Вирусная активность (октябрь)

Пора отпусков подошла к концу, температура за окном упала, а вирусописатели стали более активными и изобретательными – так прошел октябрь. Прошедший месяц не был богат вирусными событиями и не принес никаких сенсаций, однако ряд интересных наблюдений заслуживает отдельного рассказа. В частности, в октябре киберпреступники предпочитали заворачивать свои «конфетки» в весьма заманчивые «фантики», выдавая вредоносные программы за антивирусные. В целом же октябрь показал, что основными каналами передачи вредоносных программ на компьютеры пользователей остаются электронная почта и вредоносные сайты, которые создаются злоумышленниками ежедневно и в огромном количестве.

Лжеантивирусы - безусловный лидер октября

Достаточно взглянуть на двадцатку самых распространённых вредоносных программ октября - около половины составляют различные модификации Trojan.Fakealert. Это указывает на то, что лжеантивирусы стали основным источником дохода вирусописателей.

В течение первых двух недель октября количество детектов лжеантивирусов согласно серверу статистики компании "Доктор Веб" держалось на уровне более 2,5 млн. в сутки. К настоящему времени количество детектов упало до 1 млн. в сутки, но и эта цифра выглядит внушительно. Визуальные эффекты, используемые в новых модификациях Trojan.Fakealert, не изменились с момента публикации обзора за сентябрь.

1

Что же вынуждает пользователей устанавливать подобные вредоносные программы себе на компьютер? Для достижения этой цели злоумышленники используют множество различных приёмов в зависимости от «целевой аудитории». Основная доля лжеантивирусов в октябре распространялась в виде файла с названием install.exe, упакованного в ZIP-архив. Данный архив предлагался в качестве обновления используемой почтовой системы (при этом сообщение было написано от имени администратора почтового сервера, который используется) или же обновления конкретно почтового клиента Microsoft Outlook. Также файлы этого типа распространялись в письмах, в которых говорилось о том, что пользователь нарушает авторские права, загружая из Интернета объекты авторского права, и в приложенном архиве находится распечатка подозрительной активности пользователя за последние 6 месяцев. Впрочем, амплуа борцов за справедливость используется злоумышленниками не в первый раз. А вот позиционирование файла install.zip, содержащего очередную модификацию Trojan.Fakealert как утилиты для лечения локальной сети от сетевого червя Conficker (Win32.HLLW.Shadow.based по классификации Dr.Web) – это уже что-то новенькое.

2 3

Распространители лжеантивирусов также учли высокую популярность веб-интерфейса Outlook Web Access. Для пользователей этого сервиса Trojan.Fakealert распространялся в качестве ссылки на страницу, имитирующую интерфейс OWA, на которой пользователю предлагалось скачать новые настройки для учётной записи электронной почты.

4

Похитители паролей стараются не отстать от лжеантивирусов

Наравне с лжеантивирусами одной из наиболее серьёзных угроз для пользовательских данных в прошедшем месяце стали вредоносные программы, которые воруют параметры учётных записей для доступа к различным интернет-ресурсам, в том числе к электронным денежным счетам, социальным сетям и пр.

Наиболее заметным представителем этого класса вредоносных программ долгое время остаётся Trojan.PWS.Panda.122. Эта троянская программа «специализируется» на похищении паролей от различных сервисов, список которых злоумышленники передают с вредоносных сайтов. Список этот со временем может меняться.

Фантазия авторов многочисленных модификаций Trojan.PWS.Panda.122 при распространении этого троянца просто не знает границ. В качестве транспорта используются не только спам-письма со ссылками на вредоносные сайты, откуда производится загрузка программ. В первой половине октября осуществлялись рассылки Trojan.PWS.Panda.122 под видом обновлений для почтового клиента Microsoft Outlook. При этом оформление рассылок и сайтов ничем не отличается от подобных же рассылок более ранних модификаций Trojan.PWS.Panda, которые осуществлялись в июне 2009 года.

