Доктор Веб: Обзор вирусной активности в июле 2013 года


Hit Web

Вирусная обстановка


Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенными угрозами в июле стали:

  • Trojan.LoadMoney.1 — загрузчик, устанавливающий на компьютер жертвы различные рекламные приложения, в том числе программы, распространяемые известным коммуникационным порталом.
  • Trojan.Hosts.6815 - троян, модифицирующий на зараженном компьютере системный файл hosts. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу.

  • Trojan.Mods.2 — троян, подменяющий на компьютере жертвы просматриваемые в браузере веб-страницы. В результате, вместо запрашиваемых интернет-ресурсов, пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное СМС-сообщение, за что списывают средства с мобильного устройства.

Наиболее распространенные угрозы в июле 2013 года по данным лечащей утилиты Dr.Web CureIt!

TOP 20 Ugroz v iule 2013 s pomoshiu drwebcureit


Энкодеры и винлоки
С начала июля специалистами Доктор Веб было получено 550 запросов от пользователей, пострадавших в результате действия троянцев-шифровальщиков. Трояны-шифровальщики создаются злоумышленниками с целью шифрования файлов на компьютерах пользователей и получения денег за их расшифровку. Энкодеры способны шифровать самые разнообразные типы файлов:

  • архивы;
  • изображения;
  • документы;
  • музыку;
  • фильмы и др.


Сумма, требуемая злоумышленниками за расшифровку, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Версии троянов-энкодеров, распространенных среди пользователей в июле 2013 года

Versii troyanov encoderov rasprostr sredi polzov v iule 2013

Наибольшее число пользователей, пострадавших от троянов-шифровальщиков проживает:

  • на территории России -  75%;
  • на территории Украины - 15%.


Распространение энкодеров было зафиксировано и среди жителей:

  • Бразилии;
  • Венесуэлы;
  • Эстонии;
  • США;
  • странах Евросоюза;
  • Колумбии;
  • Аргентины;
  • Чили.


Если смотреть в процентном соотношении, то за помощью обратились пользователи из:

  • России - 79,5%;
  • Украины - 16%;
  • Казахстана - 1,67%.


Ботнеты

Численность бот-сети на основе файлового вируса Win32.Rmnet.12, продолжает постепенно сокращаться. По данным на 29 июля 2013 года насчитывается:

  • в первой подсети - 392 538 инфицированных машин (на 66 654 меньше, чем в июне);
  • во второй подсети — 532 166 действующих ботов (на 80 969 меньше, чем в июне).


Всего за июль-месяц к данным ботнетам присоединилось 374 605 и 288 634 вновь инфицированных компьютеров соответственно.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в июле 2013 года (1 подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 1 v iule 2013


Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в июле 2013 года (2 подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 2 v iule 2013

Общая численность бот-сети на основе файлового вирусом Win32.Rmnet.16, в июле сократилась более чем вдвое, и на конец июля составило 2 059 инфицированных компьютера. Одновременно с этим прирост бот-сети практически остановился — среднесуточное число регистраций вновь инфицированных ПК на управляющих серверах не превышает 10.

Также продолжается сокращение числа компьютеров инфицированных вирусом Trojan.Rmnet.19. Уже в начале июля количество выявленных экземпляров данных модулей уменьшилось до 7 995, а к концу месяца оно достигло значения 4955, при этом ежесуточно в сети регистрировалось не более 40 вновь инфицированных компьютеров.

Динамика изменения общей численности ботнета Trojan.Rmnet.19 в июле 2013 года

Dinamika izmeneniya obshei chislennosti botneta Trojan.Rmnet.19 v iule 2013

Изменилась и численность ботнета на основе вредоносной программы BackDoor.Bulknet.739, которая предназначена для массовой рассылки спама. В июле 2013 года в данной бот-сети среднесуточно фиксировалась активность примерно 2500 зараженных компьютеров, а ежедневно к управляющему серверу BackDoor.Bulknet.739 обращалось от 500 до 800 вновь инфицированных ПК.

Динамика регистрации новых ботов в ботнете BackDoor.Bulknet.739 в июле 2013 года

Dinamika registracii novih botov v botnete BackDoor.Bulknet.739 v iule 2013

Общее количество компьютеров, инфицированных трояном BackDoor.Dande за июль-месяц практически не изменилось. Если в конце июня их число составляло 1 209, то на 28 июля — 1056. BackDoor.Dande предназначен для кражи информации у представителей российских фармацевтических компаний. В частности, злоумышленников интересуют сведения из клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты.

Также продолжает функционировать ботнет BackDoor.Flashback.39, состоящий из Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X. Ежесуточно к управляющим серверам данного ботнета обращается порядка 40 000 зараженных "маков".

Динамика активности ботнета BackDoor.Flashback.39 в июле 2013 года

Dinamika aktivnosti botneta BackDoor.Flashback.39 v iule 2013

Цифры, представленные на диаграмме, говорят о том, что ботнет BackDoor.Flashback.39 практически не растет, однако и не прослеживается тенденций к значительному сокращению его численности.


Угрозы для мобильных устройств

В прошедшем месяце было обнаружено большое число новых модификаций известных шпионских программ, таких как:

  • Android.MobileSpy;
  • Program.Mobimon;
  • Program.Topspy;
  • Program.Tracer.


Эти и другие аналогичные приложения, доступные в различных конфигурациях, позволяют отслеживать самую разнообразную активность пользователей мобильных устройств и в большинстве случаев имеют версии для работы сразу на нескольких мобильных платформах, включая Android, BlackBerry и Symbian OS.

Mobil 1
Mobil 2

В июле специалистами компании было зафиксировано такие "продукты", как:

  • Tool.Androrat - утилита, использующая для своей работы исходный код свободно распространяющейся программы для удаленного доступа и управления AndroRat. Утилита детектируется как Program.Androrat.1.origin;

  • Tool.Raziel - троянская программа-шпион, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Вредонос детектируется как Android.Raziel.1.origin.

AndroRatBinder RazStealer

Особенность таких утилит в том, что они отличаются относительной легкостью и простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от программирования.

Также в июле в операционной системе Android обнаруживались программные уязвимости. Одной из самых заметных стала так называемая Master Key. Она связана с тем, что система безопасности Android при установке apk-пакетов, сформированных специальным образом, некорректно обрабатывает содержащиеся внутри них дублирующие файлы, позволяя инсталлировать приложения с неподписанными компонентами.

Вскоре после обнаружения уязвимости был обнаружен и первый троян - Android.Nimefas.1.origin, эксплуатирующий эту программную ошибку. Вредонос был зафиксирован на одном из китайских интернет-порталов, посвященных Android-приложениям. Троян Android.Nimefas.1.origin способен:

  • рассылать СМС;
  • выполнять перехват входящих сообщений;
  • передавать на удаленный сервер конфиденциальную информацию пользователей.


Master Key

Еще в конце месяца было обнаружено несколько вредоносных приложений, которые в процессе работы могли установить на мобильные устройства пользователей троянов семейства Android.SmsSend.

AppStore Jsc


Вредоносные файлы, обнаруженные в почтовом трафике в июле 2013 года

Vredonos faili v pochte v iule 2013


Вредоносные файлы, обнаруженные на компьютерах пользователей в июле 2013 года

Vredonos faili na PK v iule 2013