Доктор Веб: Вирусная активность в апреле 2013 года


Hit Web

Вирусная обстановка


Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенными угрозами в апреле стали:

  • Вредоносные программы семейства Trojan.Hosts - более 4,78% от общего количества случаев инфицирования. Трояны семейства Trojan.Hosts проникают на компьютер жертвы, изменяя содержимое системного файла hosts, отвечающего за преобразование сетевых адресов.
  • Trojan.Mods.1 (ранее известная как Trojan.Redirect.140) - вредоносная программа, основное предназначение которой заключается в перенаправлении браузеров пользователей на принадлежащие злоумышленникам веб-страницы.

  • Бэкдор BackDoor.IRC.NgrBot.42.

  • Trojan.Zekos - троянская программа, способная работать как в 32-разрядных, так и в 64-разрядных версиях ОС Windows, перехватывая на инфицированном компьютере DNS-запросы для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari и др. При попытке пользователей перейти на какой-либо интернет-ресурс, вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу, при этом в адресной строке браузера будет демонстрироваться правильный URL. Данный метод применяется злоумышленниками, чтобы заставить потенциальную жертву ввести в предложенное ими поле номер телефона и подтверждающий код, полученный в ответном СМС, и подписать таким образом на платную услугу.

Наиболее распространенные модификации Trojan.Hosts

Naibolee rasprostranennie modifikacii troyan Hosts


Наиболее распространенные угрозы, обнаруженные с помощью утилиты Dr.Web CureIt! на компьютерах пользователей в апреле 2013 года

Naibolee rasprostranennie ugrozi v aprele 2013


Ботнеты

В начале апреля удалось установить контроль над одним из управляющих серверов бот-сети, состоящей из инфицированных трояном BackDoor.Bulknet.739 компьютеров.

BackDoor.Bulknet.739 - вредоносная программа, предназначенная для массовой рассылки спама и способная выполнять набор получаемых от злоумышленников команд:

  • команду на обновление;
  • загрузку новых образцов писем;
  • списка адресов для отправки спама;
  • либо директиву остановки рассылки.


В случае собственного отказа троян отправляет злоумышленникам специальным образом сформированный отчет.

Впервые дни после перехвата управления к контролируемому специалистами Доктор Веб управляющему серверу ежечасно обращалось порядка 100 уникальных компьютеров, инфицированных данным вредоносом.

Динамика роста ботнета, образованного файловым вирусом Win32.Rmnet.12, в апреле осталась прежней. В течении месяца к бот-сети присоединилось 569 274 инфицированных компьютера, а общая численность инфицированных машин достигла 9 232 024.

Динамика роста бот-сети Win32.Rmnet.12 в апреле 2013 года

Dinamika rosta botseti Win32.Rmnet.12 v aprele 2013

Ботнет, образованный файловым вирусом Win32.Rmnet.16, замедлил темпы своего развития по сравнению с прошлыми месяцами. В апреле число инфицированных ПК увеличилось всего лишь на 500 с небольшим единиц, достигнув значения в 262 604 зараженных машины (на конец марта это значение составляло 262 083). В апреле показатели прироста ботнета Win32.Rmnet.16 стали самыми малыми за последний год.

Численность бот-сети BackDoor.Finder в апреле выросла всего лишь на 114 узлов, а количество заражений не превышало 1-3 в сутки.


Угрозы месяца

Наиболее интересной угрозой апреля стал новый представитель семейства троянов Trojan.Mayachok - Trojan.Mayachok.18607. Данная модификация трояна отличается от других представителей этого семейства тем, что его разработчики полностью переписали код трояна, сохранив общие принципы его работы.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. Основное предназначение Trojan.Mayachok.18607 – осуществление, так называемых веб-инжектов, т.е., при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Данному вредоносу подвержены браузеры:

  • Google Chrome;
  • Mozilla Firefox;
  • Opera;
  • Microsoft Internet Explorer.


Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троян встраивает постороннее содержимое.

Stranica zarajennogo brauzera

Основной целью злоумышленников является возможность заставить жертву ввести в соответствующее поле номер мобильного телефона, после чего пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость которых составляет 20 рублей в сутки. Услуга подписки предоставляется совместно с компанией ЗАО "Контент-провайдер Первый Альтернативный". В качестве другого метода монетизации злоумышленники используют так называемые "псевдоподписки".


