Доктор Веб: Вирусная активность в феврале 2013 года


Hit Web

Вирусная обстановка


Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенными угрозами в феврале стали трояны семейств:

  • Trojan.Mayachok - чаще всего на компьютерах пользователей обнаруживалась модификация Trojan.Mayachok.18566.
  • Trojan.SMSSend - абсолютным лидером среди них стал Trojan.SMSSend.2363.

Архивы с Trojan.SMSSend используются злоумышленниками по стандартной модели. Они обычно маскируются под программу установки какого-либо приложения и требуют после своего запуска отправить платное СМС-сообщение или принуждают пользователя подписаться на ту или иную "услугу". Часто в архиве содержится программное обеспечение, которое можно скачать с официальных источников, либо вообще не содержит заявленного ПО. Кроме того, нередко подобные архивы содействует распространению других, более опасных вредоносных программ.

Также в феврале было обнаружено большое количество заражений троянскими программами:

  • BackDoor.IRC.NgrBot.42;
  • Trojan.Click2.47013;
  • Win32.HLLP.Neshta.


Угрозы, обнаруженные с помощью лечащей утилиты Dr.Web CureIt! в феврале 2013 года

Ugrozi obnaruj s pomoshu DrWebCureIt


Linux.Sshdkit или угроза месяца
Наиболее интересной угрозой, обнаруженной в феврале, стала троянская программа Linux.Sshdkit.

Linux.Sshdkit - троян, представляющий собой динамическую библиотеку, способный заражать серверы под управлением ОС Linux. Существуют разновидности данного вредоноса, как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux.

После успешной установки в систему троян встраивается в процесс

  • sshd

перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. IP-адрес управляющего центра "зашит" в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троян и передает похищенную информацию.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени. При совпадени двух IP-адресов, адрес будет преобразовываться в другой IP, на который троян и передает похищенную информацию.

Алгоритм генерации адреса командного сервера используемый данной вредоносной программой

Algoritm generacii adresa comandn serweraisp vredonos prog

Специалистами компании "Доктор Веб" было перехвачено несколько управляющих серверов Linux.Sshdkit. На начало марта к перехваченным управляющим центрам обратилось 476 инфицированных серверов, однако многие из них принадлежат хостинг-провайдерам и поддерживают работу значительного числа веб-сайтов, к которым злоумышленники получили доступ.
Из них находятся:

  • на территории США - 132 инфицированных сервера;
  • на территории Украины - 37 инфицированных сервера;
  • на территории Нидерландов - 29 инфицированных сервера.


Таблица статистических данных о перехваченных управляющих центрах Linux.Sshdkit

Tabl statich dannih o perehvachennih upravl centrah LinuxSshdkit


Распространение Trojan.Hosts и взломы веб-сайтов
С середины января и до начала марта 2013 года был зафиксирован очередной всплеск атак на веб-сайты с целью распространения вредоносного ПО. Используя украденные данные для доступа к ресурсам по протоколу FTP, злоумышленники подменяли файл .htaccess и внедряли собственный скрипт-обработчик. В результате посетители взломанного веб-сайта подвергались опасности заражения различными троянскими программами. С использованием данного метода были зафиксированы факты распространения троянов семейства Trojan.Hosts — троянов, модифицирующих файл hosts, расположенный в

  • %systemroot%/system32/drivers/hosts

в результате чего браузер автоматически перенаправляет жертву на специально созданную злоумышленниками веб-страницу. Например, сайты, размещающие решенные домашние задания для учащихся средних общеобразовательных учреждений. Попав на такую страницу, пользователь перенаправлялся на зараженный интернет-ресурс, с которого на его компьютер загружался троян Trojan.Hosts и другие опасные приложения.

Saiti zarajennie TrojanHosts


Угрозы для Android

Для мобильной платформы Android февраль также оказался неспокойным. В начале февраля вирусные базы Dr.Web пополнились записью для трояна Android.Claco.1.origin, распространяющегося в каталоге Google Play под видом утилиты для оптимизации скорости работы операционной системы. Данный троян, запускаясь на мобильном устройстве, может

  • выполнять отправку СМС-сообщений по команде злоумышленников;
  • открывать произвольный URL в браузере;
  • загружать персональную информацию пользователя на удаленный сервер.


Однако самая главная особенность Android.Claco.1.origin в том, что с его помощью могли быть инфицированы компьютеры под управлением Windows. Подключаясь к удаленному серверу, троян загружает с него другие вредоносные файлы и помещает их на карту памяти мобильного устройства. Среди этих объектов присутствовали два файла:

  • исполняемый файл;
  • файл autorun.inf

осуществляющий автоматический запуск соответствующей ему вредоносной программы при подключении инфицированной карты памяти к Windows-компьютеру. Стоит отметить, что, начиная с Windows Vista, функция автозапуска имеет статус отключенной по умолчанию, поэтому для многих пользователей Windows угроза со стороны Android.Claco.1.origin была незначительной.

Другой значительной вредоносной программой в феврале стал троян Android.Damon.1.origin, распространяющийся злоумышленниками на популярных китайских веб-сайтах в модифицированных ими приложениях. Android.Damon.1.origin способен:

  • выполнять отправку СМС-сообщений в соответствии с принимаемой командой от удаленного сервера;
  • совершать звонки;
  • открывать произвольный URL;
  • загружать на сервер персональную информацию владельца мобильного устройства;
  • выполнять некоторые другие функции.


Также в течение месяца в вирусные базы Dr.Web вносились записи новых представителей семейства СМС-троянов Android.SmsSend.


Другие угрозы февраля

В последний месяц зимы заметно активизировались сетевые мошенники, в частности, промышляющие в поисках жертв на сайтах знакомств. Как правило, мошенники представлялись эмигрантами либо иностранцами с русскими корнями. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей "избраннице" какой-либо дорогостоящий подарок: электронный планшет, смартфон или ювелирное украшение. Таким образом, злоумышленники завлекали потенциальных жертв на поддельный сайт курьерской службы, где им предлагалось оплатить доставку посылки. После оплаты "курьерская служба", как и сам щедрый поклонник, исчезают в неизвестном направлении.

В начале февраля были зафиксированы случаи распространения вредоносных программ с использованием встроенного приложения социальной сети Facebook.

В середине месяца был обнаружен забавный троян-винлок.

Вредоносные файлы, обнаруженные в почтовом трафике в феврале

Vredonos file obnaruj v pochte v fevrale 2013


Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

Vredonos file obnaruj na PK v fevrale 2013