Ноябрь в цифрах или вирусная активность в ноябре 2012 года


Hit WebВ ноябре 2012 года широкое распространение получили трояны-блокировщики нового типа - "мультилокеры". Они не содержат в себе графических изображений и текста, демонстрирующегося на экране заблокированного ПК. Также в ноябре отмечалось распространение других вредоносных программ для операционной системы Microsoft Windows и для мобильной платформы Android.


Вирусная обстановка
Широко распространенный еще несколько месяцев назад троян Trojan.Mayachok.1, блокирующий на инфицированном компьютере доступ к Интернету, опустился в рейтинге наиболее актуальных угроз (по данным лечащей утилиты Dr.Web CureIt!) на двенадцатое место. Зато абсолютным лидером списка стала другая модификация этой вредоносной программы — Trojan.Mayachok.17994. Данная версия трояна является дальнейшим развитием вредоносного приложения Trojan.Mayachok.17727.

В списке лидеров по числу выявленных заражений также значится троян BackDoor.IRC.NgrBot.42. Троянские программы этого семейства поддерживают связь с удаленным управляющим сервером по протоколу IRC (Internet Relay Chat) и способны выполнять широчайший спектр команд злоумышленников. Деструктивный функционал BackDoor.IRC.NgrBot.42

  • позволяет уничтожить на инфицированном компьютере загрузочную запись в случае нарушения целостности трояна;
  • способeн блокировать доступ к сайтам антивирусных компаний;
  • перехватывать логины и пароли, используемые для авторизации на различных интернет-ресурсах.


BackDoor.IRC.NgrBot.42 инфицирует все подключенные к компьютеру съемные носители, размещая в папке Корзины собственный исполняемый файл. После этого BackDoor.IRC.NgrBot.42 скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на исполняемый файл троянской программы. При попытке открытия подобного файла на зараженном устройстве пользователь запускает вредоносное приложение. Также троян может разместить в корневой папке файл

  • autorun.inf

с использованием которого осуществляется его автоматический запуск при подключении к компьютеру съемного накопителя.

Также в статистике заражений, собранной с использованием лечащей утилиты Dr.Web CureIt! встречаются:

  • банковские трояны Trojan.Carberp различных модификаций;
  • вредоносные программы семейства Trojan.SMSSend;
  • вредоносные программы семейства Trojan.DownLoader.


Двадцать наиболее распространенных угроз, обнаруженных в ноябре на компьютерах пользователей лечащей утилитой Dr.Web CureIt!

Top 20 Ugroz obnaruj na PK polzov CureIt


Ботнеты
В ноябре 2012 года продолжила уверенно расти численность ботнета, состоящего из рабочих станций, инфицированных файловым вирусом Win32.Rmnet.12. В течение минувшего месяца количество инфицированных машин выросло еще на 545 000 и превысило значение в шесть миллионов.

Изменение численности ботнета Win32.Rmnet.12 в ноябре 2012 года

Izmenenie chislennosti botseti Win32.Rmet.12 v noyabre 2012


Темпы роста бот-сети Win32.Rmnet.16, наоборот несколько замедлились. За последние 30 дней к этому ботнету присоединилось всего лишь 5 011 вновь инфицированных рабочих станций, что на 70% меньше октябрьских показателей. При этом во второй половине ноября наметилась тенденция к увеличению количества заражений.

Изменение численности ботнета Win32.Rmnet.12 в ноябре 2012 года

Izmenenie chislennosti botseti Win32.Rmet.16 v noyabre 2012

Троянская программа Backdoor.Flashback.39, заразившей весной этого года более 800 000 Apple-совместимых компьютеров по всему миру, снижает обороты, а количество инфицированных "маков" существенно сокращается. По данным на 26 ноября в бот-сети Backdoor.Flashback.39 насчитывалось всего 90 947 зараженных машин, что на 14% меньше показателей прошлого месяца. Процесс прироста данного ботнета практически полностью остановился.


Мультилокеры
Еще одна тенденция ноября 2012 года — массовое распространение троянов-блокировщиков, получивших неофициальное наименование "мультилокеры". В текущем месяце был замечен сдвиг в пользу данного типа угроз и в отношении бот-сетей, состоящих из троянов-загрузчиков. Так, "мультилокеры" активно загружались на инфицированные компьютеры многочисленных жертв с помощью вредоносных программ семейства BackDoor.Andromeda.

