04 Февраля 2011 11:02 04 Фев 2011 11:02 |

Поделиться

«Лаборатория Касперского»: обзор вирусной активности за январь 2011 г.

Согласно ежемесячному обзору вирусной активности «Лаборатории Касперского», январь 2011 г. был отмечен ростом количества мошеннических схем, применяемых злоумышленниками. В целом в течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено 213 915 256 сетевых атак, заблокировано 68 956 183 попыток заражения через Веб, обнаружено и обезврежено 187 234 527 вредоносных программ (попытки локального заражения), а также отмечено 70 179 070 срабатываний эвристических вердиктов, говорится в отчете компании.

По данным «Лаборатории Касперского», ключевым элементом большинства схем работы кибермошенников стали SMS-сообщения. Так, на ряде сайтов пользователям предлагалась возможность обновить популярный браузер Internet Explorer, однако процесс «установки» неожиданно завершался необходимостью «активировать» ПО с помощью SMS-сообщения, отправленного на указанный премиум-номер. В обмен на 300 руб., потраченных на SMS, пользователь получал ссылку на официальный ресурс, с которого Internet Explorer 8 распространяется совершенно бесплатно. Такие мошеннические веб-страницы детектируются продуктами «Лаборатории Касперского» как Hoax.HTML.Fraud.e, и по итогам месяца этот вердикт занял 17 место в топ-20 вредоносных программ в интернете.

У мошенников Сети по-прежнему популярен и другой способ наживы — поддельные архивы. В этом месяце новая модификация Hoax.Win32.ArchSMS.mvr попала в топ-20 сразу в обоих рейтингах: и вредоносных программ в интернете (11 место), и зловредов, обнаруженных на компьютерах пользователей (17 место).

Поживиться с помощью SMS пытались и мошенники, решившие воспользоваться популярностью продуктов «Лаборатории Касперского»: на сайте, название которого отличалось от kaspersky.ru всего на одну букву, пользователям предлагалось скачать «новогодний подарок» – бесплатный Kaspersky Internet Security 2011. Вместо KIS2011 на компьютер загружался зловред Trojan-Ransom.MSIL.FakeInstaller.e, установка которого приводила к перезапуску компьютера. После перезагрузки троян почему-то показывал фальшивое окно социальной сети «Одноклассники» с сообщением о том, что пользователь выиграл телефон Samsung Galaxy S, который можно получить всего за 1200 руб. (около €30). Чтобы подтвердить «выигрыш», необходимо было отправить SMS-сообщение на премиум-номер. За отправку SMS со счета снималась определенная сумма, и на этом история с «выигрышем» заканчивалась.

Кроме того, после новогодних праздников «Лабораторией Касперского» был обнаружен троян-дроппер, замаскированный под генератор ключей для продуктов «ЛК». Дроппер устанавливает и запускает на компьютерах любителей «бесплатного сыра» два опасных зловреда. Один из них ворует регистрационные данные от программ и пароли к онлайн-играм, второй — бэкдор, которы, к тому же, обладает функционалом кейлоггера.

Достаточно часто в январе жертвами злоумышленников становились владельцы мобильных телефонов, отметили в «Лаборатории Касперского». Пройдя по полученной в SMS-сообщении ссылке на «виртуальную открытку», пользователь активировал троянскую программу, которая отправляла SMS на номер, используемый оператором связи для перевода денег с одного счета на другой. В результате подобной операции пользователь в среднем терял около 200 руб.

В то же время, в январе 2011 г. атаки через Twitter, ставшие популярными в декабре 2010 г., не потеряли свою актуальность: за ссылками, укороченными при помощи сервиса goo.gl, скрывались фальшивые антивирусы, предлагающие пользователю заплатить за удаление «найденных» вредоносных программ. Действовал фальшивый антивирус по декабрьскому сценарию: открывал на странице окно, напоминающее окно «Мой Компьютер», имитировал сканирование машины и предлагал пользователю заплатить за удаление «найденных» вредоносных программ.

По-прежнему активно распространяются рекламные программы. Занявшая 12 место в рейтинге вредоносных программ в интернете AdWare.Win32.WhiteSmoke.a без согласия пользователя добавляет на рабочий стол ярлык Improve your PC. После того как пользователь щелкает по нему мышкой, открывается страница с предложением «очистить компьютер от ошибок». Если владелец компьютера соглашается на это предложение, на его компьютер устанавливается программа под названием RegistryBooster 2011, которая просканирует компьютер и потребует заплатить за исправление обнаруженных ошибок.

Компонент популярного рекламного софта FunWeb — Hoax.Win32.ScreenSaver.b — впервые попал в топ-20 вредоносных программ, заблокированных на компьютерах пользователей, но занял сразу 4 место. FunWeb — одно из популярных семейств рекламных программ, представители которого на протяжении года регулярно попадают в рейтинги самых популярных зловредов. Такие рекламные программы преобладают в англоговорящих странах: США, Канаде, Великобритании, а также в Индии, сообщили в «Лаборатории Касперского».

