Июль 2013: трояны-энкодеры продолжают наступление
Компания «Доктор Веб» опубликовала обзор вирусной активности за июль 2013 г. Как и в предыдущих месяцах, в июле были зафиксированы сотни обращений в службу технической поддержки от пользователей, пострадавших в результате действия троянов-энкодеров различных модификаций. Помимо этого, в компанию обращались за помощью жертвы вредоносных программ семейства Trojan.Winlock. Также были выявлены случаи распространения троянских программ для мобильной платформы Android с официального сайта Google Play: по мнению специалистов «Доктор Веб», от этих вредоносных приложений могли пострадать от 10 тыс. до 25 тыс. пользователей мобильных устройств.
Так, согласно данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, в июле 2013 г. на первой строчке статистики оказался Trojan.LoadMoney.1 — загрузчик, устанавливающий на компьютер жертвы различные рекламные приложения, в том числе программы, распространяемые известным коммуникационным порталом.
Второе место по количеству обнаруженных экземпляров занимает троян Trojan.Hosts.6815, модифицирующий на зараженном компьютере системный файл hosts. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу.
На третьем месте по итогам месяца расположилась вредоносная программа Trojan.Mods.2 — этот троян подменяет на компьютере жертвы просматриваемые в браузере веб-страницы. В результате деятельности трояна вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное SMS-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма, рассказали CNews в «Доктор Веб».
В целом двадцатка наиболее распространенных угроз июля, согласно статистике лечащей утилиты Dr.Web CureIt!, включает:
- Trojan.LoadMoney.1 22921 (3,05%)
- Trojan.Hosts.6815 20641 (2,74%)
- Trojan.Mods.2 16088 (2,14%)
- Trojan.DownLoader9.19157 8624 (1,15%)
- BackDoor.IRC.NgrBot.42 7414 (0,99%)
- Trojan.Mods.1 7197 (0,96%)
- BackDoor.Andromeda.178 6130 (0,81%)
- Trojan.Hosts.6838 5828 (0,77%)
- Trojan.MayachokMEM.7 5741( 0,76%)
- BackDoor.Maxplus.24 5696 (0,76%)
- Trojan.PWS.Panda.2401 5347 (0,71%)
- Win32.HLLP.Neshta 5265 (0,70%)
- BackDoor.Bulknet.963 5227 (0,69%)
- Win32.HLLW.Autoruner1.45469 5114 (0,68%)
- Trojan.MulDrop4.25343 4588 (0,61%)
- Trojan.Packed.24079 4174 (0,55%)
- Win32.HLLW.Autoruner1.40792 3653 (0,49%)
- Win32.HLLW.Gavir.ini 3434 (0,46%)
- Win32.Sector.22 3369 (0,45%)
- Trojan.AVKill.31324 3307 (0,44%)
Начиная с первых чисел июля в службу технической поддержки «Доктор Веб» поступило 550 запросов от пользователей, пострадавших в результате действия троянов-шифровальщиков. Модификации троянов-энкодеров, жертвами которых по данным вирусной лаборатории «Доктор Веб» чаще всего становились пользователи в июле, перечислены на представленной ниже диаграмме.
Наибольшее число пользователей, пострадавших от троянов-шифровальщиков (75%), проживает на территории России, чуть меньше — 15% — на Украине. Велико количество жертв энкодеров, как ни странно, и среди жителей Бразилии; также зафиксированы единичные случаи заражения в Венесуэле, Эстонии, США, странах Евросоюза. В течение июля в службу технической поддержки «Доктор Веб» с аналогичными запросами обратилось по пять жителей Колумбии и Аргентины, а также трое граждан Чили.
За помощью в ликвидации последствий заражения вредоносными программами семейства Trojan.Winlock в течение июля в «Доктор Веб» обратилось несколько сотен пользователей, из них 79,5% составляют россияне, 16% — жители Украины, 1,67% приходится на жителей Казахстана. Также зафиксированы единичные случаи распространения винлоков в Швеции, Колумбии, США, Беларуси и странах Евросоюза.
Численность бот-сети, организованной злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает постепенно сокращаться: так, по данным на 29 июля 2013 г. в первой подсети насчитывается 392 538 инфицированных машин (на 66 654 меньше, чем в июне) а во второй подсети — 532 166 активно действующих ботов (что на 80 969 меньше по сравнению с предыдущим месяцем). Всего за минувшие 30 дней к данным ботнетам присоединилось 374 605 и 288 634 вновь инфицированных компьютеров соответственно.
Общая численность бот-сети, состоящей из инфицированных файловым вирусом Win32.Rmnet.16 компьютеров, в июле сократилась более чем вдвое: если месяц назад данный ботнет насчитывал в среднем 4 674 активных бота, то к концу июля количество инфицированных компьютеров составило 2 059. Одновременно с этим прирост бот-сети практически остановился — среднесуточное число регистраций вновь инфицированных ПК на управляющих серверах не превышает 10.
