Обзор вирусной активности в декабре 2012 года от компании Доктор Веб


Hit WebВ декабре 2012 года был зафиксирован:

  • Незначительный рост объемов почтового спама.
  • Появление новых модификаций троянов семейства Trojan.Mayachok.
  • Рост числа пострадавших от действий троянов-кодировщиков.
  • Был выявлен троян семейства Trojan.SMSSend, "заточенный" под Mac OS X.
  • Обнаружен первый "российский" банковский троян под Android.

Вирусная обстановка

Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, по-прежнему наиболее часто в компьютерах обнаруживаются компоненты вредоносных программ семейства Trojan.Mayachok. Также широкое распространение в декабре 2012 года получили:

  • троян семейства Trojan.SMSSend;
  • вредоносные приложения типа бэкдор BackDoor.Netgx.41;
  • троян для "накрутки" посещаемости различных веб-сайтов Trojan.Click2.46123;
  • вредоносное приложение Trojan.Spambot.11873, предназначенное для рассылки спама.

Список угроз, обнаруженных в декабре с использованием лечащей утилиты Dr.Web CureIt!

Spisok ugroz obnaruj s pomoshiu DrWeb CureIt v dekabre 2012

Также в декабре произошло увеличение числа запросов в службу технической поддержки "Доктор Веб" от пользователей, пострадавших в результате действий троянов-кодировщиков, шифрующих файлы на инфицированном компьютере и требующих оплаты за их расшифровку. Было зафиксировано появление множества новых модификаций "энкодеров", самым популярным из которых в декабре, стал Trojan.Encoder.102.


Ботнеты
Общая численность наиболее распространенной на сегодняшний день бот-сети Win32.Rmnet.12 к концу декабря достигла 6,5 млн. инфицированных компьютеров, что на 400 тыс. зараженных узлов больше чем в прошлом месяце. Другими словами, прирост ботнета продолжается прежними темпами, а общая динамика увеличения размера вредоносной сети сохраняется.

Увеличился и масштаб бот-сети Win32.Rmnet.16. За декабрь размер данной бот-сети достиг 259 458 инфицированных узлов, что на 4 500 выше ноябрьских показателей. Наиболее интенсивный рост данного ботнета отмечался в июле-августе, а к концу года его расширение немного замедлилось.

Апрельская эпидемия трояна Backdoor.Flashback.39, ориентированного на Apple-совместимые компьютеры под управлением операционной системы Mac OS X, ощущается до сих пор. На конец декабря во всем мире насчитывается несколько десятков тысяч "маков", инфицированных Backdoor.Flashback.39, хотя рост этого ботнета практически полностью прекратился.

Продолжает свое существование и узкоспециализированная бот-сеть, созданная с использованием троянской программы BackDoor.Dande, и предназначенная для хищения информации, обрабатываемой специализированным программным обеспечением фармацевтических компаний. На сегодняшний день насчитывается более 3 000 компьютеров, инфицированных BackDoor.Dande, при этом большая их часть расположена на территории России. С учетом того, что данный троян инфицирует только компьютеры с установленным специальным ПО, используемым фармацевтическими компаниями, эту бот-сеть можно назвать достаточно крупной.


Декабрьские взломы сайтов
В декабре 2012 года было зафиксировано несколько случаев взломов веб-сайтов с целью распространения вредоносного ПО.

В начале месяца был взломан официальный сайт тибетского духовного лидера далай-ламы. На компьютеры посетителей этого ресурса загружался JAR-файл, содержащий эксплойт CVE-2012-0507. С помощью этой уязвимости автоматически запускался троян для Mac OS X — BackDoor.Dockster.1.

Oficialnii sait Dalai Lama

Вскоре стало известно о существовании еще нескольких веб-сайтов, с использованием которых злоумышленники распространяли вредоносные программы. С одного из них после определения операционной системы посетителя на его компьютер (если он работал под управлением Windows) загружался JAR-файл, с использованием которого происходило заражение вредоносной программой Trojan.Inject1.14703. Версия JAR-файла для других операционных систем содержала уязвимость CVE-2012-0507, при этом пользователи Mac OS X рисковали заразиться трояном BackDoor.Lamadai.1. Еще один опасный для пользователей сайт освещал события в Северной Корее и принадлежал южнокорейскому новостному агентству. Посетители данного интернет-ресурса могли заразиться троянской программой Trojan.MulDrop3.47574.


Угроза месяца: Trojan.SMSSend.3666
В декабре был обнаружен новый представитель семейства вредоносных программ Trojan.SMSSend.3666, нацеленный на платформу Mac OS X.

