Доктор Веб: Киберкриминальный мир. Обзор вирусной активности за 2011 год

Hit WebПрошедший год ознаменовался:

  • Значительным ростом угроз для мобильной платформы Android.
  • Мошенническими схемами, применяемыми в отношении пользователей социальных сетей.
  • Новыми модификациями программ-вымогателей семейства Trojan.Winlock, MBR-локи и трояны-шифровальщики.
  • Кардинально возросло число новых вредоносных программ, связанных с интернет-банкингом.


Число угроз для Android

Количество угроз для мобильной платформы Android в прошедшем году выросло в 20 раз, причем подавляющее большинство вредоносных программ относится к семейству Android.SmsSend. Обычно эти приложения представляют собой инсталлятор, якобы содержащий нужную пользователю программу, для установки которой необходимо отправить одно или несколько платных СМС-сообщений. Отметим, что на сайте разработчиков соответствующего ПО, пользователи могут скачать это приложение совершенно бесплатно.

В начале 2011 года в вирусных базах Dr.Web числилось - шесть записей для троянцев семейства Android.SmsSend, к концу декабря - число этих угроз увеличилось практически в 45 раз.


Динамика роста количества добавленных в базы Dr.Web записей для Android.SmsSend

Rost chisla zapisei dlya troyanov smssend v 2011

Значительный успех в борьбе с данным типом угроз отчасти обусловлен применением уникальной технологии Origins Tracing™. Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. С использованием в продуктах Dr.Web технологии Origins Tracing для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, которая затем добавляется в вирусную базу. Одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз

Всего в вирусных базах Dr.Web на конец 2011 года числится около 630 записей, соответствующих вредоносным программам для Android, в то время как на начало года их насчитывалось всего 30. Таким образом, за последние 12 месяцев общее число угроз для мобильной платформы Android увеличилось в 20 раз.


Процентное распределение различных типов угроз для Android

Raspredelenie tipov ugroz dlya Android

В качестве сравнения:

  • для Symbian OS на сегодняшний день известно 212 вредоносных программ;
  • для Windows Mobile — 30,
  • троянов, работающих на любой мобильной платформе с поддержкой Java - 923.


Вывод: Эти цифры показывают, что по числу специализированных угроз операционная система Android за 2011 год уверенно опередила своих ближайших конкурентов.


Руткиты
К категории руткитов относят вредоносные программы, способные скрывать следы своего присутствия в операционной системе. По сравнению с прошлым годом активность распространения данного типа угроз осталась на прежнем уровне. По мере роста популярности среди пользователей 64-разрядных операционных систем вирусописатели вынуждены адаптировать свои творения, в связи с чем несколько увеличилось число модификаций руткитов, работающих в пользовательском режиме. Наиболее популярными угрозами данного типа по-прежнему остаются BackDoor.Tdss и BackDoor.Maxplus.

В 2011 году специалистами "Доктор Веб" был зафиксирован Trojan.Bioskit.1 - уникальный руткит, инфицирующий BIOS персональных компьютеров — причем только в том случае, если на ПК установлен BIOS производства компании Award Software. Позже были зафиксированы попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия трояна не представляет серьезной угрозы для пользователей.


Файловые вирусы
К файловым вирусам относят вредоносные программы, поражающие в числе прочего исполняемые файлы и обладающие способностью к размножению без участия пользователя. Тройка лидеров файловых вирусов исходя из количества заражений по итогам года является:

  • Win32.Rmnet.12 - обнаружен на компьютерах пользователей 165 286 935 раз (11,22% от всех случаев инфицирования вредоносным ПО);
  • Win32.HLLP.Neshta - обнаружен в течение года 94 777 924 раза (6,44% случаев заражения);
  • Win32.HLLP.Whboy.45 - 52 610 974 случая заражения (3,57% от общего числа).


В 2011 году семейство файловых вирусов пополнилось новыми вредоносными экземплярами: это и лидер списка — Win32.Rmnet.12, Win32.HLLP.Novosel, Win32.Sector.22, а также многие другие.


Винлоки
Винлок - программа-вымогатель, блокирующая запуск операционной системы. За истекшие двенадцать месяцев число модификаций угроз семейства Trojan.Winlock вполне ожидаемо росло. В 2011 году винлоки добрались не только до ближнего зарубежья (были зафиксированы модификации программ-вымогателей, специально ориентированные на пользователей из Казахстана, Украины и Белоруссии), но и до европейских государств. Например, обнаруженный в сентябре 2011 года Trojan.Winlock.3260 содержит многоязычный текст блокирующих систему сообщений, оформленных в виде послания от управления полиции страны, в которой проживает жертва. Во всех случаях за разблокировку системы жертве предлагается внести плату с использованием одной из распространенных в данной стране платежных систем. Вскоре число подобных троянов стало стремительно расти. Это объясняется тем, что злоумышленники активно ищут на специализированных форумах специалистов по распространению вредоносного ПО.