Энкодеры

Трояны-кодировщики - одна из наиболее опасных угроз в мире современных информационных технологий. В апреле 2013 года самыми распространенными модификациями стали троянские программы Trojan.Encoder.205 и Trojan.Encoder.215. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, такие, как документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры начинают вымогать у жертвы оплатить расшифровку файлов, сумма которой достигает нескольких тысяч долларов.

Трояны-кодировщики распространяются в основном с использованием вредоносных рассылок и способны нанести значительный ущерб своим жертвам. На апрель-месяц от действий этих двух версий энкодеров пострадало несколько сотен пользователей.


Угрозы для Android

Операционная система Android - самая распространенная мобильная система, на которую и направили особое внимание мобильные киберпреступники.

Одно из основных событий, связанное с Android-угрозами в прошедшем месяце, стало обнаружение в официальном каталоге Google Play ряда программ, которые содержали вредоносный рекламный модуль Android.Androways.1.origin. Данный модуль был создан злоумышленниками под видом вполне стандартной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих продуктах, интегрируя в них данный модуль. Android.Androways.1.origin способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могут отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого "обновления", пользователи получают в подарок одного из троянов семейства Android.SmsSend.

Kriticheskoe obnovlenie dlya Android

Модуль Android.Androways.1.origin способен выполнять ряд команд, поступающих с удаленного сервера, а также загружать на него конфиденциальную информацию пользователя и данные мобильного устройства.

В апреле было обнаружено несколько вредоносных программ, направленных на китайских пользователей. Эти вредоносы распространялись в легитимных приложениях и играх, модифицированных злоумышленниками. Среди обнаруженных программ были:

  • Android.Uapush.2.origin - троянская программа, цель которой - показ различных рекламных сообщений в нотификационной панели операционной системы, сбор информации об имеющихся закладках в браузере мобильного устройства, сведений о совершенных звонках, контактах в телефонной книге и некоторых конфиденциальных данных из популярного китайского мессенджера QQ. Все полученные сведения передаются трояном на удаленный сервер.

  • Android.MMarketPay.3.origin - вредоносная программа, предназначенная для выполнения автоматических покупок приложений в электронном каталоге Mobile Market, принадлежащем оператору связи China Mobile. Вредоносная программа способна обходить ограничительные меры, установленные в данном каталоге, поэтому представляет весьма серьезную угрозу финансовому положению китайских Android-пользователей, скупая различные приложения без их ведома.

  • Android.DownLoader.17.origin - троян-загрузчик, способный скачивать из сети Интернет другие приложения. После того как apk-пакет загружен, Android.DownLoader.17.origin предпринимает попытку выполнить его установку. С помощью этого трояна можно осуществить искусственное увеличение рейтинга определенных приложений, либо незаконно "накрутить" счетчик установок программ, расположенных на сайтах партнеров.

  • Android.Infostealer - семейство троянов-шпионов, предназначенные для сбора различной конфиденциальной информации, такой как IMEI мобильного устройства, номер телефона, список установленных приложений и т. п. и отправки этих сведений на принадлежащий злоумышленникам сервер.

  • ряд СМС-троянов.

Kitaiskie mobilnie vredonosi


Информация о некоторых модифицированных приложениях, содержащих Android.DownLoader.17.origin

Modificirovannie prilojeniya s Android.DownLoader.17


В апреле вирусные базы Dr.Web пополнились записью для вредоносной программы Android.SmsSpy.27.origin, представляющей собой трояна-шпиона. Данный троян распространялся под видом локализованных японской и корейской версий темы оформления телефонов Vertu и предназначался для кражи входящих СМС-сообщений, содержимое которых пересылалось вредоносной программой на удаленный сервер злоумышленников.

Vredonos Android.SmsSpy.27 1 Vredonos Android.SmsSpy.27 2

Vredonos Android.SmsSpy.27 3 Vredonos Android.SmsSpy.27 4


Вредоносные файлы, обнаруженные в почтовом трафике в апреле 2013 года

Vredonos faili obnaruj v pochte v aprele 2013


Вредоносные файлы, обнаруженные в апреле 2013 года на компьютерах пользователей

Vredonos faili obnaruj na PK v aprele 2013