Вирусная активность в июле 2012 года от компании Доктор Веб


Hit WebВ июле 2012 года

  • повысилось число заражений пользовательских компьютеров троянами-блокировщиками;
  • было отмечено значительное снижение спам-трафика в результате прекращения деятельности одного из крупнейших ботнетов BackDoor.Blackenergy;

  • был обнаружен кросс-платформенный троян BackDoor.DaVinci.1, способный работать в ОС Microsoft Windows и в Mac OS X. Данная вредоносная программа использует руткит-технологии для скрытия своих процессов и файлов в Mac OS X.

Вирусная обстановка
Наиболее распространенной угрозой, встречающейся на компьютерах пользователей в июле, являются:

  • Trojan.Mayachok.1, основное предназначение которого — блокирование на инфицированном компьютере доступа к некоторым сайтам с целью вынудить пользователя оформить услугу подписки с использованием мобильного телефона. По сравнению с июнем-месяцем число детектов этого трояна выросло на 18,5%. Данная схема монетизации приносит злоумышленникам хороший доход, поскольку популярность этого трояна среди распространителей вредоносного ПО не снижается.

  • Семейство троянов Trojan.SMSSend — процент в сводной статистике также заметно вырос.
  • Банковские трояны Trojan.Carberp различных версий.
  • Trojan.Hosts - семейство программ-загрузчиков и вредоносных приложений.


Список угроз, наиболее часто выявляемых лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в июле 2012 года

Spisok ugroz viyavl Drweb CureiT v iule 2012

В начале июля наблюдалось снижение числа запросов от пользователей, пострадавших от действия троянов-блокировщиков. Во второй половине июля наметился некоторый рост случаев заражения винлоками.

Динамика изменения числа запросов в службу технической поддержки "Доктор Веб" за июль-месяц

Dinamika izmenenii chisla zaprosov v slujbu tehpotderjki DrWeb


Вредоносный спам
В июле объем спам-трафика сократился. Это связано с ликвидацией одного из крупнейших ботнетов, ориентированных на рассылку спама — BackDoor.Blackenergy. Среди угроз, выявленных антивирусным ПО Dr.Web в почтовых сообщениях, лидируют:

  • BackDoor.Andromeda.22;
  • Trojan.Necurs.21;
  • Trojan.Oficla.zip;
  • Trojan.Winlock (примерно 0,7% от объема всего вредоносного почтового трафика).


Число выявленных экземпляров трояна BackDoor.Andromeda.22 несколько возросло. Распространение почтового червя семейства Win32.HLLM.MyDoom — наоборот, пошло на спад. А трояны семейства Trojan.AVKill, которые еще месяц назад распространялись очень активно, практически исчезли.


Ботнеты
Численность крупнейшей бот-сети BackDoor.Flashback.39, поразившей в апреле 2012 года более 800 000 компьютеров, работающих под управлением Mac OS X, продолжает уверенно сокращаться. На начало июля в этой сети активно действовало порядка 200 000 ботов, а к концу месяца общее количество инфицированных "маков" снизилось до 148 492. Однако, несмотря на выпуск обновлений операционной системы, антивирусных программ для Mac OS X и множества различных утилит для удаления BackDoor.Flashback.39, в бот-сети все еще появляются вновь инфицированные "маки". А их количество в настоящий момент не превышает 3–4 компьютеров в сутки.

Динамика изменения численности ботнета BackDoor.Flashback.39 в июле 2012 года

Dinamika izmeneniya chislennosti botneta BackDoor.Flashback.39 v iule 2012

Продолжается рост бот-сети Win32.Rmnet.12 - файловый вирус, обладающий способностью к самораспространению, и с основным функциональным назначением:

  • выполнять веб-инжекты - способность встраивать в просматриваемые пользователем веб-страницы посторонний код;
  • осуществлять перенаправление пользователей на фишинговые сайты;
  • похищать файлы cookies;
  • красть пароли от FTP-клиентов Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других;
  • обладает функционалом бэкдора;
  • может выполнять различные команды, в том числе на удаление ОС.


За минувший месяц численность ботнета Win32.Rmnet.12 выросла на 481 779 инфицированных машин, и теперь ее общее количество зараженных узлов составило 3 773 969.

График изменения численности бот-сети Win32.Rmnet.12 в июле 2012 года

Graphik izmeneniya chislennosti bot-seti Win32.Rmnet.12 v iule 2012

Численность бот-сети Win32.Rmnet.16 также растет, правда, не столь быстрыми темпами. За июль-месяц количество инфицированных этим вирусом компьютеров увеличилось примерно на 50 000 и составило 154 818.

График изменения численности бот-сети Win32.Rmnet.16

Graphik izmeneniya chislennosti bot-seti Win32.Rmnet.16 v iule 2012

В целом рост бот-сети происходит неравномерно, ежесуточно к ней подключается от 650 до 2500 зараженных машин.

