07 Августа 2013 14:08 07 Авг 2013 14:08 |

Поделиться

Июль 2013: трояны-энкодеры продолжают наступление

Компания «Доктор Веб» опубликовала обзор вирусной активности за июль 2013 г. Как и в предыдущих месяцах, в июле были зафиксированы сотни обращений в службу технической поддержки от пользователей, пострадавших в результате действия троянов-энкодеров различных модификаций. Помимо этого, в компанию обращались за помощью жертвы вредоносных программ семейства Trojan.Winlock. Также были выявлены случаи распространения троянских программ для мобильной платформы Android с официального сайта Google Play: по мнению специалистов «Доктор Веб», от этих вредоносных приложений могли пострадать от 10 тыс. до 25 тыс. пользователей мобильных устройств.

Так, согласно данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, в июле 2013 г. на первой строчке статистики оказался Trojan.LoadMoney.1 — загрузчик, устанавливающий на компьютер жертвы различные рекламные приложения, в том числе программы, распространяемые известным коммуникационным порталом.

Второе место по количеству обнаруженных экземпляров занимает троян Trojan.Hosts.6815, модифицирующий на зараженном компьютере системный файл hosts. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу.

На третьем месте по итогам месяца расположилась вредоносная программа Trojan.Mods.2 — этот троян подменяет на компьютере жертвы просматриваемые в браузере веб-страницы. В результате деятельности трояна вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное SMS-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма, рассказали CNews в «Доктор Веб».

В целом двадцатка наиболее распространенных угроз июля, согласно статистике лечащей утилиты Dr.Web CureIt!, включает:

1. Trojan.LoadMoney.1 22921 (3,05%)
2. Trojan.Hosts.6815 20641 (2,74%)
3. Trojan.Mods.2 16088 (2,14%)
4. Trojan.DownLoader9.19157 8624 (1,15%)
5. BackDoor.IRC.NgrBot.42 7414 (0,99%)
6. Trojan.Mods.1 7197 (0,96%)
7. BackDoor.Andromeda.178 6130 (0,81%)
8. Trojan.Hosts.6838 5828 (0,77%)
9. Trojan.MayachokMEM.7 5741( 0,76%)
10. BackDoor.Maxplus.24 5696 (0,76%)
11. Trojan.PWS.Panda.2401 5347 (0,71%)
12. Win32.HLLP.Neshta 5265 (0,70%)
13. BackDoor.Bulknet.963 5227 (0,69%)
14. Win32.HLLW.Autoruner1.45469 5114 (0,68%)
15. Trojan.MulDrop4.25343 4588 (0,61%)
16. Trojan.Packed.24079 4174 (0,55%)
17. Win32.HLLW.Autoruner1.40792 3653 (0,49%)
18. Win32.HLLW.Gavir.ini 3434 (0,46%)
19. Win32.Sector.22 3369 (0,45%)
20. Trojan.AVKill.31324 3307 (0,44%)

Начиная с первых чисел июля в службу технической поддержки «Доктор Веб» поступило 550 запросов от пользователей, пострадавших в результате действия троянов-шифровальщиков. Модификации троянов-энкодеров, жертвами которых по данным вирусной лаборатории «Доктор Веб» чаще всего становились пользователи в июле, перечислены на представленной ниже диаграмме.

Наибольшее число пользователей, пострадавших от троянов-шифровальщиков (75%), проживает на территории России, чуть меньше — 15% — на Украине. Велико количество жертв энкодеров, как ни странно, и среди жителей Бразилии; также зафиксированы единичные случаи заражения в Венесуэле, Эстонии, США, странах Евросоюза. В течение июля в службу технической поддержки «Доктор Веб» с аналогичными запросами обратилось по пять жителей Колумбии и Аргентины, а также трое граждан Чили.

За помощью в ликвидации последствий заражения вредоносными программами семейства Trojan.Winlock в течение июля в «Доктор Веб» обратилось несколько сотен пользователей, из них 79,5% составляют россияне, 16% — жители Украины, 1,67% приходится на жителей Казахстана. Также зафиксированы единичные случаи распространения винлоков в Швеции, Колумбии, США, Беларуси и странах Евросоюза.

Численность бот-сети, организованной злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает постепенно сокращаться: так, по данным на 29 июля 2013 г. в первой подсети насчитывается 392 538 инфицированных машин (на 66 654 меньше, чем в июне) а во второй подсети — 532 166 активно действующих ботов (что на 80 969 меньше по сравнению с предыдущим месяцем). Всего за минувшие 30 дней к данным ботнетам присоединилось 374 605 и 288 634 вновь инфицированных компьютеров соответственно.

Общая численность бот-сети, состоящей из инфицированных файловым вирусом Win32.Rmnet.16 компьютеров, в июле сократилась более чем вдвое: если месяц назад данный ботнет насчитывал в среднем 4 674 активных бота, то к концу июля количество инфицированных компьютеров составило 2 059. Одновременно с этим прирост бот-сети практически остановился — среднесуточное число регистраций вновь инфицированных ПК на управляющих серверах не превышает 10.

