банкомат из банков по запросу пользователя. Данная вредоносная программа по классификации Dr.Web была названа Trojan.Skimer. В настоящее время в вирусной базе Dr.Web содержится около десятка различных модификации этой вредоносной программы.

Кроме того, злоумышленники до сих пор активно используют схемы мошенничества с помощью антивирусов-подделок для получения от пользователей денег за «программу-пустышку». Со временем вредоносные сайты, распространяющие лже-антивирусы, становятся всё более убедительными, используются профессиональные приёмы дизайна.

Неугасающая популярность социальных сетей не перестаёт предоставлять новые возможности кибермошенникам для импровизаций. Так, троян Trojan.PWS.Vkontakte.6 распространяется в виде программы для быстрого поднятия рейтинга социальной сети Vkontakte.ru.

Основной поток спама в марте, как отметили в «Доктор Веб», был посвящён, собственно, рекламе самих спам-рассылок. Видимо, на данный момент на рынке спам-услуг предложение намного превышает спрос. Из наиболее популярных тем в спаме можно отметить рекламу пиратских DVD-дисков с сериалами, медицинских препаратов, предложения приобрести дорогие модели мобильных телефонов с большими скидками, а также реплики дорогих наручных часов. Также следует отметить высокий уровень сообщений, приглашающих посетить различного рода конференции и другие мероприятия, связанные с обучением. Что касается распространения вредоносных программ в спаме, а также ссылок на вредоносные сайты в спам-сообщениях, то в последние месяцы их количество значительно уменьшилось.

Из массовых рассылок, связанных с распространением вредоносных вложений в марте, можно выделить весьма кратковременную (несколько часов), но массивную рассылку Win32.HLLW.Brutus.3 и немного более продолжительную, но менее массовую рассылку Trojan.PWS.Panda.114. Последний троян распространялся под видом сообщения якобы от курьерской службы DHL, в котором говорилось о том, что отправку доставить невозможно по причине ошибки в указанном адресе. В письме предлагается распечатать прилагаемую счёт-фактуру и зайти с ней в офис DHL. На деле в приложенном архиве находился вредоносный файл.

В марте также продолжились спам-рассылки, предлагающие пользователей поучаствовать в схемах, похожих на финансовые пирамиды. Количество данных схем увеличивается, сообщили в «Доктор Веб». Несмотря на некоторое уменьшение в марте случаев использования фишинга, были заметны фишинг-рассылки, ориентированные на участников популярного интернет-аукциона eBay.

«Доктор Веб» также опубликовал две вирусные двадцатки. В первой таблице представлены вредоносные файлы, обнаруженные в марте в почтовом трафике:

1. Win32.HLLW.Shadow.based - 5348 (16,27%)
2. Win32.Virut - 3942 (11,99%)
3. Win32.HLLM.MyDoom.based - 3887 (11,83%)
4. Trojan.MulDrop.13408 - 1998 (6,08%)
5. Trojan.MulDrop.18280 - 1709 (5,20%)
6. Win32.HLLM.Netsky - 1629 (4,96%)
7. Win32.HLLM.Beagle - 1252 (3,81%)
8. Trojan.MulDrop.16727 - 1137 (3,46%)
9. Win32.HLLW.Brutus.3 - 1134 (3,45%)
10. Win32.HLLW.Gavir.ini - 964 (2,93%)
11. Win32.HLLM.Alaxala - 901 (2,74%)
12. Win32.HLLM.Netsky.35328 - 511 (1,55%)
13. Win32.HLLM.MyDoom.33808 - 472 (1,44%)
14. Trojan.MulDrop.19648 - 443 (1,35%)
15. BackDoor.Poison.78 - 403 (1,23%)
16. Win32.HLLM.MyDoom.44 - 393 (1,20%)
17. Trojan.MulDrop.30412 - 379 (1,15%)
18. Trojan.MulDrop.17431 - 351 (1,07%)
19. Trojan.MulDrop.30415 - 351 (1,07%)
20. Win32.HLLW.Sinfin – 339 (1,03%)

Вторая таблица содержит вредоносные файлы, обнаруженные в марте на компьютерах пользователей:

1. Win32.HLLW.Gavir.ini - 1292200 (11,60%)
2. Win32.HLLW.Shadow.based - 713002 (6,40%)
3. Win32.Virut - 590384 (5,30%)
4. Win32.Virut.5 - 581332 (5,22%)
5. DDoS.Kardraw - 436270 (3,91%)
6. Win32.HLLW.Autoruner.5555 - 426000 (3,82%)
7. Trojan.DownLoader.42350 - 409721 (3,68%)
8. Win32.Alman - 393549 (3,53%)
9. Trojan.Starter.881 - 253295 (2,27%)
10. Win32.Sector.17 - 246519 (2,21%)
11. BackDoor.IRC.Itan - 245957 (2,21%)
12. Exploit.PDF.56 - 235196 (2,11%)
13. Win32.Parite.1 - 176361 (1,58%)
14. Win32.HLLP.Neshta - 163406 (1,47%)
15. Win32.HLLM.Lovgate.2 - 151434 (1,36%)
16. Win32.HLLM.Generic.440 - 146493 (1,31%)
17. Win32.HLLP.Whboy 142174 (1,28%)
18. Win32.HLLW.Autoruner.6293 - 139671 (1,25%)
19. Trojan.PWS.Wsgame.4983 - 116799 (1,05%)
20. Win32.HLLW.Autoruner.6126 - 115798 (1,04%)

Татьяна Короткова

Поделиться

Подписаться на новости Короткая ссылка