Доктор Веб: Вирусная активность в январе 2014 года


Hit Web

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, лидерами среди угроз в январе стали:

  • Trojan.Packed.24524 — установщик рекламных программ и сомнительных приложений, распространяющийся злоумышленниками под видом легитимного ПО.
  • Trojan.LoadMoney.1 и Trojan.InstallMonster.38 - рекламные трояны.
  • BackDoor.Bulknet.1329;
  • Trojan.BtcMine.221 - троян-майнер, предназначенный для добычи электронных криптовалют.


ТОП 20 Наиболее "популярных" вредоносных программ, обнаруженных на ПК пользователей при помощи лечащей утилиты Dr.Web CureIt! в январе 2014 года

Bacili obnaruj v janvare 2014 DrWebCureIt


Ботнеты

Бот-сеть, созданная на основе многокомпонентного файлового вируса Win32.Rmnet.12, способного похищать пароли от различных прикладных программ, постепенно увеличивается. Так, в первой подконтрольной специалистам "Доктор Веб" подсети, в течение января регистрировалось в среднем 18 тыс вновь инфицированных компьютеров в сутки.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года (1-я подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 podset 1

Во второй подсети Win32.Rmnet.12, наблюдалась почти аналогичная динамика, только с той разницей, что ежесуточное количество подключавшихся к управляющему серверу зараженных компьютеров снижалось. Так если в начале месяца оно составляло около 20 тыс. рабочих станций, то на конец января — не более 12 тыс.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в январе 2014 года (2-я подсеть)

Dinamika registracii novih botov v botnete Win32.Rmnet.12 podset 2

Вредоносный модуль, детектируемого как Trojan.Rmnet.19, практически себя исчерпал. Так, если на конец декабря он составил 2 607 рабочих станций, то на 29 января в этом ботнете насчитывалось 2 633 инфицированных ПК. Также в первом месяце нового года сократилось число компьютеров, инфицированных трояном BackDoor.Dande — с 1098 до 930.

Бот-сеть на основе троянской программы BackDoor.Flashback.39 в январе 2014 года, практически не изменился и составил 28 160 инфицированных "маков" (28 829 - в декабре). Установлено, что наибольшее количество случаев заражения пришлось на долю:

  • США - 14 333 зараженных машин;
  • Канада - 5 564 случая;
  • Великобритания - 4 120;
  • Австралия - 1582.


На территории России обнаружено всего лишь два инфицированных компьютера под управлением Mac OS X.


Новый рекламный троян

В январе среди всего прочего специалиста компании было зафиксировано распространение нового рекламного трояна Trojan.Zipvideom.1, которого злоумышленники распространяли посредством массовой рассылки сообщений в социальной сети Facebook. Trojan.Zipvideom.1 - вредоносная программа, состоящая из нескольких компонентов, один из которых загружает с сайта злоумышленников и устанавливает на компьютере жертвы вредоносные плагины к браузерам Mozilla Firefox и Google Chrome.

Vredonos plugin for Mozilla Firefox Vredonos plugin for Google Chrome

Троян загружает плагины, мешающие свободному просмотру сайтов, демонстрируя назойливую рекламу, а также позволяют скачивать на компьютер жертвы другое нежелательное программное обеспечение. Установлено, что при посещении сайтов популярных социальных сетей (Twitter, Facebook, Google, YouTube, "ВКонтакте") данные плагины загружают Java-скрипты сомнительного назначения.


Угрозы для Android

В январе появился первый в истории буткита для ОС Android. Обнаруженная вредоносная программа Android.Oldboot.1, размещалась злоумышленниками в загрузочной области файловой системы инфицированных устройств, что позволяло ей запускаться на ранней стадии загрузки операционной системы, а также и значительно усложняло ее полное удаление. После активации Android.Oldboot.1 извлекал из себя и помещал в системные каталоги несколько компонентов, устанавливая их как обычные приложения. Эти троянские объекты детектируются как Android.Oldboot.2 и Android.Oldboot.1.origin, и способны осуществлять подключение к удаленному серверу и, в соответствии с получаемой в ответ командой, могут выполнять различные вредоносные действия, в том числе загрузку, установку и удаление различных программ.

