Январь 2011: на вирусном фронте – послепраздничное затишье
Согласно данным компании «Доктор Веб», 2011 г. начался с относительного затишья на вирусном фронте. В январе, как и ранее, доминировали вредоносные программы, направленные на прямое получение прибыли посредством вымогательства и кражи паролей к учетным записям систем дистанционного банковского обслуживания и электронных денежных систем.
В начале года появились новые модификации троянов, которые при заражении системы шифруют документы пользователей и предлагают расшифровать их при помощи специальной утилиты — разумеется, небесплатной. В частности, в январе в вирусную базу Dr.Web были добавлены модификации Trojan.Encoder.94 и Trojan.Encoder.96.
Кроме того, в январе блокировщики Windows продолжили свое распространение, причем эти вредоносные программы стали более разнообразными, подчеркнули в «Доктор Веб». Вместе с новыми типами блокировщиков продолжили распространение и те, что были на слуху в предыдущие месяцы. Так, если в последние несколько месяцев злоумышленники требовали за разблокировку системы в среднем 300–400 руб., то в конце января получил распространение новый тип блокировщиков, требующих перечислить на счет мобильного телефона злоумышленников от 600 до 800 руб.
Также в конце января было зафиксировано распространение блокировщиков Windows через блог-платформу LiveJournal (широко известную в России как ЖЖ). Получив комментарий в блоге и щелкнув по ссылке в нем, пользователь попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом. Там жертве мошенничества предлагается загрузить .exe-файл, за которым скрывается Trojan.Winlock.
За прошедший месяц в среднем в сутки по случаям интернет-мошенничества в бесплатную техническую поддержку «Доктор Веб» обращалось 178 пользователей, что на 8% больше, чем в декабре 2010 г., сообщили в компании. Между тем, количество обращений, связанных с вредоносными программами, требующими положить деньги на счет мобильного телефона злоумышленника, увеличилось, по данным «Доктор Веб», до 80% (в ноябре количество таких обращений составило 60%, а в декабре — 70% от всех обращений). При этом количество обращений по троянам, требующим пополнить счет мобильного телефона с использованием соответствующих SMS-сервисов сотовых операторов, а не терминалов оплаты, увеличилось с 23% в декабре до 43% в январе. Количество же обращений по вредоносным программам, требующим отправить платное SMS-сообщение, продолжает снижаться и в январе 2011 г. составило лишь 15% всех обращений.
В то же время, продолжают свое распространение клиенты бот-сетей, направленных на российских пользователей систем дистанционного банковского обслуживания и электронных денежных систем. Специалисты «Доктор Веб» фиксируют активность нескольких подобных бот-сетей, в частности WinSpy и IBank. Зараженные компьютеры по команде злоумышленников время от времени обновляют компоненты, которые составляют так называемую «полезную нагрузку» бот-сети. Обновление этих компонентов объясняется тем, что мошенники вынуждены противодействовать антивирусам, которые установлены на компьютерах пользователей, а также обусловлено меняющимися конкретными целями злоумышленников, пояснили в «Доктор Веб».
Среди других угроз января можно отметить продолжение распространения в Западной Европе лжеантивирусов. На этот раз в «топе» таких ложных антивирусных программ находились System Tool 2011 и Antivirus Scan. Англоязычные пользователи Facebook также находятся под ударом — через спам-сообщения в этой социальной сети во второй половине прошедшего месяца зафиксировано распространение трояна Trojan.MulDrop1.62295 под видом «сюрприза» от другого пользователя соцсети, сообщили в компании.
