Доктор Веб: Обзор вирусной активности в январе 2013 года


Hit Web

Вирусная обстановка

В январе 2013 года с помощью лечащей утилиты Dr.Web CureIt! на компьютерах пользователей была зафиксирована волна распространения троянской программы Trojan.Mayachok.2, ставшего лидером январских вирусных событий.

Trojan.Mayachok.2 - весьма распространенная вредоносная программа, являющаяся VBR-буткитом. Этот троян заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows.

Основное функциональное назначение данного трояна — блокировка доступа в Интернет и демонстрация в окне браузера предложения скачать "обновление безопасности". Для загрузки данного обновления жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном СМС код. Таким образом, пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.

V sys obnarujen virus V sys obnarujen virus 1 V sys obnarujen virus 2

Из-за того что вредоносный объект, подменяющий просматриваемые пользователем веб-страницы, находится в оперативной памяти компьютера, переустановка браузеров, использование служебной программы "Восстановление системы" и даже запуск Windows в режиме защиты от сбоев не помогут избавиться от трояна. Лучшим методом борьбы с данным зловредом является полное сканирование инфицированного компьютера с помощью лечащих утилит Dr.Web CureIt! и Dr.Web LiveCD.

Среди обнаруженных утилитой Dr.Web CureIt! угроз, зафиксировано более 40 тыс. детектов трояна Trojan.Mayachok в оперативной памяти инфицированных компьютеров. Также в январе на компьютерах пользователей часто выявлялся троян Trojan.Mayachok.18550. По-прежнему среди пользователей ПК обнаруживаются платные архивы - Trojan.SMSSend. Велико число заражений троянской программой BackDoor.IRC.NgrBot.42.

ТОП 20 Угроз, обнаруженных в январе 2013 года с помощью лечащей утилитой Dr.Web CureIt!

TOP 20 Ugroz obnaruj c pomoshiu drwebcureit


Ботнет BlackEnergy
В январе 2013 года специалистами компании "Доктор Веб" было зафиксировано появление новой модификации вредоносной программы - BackDoor.BlackEnergy.36. Напомним, крупнейший ботнет BlackEnergy, предназначенный для рассылки спама, был практически полностью ликвидирован летом 2012 года. В период своей максимальной активности бот-сеть BlackEnergy рассылала более 18 млрд. писем в день. Благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.

В январе 2013 года злоумышленники предприняли попытку создания новой бот-сети с использованием вредоносной программы BackDoor.BlackEnergy.36. Основные отличия этой модификации трояна от его предыдущих редакций:

  1. Конфигурационный файл трояна хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций трояна и при его запуске встраивается в процесс svchost.exe или в explorer.exe.

  2. Злоумышленники изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.


Злоумышленники длительное время ожидали, пока растущий ботнет достигнет определенных размеров. Развив ботнет до определенных размеров, злоумышленники использовали его для проведения DDoS-атаки на один из популярнейших в российском Интернете развлекательных ресурсов. Троян был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda.


Угрозы для Android

Большая популярность мобильных устройств под управлением ОС Android привела к увеличению интереса злоумышленников к персональной информации, хранимой на таких устройствах. Увеличение числа вредоносных и потенциально опасных приложений, предназначенных для получения различных конфиденциальных сведений в 2012 году, продолжилась и с началом нового 2013 года.

В начале января был обнаружен очередной Android-троян, представляющий угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств. Android.MailSteal.2.origin распространялся при помощи спам-писем, содержащих предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе трояна. Злоумышленники попытались разнообразить "каталог", предлагая к загрузке сразу несколько различных "приложений", однако во всех случаях это была одна и та же вредоносная программа. В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме. После запуска он уведомлял пользователя о выполнении предварительной настройки, а через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троян скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер.

Android.MailSteal.2

Также в январе было обнаружено существенное число новых коммерческих шпионских приложений:

  • Program.SpyMob.origin;
  • Program.MSpy.2.origin;
  • Android.Phoggi.1.origin;
  • Program.OwnSpy.1.origin;
  • Program.Copyten.1.origin;
  • Program.Spector.1.origin.


Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали

  • BlackBerry.Phoggi;
  • Program.Spector.1;
  • Program.Spector.2;
  • Program.Spector.3.


Коммерческие шпионские программы позволяют контролировать самые разнообразные функции мобильных устройств:

  • отслеживать СМС-переписку;
  • входящие и исходящие телефонные звонки;
  • получать GPS-координаты пользователя и т. д.


Очень часто такое программное обеспечение может быть использовано без ведома владельца устройства, поэтому его конфиденциальная информация может подвергаться существенному риску. Большое число новых семейств коммерческих шпионских приложений, обнаруженных в январе, говорит о том, что на подобные услуги имеется достаточный спрос, и число таких программ в ближайшее время будет стабильно увеличиваться.

Shpionskie programmi dlya Android


Другие угрозы января

В начале января 2013 года была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троян встраивается в процессы наиболее популярных браузеров

  • (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant)

после чего перехватывает обращения пользователей к сайтам различных поисковых систем

  • (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com)

и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки.

Также в январе был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.ButiratBackDoor.Butirat.245. Данный троян способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов.


Вредоносные файлы, обнаруженные в почтовом трафике в январе

Vredonos faili v pochte v yanvare v 2013


Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

Vredonos faili v yanvare v 2013 na PK