Отчет Доктор Веб об вирусной активности в октябре 2012 года


Hit Web

Вирусная обстановка

Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидируют:

  • Trojan.Mayachok различных модификаций. При этом на дисках чаще всего обнаруживаются файлы трояна BackDoor.IRC.NgrBot.42, которые он передает.
  • Файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13.
  • Trojan.Mayachok.17994.
  • Trojan.Mayachok.1.

Среди часто встречающихся на компьютерах пользователей угроз следует отметить:

  • многочисленные модификации троянов семейства Trojan.SMSSend;
  • вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 года);
  • Trojan.Mayachok.17986;
  • полиморфный файловый инфектор Win32.Sector.22;
  • бэкдор BackDoor.IRC.NgrBot.146;
  • BackDoor.Butirat.201.


ТОР 10 Наиболее популярных вредоносных программ, обнаруженных на компьютерах с использованием лечащей утилиты Dr.Web CureIt!

TOP 10 Samie populyarnie vredonos prog obnaruj na PK


Распределение вредоносных файлов по типам угроз

Raspred vredonos failov po tipam ugroz v oktyabre 2012


Ботнеты
Специалистами компании "Доктор Веб" продолжается отслеживаться статистика изменения численности наиболее активных на сегодняшний день бот-сетей. Так, известный ботнет Backdoor.Flashback.39, составляющий инфицированные компьютеры под управлением операционной системы Mac OS X, в течение месяца сократился очень незначительно:

  • на 30 октября популяция этого трояна составляет - 105730 инфицированных "маков";
  • на 30 сентября число зараженных "макинтошей" не превышало - 109372.


Прирост бот-сети Backdoor.Flashback.39 практически остановился, однако владельцы Apple-совместимых компьютеров, судя по всему, не торопятся проводить антивирусную проверку своих машин, чтобы окончательно избавиться от данного трояна.

В начале октября бот-сеть Win32.Rmnet.12 преодолела по числу зараженных ПК пятимиллионную отметку, а к концу месяца достигла 5,5 млн. инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд.

Изменение численности бот-сети Win32.Rmnet.12 в октябре 2012 года

Izmenenie chislennosti bot-seti Win32.Rmnet.12 voktyabre 2012

Файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России. Всего в нашей стране насчитывается - 132445 машин, инфицированных файловым вирусом Win32.Rmnet.12 (2,39% от общей численности ботнета). При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в:

  • Москве - 18,9% от общего числа заражений по России;
  • Хабаровске - 13,2%;
  • Санкт-Петербург - 8,9%;
  • Ростов-на-Дону - 5,2%;
  • Владивосток - 3,4%;
  • Иркутск - 2,9%.


Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться. Общая численность сети на 30 октября 2012 года составила - 254838 инфицированных ПК (+ 16373 компьютера по сравнению с показателями на начало месяца).

Изменение численности бот-сети Win32.Rmnet.16 в октябре 2012 года

Izmenenie chislennosti bot-seti Win32.Rmnet.16 v oktyabre 2012


Вредоносный спам
В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации. Начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа Trojan.Spamlink.1.

Rassilka v Skype

Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени:

  • интернет-магазина Amazon.com;
  • корпорации Microsoft;
  • почтовой службы FedEx;
  • платежной системы PayPal,

с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, переадресовывающий пользователя на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы:

  • BackDoor.Andromeda.22 - троян-загрузчик;
  • Trojan.Necurs.97 - вредоносная программа.


В последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании "Доктор Веб", в сообщениях которой пытались вынудить пользователей "отписаться" от некоторой информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.


Угрозы для Android
В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend - трояны представляющие опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для трояна Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троян не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Еще в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu - Android.Gongfu.10.origin.


Угроза месяца: Trojan.GBPBoot.1
Одной из наиболее интересных вредоносных программ, обнаруженных в октябре, стал троян Trojan.GBPBoot.1.

Trojan.GBPBoot.1 - способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Однако эта вредоносная программа способна серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей трояна модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы)

  • модуль вирусного инсталлятора;
  • модуль автоматического восстановления трояна;
  • архив с файлом explorer.exe;
  • сектор с конфигурационными данными.


Сама вредоносная программа реализована в виде библиотеки, регистрирующийся на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной трояном загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим "инструмент самовосстановления", после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троян способен восстанавливать себя в защищаемой системе.

В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи.


Другие угрозы октября
В начале октября было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама.

Также в октябре активно распространялся с использованием ресурсов пиринговой сети троян-загрузчик - Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

Vredonos faili v pochte v oktyabre 2012


Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

Vredonos faili na PK v oktyabre 2012