Обзор вирусной активности в мае 2012 года от компании Доктор Веб


Hit WebЗа май 2012 года не было зафиксировано серьезных вирусных эпидемий. Тем не менее, по-прежнему высоким остается число пострадавших от действий троянов-шифровальщиков, а также появляются новые угрозы для мобильной операционной системы Android. Угрозой месяца стал Trojan.Matsnu.1 - троянская программа, шифрующая обнаруженные на дисках файлы пользователя и демонстрирующая на экране компьютера сообщение о блокировке системы. От действий этого трояна пострадало большое количество пользователей по всему миру.


Вирусная обстановка
По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз занимают:

Trojan.Mayachok.1 - троян, подменяющий пользователям наиболее популярные сайты при подключении к Интернету. Данный троян был обнаружен на 3,73% проверенных данной утилитой компьютеров. Причина столь высокой популярности этой угрозы - неплохая прибыль. Это связано с тем, что Trojan.Mayachok.1 распространяясь с поддельных файлообменников под видом драйверов и полезных программ, а также в спам-рассылках, требует у пользователей "активировать" доступ к тому или иному сайту, указав в соответствующем поле номер мобильного телефона и пришедший в ответном СМС-сообщении код. Таким образом, жертва оказывается подписанной на псевдоуслугу, за оказание которой с ее счета мобильного оператора будет ежемесячно списывается абонентская плата. Страницы, которые может подменить этот троян:

  • youtube.com;
  • vkontakte.ru;
  • vk.com;
  • odnoklassniki.ru;
  • my.mail.ru.

Odnoklassniki ru

Банковские трояны семейства Trojan.Carberp - 1,3% случаев;
Вредоносные программы семейства Trojan.SMSSend - порядка 1,5%;
Trojan.Hosts - около 0,5%;
Всевозможные модификации IRC-ботов.

Сравнивая эту статистику с данными за предыдущий месяц, можно увидеть, что число заражений трояном Trojan.Mayachok.1 выросло на 1,36%, т.е. в мае количество обнаружений данной вредоносной программы увеличилось на 10,5 тысяч. Число обнаружений Trojan.Carberp сократилось практически на четверть. Возросло количество случаев заражения троянами семейства Trojan.Hosts, подменяющими содержимое файла

  • Windows/System32/Drivers/etc/hosts

отвечающего за трансляцию сетевых адресов сайтов в их DNS-имена. Одной из весьма популярных модификаций данной вредоносной программы оказался Trojan.Hosts.5858.

SPAMHAUS The bramhaus project

Распространение этого трояна осуществляется с использованием ресурсов бот-сети BackDoor.Andromeda. В случае заражения при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в Интернет заблокирован. Для "разблокировки" пользователю предлагается передать вирусописателям реквизиты его банковской карты.
Численность выявленных угроз других типов за истекший месяц фактически осталась на прежнем уровне.


Спам
В мае в почтовых сообщениях, лидируют:

  • Trojan.SMSSend.2856 - вредоносная программа, представляющая собой вредоносный скрипт, перенаправляющий браузер пользователя на мошеннические сайты.
  • Trojan.Mayachok.1 и Trojan.Carberp.
  • Win32.HLLW.Shadow (известный под именем "Kido") — червь, способный загружать с удаленных серверов, устанавливать и запускать на компьютере жертвы различные приложения.
  • Trojan.NtRootKit.6725 - троян-руткит.


По сравнению с апрелем 2012 года объем вредоносных вложений в почтовых сообщениях немного сократился, в то время как качественный их состав практически не претерпел изменений.

В конце мая был зафиксирован всплеск активности спамеров, рассылающих письма от имени Сбербанка России. В сообщении говорится о "превышении максимальной отсрочки платежа" пользователем, и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружается троян-энкодер. А при попытке распаковать скачанный архив хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными.

Sberbank Rossii


Ботнеты
Обнаруженная в начале апреля бот-сеть BackDoor.Flashback.39, поразившая более 800 000 Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X, продолжает свое существование, хотя общая численность инфицированных машин заметно сократилась и продолжает уменьшаться с течением времени. На начало мая число ботов в сети снизилось до 529 355. По данным на 24 мая, в сети действовало 331 992 зараженных "мака", при этом среднесуточное количество присоединяющихся к сети новых ботов составляет 110 машин.

Динамика изменения общей численности бот-сети BackDoor.Flashback.39 в мае 2012 года

Dinamika izmeneniya chislennosti bot-seti BackDoorFlashback v mae 2012


Динамика регистрации новых ботов в бот-сети BackDoor.Flashback.39 в мае 2012 года

Dinamika registracii new botov v bot-seti BackDoorFlashback v mae 2012

В апреле компанией "Доктор Веб" был перехвачен крупный ботнет, созданный злоумышленниками с использованием файлового вируса Win32.Rmnet.12. Уже тогда его численность составляла более миллиона инфицированных компьютеров, расположенных преимущественно в странах ближнего востока и Азии.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он обладает функционалом бэкдора, позволяет выполнять поступающие от удаленного управляющего центра команды, а также "умеет" красть пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

На 29 мая 2012 года общая численность ботнета Win32.Rmnet.12 составляет уже 2 641 855 инфицированных машин. Только за последний месяц она превысила значение в два с половиной миллиона, увеличившись вдвое. География распространения вируса не претерпела существенных изменений. Лидерами среди наиболее подвергшихся инфекции регионов по-прежнему остаются:

  • Индонезия;
  • Бангладеш;
  • Вьетнам;
  • Индия;
  • Египет;
  • Россия.


