Доктор Веб: Вирусная активность в июне 2013 года


Hit Web

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенными угрозами в июне стали:

  • Trojan.Mods.2 - 3,97% от общего количества инфицированных компьютеров. Вредоносная программа, способная перенаправлять пользователя на принадлежащие злоумышленникам  веб-страницы, требующие у жертвы ввести в специальное поле номер телефона и код подтверждения.
  • Trojan.Hosts.6815 - 2,94%;
  • Trojan.DownLoader9.19157 - 1,92%.


ТОП 10 Наиболее распространенных угроз, обнаруженных при помощи Dr.Web CureIt! на компьютерах пользователей в июне 2013 года

TOP 10 Ugroz na PK polzov obnaruj pri pomoshi DrWeb CureIt


Ботнеты

В июне 2013 года появилась новая версия бота Linux.Sshdkit. На 27 июня в бот-сети, созданной злоумышленниками с использованием предыдущей версии трояна, насчитывалось лишь 42 активных бота, а за последние 30 дней было зафиксировано только 8 случаев заражения новых серверов, работающих под управлением операционной системы Linux.

Продолжается рост числа заражений файловым вирусом Win32.Rmnet.12. На сегодняшний день числится:

  • в первой из вирусных подсетей - 459 192 бота;
  • во второй — 613 135.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в июне 2013 года (1 подсеть)

Dinamika registracii novh botov v botnete Win32.Rmnet.12 1podset

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в июне 2013 года (2 подсеть)

Dinamika registracii novh botov v botnete Win32.Rmnet.12 2podset


Ботнет Win32.Rmnet.16 сейчас насчитывает 4 674 активных бота (в прошлом месяце их было 5 220), а в течение месяца к сети присоединилось всего лишь 239 инфицированных компьютеров. Количество рабочих станций, на которых были обнаружены вредоносные модули Trojan.Rmnet.19, немного сократились. В мае данная бот-сеть насчитывала 20 235 инфицированных ПК, а по данным на 27 июня их было уже 15 611. При этом в мае на управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин, а в период с 17 по 27 июня было зафиксировано всего лишь 738 случаев заражения.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.19 в июне 2013 года

Dinamika registracii novih botov v botnete Trojan.Rmet.19 v iune 2013

Также сократились и размеры ботнета, образованного при помощи троянской программы BackDoor.Bulknet.739. В мае данная сеть насчитывала 17 242 инфицированных компьютера, а на конец июня число активных ботов составило 16 024.

Динамика регистрации новых ботов в ботнете BackDoor.Bulknet.739 в июне 2013 года

Dinamika registracii novih botov v botnete BackDoor.Bulknet.739 v iune 2013

Численность ботнета BackDoor.Dande, состоящего из компьютеров фармацевтических компаний и аптек, в одной из подсетей составляет - 1 209, уменьшившись на 92 ПК по сравнению с прошлым месяцем, в другой — 268 (на 63 компьютера меньше, чем в мае).

Также незначительно сократилась популяция Apple-совместимых компьютеров, инфицированных троянской программой для Mac OS X BackDoor.Flashback.39. На 27 июня в ботнете BackDoor.Flashback.39 насчитывается 62 069 зараженных "маков", что на 3 918 единиц меньше, чем в мае.


Угроза месяца

В июне семейство вредоносных программ для ОС Linux пополнилось новой модификацией трояна Linux.Sshdkit - Linux.Sshdkit.6. Обновленная версия вредоноса, предназначена для похищения логинов и паролей на работающих под управлением платформы Linux серверах. В данной версии Linux.Sshdkit.6 злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Вирусописателями был изменен метод определения адресов серверов, на которые троян передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт.

Алгоритм генерации адреса командного сервера

Algoritm generacii adresa komandnogo servera

Также вирусописатели изменили алгоритм получения трояном команд. Теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.


Очередная волна энкодеров
Трояны-шифровальщики (энкодеры) за последние три месяца приобрели огромную активность. За эти месяцы запросов на лечение специалистами Доктор Веб было получено около 2 800 обращений, а за июнь общее количество запросов на лечение превысило 700. Самыми распространенными версиями энкодеров стали:

  • Trojan.Encoder.94 - троян, который скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами "Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe";

  • Trojan.Encoder.225 - троян, способный попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (также расширением .doc), эксплуатирующего уязвимость Microsoft Office.

Sudebnoe postanovlenie arbitrajnogo suda


Мобильные угрозы

В июне-месяце стало ясно, что одной из главных опасностей для владельцев мобильных устройств по-прежнему остается кража разнообразной персональной информации, такой как данные учетных записей, СМС-сообщения, история звонков и т. п. Для получения подобного рода информации злоумышленники применяют троянские программы и специализированное шпионское ПО, доступное на коммерческой основе.

Самой заметной мобильной угрозой в начале лета стал троян Android.Tempur.1.origin, предназначенный для кражи у южнокорейских пользователей Android различных конфиденциальных сведений, включающих их банковские реквизиты, информацию о входящих СМС-сообщениях и совершаемых телефонных звонках. Данная вредоносная программа распространялась киберпреступниками в составе специальной программы-носителя Android.MulDrop.8.origin, а также в качестве самостоятельного apk-пакета. Троян Android.Tempur.1.origin при установке на мобильное устройство подменял собой легитимные банковские приложения, имитировал их оригинальный интерфейс и предлагал пользователям ввести персональную информацию, которая затем вместе с перехватываемыми СМС и сведениями о телефонных переговорах пересылалась на удаленный сервер.

Kitaiskii vredonos Android.Tempur.1.origin
Kitaiskii vredonos Android.Tempur.1.origin 2

Среди коммерческих шпионских приложений, обнаруженных в июне, особенно выделяются модификации известных Android-шпионов:

  • Android.MobileSpy;
  • Android.SpyBubble;
  • Program.Highster;
  • Program.Stealthgenie;
  • Program.Ownspy,

которые способны работать на устройствах под управлением BlackBerry и iOS соответственно. Успешное функционирование Program.Ownspy и аналогичных ему приложений возможно лишь на устройствах с выполненной операцией jailbreak, т. е. имеющих доступ к файловой системе, поэтому основной массе владельцев мобильной "яблочной" продукции они не страшны.

Трояны семейства Android.SmsSend, отправляющие короткие сообщения на премиум-номера и выполняющие подписку абонентского счета на платные услуги, продолжают оставаться головной болью многих пользователей мобильных Android-устройств. В течение месяца было обнаружено несколько новых модификаций этих вредоносных программ, а во второй половине июня был зафиксирован факт распространения трояна Android.SmsSend.465.origin при помощи рекламных сообщений, демонстрируемых на одном из популярных новостных ресурсов.

Android.SmsSend.465.origin

При посещении этого портала с мобильного устройства под управлением ОС Android загружаемая в браузере веб-страница демонстрировала специальный баннер, предлагающий установить популярную игру, которая на самом деле являлась вредоносной программой.


Вредоносные файлы, обнаруженные в почтовом трафике в июне 2013 года

Vredonos faili obnaruj v pochte v iune 2013


Вредоносные файлы, обнаруженные в июне на компьютерах пользователей

Vredonos faili obnaruj na PK v iune 2013