Доктор Веб: Вирусная активность в мае 2013 года


Hit Web

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенными угрозами в мае стали:

  • Троян Trojan.Hosts.6815 - 2,53% от общего количества инфицированных компьютеров).
  • Trojan.Mods.1 - 1,95% (15 830 экземпляров трояна) - троян, подменяющий содержимое просматриваемых пользователем веб-страниц.
  • Trojan.Mayachok;
  • BackDoor.IRC.NgrBot.42;
  • Trojan.Redirect.

ТОП 20 Наиболее распространенных угроз мая, по данным лечащей утилиты Dr.Web CureIt!

TOP 20 Naibolee rasprostr ugroz maya 2013


Ботнеты
В мае 2013 года общее количество активно действующих ботов составило:

  • в первой бот-сети Win32.Rmnet.12 - 619 346 единиц;
  • во второй — 459 524,

при этом за последние 10 суток подсоединилось:

  • к первому ботнету - еще 116 617 инфицированных машин;
  • ко второму — 143 554.


Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тысяч инфицированных машин соответственно.

Динамика прироста ботнета Win32.Rmnet.12 за период с 19 по 29 мая 2013 года (1 подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 1 v mae 2013


Динамика прироста ботнета Win32.Rmnet.12 за период с 19 по 29 мая 2013 года (2 подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 2 v mae 2013

Также в мае наблюдался прирост бот-сети Win32.Rmnet.16, который происходил чрезвычайно медленными темпами. Всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Из этого следует, что файловый вирус Win32.Rmnet.16 на сегодняшний день не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 года специалистами компании Доктор Веб был перехвачен контроль над одним из управляющих серверов ботнета, созданного с использованием трояна BackDoor.Bulknet.739.

BackDoor.Bulknet.739 - вредоносная программа, предназначенная для массовой рассылки спама. Вредонос имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. На начало апреля к данному управляющему серверу обращалось всего около 7 000 инфицированных компьютеров, а уже на конец мая - количество активно действующих ботов выросло до значения 17 242.

Динамика роста ботнета BackDoor.Bulknet.739 в период с 19 по 29 мая

Dinamika registracii novih botov v botnete BackDoor.Bulknet.739 v mae 2013

Также в конце мая специалистам компании удалось установить контроль и над одним управляющим сервером бот-сети Rmnet. В этой подсети распространялись два новых вредоносных модуля, получивших общее обозначение Trojan.Rmnet.19. Один из этих модулей предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй - позволяет отключать на зараженной машине антивирусы:

  • Microsoft Security Essential;
  • Norton Antivisus;
  • Eset NOD32;
  • Avast;
  • Bitdefender;
  • AVG.


Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин.

Динамику прироста бот-сети Trojan.Rmnet.19 в мае 2013 года

Dinamika registracii novih botov v botnete Trojan.Rmnet.19 v mae 2013

Продолжает действовать и ботнет BackDoor.Dande — троян, заражающий только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов, воруя информацию из этих приложений. На данный момент существует две подсети BackDoor.Dande:

  • в одной действует 331 зараженная машина;
  • в другой - 1 291 инфицированный компьютер.


С момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, данная бот-сеть продолжает действовать и сегодня. На текущий момент в ней насчитывается 65 987 инфицированных "маков".

В феврале 2013 года был обнаружен троян Linux.Sshdkit, атакующий работающие под управлением ОС Linux серверы.

Linux.Sshdkit - вредоносная программа, представляющая собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После установки в систему троян встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Всего в течение мая 2013 года троян передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.


Угроза месяца
В середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311 - написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Эти вредоносные плагины распространялись с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом "обновления безопасности для просмотра видео".

Facebook vredonos

После завершения установки в момент запуска браузера, Trojan.Facebook.311 пытается загрузить конфигурационный файл с соответствующим набором команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают, когда жертва выполнит авторизацию в социальной сети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить "лайки", размещать сообщения на стене, отправлять личные сообщения и т. д. При этом вредоносная программа обладает функционалом для работы не только в социальной сети Facebook, но и для взаимодействия с социальными сетями Twitter и Google Plus. Одна из основных функций данной вредоносной программы - рассылка спама.


Атака на пользователей Skype
23 мая многочисленные интернет-СМИ сообщили о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, а поступали они от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая загружала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троян рассылает сообщения по контакт-листам месседжеров

  • Skype;
  • Windows Messenger;
  • QIP;
  • Google Talk;
  • Digsby.


Угрозы для Android

На протяжении всего мая специалистами компании Доктор Веб фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Вредоносная программа Android.Pincer.2.origin - представляет собой довольно опасного трояна, предназначенного для перехвата входящих СМС-сообщений и переадресации их на удаленный сервер. Вредонос способен отслеживать сообщения, поступающие c определенного номера, для чего трояну посредством СМС поступает соответствующая команда. Распространяемая злоумышленниками под видом установщика сертификата безопасности, данная вредоносная программа может представлять серьезную опасность для владельцев мобильных Android-устройств. Среди перехватываемых ею сообщений могут находиться как проверочные (одноразовые) mTAN-коды систем "Банк-Клиент", так и другая конфиденциальная информация.

Pincher 1 Pincher 2

В мае также был обнаружен очередной троян-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Новая вредоносная программа Android.AccSteal.1.origin, распространялась под видом приложения из категории "для взрослых" и после запуска загружала на удаленный сервер следующую информацию:

  • имя учетной записи Google Mail;
  • IMEI-идентификатор;
  • название модели мобильного устройства;
  • номер сотового телефона пользователя.

AccStealer 1 AccStealer 2

В отличие от других подобных вредоносных программ, троян позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне. Android.AccSteal.1.origin распространяется при помощи веб-сайта, страницы которого имитируют уже устаревший внешний вид каталога Google Play, такое поведение можно объяснить желанием злоумышленников вызвать как можно меньше подозрений со стороны пользователей, но при этом обеспечить достаточно высокий процент успешного сбора их персональной информации.

AccStealer 3 AccStealer 4 AccStealer 5 AccStealer 6

Киберпреступники не обошли стороной и китайских пользователей. Троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из популярных китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об СМС-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троянец способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

Roids 1


Вредоносные файлы, обнаруженные в почтовом трафике в мае

Vredonos faili obnaruj v pochte v mae 2013


Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

Vredonos faili obnaruj na PK v mae 2013