Типичным представителем данной категории троянов-вымогателей является Trojan.Winlock.7372. Программы-вымогатели типа "мультилокеры" не содержат в себе каких-либо изображений, текстовых ресурсов или иных компонентов, обычно демонстрируемых подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы "мультилокеры" загружают с удаленного сервера. В процессе своей работы некоторые модификации таких блокировщиков обходят стандартный брандмауэр Windows, а также не позволяют запустить на инфицированном компьютере различные приложения, такие как: Диспетчер задач, Блокнот, Редактор реестра, Командная строка, Настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие.

В конце месяца специалистами компании "Доктор Веб" был обнаружен блокировщик Trojan.Winlock.7372, способный перехватывать изображения, поступающие от подключенной к компьютеру веб-камеры. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Izobrajenie i text na osnove XML-failov

Для разблокировки компьютера троян требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. При подтверждении факта оплаты, управляющий центр отправляет трояну команду на разблокировку компьютера. Требуемая злоумышленниками сумма за эту услугу составляет 100 евро или $150.

Рост числа заражений пользовательских компьютеров "мультилокерами" свидетельствует о том, что вирусописатели постепенно отказываются от "традиционных" винлоков со стандартной архитектурой, многие из которых создавались с использованием специальных программ-конструкторов. Функционал троянов-вымогателей постепенно усложняется, а основную ставку злоумышленники делают на зарубежную аудиторию. Согласно статистике "Доктор Веб", наибольшее распространение "мультилокеры" в настоящее время имеют на территории США и Западной Европы.


Угроза месяца
Trojan.Gapz.1 - троянская программа, особый интерес которой представляют устанавливаемые ею на инфицированный компьютер плагины, одним из которых является "мультилокер" Trojan.Winlock.7384.

Trojan.Gapz.1 способен работать как в 32-битных, так и в 64-битных версиях ОС Windows. Данная вредоносная программа обладает функционалом по обходу механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов. Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После этого троян заставляет системный загрузчик подгрузить и запустить вредоносную программу.

Podgruzka sist zagruzchika

Основное функциональное назначение Trojan.Gapz.1 — создание среды для загрузки с диска бинарного образа, содержащего набор из нескольких модулей. Эти модули имеют различный функционал. Один из них представляет собой вредоносное приложение, предназначенное для работы с платежной системой UCash.


Опасный загрузчик
14 ноября компанией "Доктор Веб" был обнаружен опасный троян-загрузчик Trojan.DownLoader7.21125, при использовании которого на инфицированный компьютер проникают другие вредоносные программы. Троян загружает и устанавливает на инфицированные компьютеры жертв программу для добычи (майнинга) электронной криптовалюты Bitcoin, перепакованные модификации самого себя, а также следующие вредоносные программы:

  • BackDoor.Andromeda.22 — популярный троян-загрузчик, способный скачивать с принадлежащих злоумышленникам серверов и устанавливать на инфицированном компьютере другие вредоносные программы.
  • Trojan.Rodricter.21 — многокомпонентный троян-руткит, дроппер которого обладает функционалом антиотладки. Использует локальные уязвимости ОС для поднятия собственных привилегий. Отключает User Accounts Control (UAC) как в 32-разрядных, так и в 64-разрядных версиях Windows. Изменяет настройки браузеров Mozilla Firefox и Internet Explorer. Функциональное назначение основного модуля трояна — перехват трафика на инфицированном ПК.
  • Trojan.PWS.Multi.879 — вредоносная программа, способная похищать пароли от ряда популярных приложений, в том числе ICQ, Yahoo! Messenger, FTP Commander, Paltalk, AIM, Google Talk, MSN Messenger, Miranda, Trillian и других.
  • BackDoor.HostBooter.3 — троян, предназначенный для выполнения DDoS-атак, а также скачивания и запуска файлов по команде с управляющего сервера.


Угрозы для Android
В ноябре были обнаружены представители коммерческих программ-шпионов, ставшие уже традиционными угрозами для ОС Android. Среди них — Program.Jianspy.1.origin и Program.Spyera.1.origin, выполняющие функции типа: получение информации об СМС-переписке пользователя, совершаемых им звонках, определение его местоположения, и ряд других.

Также появлялись и новые модификации хорошо известных троянов Android.SmsSend, опустошающих мобильные счета пользователей путем отправки дорогих СМС-сообщений.


Вредоносные файлы, обнаруженные в почтовом трафике в ноябре

Vredonos faili obnaruj v pochte v noyabre 2012

Вредоносные файлы, обнаруженные в ноябре на компьютерах пользователей

Vredonos faili obnaruj na PK polzov v noyabre 2012