Август в цифрах или обзор вирусной активности в августе 2012 года


Hit Web

В августе месяце 2012 года произошла

  • Заметная активизация вирусописателей и сетевых мошенников.
  • В середине месяца была зафиксирована крупнейшая за минувшее полугодие волна взломов веб-сайтов в Рунете с целью распространения вредоносного ПО для мобильных устройств.
  • В распространении опасных троянов, таких как Trojan.Mayachok.1, были уличены и создатели платных архивов.
  • Число обнаруженных новых угроз по сравнению с июлем 2012 года несколько возросло.

Вирусная обстановка
По данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt! в августе 2012 года, наиболее распространенными вредоносными программами на компьютерах пользователей по-прежнему являются:

  • Trojan.Mayachok.1. Количество обнаруженных экземпляров трояна по сравнению с предыдущим месяцем выросло на 6,5%. Этот рост можно связать с тем, что Trojan.Mayachok.1 начали активно распространять создатели платных архивов - Trojan.SMSSend.

  • BackDoor.Butirat.91. Программа способная выполнять поступающие с удаленного сервера команды, а также загружать и запускать на инфицированном ПК различные файлы. Число обнаружений этой угрозы на 87,1% меньше по отношению к количеству выявленных экземпляров Trojan.Mayachok.1. В то же время общее количество компьютеров, инфицированных BackDoor.Butirat.91, за истекший месяц выросло на 41,8%.

  • Trojan.SMSSend. Число обнаруженных на инфицированных компьютерах экземпляров вредоносных программ этого семейства осталось практически на прежнем уровне. К семейству Trojan.SMSSend относятся архивы, максимально правдоподобно имитирующие программу установки различных популярных приложений. При открытии такого архива пользователю предлагается либо отправить на короткий номер платное СМС-сообщение, либо указать собственный мобильный телефон и ввести в специальное поле код, полученный в ответном СМС, подписавшись, таким образом, на какую-нибудь ненужную услугу с абонентской платой. Внутри архива, как правило, оказывается какой-либо бесполезный "мусор", т.е. жертва не получает того, за что заплатила деньги.


Однако, создатели одной из партнерских программ по распространению платных архивов — ZIPPRO — сначала стали устанавливать на компьютеры скачавших архив пользователей тулбар "Спутник@Mail.Ru" и браузер "Интернет@Mail.ru", а был обнаружен в комплекте устанавливаемых жертве приложений еще и троян Trojan.Mayachok.1. Основная опасность таких архивов заключается в том, что заражение другими вредоносными программами может произойти уже в момент запуска подобного приложения, даже если пользователь сразу закроет окно платного архива.

Наиболее популярные вредоносные программы, обнаруженные на компьютерах пользователей в августе с использованием лечащей утилиты Dr.Web CureIt!

T1

Среди угроз, выявленных в течение месяца в почтовом трафике, лидируют:

  • бэкдор BackDoor.Andromeda.22;
  • троян Trojan.Oficla.zip;
  • троян Trojan.Necurs.21;
  • сетевой червь Win32.HLLM.MyDoom.54464;
  • сетевой червь Win32.HLLM.MyDoom.33808;
  • сетевой червь Win32.HLLM.Netsky.35328.


Ботнеты
С момента обнаружения крупнейшей в истории бот-сети Backdoor.Flashback.39, состоящей из инфицированных "маков", прошло уже более четырех месяцев. На текущий момент объем бот-сети составляет 126781 зараженная машина, что на 21711 единиц меньше, чем в конце прошлого месяца. В целом темпы сокращения численности ботнета Backdoor.Flashback.39 заметно снизились.

В течение августа численность ботнета Win32.Rmnet.12 перевалила за четыре миллиона и составила 4351349 инфицированных компьютеров. В августе к бот-сети присоединилось еще порядка 500 тысяч зараженных узлов.

Динамика изменения численности ботнета Win32.Rmnet.12

Dinamika izmeneniya chislennosti botneta Win32.Rmnet.12 v avguste 2012

Наибольшую угрозу данный файловый вирус представляет в первую очередь для жителей стран Юго-Восточной Азии, а наибольшее число заражений приходится на долю таких государств, как

  • Индонезия;
  • Бангладеш;
  • Вьетнам;
  • Индия.


