Trojan.Stuxnet и политика
В сентябре СМИ пестрели новостями о троянце Trojan.Stuxnet,
появление которого получило широкую огласку в связи с географией
распространения. Публикации эти зачастую носили политический характер:
распространение Trojan.Stuxnet связывалось с саботажем запуска
иранской атомной электростанции, на фоне чего технические новинки
вирусописателей, примененные при создании троянца, отошли на второй
план. В последних числах сентября появилась информация о том, что
данный троянец получил широкое распространение в Китае и направлен
против китайских предприятий. Некоторые эксперты пытаются выявить цели
авторов программы с помощью лингвистического анализа надписей,
обнаруженных в коде троянца.
Trojan.Stuxnet действительно является достаточно
технологичной современной вредоносной программой. Для ее
распространения использовалось несколько неизвестных ранее уязвимостей
Windows. Несмотря на политику, для специалистов компании «Доктор Веб»
этот троянец — не более чем еще одна вредоносная программа, от которой
необходимо защитить пользователей антивируса Dr.Web. В настоящее время
распространяются и другие, не менее технологичные вирусы, например,
64-битная модификация руткита Trojan.Tdss (известен также как TDL), над организацией лечения которых также ведется кропотливая работа.
Интернет-мошенничество
В сентябре увеличилось количество запросов в техподдержку компании
«Доктор Веб» по вопросам разблокировки компьютера, а также доступа к
сайтам и популярному ПО. Если в августе таких обращений было в среднем
107 в сутки, то в сентябре эта планка поднялась до 124 обращений.
В то же время блокировщики Windows продолжают вытесняться другим
мошенническим ПО. В частности, в сентябре появилось несколько троянцев,
использующих новые методы перенаправления страниц в браузерах.
Появились троянцы, блокирующие возможность работы в
интернет-мессенджерах.
Из каналов монетизации преступных доходов интернет-мошенников
преобладала отправка денег на счет мобильного телефона злоумышленника
(около 25%) и отправка платных СМС-сообщений (около 70%), из которых
примерно в 80% случаев требовалась отправка платного СМС-сообщения на
номер 6681.
Компания «Доктор Веб», как и ранее, предлагает бесплатную поддержку пользователям, пострадавшим от интернет-мошенничества.
Перенаправление страниц
За прошедший месяц злоумышленники применили сразу два новых метода,
позволяющих подменять страницы в интернет-браузерах пользователей. Как
и всегда в таких случаях, не обошлось без внесения дополнительных
записей в системный файл hosts, но при этом были использованы новые
технологии.
Trojan.Hosts.1581 подменял страницы сайтов нескольких
российских банков таким образом, что вводимые на вредоносных сайтах
параметры удаленного доступа к банковским счетам отправлялись
злоумышленникам. Было обнаружено, что данная модификация Trojan.Hosts обладает руткит-составляющей, позволяющей троянцу фильтровать файловые операции и операции с системным реестром.
Троянцы семейства Trojan.HttpBlock применили другую тактику.
На заражаемом компьютере эта вредоносная программа устанавливает
собственный веб-сервер, именно на него и происходит перенаправление с
популярных сайтов, в частности с поисковых систем. Целью
злоумышленников было вымогание денег за разблокировку доступа к ним.
Блокировщик мессенджеров
В конце сентября началось распространение троянца Trojan.IMLock,
который после заражения системы блокирует запуск популярных
интернет-мессенджеров ICQ, QIP и Skype, выводя при этом сообщение,
оформленное в стиле заблокированного ПО.
В этом сообщении говорится о том, что для доступа к своему аккаунту
пользователь должен отправить платное СМС-сообщение на номер 6681. Для
лечения достаточно провести проверку системы сканером Dr.Web.