Также с начала месяца увеличивался рост узкопрофильной бот-сети BackDoor.Dande, ориентированной на рынок фармацевтических компаний. Троян BackDoor.Dande предназначен для кражи информации из клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Троян продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов. Поэтому можно предположить, что бот-сеть BackDoor.Dande состоит преимущественно из рабочих станций, принадлежащих аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых насчитывалось 2857, причем 2788 (98,5%) из них расположено на территории России, остальные располагаются в других государствах.

На конец июля численность этого ботнета практически не изменилась. Динамика прироста этой сети в настоящее время колеблется в районе нулевой отметки.


Угроза месяца: BackDoor.DaVinci.1
23 июля у специалистов компании "Доктор Веб" на руках появился образец вредоносной программы, оказавшейся весьма интересным и многофункциональным бэкдором, включающим большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для скрытия работы приложения в операционной системе.

Распространение BackDoor.DaVinci.1 осуществляется с использованием JAR-файла AdobeFlashPlayer.jar, подписанного недействительным цифровым сертификатом.

Certificate

Этот файл выполняет проверку типа операционной системы, после чего сохраняет и запускает на компьютере жертвы зараженное приложение. Также известно о реализации данной угрозы, представляющей опасность для мобильных платформ.

Obrazec Backdoor

Вредоносная программа имеет модульную архитектуру. Помимо основного компонента, выполняющего функции бэкдора, в состав BackDoor.DaVinci.1 входит зашифрованный конфигурационный файл и несколько дополнительных модулей, в частности, драйверы, реализующие руткит-технологию. Благодаря этим драйверам вредоносное приложение способно скрывать свое присутствие в операционной системе. Конфигурационный файл одинаков для всех реализаций трояна и предназначен для настройки модулей.

Konfiguracionnii fail Backdoors

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Троян также:

  • сохраняет и передает злоумышленникам информацию о зараженной машине;
  • фиксирует нажатие клавиш;
  • делает снимки экрана;
  • перехватывает сообщения электронной почты, ICQ, Skype;
  • передает данные с микрофона или подключенной к компьютеру видеокамеры.


Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных файерволов, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то, что впервые в данной платформе используются руткит-технологии для скрытия файлов и процессов вредоносной программы.


Угрозы для Android
В первой половине июля специалистами компании "Доктор Веб" было выявлено несколько вредоносных приложений, распространявшихся с официального сайта Google Play. Согласно общедоступной статистике, эти программы были загружены пользователями мобильных устройств более 18 тыс. раз.

Примечательной вредоносной программой для мобильной платформы Android стал троян Android.MMarketPay.origin, главная цель которого - бесконтрольное приобретение платных приложений в электронном магазине оператора China Mobile. Троян выполняет все действия автоматически, перехватывая необходимые проверочные коды и подтверждая совершение покупок. Android.MMarketPay.origin распространяется в модифицированных злоумышленниками Android-программах, доступных для загрузки на различных китайских форумах и в каталогах приложений.

Еще одно потенциально опасное приложение Find and Call (Program.Fidall.origin.1), распространявшееся с официального сайта Google Play и позиционирующееся разработчиками как эффективное средство для общения.

После запуска программа предлагает пройти авторизацию введя адрес электронной почты. Согласившись это сделать, Find and Call собирает информацию о контактах из телефонной книги и загружает ее на удаленный сервер. По полученным контактам сервер осуществляет рассылку сообщений с предложением установить себе версию приложения, причем в качестве отправителя значится тот же пользователь, который изначально выполнил установку.

В конце месяца было зафиксировано появление трояна Android.MailSteal.1, предназначенного для кражи адресов электронной почты, находящихся в книге контактов мобильного устройства. В данном случае целью злоумышленников являются японские пользователи. Однако нельзя исключать возможности появления в будущем подобных схем и для других стран.

Также в июле в вирусные базы были добавлены сигнатуры нескольких новых модификаций троянов семейства Android.Gongfu и Android.SmsSend.


Прочие угрозы июля
В начале месяца было обнаружено распространение вредоносной программы для Mac OS X. Троян BackDoor.Macontrol.2 обладает функционалом бэкдора и способен выполнять различные команды, поступающие от принадлежащего злоумышленникам удаленного сервера.

Среди банковских троянов появился новый представитель вредоносной программы - BackDoor.Bebloh.17. Приложение распространяется в виде вложения в сообщения массовых почтовых рассылок, отправляемых в том числе якобы от имени компании DHL, и представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

В конце месяца была зафиксирована массовая спам-рассылка в социальной сети Twitter. Сообщения были написаны на русском языке и включали в себя ссылку, ведущую либо на мошеннический сайт, либо на ресурс, с которого выполняется загрузка вредоносных программ для мобильных устройств.

Во второй половине июля было зафиксировано распространение трояна-загрузчика Trojan.Yaryar.1, обладающего обширным функционалом по выявлению средств отладки и анализа, а также умеющего напрямую работать со структурами файловой системы NTFS, что можно назвать нечастым явлением для вредоносных программ такого типа.


Вредоносные файлы, обнаруженные в почтовом трафике в июле 2012 года

Vredonos faili obnaruj v pochte v iule 2012


Вредоносные файлы, обнаруженные в июле на компьютерах пользователей

Vredonos faili obnaruj na PK v iule 2012