03 Марта 2009 10:03 03 Мар 2009 10:03 |

Поделиться

«Доктор Веб» представил обзор вирусной обстановки за февраль 2009 г.

Компания «Доктор Веб» представила обзор вирусной активности за февраль 2009 г. За последний месяц, по данным «Доктор Веб» значительно выросло число вредоносных программ, с помощью которых пополняется число компьютеров, из которых состоят бот-сети. Кроме того, злоумышленники все чаще используют в интернете схемы, близкие к «финансовым пирамидам».

По-прежнему, большое количество вредоносных программ распространяется с целью увеличения числа так называемых зомби-компьютеров, из которых строятся гигантские бот-сети, охватывающие практически весь интернет. По информации «Доктор Веб», в настоящее время активно развиваются такие бот-сети, как Tdss и Virut.

Наиболее часто владельцы бот-сети Tdss используют следующий метод заражения: через съёмные носители и в виде фальшивых кодеков для проигрывания видео-файлов на компьютер пользователя поступает и запускается вредоносный файл, который определяется Dr.Web как Win32.HLLW.Autoruner.4612. После запуска вирус заражает все доступные жёсткие и съёмные диски, а затем создаёт свой второй компонент - вредоносный файл, который также определяется как Win32.HLLW.Autoruner.4612.

Для запуска данного компонента вирус создаёт модифицированную копию одной из системных библиотек, определяемую Dr.Web как Trojan.Starter.896, а также осуществляется перезапуск одной из системных служб для того, чтобы система начала использовать модифицированную библиотеку.

Win32.HLLW.Autoruner.4612 является бэкдором, так как выполняет действия по команде злоумышленника незаметно от пользователя. Однако набор возможных действий данного бэкдора ограничен загрузкой и исполнением файлов, загружаемых с заранее подготовленного сервера. Передача файлов инициируется Win32.HLLW.Autoruner.4612 самостоятельно. В ответ на этот запрос сервер бот-сети Tdss передаёт зашифрованные данные, представляющие из себя исполняемые файлы и инструкции, необходимые для установки загружаемых вредоносных программ и их запуска.

Одной из загружаемых Win32.HLLW.Autoruner.4612 программ с сервера бот-сети Tdss является троян Trojan.DnsChange.1008. Эта вредоносная программа изменяет DNS-сервера на компьютере пользователя, что может привести как к перехвату пользовательского интернет-трафика, так и в целом к блокировке доступа в интернет.

Владельцы бот-сети Virut для заражения компьютеров используют полиморфный файловый вирус Win32.Virut, который заражает исполняемые файлы Windows, а также записывает в конец HTML-документов специальный тег, с помощью которого при открытии такого документа активируется загрузка вредоносных программ с серверов бот-сети. Таким механизмом работы Win32.Virut объясняется его значительное присутствие в почтовом трафике – пользователи часто прикладывают HTML-документы к своим письмам, многие из которых оказываются заражёнными Win32.Virut, что выводит этот вирус на первые места в статистике вредоносного почтового трафика в условиях отсутствия крупномасштабных массовых рассылок писем с вредоносными вложениями, отмечается в отчете «Доктор Веб».

Win32.Virut.56 содержит в себе собственную реализацию IRC-клиента, с помощью которого данная вредоносная программа может получать команды по скачиванию и запуску других вредоносных программ на заражённом компьютере.

В течение первой половины февраля 2009 г. в почтовом трафике значительное количество вредоносных почтовых сообщений содержали ссылки на вредоносные сайты с якобы открытками, приуроченными ко дню Святого Валентина. На самом деле вместо открытки по ссылке пользователь скачивал одну из множества модификаций Trojan.Spambot – вредоносной программы, которая занимается несанкционированной рассылкой спама с заражённых компьютеров.

В отчете «Доктор Веб» также отмечаются действия следующей вредоносной программы – Trojan.Encoder.36, которая записывает свой код к пользовательским документам, что приводит к невозможности их открыть. Но из-за ошибки, допущенной автором данной вредоносной программы, после порчи документов не выводится сообщение с контактными данными злоумышленника и параметрами электронного счёта, на который по задумке пользователи должны были отправлять денежные средства за расшифровку документов. Для восстановления файлов, испорченных Trojan.Encoder.36 достаточно просканировать их антивирусом Dr.Web.