Вредоносный сайт только для Android
В сентябре появилась новая вредоносная программа для Android (Android.SmsSend.2),
которая по функционалу мало отличалась от известных ранее — рассылала
платные СМС-сообщения с зараженных мобильных устройств. Но при этом
важной особенностью Android.SmsSend.2 явился тот факт, что эта
программа начинала загружаться с вредоносного сайта только тогда, когда
пользователь заходил туда с мобильного устройства под управлением
Android. Видимо, это, по задумке злоумышленников, должно
воспрепятствовать мониторингу вредоносных сайтов, с которых рассылаются
подобные троянцы.
Новые тенденции в бот-сетях
В конце сентября специалисты компании «Доктор Веб» обнаружили
бот-сеть, состоящую из компьютеров, на которых установлена и работает
серверная часть ПО Radmin. Это ПО широко используется для удаленного
управления компьютерами. Вредоносная программа, которая заражает
компьютеры и подключает их к бот-сети, по классификации Dr.Web получила
наименование Win32.HLLW.RAhack.
Заражение происходило лишь на тех компьютерах, на которых
административный пароль для доступа к Radmin оказывался в списке
известных червю паролей. Оказалось, что простые пароли используют
многие администраторы.
Если говорить о возможных тенденциях октября 2010 года, то в этом
месяце вполне можно ждать новые типы вредоносных программ, которые
подменяют страницы при просмотре некоторых сайтов в браузере, а также
позволяют осуществлять новые схемы интернет-мошенничества. Это две
наиболее доходные статьи незаконного заработка киберпреступников в
последнее время. Владельцы бот-сетей, которые часто являются
транспортом для распространения вредоносных программ, будут и далее
пытаться создать их на основе нестандартных программных либо аппаратных
решений, т.к. в этом случае достигается главная цель – пользователь
часто не подозревает о том, что компьютер заражен.
Вредоносные файлы, обнаруженные в сентябре в почтовом трафике
01.09.2010 00:00 - 01.10.2010 00:00
|
1
|
|
337845 (11.46%)
|
2
|
|
308357 (10.46%)
|
3
|
|
252490 (8.57%)
|
4
|
|
246976 (8.38%)
|
5
|
|
230637 (7.82%)
|
6
|
|
118139 (4.01%)
|
7
|
|
102740 (3.49%)
|
8
|
|
90503 (3.07%)
|
9
|
|
65819 (2.23%)
|
10
|
|
57658 (1.96%)
|
11
|
|
52397 (1.78%)
|
12
|
|
49619 (1.68%)
|
13
|
|
49478 (1.68%)
|
14
|
|
43600 (1.48%)
|
15
|
|
32908 (1.12%)
|
16
|
|
26135 (0.89%)
|
17
|
|
24706 (0.84%)
|
18
|
|
24681 (0.84%)
|
19
|
|
22101 (0.75%)
|
20
|
|
19668 (0.67%) |
Всего проверено:
| 22,631,101,955
|
Инфицировано:
| 2,947,658 (0.01%)
|
Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей
01.09.2010 00:00 - 01.10.2010 00:00
|
1
|
|
8273098 (23.82%)
|
2
|
|
5135896 (14.79%)
|
3
|
|
3690668 (10.63%)
|
4
|
|
1977696 (5.70%)
|
5
|
|
1927627 (5.55%)
|
6
|
|
1370895 (3.95%)
|
7
|
|
1300940 (3.75%)
|
8
|
|
1091703 (3.14%)
|
9
|
|
1042949 (3.00%)
|
10
|
|
823512 (2.37%)
|
11
|
|
795502 (2.29%)
|
12
|
|
620668 (1.79%)
|
13
|
|
561893 (1.62%)
|
14
|
|
298586 (0.86%)
|
15
|
|
248724 (0.72%)
|
16
|
|
228104 (0.66%)
|
17
|
|
213306 (0.61%)
|
18
|
|
151676 (0.44%)
|
19
|
|
145085 (0.42%)
|
20
|
|
136102 (0.39%) |
Всего проверено:
| 12,949,782,895,195,462
|
Инфицировано:
| 34,724,949 (0.00%)
|
Информация предоставлена компанией Dr.Web
|