05 Июня 2013 16:06 05 Июн 2013 16:06 |

Поделиться

Май 2013: активизировались модификации банковского трояна ZeuS

Компания Eset, международный разработчик антивирусного ПО и глобальный эксперт в сфере киберпреступности и защиты от компьютерных угроз, представила отчет о наиболее активных угрозах мая 2013 г. Месяц был отмечен ростом активности семейства банковских троянов ZeuS, а также фишинговой атакой с использованием одного из сервисов Google.

Так, в минувшем месяце в мире было зафиксировано повышение активности семейства ZBot (ZeuS), рейтинг которого составил 1,36%. Под общим названием Win32/Spy.Zbot детектируются все возможные модификации этой троянской программы, включая Citadel и Gameover. Пиковая активность ZeuS пришлась на 2 мая, когда уровень его распространенности достиг 4,83%, рассказали CNews в компании.

Главной целью злоумышленников, использующих ZeuS, является кража аутентификационных данных пользователей от различных сервисов, включая онлайн-банкинг. Похищенная таким образом информация используется для перевода денежных средств на подставные счета, с которых они оперативно обналичиваются «мулами» — лицами, готовыми снимать средства сомнительного происхождения за небольшой процент. Отметим, что внушительное количество модификаций ZeuS обусловлено утечкой исходных кодов этого трояна в 2011 г.

Что касается других угроз из глобальной десятки, то рост продемонстрировали Win32/Bundpil (3,46%) и Win32/Dorkbot (2,22%), вирус Win32/Ramnit (1,62%), а также троянская программа Win32/Qhost (1,53%). Червь Win32/Bundpil, который распространяется через съемные носители, сохранил за собой первое место и даже увеличил активность по сравнению с апрелем.

Рост активности червя Win32/Dorkbot связана с майской спам-кампанией по распространению вредоносного ПО. Пользователям рассылались сообщения с вредоносными ссылками, при переходе по которым возникал риск установки трояна Win32/PowerLoader, загружавшего на компьютер Win32/Dorkbot.

Для маскировки вредоносных ссылок в письмах использовался сервис Google URL Shortener, благодаря которому укороченные адреса начинались с http://goo.gl/. Согласно статистике переходов по вредоносным ссылкам, участвовавшим в этой кампании, одним из лидеров по числу жертв атаки стала Россия.

Встраиваемые в веб-страницы вредоносные элементы, которые детектируются под общими названиями HTML/ScrInject (2,47%) и HTML/Iframe (1,90%), в мае подверглись спаду. HTML/ScrInject теряет позиции последние два месяца; те же два месяца падает активность INF/Autorun (2,77%) и Win32/Conficker (1,95%).

В целом глобальный рейтинг наиболее активных угроз по версии Eset выглядит следующим образом:

1. Win32/Bundpil 3,46%
2. INF/Autorun 2,77%
3. Win32/Sality 2,52%
4. HTML/ScrInject 2,47%
5. Win32/Dorkbot 2,22%
6. Win32/Conficker 1,95%
7. HTML/IFrame 1,90%
8. Win32/Ramnit 1,62%
9. Win32/Qhost 1,53%
10. Win32/Spy.Zbot 1,36%

Общая доля России в мировом объеме вредоносного ПО в мае составила 8,14%. По данным Eset, рейтинг угроз по России не сильно изменился по сравнению с апрелем. Троянская программа Win32/Qhost, которая демонстрировала спад с начала этого года, в мае испытала подъем — ее рейтинг составил 12,40%. Кроме того, рост показали вредоносные Java-скрипты с общим обнаружением JS/Iframe (2,84%).

Троян Win32/Agent.UPF заметно снизил активность — в этом месяце его уровень распространенности составил 1,55%. Кроме того, троян Win32/StartPage, который присутствовал в рейтинге Eset предыдущие два месяца, в мае значительно сдал позиции и покинул десятку наиболее активных угроз. Все прочие угрозы также снизили активность.

В целом российская десятка угроз за май включает:

1. Win32/Qhost 12,40%
2. HTML/ScrInject 3,54%
3. JS/IFrame 2,84%
4. Win32/Spy.Ursnif 2,26%
5. Win32/Bicololo 2,09%
6. Win32/Dorkbot 2,03%
7. HTML/IFrame 1,65%
8. INF/Autorun 1,62%
9. Win32/Agent.UPF 1,55%
10. Win32/Conficker 0,92%

Татьяна Короткова

Поделиться

Подписаться на новости Короткая ссылка