Февраль стал месяцем блокировщиков Windows и троянов-похитителей банковских данных
Компания «Доктор Веб» представила обзор вирусной активности за февраль 2011 г. По данным компании, в отчетном месяце сохранили свою актуальность основные тенденции прошлых месяцев. Значительную долю вирусного трафика в феврале составили блокировщики Windows и трояны, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания. Причем последние работают в тандеме с фальшивыми антивирусами, говорится в отчете «Доктор Веб».
По мнению специалистов «Доктор Веб», концепция троянов-вымогателей, блокирующих работу компьютера, оказалась весьма живучей. В ходе развития данной идеи вирусописатели перепробовали несколько способов перечисления денег и ряд технологических решений, иногда довольно неожиданных, вплоть до блокировки ОС из загрузочной записи. В феврале 2011 г. появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Кроме того, блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные «крипторы» — программы для шифрования и «запутывания» готовых исполняемых файлов, сообщили в компании. Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества, считают в «Доктор Веб».
Другая разновидность так называемых ransomware (программ-вымогателей) — шифровальщики — также напомнила о себе в феврале. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне. Коллектив «Доктор Веб» обеспечивает своевременную разработку и поддержку утилит — расшифровщиков данных, зашифрованных троянами семейства Trojan.Encoder.
По данным «Доктор Веб», в десятке вредоносных лидеров февраля 2011 г. оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных нашумевшему трояну Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле трояна «зашит» внушительный список URL систем дистанционного банковского обслуживания. Среди них — русские, итальянские, американские, немецкие, например: libertyreserve.com, perfectmoney.com, bankofcyprus.com, suncorpbank.com.au, stgeorge.com.au, sparkasse.de, commerzbanking.de, deutsche-bank.de, postbank.de, csebo.it, poste.it, cedacri.it, payment.ru, ibank.alfabank.ru и др.
Некоторые из троянов этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» трояны имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).
В феврале 2011 г., по сравнению с январем, значительно увеличилось количество троянов для платформы Android. Так, Android.SmsSend написан на Java, и единственной функцией зловреда является отправка платных SMS-сообщений на короткие номера, например 6008. Если в январе был обнаружен только один образец такого вредоносного ПО, то в феврале — уже шесть, что позволяет говорить о тенденции, и появление более сложных и опасных троянских программ под эту платформу — дело ближайшего будущего, полагают в «Доктор Веб».
Среди прочих угроз февраля — новые модификации Win32.Virut и традиционно высокие показатели трафика различных модификаций почтовых червей Win32.HLLM.NetSky и Win32.HLLM.MyDoom. Разработчики ботнета Trojan.WinSpy в течение февраля дважды обновляли компоненты своих ботов. В основном, это коснулось алгоритмов шифрования и структуры файла sfcfiles.dll. Кроме того, в отчетном месяце отмечен спад активности червей, распространяющихся через сменные носители (Win32.HLLW.Autorunner).
В целом февральская двадцатка вредоносных файлов, наиболее распространенных в почтовом трафике, выглядит следующим образом:
Trojan.DownLoad2.20306 1059280 (9,63%) Trojan.DownLoader2.265 1016989 (9,24%) Win32.HLLM.MyDoom.33808 953395 (8,66%) Win32.HLLM.Netsky.18401 678289 (6,16%) Trojan.DownLoader2.1901 644263 (5,85%) Trojan.DownLoader2.2035 573250 (5,21%) Trojan.DownLoad1.58681 525054 (4,77%) Trojan.DownLoader2.2977 494250 (4,49%) Trojan.Packed.20878 378395 (3,44%) Win32.HLLW.Texmer.51 362861 (3,30%) Trojan.MulDrop.64589 339687 (3,09%) Trojan.DownLoad.41551 314629 (2,86%) Win32.HLLM.Netsky.35328 298101 (2,71%) Trojan.Oficla.zip 278088 (2,53%) Trojan.DownLoader2.10188 232049 (2,11%) Trojan.Packed.20312 231918 (2,11%) Trojan.DownLoader2.4077 159628 (1,45%) Trojan.PWS.Siggen.12160 146696 (1,33%) Trojan.Oficla.38 131266 (1,19%) Win32.HLLM.Beagle 127493 (1,16%)
В свою очередь, двадцатка вредоносных файлов, наиболее часто обнаруживаемых в феврале 2011 г. на ПК пользователей, включает:
Win32.HLLP.Whboy.45 12975162 (27,37%) Win32.HLLP.Neshta 10063066 (21,23%) Win32.HLLP.Novosel 6035651 (12,73%) Trojan.Click.64310 5389563 (11,37%) Win32.Siggen.8 1751123 (3,69%) HTTP.Content.Malformed 1123179 (2,37%) Win32.HLLP.Rox 1084446 (2,29%) Win32.HLLP.Liagand.1 722176 (1,52%) Win32.HLLP.Whboy 608324 (1,28%) Win32.Sector.22 584357 (1,23%) Win32.Virut 574516 (1,21%) Trojan.MulDrop1.48542 533769 (1,13%) Win32.Sector.20480 380038 (0,80%) Win32.HLLW.Shadow.based 261680 (0,55%) Win32.Antidot.1 246844 (0,52%) Exploit.Cpllnk 233278 (0,49%) Win32.Virut.56 214383 (0,45%) Win32.HLLW.Autoruner.18959 151085 (0,32%) Trojan.DownLoad.32973 144293 (0,30%) Win32.HLLW.Autoruner.11962 132218 (0,28%)
По мнению специалистов «Доктор Веб», концепция троянов-вымогателей, блокирующих работу компьютера, оказалась весьма живучей. В ходе развития данной идеи вирусописатели перепробовали несколько способов перечисления денег и ряд технологических решений, иногда довольно неожиданных, вплоть до блокировки ОС из загрузочной записи. В феврале 2011 г. появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Кроме того, блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные «крипторы» — программы для шифрования и «запутывания» готовых исполняемых файлов, сообщили в компании. Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества, считают в «Доктор Веб».
