Спецпроекты

Безопасность Администратору Пользователю Интернет

Обзор вирусной обстановки за июль: новые угрозы для ОС Android и блокировщики Windows

Компания «Доктор Веб», российский разработчик средств информационной безопасности, представила обзор вирусной обстановки за июль 2011 г. По данным компании, в июле вновь активизировались создатели «винлоков» и разработчики вредоносного ПО для мобильной платформы Android. Кроме того, специалистами «Доктор Веб» было обнаружено и обезврежено множество других опасных угроз.

Создатели вредоносных программ для мобильной ОС Android продолжают «радовать» пользователей очередными новинками. Так, в июле специалистами «Доктор Веб» в вирусные базы были добавлены описания 29 новых угроз для этой платформы, среди которых следует отметить две новых модификации трояна Android.Gongfu и программу Android.Ggtrack.1-2, предназначенную для кражи денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.

Кроме того, в июле была обнаружена и добавлена в базы программа-шпион Android.GoldDream.1. Эта вредоносная программа для Android, как и ее предшественницы, встроена в предназначенные для мобильных устройств легитимные приложения, такие как игры Drag Racing и Draw Slasher, и распространяется через альтернативные сайты-сборники ПО. Будучи запущенным в операционной системе, троян регистрируется в качестве фонового сервиса, собирает информацию об инфицированном устройстве, включая телефонный номер абонента и номер IMEI, после чего передает ее злоумышленникам на удаленный сервер. Вслед за этим Android.GoldDream.1 начинает отслеживать все входящие SMS-сообщения, а также входящие и исходящие телефонные звонки, и записывать сведения об этих событиях (в том числе телефонный номер, с которого или на который выполнялся звонок или отправлялось сообщение, а также само содержимое SMS) в хранящийся локально файл. Впоследствии этот файл может быть извлечен и передан авторам программы-шпиона. Кроме того, Android.GoldDream.1 в состоянии выполнять поступающие от удаленного центра команды для осуществления несанкционированной рассылки SMS, телефонных звонков, а также установки различных программ.

За истекший месяц специалистами «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к банковским системам. Среди них — Trojan.Carberp.1. Этот троян обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью троянской программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных.

Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т.д. Кроме того, троян имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.

Примерно с мая 2011 г. в «Доктор Веб» стали фиксировать случаи появления программ-вымогателей, ориентированных на западную аудиторию. Одной из них стала программа Trojan.Winlock.3794, собирающая у пользователей данные банковских карт. Среди реквизитов, которые троян передает злоумышленникам — имя, фамилия, дата рождения и адрес держателя карты, его телефонный номер, дата окончания срока действия карты, ее номер, код CVV2 и даже пинкод. Как подчеркнули в «Доктор Веб», это — первый случай появления трояна-блокировщика, собирающего данные о банковских картах. Ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное SMS-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.

Наиболее популярным именем файла, в котором скрываются подобные трояны, является xxx_video.exe (37,8% случаев заражения), на втором месте — pornoplayer.exe (28,6%), на третьем — xxx_video.avi (9,6%), причем в последнем случае упоминание файла с расширением .avi имеет именно вредоносная ссылка; сам файл, в котором содержится троян, может иметь иное имя и расширение. Такие имена вредоносных файлов, как install_flash_player.exe (1%), ponostar_video.exe и mpeg.exe (по 0,4%), скромно заняли последние строчки рейтинга. Таким образом, наиболее популярным способом распространения троянских программ семейства Trojan.Winlock по-прежнему являются порносайты, с которых пользователи загружают троянов под видом программы-проигрывателя либо видеоролика, сообщили в «Доктор Веб».

В последних числах июля 2011 г. был зафиксирован всплеск заражений троянской программой Trojan.Mayachok.1: многие пользователи неожиданно столкнулись с невозможностью выйти в интернет. При попытке открыть в окне браузера какой-либо сайт троян перенаправлял пользователя на заранее определенный URL, демонстрируя веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение. Если пользователь следовал указаниям злоумышленников, с его счета незамедлительно списывались средства. Один из способов распространения трояна — сообщения социальной сети «ВКонтакте»: пользователям предлагается скачать документ в формате .rtf, якобы рассказывающий о специальной программе для просмотра посещающих страницу пользователя гостей.