Динамика увеличения численности бот-сети Win32.Rmnet.12 в течение мая 2012 года

Dinamika rosta bot-seti Win32.Rmnet.12 v mae 2012

График наглядно демонстрирует, что среднесуточное количество вновь зараженных машин, присоединившихся к бот-сети, составляет порядка 25 000, и объем ботнета продолжает расти весьма быстрыми темпами.

Другая бот-сеть, за которой внимательно следят специалисты компании "Доктор Веб" — Win32.Rmnet.16. В начале мая сообщалось о численности ботнета. По данным на 11.05.2012 она составляла 55 310 инфицированных узлов, наибольшая доля которых была расположена на территории Великобритании. За прошедшие с этого момента 18 дней число зараженных машин достигло 84 491.

Рост численности бот-сети Win32.Rmnet.16 в мае 2012 года

Rost chislennosti bot-seti Win32.Rmnet.16 v mae 2012

Появление новых инфицированных машин в сети Win32.Rmnet.16 происходит неравномерно, но общее их количество, тем не менее, постепенно увеличивается.

Угроза месяца
Trojan.Matsnu.1 - троян написанный на языке Ассемблер, распространяющийся в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троян шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о блокировке системы либо о ее заражении трояном-кодировщиком. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Для расшифровки файлов, вирусописатели предлагают воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

Willkommen bei Windows Update

Одновременно с демонстрацией данного сообщения троян ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:

  • убить систему (удалить все файлы на жестких дисках);
  • загрузить с сайта злоумышленников указанную программу и запустить ее;
  • загрузить и продемонстрировать другие изображения для диалогового окна;
  • сохранить на диск, присланный исполняемый файл и запустить его в виде фонового процесса;
  • расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
  • зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
  • обновить список управляющих серверов;
  • обновить основной модуль трояна.


Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал. От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки.


Угрозы для Android
Последний месяц весны ознаменовался появлением новых угроз для мобильной платформы Google Android. В начале мая сообщалось о троянах, представляющих угрозу для мобильных телефонов с root-доступом. Данные вредоносные программы реализованы по "принципу матрешки" - модифицированное злоумышленниками приложение содержит другой зашифрованный программный apk-файл. Трояны устанавливают в систему программу-загрузчик, способную скачивать и запускать на инфицированном устройстве другие приложения.

Zapros na superpolzovatelya

Также в мае было выявлено вредоносное приложение для мобильной платформы Android - Android.Proxy.1.origin. Распространяясь под видом системного обновления со взломанных злоумышленниками сайтов, троян запускает на инфицированном устройстве простой прокси-сервер, благодаря которому хакеры могут получить несанкционированный доступ к частным сетям, к которым подключается устройство. Загрузка данного трояна начинается автоматически при посещении модифицированных злоумышленниками веб-сайтов, в структуру которых добавлен скрытый элемент IFRAME. Однако, для того чтобы мобильное устройство оказалось инфицированным, пользователь должен установить данное приложение.

Com security update


Винлоки и энкодеры
В мае пострадали от программ-блокировщиков — 21,2% от общего количества. Это число незначительно сократилось по сравнению с апрелем. Также немного снизилось количество запросов о расшифровке файлов, пострадавших в результате заражения ПК вредоносными программами семейства Trojan.Encoder — 0,71%. По поводу прочих вирусных угроз за истекший месяц в компанию обратилось 5,3% пользователей, запросы технического характера составили 44% от общего количества обращений в техподдержку.


Короткой строкой
Среди иных угроз информационной безопасности, выявленных в мае 2012 года, необходимо отметить следующие:

  • Сетевые мошенники обратили свое внимание на социальную сеть Facebook.
  • Вредоносная программа Win32.HLLW.Autoruner.64548, распространяющаяся путем создания своей копии на диске и размещения в корневой папке файла autorun.inf, ищет и инфицирует RAR-архивы.
  • Был обнаружен IRC-бот BackDoor.IRC.Aryan.1, способный загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера.
  • IRC-бот, распространяющий спам в сетях мгновенного обмена сообщениями, использует в своей работе оригинальный механизм поиска запущенных процессов с помощью счетчиков производительности, размещающихся в системном реестре Windows.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

Vredonosnie faili v pochte v mae 2012


Вредоносные файлы, обнаруженные в мае на компьютерах пользователей