Октябрьская вирусология: цифры и факты от «Доктора Веб»
Компания «Доктор Веб», разработчик антивирусных решений, подвела итоги октября, подготовив подробный отчет о тенденциях в среде вирусописателей. По словам компании, прошедший месяц не был богат вирусными событиями и не принес никаких сенсаций, однако ряд интересных наблюдений заслуживает отдельного рассказа. В частности, в октябре киберпреступники предпочитали заворачивать свои «конфетки» в весьма заманчивые «фантики», выдавая вредоносные программы за антивирусные. В целом же октябрь показал, что основными каналами передачи вредоносных программ на компьютеры пользователей остаются электронная почта и вредоносные сайты, которые создаются злоумышленниками ежедневно и в огромном количестве.
Достаточно взглянуть на двадцатку самых распространённых вредоносных программ октября - около половины составляют различные модификации Trojan.Fakealert. Это указывает на то, что лжеантивирусы стали основным источником дохода вирусописателей. В течение первых двух недель октября количество детектов лжеантивирусов согласно серверу статистики компании «Доктор Веб» держалось на уровне более 2,5 миллионов в сутки. К настоящему времени количество детектов упало до 1 миллиона в сутки, но и эта цифра выглядит внушительно. Визуальные эффекты, используемые в новых модификациях Trojan.Fakealert, не изменились с момента публикации обзора за сентябрь.
Что же вынуждает пользователей устанавливать подобные вредоносные программы себе на компьютер? Для достижения этой цели злоумышленники используют множество различных приёмов в зависимости от «целевой аудитории». Основная доля лжеантивирусов в октябре распространялась в виде файла с названием install.exe, упакованного в ZIP-архив. Данный архив предлагался в качестве обновления используемой почтовой системы (при этом сообщение было написано от имени администратора почтового сервера, который используется) или же обновления конкретно почтового клиента Microsoft Outlook. Также файлы этого типа распространялись в письмах, в которых говорилось о том, что пользователь нарушает авторские права, загружая из Интернета объекты авторского права, и в приложенном архиве находится распечатка подозрительной активности пользователя за последние 6 месяцев.
Распространители лжеантивирусов также учли высокую популярность веб-интерфейса Outlook Web Access. Для пользователей этого сервиса Trojan.Fakealert распространялся в качестве ссылки на страницу, имитирующую интерфейс OWA, на которой пользователю предлагалось скачать новые настройки для учётной записи электронной почты.
Наравне с лжеантивирусами одной из наиболее серьёзных угроз для пользовательских данных в прошедшем месяце стали вредоносные программы, которые воруют параметры учётных записей для доступа к различным интернет-ресурсам, в том числе к электронным денежным счетам, социальным сетям и прочим. Наиболее заметным представителем этого класса вредоносных программ долгое время остаётся Trojan.PWS.Panda.122. Эта троянская программа «специализируется» на похищении паролей от различных сервисов, список которых злоумышленники передают с вредоносных сайтов. Список этот со временем может меняться.
На протяжении нескольких последних месяцев постоянно совершается рассылка различных модификаций двух типов вредоносных программ - Trojan.Botnetlog.11 и Trojan.BhoSpy.97 - под видом сообщений от компаний, осуществляющих курьерские услуги. В частности, от имени известных компаний DHL и UPS. В письмах сообщается о том, что посылка не может быть доставлена по причине того, что пользователь сообщил несуществующий адрес. Trojan.Botnetlog.11 имеет возможность эксплуатировать известные уязвимости системы, в которой запускается. После установки и запуска в системе троянец пытается связаться с сервером злоумышленника для получения команд и загрузки дополнительных компонентов вредоносной программы. Исполняемый код Trojan.Botnetlog.11 зашифрован с помощью специально разработанного алгоритма.
Trojan.BhoSpy.97 устанавливается в систему в качестве плагина браузера Microsoft Internet Explorer. Помимо возможности загружать файлы, составляющие основной функционал данной вредоносной программы, этот троянец способен по команде удалять определённые системные файлы, делая систему неработоспособной.
В октябре продолжилось распространение вредоносных программ, которые ограничивают доступ пользователя в систему и требуют заплатить денег за разблокировку. Такие программы по классификации Dr.Web именуются Trojan.Winlock. Но если ранее доступ с соответствующим сообщением выводился на весь экран, делая работу с системой невозможной в принципе, то те модификации блокировщиков, которые были наиболее распространены в октябре, выводили сообщение лишь на часть экрана, давая возможность запускать программы и работать в них на свободном от сообщения пространстве монитора. Этот факт облегчает участь пользователя-жертвы: позволяет совершить наиболее критичные действия, «опознать» файлы - компоненты троянца и отправить их на анализ в вирусную лабораторию.