По версии «Доктор Веб», рейтинг топ-20 вредоносных файлов, обнаруженных в январе в почтовом трафике, выглядит следующим образом:
Trojan.DownLoad1.58681 592254 (9,31%) Trojan.Packed.20878 426750 (6,71%) Trojan.Oficla.zip 313652 (4,93%) Trojan.MulDrop.64589 311774 (4,90%) Trojan.DownLoad.41551 271184 (4,26%) Trojan.Packed.20312 261419 (4,11%) Trojan.Oficla.38 148062 (2,33%) Win32.HLLM.Beagle 117539 (1,85%) Trojan.AVKill.2788 113477 (1,78%) Trojan.PWS.Panda.114 95805 (1,51%) Trojan.PWS.SpySweep.17 92209 (1,45%) W97M.Killer 87092 (1,37%) Trojan.MulDrop1.54160 73523 (1,16%) Trojan.DownLoader1.17157 69678 (1,10%) Win32.HLLW.Autoruner.35407 60963 (0,96%) Trojan.PWS.Panda.387 52532 (0,83%) Trojan.Oficla.48 52257 (0,82%) Trojan.Oficla.73 52254 (0,82%) Trojan.AVKill.3097 46052 (0,72%) Win32.HLLM.MyDoom.54464 45653 (0,72%)
В свою очередь, рейтинг топ-20 файлов, обнаруженных в январе на компьютерах пользователей, включает:
Win32.HLLP.Whboy.45 27057874 (43,80%) Win32.HLLP.Neshta 13487529 (21,83%) Win32.HLLP.Whboy.105 4525965 (7,33%) Win32.HLLP.Rox 2224917 (3,60%) Win32.Siggen.8 1583325 (2,56%) Win32.HLLP.Novosel 1582034 (2,56%) Win32.Antidot.1 1003419 (1,62%) Trojan.Packed.21230 558842 (0,90%) Win32.HLLP.Whboy 396674 (0,64%) Win32.Sector.22 338383 (0,55%) Trojan.MulDrop.54146 285091 (0,46%) JS.Nimda 279705 (0,45%) Win32.Virut.56 274936 (0,45%) Win32.Virut.5 271705 (0,44%) ACAD.Pasdoc 260004 (0,42%) Win32.HLLW.Shadow.based 259855 (0,42%) Trojan.DownLoad.32973 246686 (0,40%) Trojan.MulDrop1.48542 243739 (0,39%) Win32.Sector.21 208654 (0,34%) Win32.Gael.3666 178199 (0,29%)
В начале года появились новые модификации троянов, которые при заражении системы шифруют документы пользователей и предлагают расшифровать их при помощи специальной утилиты — разумеется, небесплатной. В частности, в январе в вирусную базу Dr.Web были добавлены модификации Trojan.Encoder.94 и Trojan.Encoder.96.
Кроме того, в январе блокировщики Windows продолжили свое распространение, причем эти вредоносные программы стали более разнообразными, подчеркнули в «Доктор Веб». Вместе с новыми типами блокировщиков продолжили распространение и те, что были на слуху в предыдущие месяцы. Так, если в последние несколько месяцев злоумышленники требовали за разблокировку системы в среднем 300–400 руб., то в конце января получил распространение новый тип блокировщиков, требующих перечислить на счет мобильного телефона злоумышленников от 600 до 800 руб.
Также в конце января было зафиксировано распространение блокировщиков Windows через блог-платформу LiveJournal (широко известную в России как ЖЖ). Получив комментарий в блоге и щелкнув по ссылке в нем, пользователь попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом. Там жертве мошенничества предлагается загрузить .exe-файл, за которым скрывается Trojan.Winlock.
За прошедший месяц в среднем в сутки по случаям интернет-мошенничества в бесплатную техническую поддержку «Доктор Веб» обращалось 178 пользователей, что на 8% больше, чем в декабре 2010 г., сообщили в компании. Между тем, количество обращений, связанных с вредоносными программами, требующими положить деньги на счет мобильного телефона злоумышленника, увеличилось, по данным «Доктор Веб», до 80% (в ноябре количество таких обращений составило 60%, а в декабре — 70% от всех обращений). При этом количество обращений по троянам, требующим пополнить счет мобильного телефона с использованием соответствующих SMS-сервисов сотовых операторов, а не терминалов оплаты, увеличилось с 23% в декабре до 43% в январе. Количество же обращений по вредоносным программам, требующим отправить платное SMS-сообщение, продолжает снижаться и в январе 2011 г. составило лишь 15% всех обращений.