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

По оценкам экспертов «Доктор Веб», в последние месяцы количество спам-рассылок с вредоносными вложениями значительно сократилось. Но и в настоящее время встречаются единичные рассылки подобного типа. В одной из спам-рассылок конца февраля сообщалось о том, что одна из фотографий пользователя была размещена в интернете. Эта фотография якобы прикреплена к письму в виде zip-архива. В архиве расположен файл Foto_Jenna.Jpg[множество символов подчёркивания].exe, который определяется антивирусом Dr.Web как Trojan.DownLoad.9125.

Авторы спам-рассылок всё чаще пользуются повышенным интересом населения к теме нестабильной финансовой обстановки. Всё чаще приходят сообщения, в которых предлагается поучаствовать в финансовых схемах, похожих на «финансовые пирамиды», либо предлагаются другие способы «быстро заработать в интернете».

Многие предприятия в последние месяцы испытывают проблемы, связанные с недостаточностью заказов на выпускаемую продукцию или оказываемые услуги, поэтому всё чаще происходят рассылки, в которых предлагается «реклама в интернете», которая на самом деле ограничивается рассылкой обычных спам-писем, содержащих рекламу. Именно благодаря подобным рекламным рассылкам во второй половине февраля 2009 г. значительно увеличился общий поток спама, который при сохранении данной тенденции может уже в следующем месяце превысить уровень первой половины декабря прошлого года до закрытия нескольких крупных спам-хостеров, полагают в «Доктор Веб».

Что касается фишинга и других методов мошенничества, то в последнее время сократилось число подобных рассылок на английском языке. При этом увеличилось число локализованных сообщений. В частности, в феврале были замечены фишинг-рассылки, нацеленные на клиентов «Правэкс-банка» (Украина) и клиентов Raiffeisen Bank, находящихся в Румынии.

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

«Доктор Веб» также опубликовал две вирусные двадцатки. В первой таблице представлены вредоносные файлы, обнаруженные в феврале в почтовом трафике:

1. Win32.Virut 13836 (18,60%)
2. Win32.HLLM.MyDoom.based12512 (16,82%)
3. Trojan.MulDrop.18280 5777 (7,77%)
4. Trojan.MulDrop.13408 4829 (6,49%)
5. W97M.Thus 4276 (5,75%)
6. Trojan.MulDrop.16727 3896 (5,24%)
7. Win32.HLLM.Alaxala 3608 (4,85%)
8. Win32.HLLM.Netsky 2222 (2,99%)
9. Win32.HLLM.Beagle 2130 (2,86%)
10. Trojan.MulDrop.19648 1254 (1,69%)
11. Win32.HLLM.Netsky.35328 1142 (1,54%)
12. Win32.HLLM.Mailbot 1101 (1,48%)
13. Trojan.MulDrop.30412 1046 (1,41%)
14. Win32.HLLM.MyDoom.33 1020 (1,37%)
15. JS.Nimda 901 (1,21%)
16. BackDoor.Poison.78 821 (1,10%)
17. Trojan.MulDrop.17431 811 (1,09%)
18. Win32.Virut.5 804 (1,08%)
19. Win32.HLLW.Shadow.3 783 (1,05%)
20. Win32.HLLM.Netsky.based 651 (0,88%)

Вторая таблица содержит вредоносные файлы, обнаруженные в феврале на компьютерах пользователей:

1. Win32.HLLW.Gavir.ini 1556095 (15,68%)
2. Win32.HLLW.Shadow.based 560465 (5,65%)
3. VBS.Redlof 407678 (4,11%)
4. Win32.Alman 386225 (3,89%)
5. Exploit.PDF.56 353381 (3,56%)
6. Win32.HLLW.Autoruner.5555 341004 (3,44%)
7. Trojan.MulDrop.30306 281284 (2,83%)
8. Win32.Virut.5 268992 (2,71%)
9. Win32.HLLW.Recycler.3 251237 (2,53%)
10. Trojan.Packed.2352 247824 (2,50%)
11. Win32.Sector.17 214765 (2,16%)
12. Trojan.Starter.881 207379 (2,09%)
13. Win32.HLLM.Lovgate.2 142409 (1,43%)
14. Win32.HLLW.Autoruner.6126 138424 (1,39%)
15. Win32.HLLP.Jeefo.36352 125123 (1,26%)
16. Trojan.PWS.Wsgame.4983 114527 (1,15%)
17. Trojan.DownLoader.42350 113574 (1,14%)
18. Trojan.Siggen.2002 112159 (1,13%)
19. Win32.HLLP.Neshta 111203 (1,12%)
20. DDoS.Kardraw 109968 (1,11%)

Татьяна Короткова

Поделиться

Подписаться на новости Короткая ссылка