GoogleKernel 1 GoogleKernel 2

На конец января число мобильных устройств, инфицированных Android.Oldboot.1, превысило 826 тыс., при этом география распространения буткита представлена рядом стран

  • Европы;
  • Юго-Восточной Азии;
  • Северной и Южной Америки.


Большая часть зараженных устройств сосредоточена в Китае, рынок которого является основной целью киберпреступников, создавших данную вредоносную программу.

Страны с наибольшим числом инфицированных устройств

Geographi raspred postradavshih ot AndroidOldboot Rasprostr AndroidOldboot po stranam

Для китайских пользователей ОС Android в январе злоумышленники также разработали вредоносную программу Android.Spy.67.origin, распространяющуюся в качестве некоего программного обновления, которое устанавливается под видом популярных приложений, создавая несколько соответствующих им ярлыков на главном экране мобильного устройства.

Vredonos prilojenie Android.Spy.67.origin Vredonos prilojenie Android.Spy.67.origin 1

При запуске троян удалял эти ярлыки, а затем выполнял сбор различной конфиденциальной информации пользователя. Кроме этого программа способна активировать камеру и микрофон мобильного устройства, а также выполнять индексацию имеющихся фотографий, создавая для них файлы-миниатюры. Все полученные данные передавались на принадлежащий злоумышленникам сервер. Следующим функционалом, которым обладал Android.Spy.67.origin, так это способность нарушать работу ряда популярных в Китае антивирусных продуктов, удаляя их вирусные базы, а возможность установки находящейся внутри него вредоносной программы, которая могла осуществлять скрытую инсталляцию различных приложений. Вредоносная программа детектируется как Android.RootInst.1.origin.

Другим случаем в январе стало появление вредоносного приложения в каталоге Google Play. Android.Click.3.origin позиционировалась разработчиком как игровое приложение Real Basketball, посвященное баскетбольной тематике, однако на самом деле представляла собой бесполезную пустышку, содержащую нежелательный функционал.

Пользователи, пожелавшие получить игру, становились обладателями приложения с встроенной троянской программой. Приложение было, якобы, предназначенное для доступа к каталогу Google Play, а при запуске активировал его троянский функционал. Далее, незаметно для владельцев инфицированных устройств, вредоносная программа осуществляла скрытый переход по заданным злоумышленниками URL-адресам, тем самым помогая предприимчивым мошенникам заработать на искусственном увеличении популярности соответствующих веб-сайтов, а также на кликах по рекламным объявлениям.

Согласно имеющимся данным, число загрузок трояна из каталога приложений составило минимум 10 тысяч, поэтому он успел пользователям доставить хлопот, а своим создателям помог пополнить бюджет.

Android.Click.3.origin 1 Android.Click.3.origin 2

Также в январе продолжилось распространение вредоносных Android-приложений среди южнокорейских пользователей. Так за прошедший месяц было зафиксировано более 140 подобных случаев, что меньше аналогичного показателя декабря 2013 года. Наибольшее распространение в январе получили трояны:

  • Android.Backdoor.31.origin - 55%;
  • Android.Spy.71 - 9%;
  • Android.Spy.45.origin - 8%;
  • Android.Spy.47.origin - 4%;
  • Android.Spy.74 - 3%.


Интересно, но среди обнаруженных вредоносных программ было зафиксировано большое число новых модификаций. Такие цифры говорят о высокой заинтересованности киберпреступников в мобильном рынке Южной Кореи.

Android-угрозы, распространявшиеся в январе среди южнокорейских пользователей при помощи СМС-спама

Android-ugrozi v koree pri pomoshi SMS


Вредоносные файлы, обнаруженные в почтовом трафике в январе

Vredonos obnaruj v pochte v yanvare 2014


Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

Vredonos file obnaruj na PK v yanvare 2014


Обновлено (05.02.2014 22:45)