Доктор Веб: Вирусная активность в ноябре 2013 года


Hit Web

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, лидером среди угроз в ноябре стал Trojan.Packed.24524. Данное вредоносное приложение способно устанавливать рекламные программы и приложения сомнительной полезности. Запустив такой установщик на своем компьютере, пользователь автоматически станет обладателем нескольких тулбаров, уродующих окно браузера, или приложения, демонстрирующего на экране компьютера назойливую рекламу.

Вредонос был обнаружен на компьютерах 12 450 раз, что составляет 2,88% от общего количества выявленных угроз.

CNET Downloadcom

ТОР 20 Наиболее распространенных вредоносных программ в ноябре 2013 года

TOP 20 Ugroz noyabrya 2013


Ботнеты

Бот-сеть, основанная на базе файлового вируса Win32.Rmnet.12, постепенно увеличивается. Это видно из того, что в октябре ежесуточный прирост новых инфицированных компьютеров в первой подсети составлял 15 тыс., а уже в ноябре - 20 тыс. подключений в сутки. Во второй подсети, в октябре ежедневно подвергались заражению 11 тыс. машин, а в ноябре - 12,5 тыс.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в ноябре 2013 года (1-я подсеть)

Dinamika regisracii novih botov v botnete Win32.Rmnet.12 v noyabre 2013 1


Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в ноябре 2013 года (2-я подсеть)

Dinamika regisracii novih botov v botnete Win32.Rmnet.12 v noyabre 2013 2

Следующая бот-сеть, созданная на базе вредоносного модуля Trojan.Rmnet.19, постепенно сдает свои позиции. Например, если в октябре численность зараженных компьютеров в сутки составляла 3 851, то в ноябре эта цифра составила 3 345.

Бот-сеть, созданная злоумышленниками с использованием трояна BackDoor.Bulknet.739, держится практически в тех же рамках. Так в конце октября ее численность составляла 1 539 инфицированных рабочих станций, а уже к 20-м числам ноября эта цифра составила 1 270.

Бот-сеть BackDoor.Dande, разработанная для кражи конфиденциальной информации у представителей российских фармацевтических компаний, понемногу увеличивается. За прошедшие 30 дней общее количество инфицированных этим бэкдором ПК выросло с 1 105 до 1 147.

Число Apple-совместимых компьютеров, зараженных трояном BackDoor.Flashback.39 для операционной системы Mac OS X, в ноябре увеличилось с 31 553 до 32 939. При этом наибольшее количество инфицированных компьютеров располагается на территории:

  • США - 16 928 зараженных компьютеров;
  • Канада - 6 469;
  • Великобритания - 4 791;
  • Австралия - 2 217.


Угроза месяца

В начале ноября специалисты компании Доктор Веб обнаружили очередную модификацию банковского трояна семейства Trojan.PWS.Ibank. Помимо стандартного функционала, заложенного в банковских троянах, этот вредонос научился проверять имена запущенных программ и встраиваться в их процессы. Среди таких программ были зафиксированы клиент SAP, а также комплекс бизнес-приложений, предназначенных для управления предприятием. Этот программный комплекс включает множество модулей, среди которых – компоненты управления налогообложением, сбытом, товарооборотом. Инфицированные компьютеры могут оперировать конфиденциальной информацией, весьма чувствительной для коммерческих предприятий. Первая версия трояна, проверявшего наличие SAP в зараженной системе, была обнаружена еще в июне и распознавалась, как Trojan.PWS.Ibank.690. Нынешняя модификация вредоноса имеет обозначение Trojan.PWS.Ibank.752. Известно, что трояны семейства Trojan.PWS.Ibank способны действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows. При этом они обладают весьма широким набором вредоносных функций. Например:

  • похищение и передача злоумышленникам вводимых пользователем паролей;
  • закрытие доступа к сайтам антивирусных компаний;
  • выполнение команд, поступающих от удаленного командного сервера;
  • организация на инфицированном компьютере прокси-сервера и VNC-сервера;
  • уничтожение по команде операционной системы и загрузочных областей диска.


Сегодня трояны семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, однако проверяют факт его наличия в инфицированной системе. Затем они пытаются встроиться в соответствующий процесс, если он запущен в Windows.


