Trojan.Stuxnet и политика
В сентябре СМИ пестрели новостями о троянце Trojan.Stuxnet, появление которого получило широкую огласку в связи с географией распространения. Публикации эти зачастую носили политический характер: распространение Trojan.Stuxnet связывалось с саботажем запуска иранской атомной электростанции, на фоне чего технические новинки вирусописателей, примененные при создании троянца, отошли на второй план. В последних числах сентября появилась информация о том, что данный троянец получил широкое распространение в Китае и направлен против китайских предприятий. Некоторые эксперты пытаются выявить цели авторов программы с помощью лингвистического анализа надписей, обнаруженных в коде троянца.
Trojan.Stuxnet действительно является достаточно технологичной современной вредоносной программой. Для ее распространения использовалось несколько неизвестных ранее уязвимостей Windows. Несмотря на политику, для специалистов компании «Доктор Веб» этот троянец — не более чем еще одна вредоносная программа, от которой необходимо защитить пользователей антивируса Dr.Web. В настоящее время распространяются и другие, не менее технологичные вирусы, например, 64-битная модификация руткита Trojan.Tdss (известен также как TDL), над организацией лечения которых также ведется кропотливая работа.
Интернет-мошенничество
В сентябре увеличилось количество запросов в техподдержку компании «Доктор Веб» по вопросам разблокировки компьютера, а также доступа к сайтам и популярному ПО. Если в августе таких обращений было в среднем 107 в сутки, то в сентябре эта планка поднялась до 124 обращений.
В то же время блокировщики Windows продолжают вытесняться другим мошенническим ПО. В частности, в сентябре появилось несколько троянцев, использующих новые методы перенаправления страниц в браузерах. Появились троянцы, блокирующие возможность работы в интернет-мессенджерах.
Из каналов монетизации преступных доходов интернет-мошенников преобладала отправка денег на счет мобильного телефона злоумышленника (около 25%) и отправка платных СМС-сообщений (около 70%), из которых примерно в 80% случаев требовалась отправка платного СМС-сообщения на номер 6681.
Компания «Доктор Веб», как и ранее, предлагает бесплатную поддержку пользователям, пострадавшим от интернет-мошенничества.
Перенаправление страниц
За прошедший месяц злоумышленники применили сразу два новых метода, позволяющих подменять страницы в интернет-браузерах пользователей. Как и всегда в таких случаях, не обошлось без внесения дополнительных записей в системный файл hosts, но при этом были использованы новые технологии.
Trojan.Hosts.1581 подменял страницы сайтов нескольких российских банков таким образом, что вводимые на вредоносных сайтах параметры удаленного доступа к банковским счетам отправлялись злоумышленникам. Было обнаружено, что данная модификация Trojan.Hosts обладает руткит-составляющей, позволяющей троянцу фильтровать файловые операции и операции с системным реестром.
Троянцы семейства Trojan.HttpBlock применили другую тактику. На заражаемом компьютере эта вредоносная программа устанавливает собственный веб-сервер, именно на него и происходит перенаправление с популярных сайтов, в частности с поисковых систем. Целью злоумышленников было вымогание денег за разблокировку доступа к ним.
Блокировщик мессенджеров
В конце сентября началось распространение троянца Trojan.IMLock, который после заражения системы блокирует запуск популярных интернет-мессенджеров ICQ, QIP и Skype, выводя при этом сообщение, оформленное в стиле заблокированного ПО.
В этом сообщении говорится о том, что для доступа к своему аккаунту пользователь должен отправить платное СМС-сообщение на номер 6681. Для лечения достаточно провести проверку системы сканером Dr.Web.
Вредоносный сайт только для Android
В сентябре появилась новая вредоносная программа для Android (Android.SmsSend.2), которая по функционалу мало отличалась от известных ранее — рассылала платные СМС-сообщения с зараженных мобильных устройств. Но при этом важной особенностью Android.SmsSend.2 явился тот факт, что эта программа начинала загружаться с вредоносного сайта только тогда, когда пользователь заходил туда с мобильного устройства под управлением Android. Видимо, это, по задумке злоумышленников, должно воспрепятствовать мониторингу вредоносных сайтов, с которых рассылаются подобные троянцы.
Новые тенденции в бот-сетях
В конце сентября специалисты компании «Доктор Веб» обнаружили бот-сеть, состоящую из компьютеров, на которых установлена и работает серверная часть ПО Radmin. Это ПО широко используется для удаленного управления компьютерами. Вредоносная программа, которая заражает компьютеры и подключает их к бот-сети, по классификации Dr.Web получила наименование Win32.HLLW.RAhack.
Заражение происходило лишь на тех компьютерах, на которых административный пароль для доступа к Radmin оказывался в списке известных червю паролей. Оказалось, что простые пароли используют многие администраторы.
Если говорить о возможных тенденциях октября 2010 года, то в этом месяце вполне можно ждать новые типы вредоносных программ, которые подменяют страницы при просмотре некоторых сайтов в браузере, а также позволяют осуществлять новые схемы интернет-мошенничества. Это две наиболее доходные статьи незаконного заработка киберпреступников в последнее время. Владельцы бот-сетей, которые часто являются транспортом для распространения вредоносных программ, будут и далее пытаться создать их на основе нестандартных программных либо аппаратных решений, т.к. в этом случае достигается главная цель – пользователь часто не подозревает о том, что компьютер заражен.
Вредоносные файлы, обнаруженные в сентябре в почтовом трафике
01.09.2010 00:00 - 01.10.2010 00:00 | ||
1
|
337845 (11.46%)
| |
2
|
308357 (10.46%)
| |
3
|
252490 (8.57%)
| |
4
|
246976 (8.38%)
| |
5
|
230637 (7.82%)
| |
6
|
118139 (4.01%)
| |
7
|
102740 (3.49%)
| |
8
|
90503 (3.07%)
| |
9
|
65819 (2.23%)
| |
10
|
57658 (1.96%)
| |
11
|
52397 (1.78%)
| |
12
|
49619 (1.68%)
| |
13
|
49478 (1.68%)
| |
14
|
43600 (1.48%)
| |
15
|
32908 (1.12%)
| |
16
|
26135 (0.89%)
| |
17
|
24706 (0.84%)
| |
18
|
24681 (0.84%)
| |
19
|
22101 (0.75%)
| |
20
|
19668 (0.67%) |
Всего проверено: | 22,631,101,955 |
Инфицировано: | 2,947,658 (0.01%) |
Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей
01.09.2010 00:00 - 01.10.2010 00:00 | ||
1
|
8273098 (23.82%)
| |
2
|
5135896 (14.79%)
| |
3
|
3690668 (10.63%)
| |
4
|
1977696 (5.70%)
| |
5
|
1927627 (5.55%)
| |
6
|
1370895 (3.95%)
| |
7
|
1300940 (3.75%)
| |
8
|
1091703 (3.14%)
| |
9
|
1042949 (3.00%)
| |
10
|
823512 (2.37%)
| |
11
|
795502 (2.29%)
| |
12
|
620668 (1.79%)
| |
13
|
561893 (1.62%)
| |
14
|
298586 (0.86%)
| |
15
|
248724 (0.72%)
| |
16
|
228104 (0.66%)
| |
17
|
213306 (0.61%)
| |
18
|
151676 (0.44%)
| |
19
|
145085 (0.42%)
| |
20
|
136102 (0.39%) |
Всего проверено: | 12,949,782,895,195,462 |
Инфицировано: | 34,724,949 (0.00%) |
Нам важно Ваше мнение
Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @
Другие комментарии