Данная угроза была не единственной, так или иначе затронувшей соцсеть «ВКонтакте» — к таковым можно отнести и распространение троянской программы Trojan.VkSpam, инфицирующей компьютеры благодаря спам-рассылкам на сайте «ВКонтакте». Как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя «ВКонтакте». И в том, и в другом случае троян демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения. Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя.

Кроме того, в июле был обнаружен троян, крадущий у пользователей не файлы электронных кошельков или реквизиты доступа к платежным системам, а вычислительные ресурсы. На сегодняшний день известно несколько вредоносных программ, занимающихся майнингом, или, иными словами, «добычей» электронной валюты Bitcoin, в частности, Trojan.Coinbit и некоторые версии Trojan.VkBase. Новый троян, Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Распространяется эта вредоносная программа с различных ресурсов, никак не связанных с официальным сайтом проекта Bitcoin, отметили в «Доктор Веб».

Компания также опубликовала рейтинги наиболее распространенных в июле вредоносных программ в почтовом трафике и на компьютерах пользователей. Так, в топ-20 зловредов, обнаруженных в почтовом трафике, вошли:

  1. Trojan.Tenagour.3 21388 (14,56%)
  2. Win32.HLLM.MyDoom.54464 17624 (11,99%)
  3. Win32.HLLM.MyDoom.33808 15827 (10,77%)
  4. Win32.HLLM.Netsky.18401 7746 (5,27%)
  5. Win32.HLLM.MyDoom.based 7464 (5,08%)
  6. Win32.HLLM.Netsky 6676 (4,54%)
  7. Win32.HLLM.Netsky.35328 5216 (3,55%)
  8. Trojan.PWS.Banker.57999 3906 (2,66%)
  9. Trojan.DownLoad2.31588 3032 (2,06%)
  10. BackDoor.IRC.Nite.60 2646 (1,80%)
  11. Trojan.Packed.21790 2579 (1,76%)
  12. Trojan.DownLoader4.3483 2421 (1,65%)
  13. Trojan.DownLoader4.372 2184 (1,49%)
  14. Trojan.MulDrop1.54160 2142 (1,46%)
  15. Win32.HLLM.Beagle 2071 (1,41%)
  16. Trojan.PWS.Siggen.18719 1758 (1,20%)
  17. Win32.HLLM.Perf 1472 (1,00%)
  18. Win32.HLLW.Autoruner.52856 1420 (0,97%)
  19. Exploit.IframeBO 1350 (0,92%)
  20. Win32.HLLM.MyDoom.33 1257 (0,86%)

В свою очередь, июльский рейтинг топ-20 вирусов, обнаруженных на пользовательских компьютерах, включает:

  1. JS.Click.218 114599272 (60,12%)
  2. Win32.Siggen.8 13149524 (6,90%)
  3. JS.IFrame.112 11440667 (6,00%)
  4. Win32.Rmnet.12 10631422 (5,58%)
  5. JS.IFrame.95 8711978 (4,57%)
  6. JS.IFrame.117 5662466 (2,97%)
  7. JS.Click.222 4025723 (2,11%)
  8. Win32.HLLP.Neshta 3667732 (1,92%)
  9. Trojan.MulDrop1.48542 3646674 (1,91%)
  10. Win32.HLLP.Whboy.101 2548789 (1,34%)
  11. JS.Click.223 2054152 (1,08%)
  12. Win32.HLLP.Rox 1763730 (0,93%)
  13. VBS.Redlof 1121512 (0,59%)
  14. Win32.HLLW.Whboy 811492 (0,43%)
  15. Win32.Gael.3666 648264 (0,34%)
  16. Trojan.NtRootKit.10544 507715 (0,27%)
  17. Trojan.PWS.Ibank.300 336559 (0,18%)
  18. Win32.HLLP.Whboy 247904 (0,13%)
  19. Exploit.Cpllnk 223049 (0,12%)
  20. Trojan.DownLoader4.10788 189955 (0,10%)

Среди стран, размещающих на своих серверах раздающие вредоносное ПО сайты, в июле первое место заняла Россия — с показателем 58,8%. Ее догоняют США, но с серверов этого государства пользователями загружается всего лишь 15,6% троянов. На третьем месте Украина (7,1%), ненамного опережающая республику Молдова (6,8%), которая, в свою очередь, вырвалась вперед относительно Канады (3,1%). Затем следуют Румыния (2,3%), Япония (2,3%), Германия (1,7%) и замыкают список Израиль, Корея и Бразилия (1,3% и по 0,5% соответственно).

Татьяна Короткова

Короткая ссылка