Угрозы для Android

Ноябрь был богатый на угрозы для Android-устройств. Так специалистами компании было зафиксировано увеличение числа троянов-шпионов, похищающих конфиденциальную информацию у пользователей мобильных устройств. В течение месяца вирусные базы пополнились записями для нескольких новых модификаций вредоносных программ семейств

  • Android.Spy;
  • Android.SmsSpy;
  • Android.Tempur,

предназначенных для перехвата СМС-сообщений и получения других персональных сведений. Подобные трояны представляют опасность для пользователей, поскольку они способны передавать злоумышленникам информацию об СМС-переписке пользователей, а также позволяют им получить доступ к банковским счетам и операциям с кредитными картами жертв. Это связано с тем, что среди перехватываемых сообщений могут содержаться СМС с одноразовыми mTAN-кодами и аутентификационными данными, необходимыми для авторизации в системах банк-клиент.

Vredonosnie programmi dlya Android 1 Vredonosnie programmi dlya Android 2 Vredonosnie programmi dlya Android 3

География распространения подобных вредоносных программ в настоящее время охватывает многие страны, однако немалая их доля сосредоточена в Южной Корее. Для данного региона наиболее популярным методом доставки мобильных троянов стало использование нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного приложения. За прошедший месяц специалистами компании было выявлено более ста случаев применения подобных рассылок.

Диаграмма распространения Android-угроз среди южнокорейских пользователей при помощи СМС-спама

Android-ugrozi rasprostr sredi ujnokoreiskih polzov pri pomoshi sms-spama

Еще в ноябре был обнаружен новый представитель семейства вредоносных программ Android.SmsSend - Android.SmsSend.946.origin. Данный троян распространялся на различных китайских веб-сайтах, содержащих ПО для операционной системы Android. С целью увеличения вероятности успешной загрузки вредоносной программы злоумышленники внедрили трояна в несколько популярных игровых приложений. После попадания на мобильное устройство жертвы, Android.SmsSend.946.origin незаметно для нее может выполнять отправку премиум-сообщений, тем самым подписывая владельца инфицированного устройства на нежелательные услуги.

Mobil ugroza Android.SmsSend.946.origin 1 Mobil ugroza Android.SmsSend.946


Прочие угрозы ноября

В середине месяца специалисты Доктор Веб выявили многочисленные случаи распространения вредоносной программы Trojan.Hiloti с использованием взломанных веб-сайтов. Вредонос предназначен для подмены на компьютере жертвы поисковой выдачи. Злоумышленники предлагают распространителям достаточно простую схему работы:

Princip raboti  Trojan.Hiloti

  1. Заказчик заключает с партнерской программой соглашение о продвижении ссылок
  2. Партнерская программа передает вредоносное ПО распространителям, которые размещают его на сайтах
  3. При посещении сайтов распространителей вредоносного ПО инфицируется компьютер жертвы
  4. При обращении к ресурсам поисковых систем жертва переходит по ссылкам, демонстрируемым в окне бразуера вредоносным ПО, информация об этом передается партнерской программе
  5. Заказчик оплачивает партнерской программе переходы по ссылкам
  6.  Часть этих средств поступает распространителям вредоносного ПО.


Загрузка трояна на компьютеры потенциальных жертв осуществляется с использованием уязвимостей

  • CVE-2012-4969;
  • CVE-2013-2472;
  • CVE-2013-2465;
  • CVE-2013-2551,

а также методов социальной инженерии.

Еще в ноябре была зафиксирована массовая Skype-рассылка, с помощью которой злоумышленники распространяли банковского трояна семейства BackDoor.Caphaw. Рассылаемые пользователям сообщения включали в себя ссылку на архив с именем

  • invoice_ХХХХХ.pdf.exe.zip

где ХХХХХ — произвольный набор цифр.
В свою очередь, архив содержал исполняемый файл, представляющий собой троянскую программу BackDoor.Caphaw.

Вредоносные программы семейства BackDoor.Caphaw обладают достаточно обширным функционалом и представляют для своих жертв серьезную опасность.

Распространители трояна Trojan.Lyrics в погоне за наживой, решили заставить пользователей установить на свои компьютеры вредоносные программы. Сам же вредонос предназначен для демонстрации в окне браузера навязчивой рекламы.

С помощью этой программы меломаны якобы получат возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т.е. превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную чудо-программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах, или на страницах социальных сетей. Так же Trojan.Lyrics можно скачать и с нескольких официальных сайтов разработчиков трояна, однако чаще всего эта программа скрытно устанавливается на компьютер вместе со свободным программным обеспечением, загруженным из Интернета. В последнее время зафиксировано значительное увеличение числа случаев заражения этой вредоносной программой.

Вредоносные файлы, обнаруженные в почтовом трафике в ноябре 2013 года

Vredonos file v pochte v noyabre 2013


Вредоносные файлы, обнаруженные в ноябре на компьютерах пользователей


Обновлено (03.12.2013 04:07)