Другая разновидность так называемых ransomware (программ-вымогателей) — шифровальщики — также напомнила о себе в феврале. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне. Коллектив «Доктор Веб» обеспечивает своевременную разработку и поддержку утилит — расшифровщиков данных, зашифрованных троянами семейства Trojan.Encoder.
По данным «Доктор Веб», в десятке вредоносных лидеров февраля 2011 г. оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных нашумевшему трояну Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле трояна «зашит» внушительный список URL систем дистанционного банковского обслуживания. Среди них — русские, итальянские, американские, немецкие, например: libertyreserve.com, perfectmoney.com, bankofcyprus.com, suncorpbank.com.au, stgeorge.com.au, sparkasse.de, commerzbanking.de, deutsche-bank.de, postbank.de, csebo.it, poste.it, cedacri.it, payment.ru, ibank.alfabank.ru и др.
Некоторые из троянов этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» трояны имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).
В феврале 2011 г., по сравнению с январем, значительно увеличилось количество троянов для платформы Android. Так, Android.SmsSend написан на Java, и единственной функцией зловреда является отправка платных SMS-сообщений на короткие номера, например 6008. Если в январе был обнаружен только один образец такого вредоносного ПО, то в феврале — уже шесть, что позволяет говорить о тенденции, и появление более сложных и опасных троянских программ под эту платформу — дело ближайшего будущего, полагают в «Доктор Веб».
Среди прочих угроз февраля — новые модификации Win32.Virut и традиционно высокие показатели трафика различных модификаций почтовых червей Win32.HLLM.NetSky и Win32.HLLM.MyDoom. Разработчики ботнета Trojan.WinSpy в течение февраля дважды обновляли компоненты своих ботов. В основном, это коснулось алгоритмов шифрования и структуры файла sfcfiles.dll. Кроме того, в отчетном месяце отмечен спад активности червей, распространяющихся через сменные носители (Win32.HLLW.Autorunner).
В целом февральская двадцатка вредоносных файлов, наиболее распространенных в почтовом трафике, выглядит следующим образом:
Trojan.DownLoad2.20306 1059280 (9,63%) Trojan.DownLoader2.265 1016989 (9,24%) Win32.HLLM.MyDoom.33808 953395 (8,66%) Win32.HLLM.Netsky.18401 678289 (6,16%) Trojan.DownLoader2.1901 644263 (5,85%) Trojan.DownLoader2.2035 573250 (5,21%) Trojan.DownLoad1.58681 525054 (4,77%) Trojan.DownLoader2.2977 494250 (4,49%) Trojan.Packed.20878 378395 (3,44%) Win32.HLLW.Texmer.51 362861 (3,30%) Trojan.MulDrop.64589 339687 (3,09%) Trojan.DownLoad.41551 314629 (2,86%) Win32.HLLM.Netsky.35328 298101 (2,71%) Trojan.Oficla.zip 278088 (2,53%) Trojan.DownLoader2.10188 232049 (2,11%) Trojan.Packed.20312 231918 (2,11%) Trojan.DownLoader2.4077 159628 (1,45%) Trojan.PWS.Siggen.12160 146696 (1,33%) Trojan.Oficla.38 131266 (1,19%) Win32.HLLM.Beagle 127493 (1,16%)
В свою очередь, двадцатка вредоносных файлов, наиболее часто обнаруживаемых в феврале 2011 г. на ПК пользователей, включает:
Win32.HLLP.Whboy.45 12975162 (27,37%) Win32.HLLP.Neshta 10063066 (21,23%) Win32.HLLP.Novosel 6035651 (12,73%) Trojan.Click.64310 5389563 (11,37%) Win32.Siggen.8 1751123 (3,69%) HTTP.Content.Malformed 1123179 (2,37%) Win32.HLLP.Rox 1084446 (2,29%) Win32.HLLP.Liagand.1 722176 (1,52%) Win32.HLLP.Whboy 608324 (1,28%) Win32.Sector.22 584357 (1,23%) Win32.Virut 574516 (1,21%) Trojan.MulDrop1.48542 533769 (1,13%) Win32.Sector.20480 380038 (0,80%) Win32.HLLW.Shadow.based 261680 (0,55%) Win32.Antidot.1 246844 (0,52%) Exploit.Cpllnk 233278 (0,49%) Win32.Virut.56 214383 (0,45%) Win32.HLLW.Autoruner.18959 151085 (0,32%) Trojan.DownLoad.32973 144293 (0,30%) Win32.HLLW.Autoruner.11962 132218 (0,28%)
Ещё новости по теме:
18:20