Взаимный спрос: как рост медтеха в России формирует приток ИТ-специалистов в отрасль

Маркет

В двадцатку самых распространенных угроз, заблокированных на компьютерах пользователей, в январе попал эксплойт Exploit.JS.Agent.bbk (20 место), который использует уязвимость CVE-2010-0806. Несмотря на то что уязвимость была исправлена ещё в конце марта 2010 г. (патч здесь), помимо Agent.bbk ее эксплуатируют еще несколько зловредов из топ-20 (6 и 13 места). Таким образом, брешь в ПО до сих пор не закрыта на множестве компьютеров, и ее эффективно используют злоумышленники, подчеркнули в компании.

По информации «Лаборатории Касперского», загрузка вредоносных файлов с помощью Java-зловредов методом OpenConnection, которая начала использоваться злоумышленниками в октябре прошлого года, в настоящее время является одним из самых популярных способов загрузки. Два новых представителя семейства Trojan-Downloader.Java.OpenConnection попали в январскую топ-20 вредоносных программ в интернете (9 и 20 места).

Кроме того, в январе появился новый почтовый червь — Email-Worm.Win32.Hlux. Распространяется он с помощью сообщений о полученной поздравительной электронной открытке, которое содержит ссылку на страницу с предложением установить Flash Player для корректного отображения открытки. При попытке загрузить Flash Player открывается диалоговое окно, в котором пользователя спрашивают, согласен ли он скачать файл. Независимо от ответа пользователя, червь пытается проникнуть на его компьютер: через пять секунд после открытия диалогового окна происходит редирект на страницу, содержащую набор эксплойтов и программы семейства Trojan-Downloader.Java.OpenConnection, которые начинают загрузку Hlux на компьютер.

Червь, помимо самораспространения по почте, обладает функционалом бота и включает зараженный компьютер в ботнет. Hlux связывается с командным центром ботнета и выполняет его команды — в частности, рассылает фармацевтический спам. Бот общается с командным центром через прокси-серверы fast-flux сети. Если зараженный компьютер обладает внешним IP-адресом, то он может использоваться как звено Fast-Flux сети. Большое количество зараженных машин позволяет злоумышленникам очень часто менять IP-адреса доменов, на которых расположены командные центры ботнета, сообщили в «Лаборатории Касперского».

В тренде мультиоблако — изучаем плюсы и минусы

Облака

В целом рейтинг топ-20 вредоносных программ в интернете выглядит следующим образом:

1. AdWare.Win32.HotBar.dh 169173
2. Trojan-Downloader.Java.OpenConnection.cf 165576
3. Exploit.HTML.CVE-2010-1885.aa 140474 New
4. AdWare.Win32.FunWeb.gq 114022 New
5. Trojan.HTML.Iframe.dl 112239
6. Trojan.JS.Redirector.os 83291 New
7. Trojan-Clicker.JS.Agent.op 82793
8. Trojan.JS.Popupper.aw 80981
9. Trojan-Downloader.Java.OpenConnection.cg 66005 New
10. Trojan.JS.Agent.bhr 53698
11. Hoax.Win32.ArchSMS.mvr 47251 New
12. AdWare.Win32.WhiteSmoke.a 44889 New
13. Trojan.JS.Fraud.ba 44561
14. Exploit.JS.Agent.bab 42800
15. Trojan.JS.Redirector.lc 42231
16. Exploit.Java.CVE-2010-0886.a 41232
17. Hoax.HTML.Fraud.e 37658 New
18. Trojan-Clicker.JS.Agent.om 36634 New
19. Trojan-Downloader.JS.Small.os 35857
20. Trojan-Downloader.Java.OpenConnection.cx 35629 New

В свою очередь, рейтинг топ-20 вредоносных программ, обнаруженных на компьютерах пользователей, включает:

1. Net-Worm.Win32.Kido.ir 466686
2. Virus.Win32.Sality.aa 210635
3. Net-Worm.Win32.Kido.ih 171640
4. Hoax.Win32.Screensaver.b 135083 New
5. AdWare.Win32.HotBar.dh 134649
6. Trojan.JS.Agent.bhr 131466
7. Virus.Win32.Sality.bh 128206
8. Virus.Win32.Virut.ce 114286
9. HackTool.Win32.Kiser.zv 104673 New
10. Packed.Win32.Katusha.o 90870
11. HackTool.Win32.Kiser.il 90499 New
12. Worm.Win32.FlyStudio.cu 85184
13. Exploit.JS.Agent.bab 77302
14. Trojan-Downloader.Win32.Geral.cnh 62426
15. Trojan-Downloader.Win32.VB.eql 58715
16. Worm.Win32.Mabezat.b 58579
17. Hoax.Win32.ArchSMS.mvr 50981 New
18. Packed.Win32.Klone.bq 50185
19. Worm.Win32.Autoit.xl 43454
20. Exploit.JS.Agent.bbk 41193 New

Татьяна Короткова

Поделиться

Подписаться на новости Короткая ссылка