В последнее время участились случаи мошенничества с использованием средств, которые предоставляет Интернет. При этом злоумышленники не всегда используют для достижения цели какие-либо вредоносные программы, но знать и о таких схемах весьма полезно, поскольку схемы эти в случае успешной реализации приводят к печальным последствиям для пользователей. Для того чтобы вынудить пользователя отправить злоумышленникам деньги, на сегодняшний день используется несколько трюков. Одним из наиболее массовых инструментов «безвирусного» мошенничества последних месяцев стали сайты, которые якобы могут предоставить приватную информацию об СМС-сообщениях, входящих и исходящих звонках и т.д. любого владельца сотового телефона. Для получения информации на таком сайте требуется ввести только номер телефона жертвы. Для того чтобы пользователь заинтересовался сильнее, злоумышленники предоставляют информацию о регионе, к которому приписан введенный телефон, и об операторе связи. Эта информация и так является открытой, но доверие неискушённых пользователей к вредоносным ресурсам в результате знакомства с ней возрастает. Разумеется, после перевода денег «доброжелателям» пользователь интересующей информации не получает, и не может получить. А если бы такая возможность существовала, то это являлось бы нарушением законодательства.
Вредоносные файлы, обнаруженные в октябре в почтовом трафике:1. Trojan.DownLoad.47256, 10750198 (21.85%)2. Trojan.Fakealert.5115, 7452584 (15.15%)3. Trojan.Fakealert.5238, 5346181 (10.87%)4. Trojan.Packed.2915, 2474234 (5.03%)5. Win32.HLLM.Netsky.35328, 2248095 (4.57%)6. Trojan.DownLoad.37236, 2078358 (4.22%)7. Trojan.Fakealert.5229, 1961846 (3.99%)8. Trojan.Fakealert.5356, 1821482 (3.70%)9. Trojan.DownLoad.50246, 1724409 (3.51%)10. Trojan.Fakealert.5437, 1570923 (3.19%)11. Trojan.Packed.683, 1347946 (2.74%)12. Trojan.Fakealert.5825, 1164324 (2.37%)13. Win32.HLLM.MyDoom.33808, 1137315 (2.31%)14. Win32.HLLM.Beagle, 1109455 (2.26%)v15. Trojan.DownLoad.5637, 895101 (1.82%)16. Trojan.Fakealert.5457, 868063 (1.76%)17. Trojan.Fakealert.5784, 650010 (1.32%)18. Win32.HLLM.Netsky.based, 593596 (1.21%)19. Trojan.Fakealert.5311, 593453 (1.21%)20. W97M.Godzilla, 499719 (1.02%)Всего было проверено 80 506 872 758 файлов, из них инфицировано - 49 195 078 (0,06% от общего числа).
Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей1. Trojan.DownLoad.47256, 6767108 (17.74%)2. Trojan.Fakealert.5238, 5646226 (14.80%)3. Trojan.Fakealert.5115, 5035344 (13.20%)4. Trojan.Fakealert.5229, 2455376 (6.44%)5. VBS.Sifil, 1169118 (3.07%)6. Win32.HLLM.Netsky.35328, 709710 (1.86%)7. Win32.HLLW.Shadow.based, 680072 (1.78%)8. Win32.HLLM.Beagle, 673072 (1.76%)9. JS.Nimda, 657868 (1.72%)10. BackDoor.IRC.Sdbot.5190, 608800 (1.60%)11. Trojan.DownLoad.5637, 590821 (1.55%)12. Win32.HLLW.Gavir.ini, 579411 (1.52%)13. Trojan.MulDrop.16727, 562342 (1.47%)14. Win32.HLLM.Netsky.based, 550754 (1.44%)15. Win32.Alman.1, 542423 (1.42%)16. Win32.HLLM.MyDoom.49, 416950 (1.09%)17. Win32.Sector.17, 370738 (0.97%)18. Win32.Virut.14, 345415 (0.91%)19. W97M.Thus, 339490 (0.89%)20. Trojan.Recycle, 328507 (0.86%)Всего было проверено 208 184 957 146 файлов, среди которых было 38 139 894 инфицированных файлов (0,02% от общего числа).
С полной версией отчета можно ознакомиться на сайте разработчика.