5 6

Далее внимание злоумышленников переключилось на рассылки от имени Службы внутренних доходов (Internal Revenue Service, IRS) – организации, которая занимается сбором налогов в США. При этом в ряде случаев для хостинга вредоносных сайтов был использован сервис Yahoo! Geocities. В письмах адресатам предлагалось ознакомиться с текущим балансом выплат по налогам на сайте IRS, откуда пользователь под видом этой информации уже самостоятельно загружал вредоносную программу.

7 8

Наконец, с последней недели октября началась рассылка Trojan.PWS.Panda.122 от имени Федеральной корпорации по страхованию депозитов (Federal Deposit Insurance Corporation, FDIC) – федерального агентства США, занимающегося страхованием вкладов, размещённых в банках. Пользователям сообщалось о том, что банк, в котором у пользователя находится вклад, был признан банкротом, и на сайте FDIC необходимо получить информацию о размере компенсации, на которую может рассчитывать вкладчик. Конечно же, пользователь вместо этого снова загружал к себе на компьютер и запускал на исполнение очередную модификацию похитителя паролей.

9 10

Кроме Trojan.PWS.Panda.122, распространялись в октябре и другие похитители паролей. Например, в системах мгновенного обмена сообщений была заметна рассылка линков на вредоносные сайты, с которых неосторожные пользователи загружали одну из модификаций Trojan.PWS.LDPinch под видом популярного видеоролика.

11 12

Правильно ли Вы заполнили адрес получателя?

На протяжении нескольких последних месяцев постоянно совершается рассылка различных модификаций двух типов вредоносных программ - Trojan.Botnetlog.11 и Trojan.BhoSpy.97 – под видом сообщений от компаний, осуществляющих курьерские услуги. В частности, от имени известных компаний DHL и UPS. В письмах сообщается о том, что посылка не может быть доставлена по причине того, что пользователь сообщил несуществующий адрес.

13 14

Trojan.Botnetlog.11 имеет возможность эксплуатировать известные уязвимости системы, в которой запускается. После установки и запуска в системе троянец пытается связаться с сервером злоумышленника для получения команд и загрузки дополнительных компонентов вредоносной программы. Исполняемый код Trojan.Botnetlog.11 зашифрован с помощью специально разработанного алгоритма.

Trojan.BhoSpy.97 устанавливается в систему в качестве плагина браузера Microsoft Internet Explorer. Помимо возможности загружать файлы, составляющие основной функционал данной вредоносной программы, этот троянец способен по команде удалять определённые системные файлы, делая систему неработоспособной.

В последние дни октября были замечены рассылки Trojan.Botnetlog.11 от имени администрации популярной социальной сети Facebook. В письмах сообщалось о том, что для повышения уровня информационной безопасности администрация Facebook ввела новую систему доступа пользователей к своим ресурсам. Для того чтобы ей воспользоваться, пользователь должен обновить свой аккаунт, пройдя по приведенной ссылке. Ссылка вела на подставной сайт, с которого под видом утилиты для обновления аккаунта распространялась вредоносная программа.

15 16

Блокировщики Windows становятся более гуманными?

В октябре продолжилось распространение вредоносных программ, которые ограничивают доступ пользователя в систему и требуют заплатить денег за разблокировку. Такие программы по классификации Dr.Web именуются Trojan.Winlock. Но если ранее доступ с соответствующим сообщением выводился на весь экран, делая работу с системой невозможной в принципе, то те модификации блокировщиков, которые были наиболее распространены в октябре, выводили сообщение лишь на часть экрана, давая возможность запускать программы и работать в них на свободном от сообщения пространстве монитора.

17

Этот факт облегчает участь пользователя-жертвы: позволяет совершить наиболее критичные действия, «опознать» файлы – компоненты троянца и отправить их на анализ в вирусную лабораторию.


В начало     На главнуюaa