AutoExtract

Вредоносные программы семейства Trojan.SMSSend представляют собой платные архивы, которые можно загрузить с различных веб-сайтов под видом какой-либо полезной программы. В процессе открытия такого архива мошенники просят жертву ввести в соответствующую форму номер мобильного телефона, а затем указать код, пришедший в ответном СМС. При выполнении пользователем указанных действий, он соглашается с условиями платной подписки, по которым со счета его мобильного телефона будет регулярно списываться абонентский платеж. Как правило, внутри архива находится либо совершенно бесполезный "мусор", либо заявленная мошенниками программа, которую можно скачать с официального сайта разработчиков совершенно бесплатно.

Trojan.SMSSend.3666 распространяется под видом программы VKMusic 4 for Mac OS X, предназначенной для прослушивания музыки в социальной сети "ВКонтакте". За его разработкой стоит "партнерская программа" ZipMonster, помогающая мошенникам создавать подобные платные архивы, а также оказывающая посреднические услуги по организации выплат распространителям вредоносного ПО.

Также в декабре-месяце 2012 года был обнаружен первый банковский Android-троян, деятельность которого направлена против российских пользователей. Троян Android.FakeSber.1.origin (по классификации Dr.Web) предназначен для перехвата информации из СМС-сообщений, поступающих от системы онлайн-банкинга Сбербанка России. Вредоносная программа находилась в официальном каталоге Google Play и распространялась по следующей схеме. Потенциальная жертва, пытавшаяся воспользоваться услугами банка через веб-браузер, получала уведомление о необходимости авторизации по номеру мобильного телефона, для чего на мобильное устройство предлагалось установить специальное приложение. Это уведомление демонстрировалось на компьютерах, инфицированных одной из троянских программ семейства Trojan.Carberp, которые способны внедрять произвольный код в веб-страницы, меняя их содержимое. Если пользователи соглашались на установку Android-приложения, троян имитировал ожидаемый ими функционал и незаметно пересылал злоумышленникам все входящие СМС-сообщения. Также данная троянская программа умеет скрывать от пользователя входящие сообщения с определённых номеров, список которых могут задать киберпреступники с управляющего сервера.

Sberbank proverka telefona 1Sberbank proverka telefona 2

Помимо программы с образом официального приложения от Сбербанка, каталог Google Play содержал еще как минимум два приложения с тем же функционалом, но под прикрытием других известных брендов, таких как "Альфа-Банк" и "ВКонтакте". Число пользователей, успевших установить трояна Android.FakeSber.1.origin до того, как он был удален из каталога Google Play, составляет от 100 до 200 человек. Однако сам факт появления банковского трояна, направленного против российских пользователей Android, является тревожным сигналом. Вероятно, это была лишь первая попытка злоумышленников освоить новый для них теневой рынок, и в скором времени можно ожидать увеличения числа инцидентов с участием подобных вредоносных приложений.

Также обнаруженные в декабре другие угрозы для Android стали:

  • Android.Spambot.1.origin - троян, предназначенный для массовой рассылки СМС-спама. Текст сообщений и номера, по которым осуществляется рассылка, загружались с удаленного сервера, принадлежащего злоумышленникам. Чтобы скрыть свою вредоносную деятельность, троян удалял все сведения об отправляемых СМС, поэтому владельцы инфицированных мобильных устройств могли не сразу обнаружить подозрительную активность.

  • Android.DDoS.1.origin – вредоносная программа, предназначенная для осуществления DoS-атак с использованием мобильных Android-устройств. Параметры, необходимые для их проведения, троян получает посредством СМС-сообщений, в которых указывается имя сервера, а также требуемый порт.


Прочие угрозы декабря
Среди других вредоносных программ, получивших распространение в декабре 2012 года, следует отметить трояна Trojan.BrowseBan.480, блокирующего доступ на некоторые веб-сайты, мошенническим путем вынуждая пользователя оформить платную подписку на различные услуги. Троян работает с браузерами:

  • Microsoft Internet Explorer;
  • Mozilla Firefox;
  • Opera;
  • Google Chrome


а блокирующие окна появляются при попытке обращения с инфицированного компьютера к:

  • сайтам социальных сетей "ВКонтакте", "Одноклассники", "Мой мир", Facebook;
  • популярным поисковым системам;
  • почтовым службам "Яндекс.Почта", Gmail, Mail.ru;
  • другим ресурсам Интернета.


Вредоносные файлы, обнаруженные в почтовом трафике в декабре

Vredonos faili v pochte v dekabre 2012


Вредоносные файлы, обнаруженные в декабре на компьютерах пользователей

Vredonos faili na PK v dekabre 2012