На территории России выявлено 105268 инфицированных машин, что составляет 2,4% от общего количества зараженных компьютеров.

Понемногу увеличивается и численность ботнета Win32.Rmnet.16. В течение августа к этой бот-сети присоединилось порядка 67 000 инфицированных ПК, в то время как ее общая численность составила 222300 узлов. Среднесуточный прирост ботнета составил примерно 1,5–2 тысячи зараженных узлов, однако к концу месяца резко сократился.

График изменения количества компьютеров, инфицированных файловым вирусом Win32.Rmnet.16

Dinamika izmeneniya chislennosti botneta Win32.Rmnet.16 v avguste 2012

Win32.Rmnet.16 по функциональным возможностям очень похож на Win32.Rmnet.12, однако имеет ряд существенных различий. Например, Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров генерируются по специальному алгоритму. Вирус способен обрабатывать поступающие от удаленного центра директивы, в частности:

  • команды на скачивание и запуск произвольного файла;
  • обновление вируса;
  • создание и отправку злоумышленникам снимка экрана;
  • команду уничтожения операционной системы.


Также Win32.Rmnet.16 умеет "убивать" процессы большинства наиболее распространенных антивирусных программ, что свидетельствует об опасности данной вредоносной программы.

Географически вирус наиболее распространен на территории

  • Великобритании - 72,1%;
  • Австралии - 24,9%.


В границах России Win32.Rmnet.16 распространения практически не имеет.

Основные государства, пострадавшие от действия вируса Win32.Rmnet.16

Gos-va postradavshie ot virusa Win32.Rmnet


Критическая уязвимость Java
В 20-х числах августа была обнаружена критическая уязвимость Java Runtime Environment версий 1.7x, названной CVE-2012-4681. Первые заметки о данной уязвимости были опубликованы 26 августа, а уже на следующий день уязвимость CVE-2012-4681 успела попасть в активно распространяемый среди злоумышленников пакет эксплойтов BlackHole Exploit Кit. Разработчик JRE, компания Oracle, выпустила соответствующее обновление безопасности 30 августа, т.е. через четыре дня после обнаружения уязвимости.

View Single Post

Специалистами компании "Доктор Веб" было проведено собственное расследование инцидента. Результатом было - выявление множеств TDS (Traffic Direction System), использующих данную уязвимость для создания цепочки перенаправлений пользователей на специально созданные веб-сайты, распространяющие вредоносное ПО. В одном из подтвержденных случаев для организации редиректов злоумышленники вносят изменения в файлы .htaccess на взломанных интернет-ресурсах. Адреса конечных узлов генерируются специальными скриптами динамически и видоизменяются каждый час. При этом URL, на котором заканчивается цепь перенаправлений, зависит от установленной на компьютере пользователя операционной системы. Так

  • пользователи Mac OS X - направлялись на сайт, с которого загружался Backdoor.Flashback.39 (в настоящее время сайт не действует);
  • обладатели мобильных устройств и пользователи ОС Linux - попадали на сайт поисковой системы Find-and-Go;
  • пользователи Windows — на веб-страницу, содержащую вызовы различных эксплойтов.

Find-and-Go

В настоящее время с использованием уязвимостей Java распространяется троянская программа Trojan.Rodricter.21, обладающая богатыми функциональными возможностями, включающими подмену пользовательских запросов, "накрутку" посещаемости различных сайтов и т. д. Была выявлена и альтернативная цепочка редиректов, в финале которой на компьютер жертвы загружается вредоносная программа - Trojan.DownLoader6.29607.

Специалисты компании полагают, что использование данных уязвимостей Java злоумышленниками представляет серьезную опасность для пользователей и может нанести им значительный ущерб. Аналитики настоятельно рекомендуют пользователям установить наиболее актуальные обновления безопасности.


Угрозы для мобильной платформы Android
В течение месяца было зафиксировано рекордное количество случаев взлома веб-сайтов с целью распространения вредоносных программ для мобильных платформ. Всего, по подсчетам специалистов "Доктор Веб", атакам подверглись более 2000 русскоязычных интернет-ресурсов, среди которых было отмечено множество популярных и посещаемых сайтов. Злоумышленники изменяли настройки сайтов так, чтобы при открытии веб-страницы на мобильном устройстве пользователь автоматически перенаправлялся на один из вредоносных ресурсов, с которых распространяются троянские программы семейства Android.SmsSend.