В то же время, продолжают свое распространение клиенты бот-сетей, направленных на российских пользователей систем дистанционного банковского обслуживания и электронных денежных систем. Специалисты «Доктор Веб» фиксируют активность нескольких подобных бот-сетей, в частности WinSpy и IBank. Зараженные компьютеры по команде злоумышленников время от времени обновляют компоненты, которые составляют так называемую «полезную нагрузку» бот-сети. Обновление этих компонентов объясняется тем, что мошенники вынуждены противодействовать антивирусам, которые установлены на компьютерах пользователей, а также обусловлено меняющимися конкретными целями злоумышленников, пояснили в «Доктор Веб».
Среди других угроз января можно отметить продолжение распространения в Западной Европе лжеантивирусов. На этот раз в «топе» таких ложных антивирусных программ находились System Tool 2011 и Antivirus Scan. Англоязычные пользователи Facebook также находятся под ударом — через спам-сообщения в этой социальной сети во второй половине прошедшего месяца зафиксировано распространение трояна Trojan.MulDrop1.62295 под видом «сюрприза» от другого пользователя соцсети, сообщили в компании.
По версии «Доктор Веб», рейтинг топ-20 вредоносных файлов, обнаруженных в январе в почтовом трафике, выглядит следующим образом:
Trojan.DownLoad1.58681 592254 (9,31%) Trojan.Packed.20878 426750 (6,71%) Trojan.Oficla.zip 313652 (4,93%) Trojan.MulDrop.64589 311774 (4,90%) Trojan.DownLoad.41551 271184 (4,26%) Trojan.Packed.20312 261419 (4,11%) Trojan.Oficla.38 148062 (2,33%) Win32.HLLM.Beagle 117539 (1,85%) Trojan.AVKill.2788 113477 (1,78%) Trojan.PWS.Panda.114 95805 (1,51%) Trojan.PWS.SpySweep.17 92209 (1,45%) W97M.Killer 87092 (1,37%) Trojan.MulDrop1.54160 73523 (1,16%) Trojan.DownLoader1.17157 69678 (1,10%) Win32.HLLW.Autoruner.35407 60963 (0,96%) Trojan.PWS.Panda.387 52532 (0,83%) Trojan.Oficla.48 52257 (0,82%) Trojan.Oficla.73 52254 (0,82%) Trojan.AVKill.3097 46052 (0,72%) Win32.HLLM.MyDoom.54464 45653 (0,72%)
В свою очередь, рейтинг топ-20 файлов, обнаруженных в январе на компьютерах пользователей, включает:
Win32.HLLP.Whboy.45 27057874 (43,80%) Win32.HLLP.Neshta 13487529 (21,83%) Win32.HLLP.Whboy.105 4525965 (7,33%) Win32.HLLP.Rox 2224917 (3,60%) Win32.Siggen.8 1583325 (2,56%) Win32.HLLP.Novosel 1582034 (2,56%) Win32.Antidot.1 1003419 (1,62%) Trojan.Packed.21230 558842 (0,90%) Win32.HLLP.Whboy 396674 (0,64%) Win32.Sector.22 338383 (0,55%) Trojan.MulDrop.54146 285091 (0,46%) JS.Nimda 279705 (0,45%) Win32.Virut.56 274936 (0,45%) Win32.Virut.5 271705 (0,44%) ACAD.Pasdoc 260004 (0,42%) Win32.HLLW.Shadow.based 259855 (0,42%) Trojan.DownLoad.32973 246686 (0,40%) Trojan.MulDrop1.48542 243739 (0,39%) Win32.Sector.21 208654 (0,34%) Win32.Gael.3666 178199 (0,29%)
Ещё новости по теме:
18:20