Спецпроекты

Апрель 2011: владельцы мобильных телефонов под прицелом SMS-мошенников

Интернет Безопасность Администратору Новости поставщиков

«Лаборатория Касперского» представила обзор вирусной активности за апрель 2011 г., согласно которому в течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено свыше 221,3 млн сетевых атак, заблокировано более 73 млн попыток заражения через Web, обнаружено и обезврежено около 190 млн вредоносных программ (попытки локального заражения), отмечено свыше 86,6 млн срабатываний эвристических вердиктов.

В начале месяца получил продолжение скандал, связанный с массированными DDoS-атаками на русскоязычную блог-платформу «Живой Журнал». Начавшись в конце марта, они продолжались на протяжении нескольких дней в апреле. «Лаборатория Касперского» наблюдала за одним из ботнетов, ответственных за атаку, что позволило выяснить некоторые подробности инцидента. Некоторые косвенные признаки, по мнению специалистов «Лаборатории Касперского», указывали на то, что зомби-сеть, объединявшая зараженные троянской программой (ботом) Optima машины и принимавшая участие в DDoS-атаке, состояла из десятков тысяч зараженных компьютеров. Жертвами атаки стали популярные страницы блогеров-«тысячников» Рунета, доступ к которым был периодически затруднен.

В апреле неприятности коснулись и многих пользователей интерактивной среды PlayStation Network (PSN) и Sony Online Entertainment. В результате хакерской атаки их личные данные, включая электронные и почтовые адреса, даты рождения, логины и пароли, оказались в руках злоумышленников. Более того, компания Sony, которой принадлежат эти ресурсы, сообщила о краже информации о 12,7 тыс. банковских карт из устаревшей базы 2007 г. Учитывая тот факт, что в одной только PSN зарегистрировано порядка 75 млн аккаунтов, утечка персональных данных стала одной из крупнейших в истории, подчеркнули в «Лаборатории Касперского».

По информации компании, в минувшем месяце под прицелом злоумышленников постоянно оказывались и владельцы мобильных телефонов. Об этом свидетельствует активное продвижение SMS-троянов, которые отправляют платные сообщения на короткие номера. Одним из способов распространения этих зловредов стали спамовые SMS-сообщения, содержащие вредоносные ссылки. Файлы, на которые вели ссылки, детектировались «Лабораторией Касперского» как Trojan-SMS.J2ME.Smmer.f. Как установили эксперты компании, сайты, на которые вели такие ссылки, были созданы с помощью одного из популярных бесплатных онлайн-конструкторов.

В апреле специалисты «Лаборатории Касперского» зафиксировали рост активности эксплойтов, использующих уязвимости в продуктах Adobe. Один из таких экспойтов — Exploit.JS.Pdfka.dmg — оказался на девятом месте среди 20 наиболее распространенных программ в интернете. Злоумышленники уже в который раз используют одну и ту же тактику: на взломанном легальном ресурсе размещается вредоносный JavaScript, который эксплуатирует критическую уязвимость в одном из легальных продуктов Adobe. Если пользователь, использующий уязвимое ПО, попадает на легальный взломанный ресурс, то практически сразу же в результате срабатывания эксплойта на его компьютер незаметно загружается одна или несколько вредоносных программ — так реализуются уже ставшие классическими drive-by-download атаки. Компания Adobe закрыла очередной набор уязвимостей в своих продуктах Adobe Reader и Adobe Acrobat. Уровень опасности уязвимостей был обозначен как «Critical».

В свою очередь, корпорация Microsoft выпустила в апреле 17 бюллетеней, закрывающих уязвимости в различных продуктах Windows. Среди 63 уязвимостей, исправленных Microsoft, есть и патч для критической «дыры» MS11-020. Опасная брешь, открывающая возможность удаленного исполнения произвольного кода в нулевом кольце, была обнаружена в SMB Server. Данная уязвимость может эксплуатироваться с использованием специально сформированного SMB-пакета, отправляемого на уязвимую систему. Как подчеркнули в «Лаборатории Касперского», уязвимость представляет серьезную опасность — в прошлом обнаружение подобной уязвимости повлекло за собой появление такого червя, как Kido.

Вслед за закрытием ботнета Rustock в апреле были закрыты командные центры еще одного немаленького (порядка 2 млн зомби-машин) ботнета Coreflood. Большинство зараженных ботами машин располагалось на территории США, сообщили в «Лаборатории Касперского».

В целом апрельская двадцатка наиболее распространенных вредоносных программ в интернете выглядит следующим образом:

  1. AdWare.Win32.HotBar.dh 855838
  2. Trojan.JS.Popupper.aw 622035
  3. AdWare.Win32.Zwangi.fip 356671 New
  4. AdWare.Win32.Agent.uxx 300287 New
  5. AdWare.Win32.Gaba.eng 254277 New
  6. AdWare.Win32.FunWeb.jp 200347 New
  7. AdWare.Win32.FunWeb.kd 170909 New
  8. AdWare.Win32.Zwangi.fmz 161067 New
  9. Exploit.JS.Pdfka.dmg 140543 New
  10. Trojan.JS.Redirector.oy 138316 New
  11. Trojan-Ransom.Win32.Digitala.bpk 133301 New
  12. Trojan.JS.Agent.uo 109770
  13. Trojan-Downloader.JS.Iframe.cdh 104438
  14. AdWare.Win32.Gaba.enc 96553 New
  15. Trojan.HTML.Iframe.dl 95299
  16. Hoax.Win32.ArchSMS.pxm 94255
  17. Trojan-Downloader.Win32.Zlob.aces 88092 New
  18. Trojan-Ransom.JS.SMSer.hi 83885 New
  19. Trojan.JS.Iframe.ku 77796 New
  20. AdWare.Win32.FunWeb.jt 65895 New

В свою очередь, рейтинг топ-20 вредоносных программ, обнаруженных в апреле 2011 г. на компьютерах пользователей, включает:

  1. Net-Worm.Win32.Kido.ir 428587
  2. Net-Worm.Win32.Kido.ih 176792
  3. Virus.Win32.Sality.aa 176171
  4. Virus.Win32.Virut.ce 130140
  5. Virus.Win32.Sality.bh 121389
  6. Trojan.Win32.Starter.yy 113815
  7. Hoax.Win32.ArchSMS.pxm 86908
  8. HackTool.Win32.Kiser.zv 80900
  9. Trojan-Downloader.Win32.Geral.cnh 79573
  10. HackTool.Win32.Kiser.il 78526
  11. Hoax.Win32.Screensaver.b 73664
  12. Worm.Win32.FlyStudio.cu 71405
  13. AdWare.Win32.HotBar.dh 68923
  14. Trojan.JS.Agent.bhr 67435
  15. AdWare.Win32.FunWeb.kd 62858 New
  16. Virus.Win32.Sality.ag 55573 New
  17. Trojan-Downloader.Win32.VB.eql 53055
  18. Worm.Win32.Mabezat.b 52385
  19. Trojan.Win32.AutoRun.azq 47865
  20. Virus.Win32.Nimnul.a 47765 New