Доктор Веб: Обзор вирусной активности в феврале 2014 года


Hit Web

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, лидерами среди угроз в январе стали:

  • Trojan.Packed.24524 - установщик рекламных программ и сомнительных приложений, распространяющийся злоумышленниками под видом легитимного ПО.
  • Trojan.LoadMoney.1 - рекламный троян.
  • Trojan.Triosir.1 - вредоносная программа, предназначенная для демонстрации навязчивой рекламы и подмены содержимого веб-страниц.


Напомним, что Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com). Известно, что основные модули трояна реализованы в виде плагинов (надстроек) к популярным браузерам.

ТОП 20 Вредоносных программ, обнаруженных на ПК пользователей лечащей утилитой Dr.Web CureIt! в феврале 2014 года

TOP20 Vredonos prog obnaruj na PK polzov v fevrale 2014


Ботнеты

Бот-сеть, созданная на базе файлового вируса Win32.Rmnet.12, все еще продолжает расти. Напомним, что данный вредонос способен:

  • распространяться без участия пользователя;
  • реализовать функции бэкдора;
  • похищать конфиденциальную информацию.


Темпы увеличения численности первой подсети Win32.Rmnet.12 немного снизились с 18 до 14 тыс. ежесуточно в январе и феврале соответственно.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в феврале 2014 года (1-я подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 v fevrale 2014 1set

Во второй подсети Win32.Rmnet.12 также произошло суточное снижение инфицируемых ПК - с 12 до 10 тыс. в январе и феврале соответственно.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в феврале 2014 года (2-я подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 v fevrale 2014 2set

Ботсеть, состоящая из вредоносного модуля Trojan.Rmnet.19, на конец января насчитывала 2 633, а спустя месяц — 2 523 зараженных ПК. Также по-прежнему действует и узкоспециализированный ботнет BackDoor.Dande, основное назначение которого - хищение информации из используемых аптеками и фармацевтическими компаниями автоматизированных систем заказа медикаментов. Его численность увеличилась по сравнению с последней неделей января на 93 зараженные машины и составила 1023 ПК.

Количество компьютеров производства компании Apple, зараженных троянской программой для Mac OS X, известным под наименованием BackDoor.Flashback.39 - немного сократилось. На конец января в данной бот-сети насчитывалось 28 160 зараженных "маков", а на конец февраля их количество сократилось до 22 773. Здесь лидерами по числу заражений BackDoor.Flashback.39 являются США и Канада.

Продолжается рост бот-сети, состоящей из устройств с ОС Android, и управляемой вредоносом Android.Oldboot.1.origin. Данная вредоносная программа размещает один из своих компонентов в загрузочном разделе файловой системы, который запускает трояна одновременно с загрузкой ОС Android. Получается, что часть трояна Android.Oldboot устанавливается в систему как обычное Android-приложение и в дальнейшем функционирует в качестве системного сервиса, подключаясь к удаленному серверу злоумышленников и получая от него различные команды. Попадает данная угроза на мобильные устройства при помощи модифицированной версии прошивки, содержащей необходимые для работы трояна изменения. Удаление вредоносного приложения зачастую не дает должного результата, т.к. при последующей загрузке устройства, внедренный в файловую систему скрипт, выполнит их повторную установку и вновь инфицирует файловую систему.

На сегодняшний день численность ботнета составляет около 400 тыс. зараженных устройств, подсчитанных по уникальным IMEI в период с 1 по 27 февраля. Напомним, что ранее подсчет велся по IP-адресам, зарегистрированным на управляющем сервере.

Прирост бот-сети по числу IP-адресов, зарегистрированных в период с 22 января по 27 февраля 2014 года

Prirost botseti po chislu ip-adress zaregistr c yanvarya po fevral 2014

В настоящее время помимо данных об IP-адресах удалось получить статистику по уникальным IMEI инфицированных устройств.

Динамика прироста бот-сети Android.Oldboot в феврале 2014 года (статистика по IMEI)

Dinamika prirosta botseti Android.Oldboot v fevrale 2014


Нашествие рекламных троянов

В феврале огромной популярностью пользовались вредоносные программы, подменяющие рекламные модули при просмотре веб-сайтов, а также демонстрирующие назойливую рекламу в окнах браузеров. Так в начале месяца в вирусные базы был добавлен троян Trojan.Admess.1, маскирующийся под проигрыватель Adobe Flash и устанавливающий в качестве надстройки к браузерам

  • Microsoft Internet Explorer;
  • Mozilla Firefox;
  • Opera;
  • Google Chrome.


