Обзор вирусной активности в июне 2012 года от компании Доктор Веб


Hit Web

Вирусная обстановка

Согласно статистическим данным, собранным лечащей утилитой Dr.Web CureIt!, в июне самыми популярными вредоносными программами на компьютерах пользователей оказались:

  • Trojan.Mayachok.1 - 5,82% (56 767 случаев);
  • трояны-загрузчики различных модификаций;
  • вредоносные программы семейства Trojan.SMSSend;
  • банковские трояны Trojan.Carberp различных версий.

Наиболее распространенные угрозы, обнаруженные с использованием утилиты Dr.Web CureIt!

Ugrozi obnarujenie c ispolzov Dr.Web CureIt! v iune 2012

Лидеры угроз, распространяющихся по каналам электронной почты, являются:

  • BackDoor.Andromeda.22 - вредоносная программа, способная загружать на инфицированные компьютеры большое количество других опасных приложений. Семейство данных бэкдоров способно обмениваться зашифрованными данными с удаленным сайтом злоумышленников и по команде с сервера скачивать на зараженный ПК различные файлы;
  • трояны-загрузчики;
  • Trojan.Inject1.4969;
  • Win32.HLLM.MyDoom - программы-черви;
  • троянцы-блокировщики различных модификаций.


Ботнеты
BackDoor.Flashback.39 - бот-сеть, поразившая огромное количество Apple-совместимых компьютеров, исправно функционирующая и по сей день. На начало месяца в сети активно действовал 364 741 инфицированный "мак". К концу июня их число снизилось до 191 756, то есть на 47,4%. Среднесуточный прирост ботнета также крайне мал. В среднем каждые 24 часа в сети BackDoor.Flashback.39 регистрируется не более 25 вновь инфицированных компьютеров.

Динамика изменения общей численности ботнета BackDoor.Flashback.39 в июне 2012 года

Dinamika izmeneniya chislennosti bot-seti BackDoor.Flashback.39 v iune 2012

График показывает стойкую тенденцию к сокращению количества активно действующих Apple-совместимых компьютеров, инфицированных трояном BackDoor.Flashback.39.

Ботнет, образованный с помощью опасного файлового вируса Win32.Rmnet.12 по своей численности превысил трехмиллионную отметку и достиг значения 3 292 190 инфицированных компьютеров, что на 17,5% больше по сравнению с майскими показателями. Наибольшее количество заражений по-прежнему приходится на долю:

  • Индонезии;
  • Бангладеш;
  • Вьетнама;
  • Индии.


В среднем каждые сутки в подсетях Win32.Rmnet.12 регистрируется порядка 9–15 тыс. новых ботов, что дает весьма ощутимый прирост общего количества инфицированных машин.

Динамика роста сети Win32.Rmnet.12 в июне 2012 года

Dinamika rosta bot-seti Win32.Rmnet.12 v iune 2012

Бот-сеть Win32.Rmnet.16 продолжает увеличиваться в размерах. Если в конце мая данная модификация вируса, получившая распространение в основном на территории Великобритании и Австралии, заразила 84 491 компьютер, то ровно через месяц число инфицированных ПК составило 104 874.

Динамика увеличения популяции файлового вируса Win32.Rmnet.16

Dinamika rosta bot-seti Win32.Rmnet.16 v iune 2012


Мошенники не дремлют
В июне компанией "Доктор Веб" был обнаружен очередной способ мошенничества, все активнее применяемом киберпреступниками. В качестве цели для осуществления своих махинаций сетевые жулики выбрали пользователей Интернета, находящихся в активном поиске работы.

Зарегистрировавшись на одном из предлагающих вакансии порталов в качестве соискателя, пользователь обычно заполняет специальную форму, в которой указывает свое полное имя, контактные данные, образование, опыт работы, а также иные сведения, которые могут быть интересны потенциальному нанимателю. Просматривать такие резюме имеют возможность представители компаний, зарегистрированные на сайте в качестве работодателя. Злоумышленники создают на подобных ресурсах учетную запись несуществующей компании либо одной из реально действующих известных компаний. Затем мошенники ищут опубликованные на сайте резюме и отправляют соискателям по электронной почте сообщение с предложением занять некую вымышленную вакансию. Для этого потенциальной жертве следует пройти "онлайн-собеседование" на определенном сайте, ответив на несколько несложных вопросов. Сайт создается злоумышленниками специально для этой цели и выглядит достаточно солидно, солидно настолько, что ничего не подозревающий соискатель доверчиво попадается в ловушку.

Ljesobesedovanie

Онлайн-собеседование состоит из нескольких десятков несложных вопросов, при этом у соискателя не спрашивают ни имени, ни контактных данных, ни информации об опыте работы или квалификации. Однако после прохождения теста жертве предлагается отправить СМС-сообщение "с личным кодом результата" на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. Таким образом, пользователь соглашается с условиями "псевдоподписки" — услуги по предоставлению доступа к информации, за оказание которой с его счета мобильного оператора будет регулярно списываться сумма в размере 250–300 рублей.


Угроза месяца
Trojan.Hottrend (Tiny Banker) - самый маленький из известных на сегодняшний день банковских троянов. Троян написан на языке Ассемблер. Размер трояна - всего 20 КБ.

Tinba

Основное функциональное предназначение данной вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной информации, впоследствии передающийся злоумышленникам. Также в июне было обнаружено еще несколько разновидностей небольших по размеру банковских троянов - Trojan.PWS.Banker.64540


Угрозы для Android
В течение месяца было добавлено в базы более 35 новых модификаций семейства Android.SmsSend, а также несколько других вредоносных программ, от которых могут пострадать пользователи мобильных устройств. Во второй половине июня было зафиксировано распространение трояна Android.SpyEye.2.origin, способного красть СМС на инфицированном мобильном телефоне.

В конце месяца в вирусные базы Dr.Web был добавлен троян Android.SmsBot.1">Android.SmsBot.1.origin, распространяемый посредством спам-рассылок. Уникальность данной вредоносной программы в том, что для получения команд от принадлежащего злоумышленникам удаленного сервера бот использует Twitter. С использованием достаточно сложного алгоритма троян формирует имя требуемого аккаунта, обращаясь к которому, он получает имена управляющих серверов. Установив соединение с командным центром,
Android.SmsBot.1">Android.SmsBot.1.origin">Android.SmsBot.1">Android.SmsBot.1.origin, распространяемый посредством спам-рассылок. Уникальность данной вредоносной программы заключается в том, что для получения команд от принадлежащего злоумышленникам удаленного сервера бот использует Twitter. С использованием достаточно сложного алгоритма троян формирует имя требуемого аккаунта, обращаясь к которому, он получает имена управляющих серверов. Установив соединение с командным центром, Android.SmsBot.1 может передать злоумышленникам сведения об инфицированном устройстве, получить различные команды и отчитаться о результатах их выполнения. Одна из основных функций трояна — отправка СМС-сообщений без ведома пользователя. Данная программа может представлять определенную опасность для пользователей мобильных устройств.

Вредоносные файлы, обнаруженные в почтовом трафике в июне

Vredonosnie faili v pochte v iune 2012


Вредоносные файлы, обнаруженные в июне на компьютерах пользователей

Vredonosnie faili na PK v iune 2012