Напомним, что недавно компания «Лаборатория Касперского» представила новое антивирусное решение Kaspersky Internet Security 2010 с рядом нововведений - кроме технологии безопасной среды оно оснащено модулем проверки ссылок, игровым режимом работы, «облачными технологиями» и другими новшествами. Обзор решения можно найти на страницах THG.
Достаточно взглянуть на двадцатку самых распространённых вредоносных программ октября - около половины составляют различные модификации Trojan.Fakealert. Это указывает на то, что лжеантивирусы стали основным источником дохода вирусописателей. В течение первых двух недель октября количество детектов лжеантивирусов согласно серверу статистики компании «Доктор Веб» держалось на уровне более 2,5 миллионов в сутки. К настоящему времени количество детектов упало до 1 миллиона в сутки, но и эта цифра выглядит внушительно. Визуальные эффекты, используемые в новых модификациях Trojan.Fakealert, не изменились с момента публикации обзора за сентябрь.
Что же вынуждает пользователей устанавливать подобные вредоносные программы себе на компьютер? Для достижения этой цели злоумышленники используют множество различных приёмов в зависимости от «целевой аудитории». Основная доля лжеантивирусов в октябре распространялась в виде файла с названием install.exe, упакованного в ZIP-архив. Данный архив предлагался в качестве обновления используемой почтовой системы (при этом сообщение было написано от имени администратора почтового сервера, который используется) или же обновления конкретно почтового клиента Microsoft Outlook. Также файлы этого типа распространялись в письмах, в которых говорилось о том, что пользователь нарушает авторские права, загружая из Интернета объекты авторского права, и в приложенном архиве находится распечатка подозрительной активности пользователя за последние 6 месяцев.
Распространители лжеантивирусов также учли высокую популярность веб-интерфейса Outlook Web Access. Для пользователей этого сервиса Trojan.Fakealert распространялся в качестве ссылки на страницу, имитирующую интерфейс OWA, на которой пользователю предлагалось скачать новые настройки для учётной записи электронной почты.
Наравне с лжеантивирусами одной из наиболее серьёзных угроз для пользовательских данных в прошедшем месяце стали вредоносные программы, которые воруют параметры учётных записей для доступа к различным интернет-ресурсам, в том числе к электронным денежным счетам, социальным сетям и прочим. Наиболее заметным представителем этого класса вредоносных программ долгое время остаётся Trojan.PWS.Panda.122. Эта троянская программа «специализируется» на похищении паролей от различных сервисов, список которых злоумышленники передают с вредоносных сайтов. Список этот со временем может меняться.
На протяжении нескольких последних месяцев постоянно совершается рассылка различных модификаций двух типов вредоносных программ - Trojan.Botnetlog.11 и Trojan.BhoSpy.97 - под видом сообщений от компаний, осуществляющих курьерские услуги. В частности, от имени известных компаний DHL и UPS. В письмах сообщается о том, что посылка не может быть доставлена по причине того, что пользователь сообщил несуществующий адрес. Trojan.Botnetlog.11 имеет возможность эксплуатировать известные уязвимости системы, в которой запускается. После установки и запуска в системе троянец пытается связаться с сервером злоумышленника для получения команд и загрузки дополнительных компонентов вредоносной программы. Исполняемый код Trojan.Botnetlog.11 зашифрован с помощью специально разработанного алгоритма.
Trojan.BhoSpy.97 устанавливается в систему в качестве плагина браузера Microsoft Internet Explorer. Помимо возможности загружать файлы, составляющие основной функционал данной вредоносной программы, этот троянец способен по команде удалять определённые системные файлы, делая систему неработоспособной.
В октябре продолжилось распространение вредоносных программ, которые ограничивают доступ пользователя в систему и требуют заплатить денег за разблокировку. Такие программы по классификации Dr.Web именуются Trojan.Winlock. Но если ранее доступ с соответствующим сообщением выводился на весь экран, делая работу с системой невозможной в принципе, то те модификации блокировщиков, которые были наиболее распространены в октябре, выводили сообщение лишь на часть экрана, давая возможность запускать программы и работать в них на свободном от сообщения пространстве монитора. Этот факт облегчает участь пользователя-жертвы: позволяет совершить наиболее критичные действия, «опознать» файлы - компоненты троянца и отправить их на анализ в вирусную лабораторию.