Всего с начала года был зафиксирован более чем двукратный рост числа новых модификаций Trojan.Winlock. А доля пострадавших от программ-блокировщиков составляет 29,37%.


Тематика обращений в службу технической потдержки

Tematika obrashenii v slujbu teh potderjki


MBR-локи
Заметно выросло число программ-вымогателей, инфицирующих загрузочную запись компьютера (Master Boot Record, MBR). Первые образцы данных вымогателей поступили в антивирусную лабораторию еще в ноябре 2010 года, и на сегодняшний день их насчитывается уже более 300. С начала 2011 года число вредоносных программ семейства Trojan.MBRlock выросло в 52 раза, увеличившись с 6 до 316 выявленных модификаций. Изменяется и функционал подобных троянов — он становится все более изощренным и вредоносным. Т.е., если первые модификации Trojan.MBRlock автоматически обезвреживались спустя некоторое время, то последние версии не только не содержат подобного механизма, но даже не хранят в открытом виде код разблокировки, что несколько затрудняет лечение. Так, появившийся в ноябре 2011 года Trojan.MBRlock.17 отличается от предшественников тем, что записывает свои компоненты в случайные секторы жесткого диска, а ключ разблокировки создается динамически на основе ряда параметров. На сегодняшний день это — одна из самых опасных модификаций среди троянов — блокировщиков загрузочной записи.


Энкодеры
Программы-энкодеры (шифровальщики), попадая на персональный компьютер, шифруют хранящиеся на жестких дисках файлы с помощью специального алгоритма и требуют от пользователя заплатить определенную сумму за возможность получить доступ к этой информации. В сентябре 2011 года разразилась самая настоящая эпидемия распространения вредоносных программ семейства Trojan.Encoder и Trojan.FolderLock, от действий которых пострадало огромное количество пользователей. С начала 2011 года количество записей в базах для различных типов энкодеров увеличилось на 60%.


Мошенничество в сети
Количество случаев мошеннических действий в отношении пользователей Интернета не уменьшается. Злоумышленники пускают в ход любые доступные методы, чтобы заставить пользователя отправить платное СМС-сообщение или подписать его на какие-либо услуги с ежемесячной абонентской платой. Фантазия сетевых мошенников поистине неисчерпаема: вход идут и липовые розыгрыши призов, и поддельные файлообменные сети, жулики предлагают доверчивым пользователям доступ к телефонным и генеалогическим базам, поиск двойников и родственников, гадания по линиям ладони, звездам и картами Таро, составление индивидуальных гороскопов и диет и т.д.


Динамика выявления количества мошеннических сайтов, использующих методы социальной инженерии

Dinamika viyavlenii moshennik saitov soc injener

Резкий рост числа добавленных в базы принадлежащих сетевым мошенникам интернет-ресурсов в сентябре-октябре во многом обуславливается "сентябрьской облавой на подпольные сайты". В ходе этого мероприятия было выявлено значительное число подобных ресурсов.


Статистика добавления в базы адресов сайтов, распространявших в 2011 году вредоносное программное обеспечение

Dinamika viyavlenii saitov s vredonos PO

Наибольшее число вредоносных ресурсов было зафиксировано в первом полугодии, в то время как с наступлением осени на данном фронте наметилось определенное затишье.

Не прекращается и "охота" на пользователей социальных сетей. В 2011 году жулики активно изобретали новые мошеннические схемы. Всего за 2011 год было выявлено множество поддельных сайтов, имитирующих своим оформлением интерфейс популярных социальных сетей.


Банковские трояны
За прошедший год специалистами компании было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам "Банк-Клиент" и электронным кошелькам.

Среди них особый интерес представляет семейство обладающих широким функционалом троянов Trojan.Winspy, новые модификации которых появлялись в первой половине 2011 года. Еще одно вредоносное приложение подобного типа было добавлено в вирусные базы под именем Trojan.Carberp.1 - троянская программа обладающая встроенными средствами защиты от анализа с помощью отладчика. Характерная особенность данного трояна - он работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Троян имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.

Весьма распространены и трояны семейства Trojan.PWS.Ibank, предназначенные для кражи данных доступа к ДБО и способные объединяться в ботнеты. Или знаменитый троян Trojan.PWS.Panda, известный еще под именами Zeus и Zbot. Основной его функционал заключается в краже пользовательских паролей, хотя этот троян обладает достаточно обширными возможностями. Zeus получил очень широкое распространение и в течение длительного времени представлял серьезную угрозу для пользователей банковских систем. Еще один троян со схожими целями, — Trojan.PWS.SpySweep (SpyEye). В этом году появился и первый банковский троян для платформы Android - Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, с адресами присутствующими в конфигурационном файле трояна, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, способное включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе "Банк-Клиент", а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.