Также продолжается сокращение числа компьютеров, на которых антивирусное ПО «Доктор Веб» обнаруживает вредоносные модули, детектируемые как Trojan.Rmnet.19. Уже в начале июля количество выявленных экземпляров данных модулей уменьшилось до 7 995, а к концу месяца оно достигло значения 4 955, при этом ежесуточно в сети регистрировалось не более 40 вновь инфицированных компьютеров.

Значительно изменилась и численность ботнета, созданного злоумышленниками с использованием вредоносной программы BackDoor.Bulknet.739. Данное приложение предназначено для массовой рассылки спама. В июле 2013 г. в бот-сети среднесуточно фиксировалась активность примерно 2,5 тыс. зараженных компьютеров, при этом ежедневно к управляющему серверу BackDoor.Bulknet.739 обращалось от 500 до 800 вновь инфицированных ПК.

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

Общее количество компьютеров, инфицированных трояном BackDoor.Dande, за минувшие 30 дней почти не изменилось: в конце июня их число составляло 1 209, по данным на 28 июля — 1056. Эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний. В частности, злоумышленников интересуют сведения из клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты.

Продолжает функционировать и ботнет BackDoor.Flashback.39, состоящий из Apple-совместимых компьютеров, работающих под управлением ОС Mac OS X. Ежесуточно к управляющим серверам данного ботнета обращается порядка 40 тыс. зараженных «маков».

В прошедшем месяце специалистами «Доктор Веб» было обнаружено большое число новых модификаций известных шпионских программ, таких как Android.MobileSpy и Program.Mobimon, а также новые семейства Program.Topspy и Program.Tracer. Эти и другие аналогичные приложения, доступные в различных конфигурациях, позволяют отслеживать самую разнообразную активность пользователей мобильных устройств и в большинстве случаев имеют версии для работы сразу на нескольких мобильных платформах, включая Android, BlackBerry и Symbian OS.

В то же время, все отчетливее проявляется тенденция к росту предложений по оказанию сугубо киберпреступных услуг, связанных с получением конфиденциальных сведений пользователей мобильных устройств, отметили в компании. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита использует для своей работы исходный код свободно распространяющейся программы для удаленного доступа и управления AndroRat, которая известна с 2012 г. и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Во втором случае автор утилиты применяет самостоятельно разработанную им троянскую программу-шпион, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

Для системы Android второй летний месяц не прошел бесследно и в плане обнаружения программных уязвимостей, среди которых одной из самых заметных стала так называемая Master Key. Она связана с тем, что система безопасности Android при установке apk-пакетов, сформированных специальным образом, некорректно обрабатывает содержащиеся внутри них дублирующие файлы, позволяя инсталлировать приложения с неподписанными компонентами. Менее чем через месяц после анонса информации об уязвимости Master Key был обнаружен и первый троян, который эксплуатирует эту программную ошибку.

Не остались в стороне и угрозы, размещенные в каталоге Google Play. В конце месяца специалистами «Доктор Веб» было обнаружено несколько вредоносных приложений, которые в процессе работы могли установить на мобильные устройства пользователей троянов семейства Android.SmsSend.

По данным компании, в топ-20 вредоносных файлов, обнаруженных в июле в почтовом трафике, вошли:

1. Trojan.PWS.Panda.4379 1,02%
2. Trojan.PWS.PandaENT.4379 0,71%
3. Trojan.Packed.196 0,71%
4. Trojan.Inject2.23 0,58%
5. Trojan.Packed.24465 0,48%
6. Trojan.PWS.Panda.547 0,47%
7. BackDoor.Tishop.55 0,40%
8. Win32.HLLM.MyDoom.54464 0,38%
9. Trojan.PWS.Panda.655 0,36%
10. Trojan.Packed.24450 0,35%
11. Win32.HLLM.MyDoom.33808 0,31%
12. Trojan.PWS.Stealer.3128 0,29%
13. Trojan.Proxy.24953 0,28%
14. Trojan.MulDrop4.35808 0,25%
15. BackDoor.Comet.152 0,21%
16. VBS.Rmnet.2 0,20%
17. Trojan.Inor 0,17%
18. SCRIPT.Virus 0,17%
19. Trojan.DownLoader1.64229 0,17%
20. Trojan.VbCrypt.8 0,16%

В свою очередь, рейтинг топ-20 вредоносных файлов, обнаруженных в июле на компьютерах пользователей, включил:

1. SCRIPT.Virus 0,96%
2. Exploit.SWF.254 0,73%
3. Trojan.LoadMoney.1 0,72%
4. Adware.InstallCore.122 0,68%
5. Adware.Downware.915 0,55%
6. Adware.Downware.179 0,52%
7. Tool.Unwanted.JS.SMSFraud.26 0,51%
8. Adware.Downware.1284 0,49%
9. Adware.InstallCore.114 0,47%
10. JS.IFrame.453 0,41%
11. Adware.Toolbar.202 0,37%
12. Adware.InstallCore.115 0,34%
13. Adware.Downware.1132 0,34%
14. Tool.Skymonk.11 0,34%
15. Adware.InstallCore.101 0,34%
16. Tool.Unwanted.JS.SMSFraud.29 0,31%
17. Win32.HLLW.Shadow 0,31%
18. Adware.Webalta.11 0,31%
19. Adware.Downware.1317 0,30%
20. Exploit.BlackHole.183 0,30%

Татьяна Короткова

Поделиться

Подписаться на новости Короткая ссылка