В последнее время участились случаи мошенничества с использованием средств, которые предоставляет Интернет. При этом злоумышленники не всегда используют для достижения цели какие-либо вредоносные программы, но знать и о таких схемах весьма полезно, поскольку схемы эти в случае успешной реализации приводят к печальным последствиям для пользователей. Для того чтобы вынудить пользователя отправить злоумышленникам деньги, на сегодняшний день используется несколько трюков. Одним из наиболее массовых инструментов «безвирусного» мошенничества последних месяцев стали сайты, которые якобы могут предоставить приватную информацию об СМС-сообщениях, входящих и исходящих звонках и т.д. любого владельца сотового телефона. Для получения информации на таком сайте требуется ввести только номер телефона жертвы. Для того чтобы пользователь заинтересовался сильнее, злоумышленники предоставляют информацию о регионе, к которому приписан введенный телефон, и об операторе связи. Эта информация и так является открытой, но доверие неискушённых пользователей к вредоносным ресурсам в результате знакомства с ней возрастает. Разумеется, после перевода денег «доброжелателям» пользователь интересующей информации не получает, и не может получить. А если бы такая возможность существовала, то это являлось бы нарушением законодательства.
Вредоносные файлы, обнаруженные в октябре в почтовом трафике:1. Trojan.DownLoad.47256, 10750198 (21.85%)2. Trojan.Fakealert.5115, 7452584 (15.15%)3. Trojan.Fakealert.5238, 5346181 (10.87%)4. Trojan.Packed.2915, 2474234 (5.03%)5. Win32.HLLM.Netsky.35328, 2248095 (4.57%)6. Trojan.DownLoad.37236, 2078358 (4.22%)7. Trojan.Fakealert.5229, 1961846 (3.99%)8. Trojan.Fakealert.5356, 1821482 (3.70%)9. Trojan.DownLoad.50246, 1724409 (3.51%)10. Trojan.Fakealert.5437, 1570923 (3.19%)11. Trojan.Packed.683, 1347946 (2.74%)12. Trojan.Fakealert.5825, 1164324 (2.37%)13. Win32.HLLM.MyDoom.33808, 1137315 (2.31%)14. Win32.HLLM.Beagle, 1109455 (2.26%)v15. Trojan.DownLoad.5637, 895101 (1.82%)16. Trojan.Fakealert.5457, 868063 (1.76%)17. Trojan.Fakealert.5784, 650010 (1.32%)18. Win32.HLLM.Netsky.based, 593596 (1.21%)19. Trojan.Fakealert.5311, 593453 (1.21%)20. W97M.Godzilla, 499719 (1.02%)Всего было проверено 80 506 872 758 файлов, из них инфицировано - 49 195 078 (0,06% от общего числа).
Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей1. Trojan.DownLoad.47256, 6767108 (17.74%)2. Trojan.Fakealert.5238, 5646226 (14.80%)3. Trojan.Fakealert.5115, 5035344 (13.20%)4. Trojan.Fakealert.5229, 2455376 (6.44%)5. VBS.Sifil, 1169118 (3.07%)6. Win32.HLLM.Netsky.35328, 709710 (1.86%)7. Win32.HLLW.Shadow.based, 680072 (1.78%)8. Win32.HLLM.Beagle, 673072 (1.76%)9. JS.Nimda, 657868 (1.72%)10. BackDoor.IRC.Sdbot.5190, 608800 (1.60%)11. Trojan.DownLoad.5637, 590821 (1.55%)12. Win32.HLLW.Gavir.ini, 579411 (1.52%)13. Trojan.MulDrop.16727, 562342 (1.47%)14. Win32.HLLM.Netsky.based, 550754 (1.44%)15. Win32.Alman.1, 542423 (1.42%)16. Win32.HLLM.MyDoom.49, 416950 (1.09%)17. Win32.Sector.17, 370738 (0.97%)18. Win32.Virut.14, 345415 (0.91%)19. W97M.Thus, 339490 (0.89%)20. Trojan.Recycle, 328507 (0.86%)Всего было проверено 208 184 957 146 файлов, среди которых было 38 139 894 инфицированных файлов (0,02% от общего числа).
С полной версией отчета можно ознакомиться на сайте разработчика.
Напомним, что недавно компания «Лаборатория Касперского» представила новое антивирусное решение Kaspersky Internet Security 2010 с рядом нововведений - кроме технологии безопасной среды оно оснащено модулем проверки ссылок, игровым режимом работы, «облачными технологиями» и другими новшествами. Обзор решения можно найти на страницах THG.
Ещё новости по теме:
18:20