«Лаборатория Касперского»: обзор вирусной активности за январь 2011 г.
Согласно ежемесячному обзору вирусной активности «Лаборатории Касперского», январь 2011 г. был отмечен ростом количества мошеннических схем, применяемых злоумышленниками. В целом в течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено 213 915 256 сетевых атак, заблокировано 68 956 183 попыток заражения через Веб, обнаружено и обезврежено 187 234 527 вредоносных программ (попытки локального заражения), а также отмечено 70 179 070 срабатываний эвристических вердиктов, говорится в отчете компании.
По данным «Лаборатории Касперского», ключевым элементом большинства схем работы кибермошенников стали SMS-сообщения. Так, на ряде сайтов пользователям предлагалась возможность обновить популярный браузер Internet Explorer, однако процесс «установки» неожиданно завершался необходимостью «активировать» ПО с помощью SMS-сообщения, отправленного на указанный премиум-номер. В обмен на 300 руб., потраченных на SMS, пользователь получал ссылку на официальный ресурс, с которого Internet Explorer 8 распространяется совершенно бесплатно. Такие мошеннические веб-страницы детектируются продуктами «Лаборатории Касперского» как Hoax.HTML.Fraud.e, и по итогам месяца этот вердикт занял 17 место в топ-20 вредоносных программ в интернете.
У мошенников Сети по-прежнему популярен и другой способ наживы — поддельные архивы. В этом месяце новая модификация Hoax.Win32.ArchSMS.mvr попала в топ-20 сразу в обоих рейтингах: и вредоносных программ в интернете (11 место), и зловредов, обнаруженных на компьютерах пользователей (17 место).
Поживиться с помощью SMS пытались и мошенники, решившие воспользоваться популярностью продуктов «Лаборатории Касперского»: на сайте, название которого отличалось от kaspersky.ru всего на одну букву, пользователям предлагалось скачать «новогодний подарок» – бесплатный Kaspersky Internet Security 2011. Вместо KIS2011 на компьютер загружался зловред Trojan-Ransom.MSIL.FakeInstaller.e, установка которого приводила к перезапуску компьютера. После перезагрузки троян почему-то показывал фальшивое окно социальной сети «Одноклассники» с сообщением о том, что пользователь выиграл телефон Samsung Galaxy S, который можно получить всего за 1200 руб. (около ?30). Чтобы подтвердить «выигрыш», необходимо было отправить SMS-сообщение на премиум-номер. За отправку SMS со счета снималась определенная сумма, и на этом история с «выигрышем» заканчивалась.
Кроме того, после новогодних праздников «Лабораторией Касперского» был обнаружен троян-дроппер, замаскированный под генератор ключей для продуктов «ЛК». Дроппер устанавливает и запускает на компьютерах любителей «бесплатного сыра» два опасных зловреда. Один из них ворует регистрационные данные от программ и пароли к онлайн-играм, второй — бэкдор, которы, к тому же, обладает функционалом кейлоггера.
Достаточно часто в январе жертвами злоумышленников становились владельцы мобильных телефонов, отметили в «Лаборатории Касперского». Пройдя по полученной в SMS-сообщении ссылке на «виртуальную открытку», пользователь активировал троянскую программу, которая отправляла SMS на номер, используемый оператором связи для перевода денег с одного счета на другой. В результате подобной операции пользователь в среднем терял около 200 руб.
В то же время, в январе 2011 г. атаки через Twitter, ставшие популярными в декабре 2010 г., не потеряли свою актуальность: за ссылками, укороченными при помощи сервиса goo.gl, скрывались фальшивые антивирусы, предлагающие пользователю заплатить за удаление «найденных» вредоносных программ. Действовал фальшивый антивирус по декабрьскому сценарию: открывал на странице окно, напоминающее окно «Мой Компьютер», имитировал сканирование машины и предлагал пользователю заплатить за удаление «найденных» вредоносных программ.
По-прежнему активно распространяются рекламные программы. Занявшая 12 место в рейтинге вредоносных программ в интернете AdWare.Win32.WhiteSmoke.a без согласия пользователя добавляет на рабочий стол ярлык Improve your PC. После того как пользователь щелкает по нему мышкой, открывается страница с предложением «очистить компьютер от ошибок». Если владелец компьютера соглашается на это предложение, на его компьютер устанавливается программа под названием RegistryBooster 2011, которая просканирует компьютер и потребует заплатить за исправление обнаруженных ошибок.
Компонент популярного рекламного софта FunWeb — Hoax.Win32.ScreenSaver.b — впервые попал в топ-20 вредоносных программ, заблокированных на компьютерах пользователей, но занял сразу 4 место. FunWeb — одно из популярных семейств рекламных программ, представители которого на протяжении года регулярно попадают в рейтинги самых популярных зловредов. Такие рекламные программы преобладают в англоговорящих странах: США, Канаде, Великобритании, а также в Индии, сообщили в «Лаборатории Касперского».
В двадцатку самых распространенных угроз, заблокированных на компьютерах пользователей, в январе попал эксплойт Exploit.JS.Agent.bbk (20 место), который использует уязвимость CVE-2010-0806. Несмотря на то что уязвимость была исправлена ещё в конце марта 2010 г. (патч здесь), помимо Agent.bbk ее эксплуатируют еще несколько зловредов из топ-20 (6 и 13 места). Таким образом, брешь в ПО до сих пор не закрыта на множестве компьютеров, и ее эффективно используют злоумышленники, подчеркнули в компании.