После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.


Наиболее интересные угрозы 2011 года
В феврале-марте 2011 года злоумышленниками была предпринята атака на терминалы одной из наиболее распространенных в России платежных систем, осуществленная с использованием троянской программы Trojan.PWS.OSMP. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Trojan.PWS.OSMP — одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Другая модификация этой вредоносной программы крала из терминалов конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

BackDoor.Dande – троян, предназначенный для кражи данных клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация

  • "Аналит: Фармация 7.7" для платформы 1С;
  • "Система электронного заказа" СЭЗ-2 производства компании "Аптека-Холдинг";
  • программа формирования заявок компании "Российская Фармация";
  • система электронного заказа фармацевтической группы "Роста";
  • программа "Катрен WinPrice" и некоторые другие.


В числе собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.

В течение года появилось и несколько весьма любопытных вредоносных программ для мобильной платформы Android. Среди них можно отметить трояна Android.Gone.1, за 60 секунд "угоняющего" всю хранящуюся на работающем под управлением Android мобильном телефоне информацию, включая контакты, сообщения, последние звонки, историю браузера и т. д. Украденные данные загружаются на специально созданный вирусописателями сайт. Получить доступ к похищенной информации можно за 5 долларов. Еще одна "угрозой года" для этой мобильной платформы - троян Android.DreamExploid, который без ведома пользователя пытался произвести повышение привилегий программного окружения смартфона. То есть вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки, а также обладает функционалом для сбора информации об инфицированном устройстве и ее отправки злоумышленникам.


Прогнозируемые тенденции 2012 года
В 2012 году следует ожидать дальнейшего роста количества угроз для мобильной операционной системы Android, а также появление программ-блокировщиков для этой платформы. Обусловлено это тем, что мобильные ОС значительно облегчают доступ злоумышленников к кошельку жертвы. Например, получить прибыль от пользователя ОС для настольных ПК не так-то просто. Для этого нужно сначала заблокировать Windows, а потом заставить пользователя дойти до терминала оплаты или набрать и отослать СМС. А с мобильного телефона можно отправлять короткие сообщения на платные номера, показывать рекламу, скачивать платные мелодии и прочий контент, понемногу списывая деньги со счета оператора. Емкость этого теневого рынка просто огромна. В настоящее время он активно осваивается злоумышленниками, а современные мобильные платформы с их обширным функционалом открывают для этого прекрасные возможности.

Можно ожидать распространения узкоспециализированных угроз, ориентированных на системы промышленной автоматики. В эту категорию входят:

  • автоматизированные системы управления производственными процессами;
  • системы контроля доступа;
  • мониторинга;
  • обогрева;
  • кондиционирования и вентиляции;
  • иные компьютеризированные системы промышленных предприятий и производственных организаций.


Под угрозой может оказаться инфраструктура управления технологическими процессами (SCADA). Аналитики компании отмечают, что вредоносные программы, эксплуатирующие уязвимости подобных систем, могут представлять особую опасность, поскольку подобные комплексы применяются в ключевых отраслях экономики, таких как производство электроэнергии, транспорт, добыча полезных ископаемых, нефти и газа.

Вполне вероятно появление новых угроз, ориентированных на банковские системы и ДБО, будет совершенствоваться их техническое исполнение. Возможно, злоумышленники не ограничатся пользовательскими ПК и системами "Банк-Клиент", а предпримут атаки на банковские структуры или даже государственные финансовые институты. Будут появляться новые, ранее неизвестные способы мошенничества, как с использованием фишигновых сайтов, так и в отношении пользователей социальных сетей. Динамика возникновения новых мошеннических схем показывает, что злоумышленники используют практически все доступные им технологии, а с появлением на сайтах социальных сетей новых функциональных возможностей они также наверняка будут использованы мошенниками для достижения неблаговидных целей. Так, в 2011 году киберпреступники задействовали для обмана пользователей голосования, встроенные в социальные сети функции обмена файлами, видеоролики и даже дополнения к браузеру Mozilla Firefox. Этим их арсенал в будущем не ограничится, киберпреступники будут и дальше изыскивать новые способы незаконного заработка.


Топ-20 вредоносных программ, обнаруженных в 2011 году в почтовом трафике

TOP-20 vredonos prog v 2011 vpochte
Всего проверено: 181,136,303,763
Инфицировано: 33,407,612 (0.02%)


Топ-20 вредоносных программ, обнаруженных в 2011 году на компьютерах пользователей

TOP-20 vredonos prog v 2011 na PK
Всего проверено: 17,743,716,899,610,753
Инфицировано: 1,560,049,362 (0.00%)


Обновлено (11.01.2012 17:59)