Основное предназначение данной троянской программы — подмена рекламных модулей (и демонстрация новых) при просмотре пользователем различных веб-страниц.

Vredonos v rasshirenii Adobe Flash Player

Следующая угроза февраля - Trojan.Triosir.1 - троянская программа, устанавливающаяся на инфицированных компьютерах в виде надстройки к браузеру и распространяющаяся под видом "полезного" приложения. По собранной статистике, рекламные трояны Trojan.Admess.1, Trojan.Triosir.1, Trojan.Zadved.1 неизменно находятся в верхней части списка вредоносных программ, обнаруживаемых на компьютерах пользователей.


Прочие угрозы февраля

В феврале специалисты Dr.Web выявили троянскую программу Trojan.CoinThief, предназначенную для кражи криптовалюты на устройствах, работающих под управлением Mac OS X. Основное функциональное назначение данного вредоноса — мониторинг трафика с целью хищения приватных данных из приложений для добычи электронной криптовалюты Bitcoin и Litecoin. Если на инфицированном компьютере уже установлен клиент платежной системы Bitcoin-Qt, тогда Trojan.CoinThief модифицирует эту программу и похищает приватные данные непосредственно из нее.

Другой вредонос Trojan.PWS.OSMP.21, был создан злоумышленниками для атаки на терминалы одной из наиболее популярных в России платежных систем. Распространяется троянская программа в виде динамической библиотеки, которая проникает в терминал с использованием инфицированного флеш-накопителя и прописывает себя в отвечающую за автозагрузку ветвь системного реестра Windows под именем Taskbar.

AutorunTrojan.PWS.OSMP.21

Троян отыскивает на зараженном устройстве конфигурационный файл, файлы журналов, а также собирает информацию о жестком диске устройства, после чего собранные данные в зашифрованном виде передает на принадлежащий злоумышленникам сервер.

Следующую троянскую программу Trojan.PWS.Papras.4 можно отнести к категории RAT (средство удаленного администрирования).


Угрозы для мобильной платформы Android

Для пользователей Android-устройств февраль также оказался весьма насыщенным в плане событий, связанных с информационной безопасностью. Так, в начале месяца было обнаружено несколько приложений, встроенных в различные образы операционной системы Android и выполнявших скрытую отправку СМС-сообщений. Например, троянская программа Android.SmsSend.1081.origin представляющая собой аудиоплеер, который без предупреждения пытается зарегистрировать пользователей в китайском музыкальном онлайн-сервисе, отправив для этого СМС, содержащее IMSI-идентификатор.

Другой схожий по функционалу троян был встроен в одно из модифицированных системных приложений и также незаметно выполнял отправку СМС, но уже с информацией об IMEI-номере мобильного устройства.

Также не осталась без внимания киберпреступников история с прекращением поддержки разработчиком популярной мобильной игры Flappy Bird. После того, как она была удалена из каталогов приложений Google Play и App Store, в Интернете появилось множество аналогов-подражателей, а также и вредоносные приложения, выдаваемые предприимчивыми мошенниками за оригинал. В реальности пользователям предлагались типичные троянские программы семейства Android.SmsSend, осуществляющие отправку дорогостоящих СМС-сообщений.

Android-угроз, распространяемых среди южнокорейских пользователей, немного уменьшилось. Так в феврале было зарегистрировано 90 случаев распространения вредоносных программ при помощи СМС-спама, что на 36,6% меньше аналогичного показателя января. Большая часть троянских программ размещалась киберпреступниками на облачных файловых хранилищах, таких как Dropbox и Google Drive. Напомним, что ранее злоумышленники предпочитали использовать для этих целей собственные веб-сайты.

Наиболее часто пользователи Android-устройств Южной Кореи сталкивались с такими троянскими программами, как:

  • Android.SmsSpy.65.origin;
  • Android.Spy.64.origin;
  • Android.Spy.55.origin;
  • Android.SmsSpy.53.origin.

Ugrozi dlya Android-polzov Ujnoi Korei v fevrale 2014

Также в феврале-месяце специалисты компании выявили ряд коммерческого шпионского приложения, которые по-прежнему остаются востребованными на мобильном рынке.


Вредоносные файлы, обнаруженные в почтовом трафике в феврале 2014 года

Vredonos file v pochte v fevrale 2014


Вредоносные файлы, обнаруженные на компьютерах пользователей в феврале 2014 года

Vredonos file na PK v fevrale 2014


Обновлено (01.03.2014 19:22)