В августе получил распространение весьма любопытный троян Android.SmsSend.186.origin, также ориентированный на мобильную платформу Android. В отличие от большинства других вредоносных программ семейства Android.SmsSend, данный троян проникает на мобильное устройство с использованием специального дроппера. Еще одна отличительная черта Android.SmsSend.186.origin - троян обладает способностью сопротивляться попыткам его удаления.

Еще одна угроза для Android - Android.Luckycat.1.origin — троян, предназначенный для хищения пользовательской информации (такой как IMEI устройства, номер телефона, хранящиеся на устройстве файлы) и ее передачи на принадлежащий злоумышленникам сервер. Помимо этого Android.Luckycat.1.origin способен обрабатывать поступающие от злоумышленников команды. Также была выявлена целая группа вредоносных программ для мобильных платформ, относящаяся к знаменитому семейству Zeus/SpyEye — троянов, предназначенных для кражи паролей. Версия для ОС Android была добавлена в базы под именем Android.Panda.2.origin, версии для BlackBerry — BlackBerry.Panda.1, BlackBerry.Panda.2 и BlackBerry.Panda.3.

Также в августе было зафиксировано появление нового трояна-загрузчика для ОС Android - Android.DownLoader.5.origin. Активно распространялись троянские программы среди японских пользователей Android. В августе пользователи мобильных устройств из Страны восходящего солнца подверглись сразу нескольким массированным спам-атакам. Еще в августе было выявлено большое количество коммерческих шпионских программ.


Угроза месяца: Trojan.Mayachok.17516
Наиболее интересная троянская программа из всех, обнаруженных в августе 2012 года - новая модификация трояна Trojan.Mayachok - Trojan.Mayachok.17516.
Trojan.Mayachok.17516 - вредоносная программа, представляющая собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем

  • flash_player_update_1_12.exe

и запускается на исполнение.

User Account Control

В случае успешного запуска этот исполняемый файл расшифровывает содержащую трояна библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Основные функции Trojan.Mayachok.17516:

  • скачивание и запуск исполняемых файлов;
  • перехват сетевых функций браузеров.


С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит "накрутку" посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам передается информация о

  • зараженном компьютере;
  • версии операционной системы;
  • сведения об установленных браузерах;
  • и т. д.


Прочие угрозы августа
Во второй половине месяца было зафиксировано распространение троянской программы BackDoor.IRC.Codex.1, использующей для координации своих действий технологию IRC (Internet Relay Chat) — протокол, предназначенный для обмена сообщениями в режиме реального времени. Данная вредоносная программа способна

  • загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения;
  • принимать участие в DDoS-атаках;
  • передавать злоумышленникам информацию, вводимую пользователем в веб-формы;
  • красть пароли от популярных FTP-клиентов.


Специалисты "Доктор Веб" также установили, что для установки на компьютеры жертв вредоносного ПО создатели платных архивов разработали собственного трояна - Trojan.Zipro.

22 августа была обнаружена кросс-платформенная троянская программа BackDoor.Wirenet.1, предназначенная для кражи паролей и способной работать как в операционной системе Linux, так и в Mac OS X. Разработчики продают этот программный продукт в качестве шпионской программы, при этом существует версия BackDoor.Wirenet.1 для операционных систем Solaris и Microsoft Windows.

Китайские вирусописатели создали довольно сложную и многокомпонентную вредоносную программу Trojan.Xytets, которую можно одновременно отнести и к категории буткитов, и к категории руткитов. Троян состоит из восьми функциональных модулей различного назначения, обладает технологиями антиотладки, умеет инфицировать главную загрузочную запись и скрывать следы своего присутствия в инфицированной системе. Trojan.Xytets обладает весьма развитым вредоносным функционалом, разнообразие которого также отличает его в ряду других вредоносных программ.

Вредоносные файлы, обнаруженные в почтовом трафике в августе 2012 года

Vredonos faili v pochte v avguste 2012


Вредоносные файлы, обнаруженные в августе на компьютерах пользователей