Также продолжается сокращение числа компьютеров, на которых антивирусное ПО «Доктор Веб» обнаруживает вредоносные модули, детектируемые как Trojan.Rmnet.19. Уже в начале июля количество выявленных экземпляров данных модулей уменьшилось до 7 995, а к концу месяца оно достигло значения 4 955, при этом ежесуточно в сети регистрировалось не более 40 вновь инфицированных компьютеров.
Значительно изменилась и численность ботнета, созданного злоумышленниками с использованием вредоносной программы BackDoor.Bulknet.739. Данное приложение предназначено для массовой рассылки спама. В июле 2013 г. в бот-сети среднесуточно фиксировалась активность примерно 2,5 тыс. зараженных компьютеров, при этом ежедневно к управляющему серверу BackDoor.Bulknet.739 обращалось от 500 до 800 вновь инфицированных ПК.
Общее количество компьютеров, инфицированных трояном BackDoor.Dande, за минувшие 30 дней почти не изменилось: в конце июня их число составляло 1 209, по данным на 28 июля — 1056. Эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний. В частности, злоумышленников интересуют сведения из клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты.
Продолжает функционировать и ботнет BackDoor.Flashback.39, состоящий из Apple-совместимых компьютеров, работающих под управлением ОС Mac OS X. Ежесуточно к управляющим серверам данного ботнета обращается порядка 40 тыс. зараженных «маков».
В прошедшем месяце специалистами «Доктор Веб» было обнаружено большое число новых модификаций известных шпионских программ, таких как Android.MobileSpy и Program.Mobimon, а также новые семейства Program.Topspy и Program.Tracer. Эти и другие аналогичные приложения, доступные в различных конфигурациях, позволяют отслеживать самую разнообразную активность пользователей мобильных устройств и в большинстве случаев имеют версии для работы сразу на нескольких мобильных платформах, включая Android, BlackBerry и Symbian OS.
В то же время, все отчетливее проявляется тенденция к росту предложений по оказанию сугубо киберпреступных услуг, связанных с получением конфиденциальных сведений пользователей мобильных устройств, отметили в компании. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита использует для своей работы исходный код свободно распространяющейся программы для удаленного доступа и управления AndroRat, которая известна с 2012 г. и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Во втором случае автор утилиты применяет самостоятельно разработанную им троянскую программу-шпион, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.
Для системы Android второй летний месяц не прошел бесследно и в плане обнаружения программных уязвимостей, среди которых одной из самых заметных стала так называемая Master Key. Она связана с тем, что система безопасности Android при установке apk-пакетов, сформированных специальным образом, некорректно обрабатывает содержащиеся внутри них дублирующие файлы, позволяя инсталлировать приложения с неподписанными компонентами. Менее чем через месяц после анонса информации об уязвимости Master Key был обнаружен и первый троян, который эксплуатирует эту программную ошибку.
Не остались в стороне и угрозы, размещенные в каталоге Google Play. В конце месяца специалистами «Доктор Веб» было обнаружено несколько вредоносных приложений, которые в процессе работы могли установить на мобильные устройства пользователей троянов семейства Android.SmsSend.
По данным компании, в топ-20 вредоносных файлов, обнаруженных в июле в почтовом трафике, вошли:
- Trojan.PWS.Panda.4379 1,02%
- Trojan.PWS.PandaENT.4379 0,71%
- Trojan.Packed.196 0,71%
- Trojan.Inject2.23 0,58%
- Trojan.Packed.24465 0,48%
- Trojan.PWS.Panda.547 0,47%
- BackDoor.Tishop.55 0,40%
- Win32.HLLM.MyDoom.54464 0,38%
- Trojan.PWS.Panda.655 0,36%
- Trojan.Packed.24450 0,35%
- Win32.HLLM.MyDoom.33808 0,31%
- Trojan.PWS.Stealer.3128 0,29%
- Trojan.Proxy.24953 0,28%
- Trojan.MulDrop4.35808 0,25%
- BackDoor.Comet.152 0,21%
- VBS.Rmnet.2 0,20%
- Trojan.Inor 0,17%
- SCRIPT.Virus 0,17%
- Trojan.DownLoader1.64229 0,17%
- Trojan.VbCrypt.8 0,16%
В свою очередь, рейтинг топ-20 вредоносных файлов, обнаруженных в июле на компьютерах пользователей, включил:
- SCRIPT.Virus 0,96%
- Exploit.SWF.254 0,73%
- Trojan.LoadMoney.1 0,72%
- Adware.InstallCore.122 0,68%
- Adware.Downware.915 0,55%
- Adware.Downware.179 0,52%
- Tool.Unwanted.JS.SMSFraud.26 0,51%
- Adware.Downware.1284 0,49%
- Adware.InstallCore.114 0,47%
- JS.IFrame.453 0,41%
- Adware.Toolbar.202 0,37%
- Adware.InstallCore.115 0,34%
- Adware.Downware.1132 0,34%
- Tool.Skymonk.11 0,34%
- Adware.InstallCore.101 0,34%
- Tool.Unwanted.JS.SMSFraud.29 0,31%
- Win32.HLLW.Shadow 0,31%
- Adware.Webalta.11 0,31%
- Adware.Downware.1317 0,30%
- Exploit.BlackHole.183 0,30%