По информации «Лаборатории Касперского», загрузка вредоносных файлов с помощью Java-зловредов методом OpenConnection, которая начала использоваться злоумышленниками в октябре прошлого года, в настоящее время является одним из самых популярных способов загрузки. Два новых представителя семейства Trojan-Downloader.Java.OpenConnection попали в январскую топ-20 вредоносных программ в интернете (9 и 20 места).
Кроме того, в январе появился новый почтовый червь — Email-Worm.Win32.Hlux. Распространяется он с помощью сообщений о полученной поздравительной электронной открытке, которое содержит ссылку на страницу с предложением установить Flash Player для корректного отображения открытки. При попытке загрузить Flash Player открывается диалоговое окно, в котором пользователя спрашивают, согласен ли он скачать файл. Независимо от ответа пользователя, червь пытается проникнуть на его компьютер: через пять секунд после открытия диалогового окна происходит редирект на страницу, содержащую набор эксплойтов и программы семейства Trojan-Downloader.Java.OpenConnection, которые начинают загрузку Hlux на компьютер.
Червь, помимо самораспространения по почте, обладает функционалом бота и включает зараженный компьютер в ботнет. Hlux связывается с командным центром ботнета и выполняет его команды — в частности, рассылает фармацевтический спам. Бот общается с командным центром через прокси-серверы fast-flux сети. Если зараженный компьютер обладает внешним IP-адресом, то он может использоваться как звено Fast-Flux сети. Большое количество зараженных машин позволяет злоумышленникам очень часто менять IP-адреса доменов, на которых расположены командные центры ботнета, сообщили в «Лаборатории Касперского».
В целом рейтинг топ-20 вредоносных программ в интернете выглядит следующим образом:
AdWare.Win32.HotBar.dh 169173 Trojan-Downloader.Java.OpenConnection.cf 165576 Exploit.HTML.CVE-2010-1885.aa 140474 New AdWare.Win32.FunWeb.gq 114022 New Trojan.HTML.Iframe.dl 112239 Trojan.JS.Redirector.os 83291 New Trojan-Clicker.JS.Agent.op 82793 Trojan.JS.Popupper.aw 80981 Trojan-Downloader.Java.OpenConnection.cg 66005 New Trojan.JS.Agent.bhr 53698 Hoax.Win32.ArchSMS.mvr 47251 New AdWare.Win32.WhiteSmoke.a 44889 New Trojan.JS.Fraud.ba 44561 Exploit.JS.Agent.bab 42800 Trojan.JS.Redirector.lc 42231 Exploit.Java.CVE-2010-0886.a 41232 Hoax.HTML.Fraud.e 37658 New Trojan-Clicker.JS.Agent.om 36634 New Trojan-Downloader.JS.Small.os 35857 Trojan-Downloader.Java.OpenConnection.cx 35629 New
В свою очередь, рейтинг топ-20 вредоносных программ, обнаруженных на компьютерах пользователей, включает:
Net-Worm.Win32.Kido.ir 466686 Virus.Win32.Sality.aa 210635 Net-Worm.Win32.Kido.ih 171640 Hoax.Win32.Screensaver.b 135083 New AdWare.Win32.HotBar.dh 134649 Trojan.JS.Agent.bhr 131466 Virus.Win32.Sality.bh 128206 Virus.Win32.Virut.ce 114286 HackTool.Win32.Kiser.zv 104673 New Packed.Win32.Katusha.o 90870 HackTool.Win32.Kiser.il 90499 New Worm.Win32.FlyStudio.cu 85184 Exploit.JS.Agent.bab 77302 Trojan-Downloader.Win32.Geral.cnh 62426 Trojan-Downloader.Win32.VB.eql 58715 Worm.Win32.Mabezat.b 58579 Hoax.Win32.ArchSMS.mvr 50981 New Packed.Win32.Klone.bq 50185 Worm.Win32.Autoit.xl 43454 Exploit.JS.Agent.bbk 41193 New
По данным «Лаборатории Касперского», ключевым элементом большинства схем работы кибермошенников стали SMS-сообщения. Так, на ряде сайтов пользователям предлагалась возможность обновить популярный браузер Internet Explorer, однако процесс «установки» неожиданно завершался необходимостью «активировать» ПО с помощью SMS-сообщения, отправленного на указанный премиум-номер. В обмен на 300 руб., потраченных на SMS, пользователь получал ссылку на официальный ресурс, с которого Internet Explorer 8 распространяется совершенно бесплатно. Такие мошеннические веб-страницы детектируются продуктами «Лаборатории Касперского» как Hoax.HTML.Fraud.e, и по итогам месяца этот вердикт занял 17 место в топ-20 вредоносных программ в интернете.
У мошенников Сети по-прежнему популярен и другой способ наживы — поддельные архивы. В этом месяце новая модификация Hoax.Win32.ArchSMS.mvr попала в топ-20 сразу в обоих рейтингах: и вредоносных программ в интернете (11 место), и зловредов, обнаруженных на компьютерах пользователей (17 место).
Поживиться с помощью SMS пытались и мошенники, решившие воспользоваться популярностью продуктов «Лаборатории Касперского»: на сайте, название которого отличалось от kaspersky.ru всего на одну букву, пользователям предлагалось скачать «новогодний подарок» – бесплатный Kaspersky Internet Security 2011. Вместо KIS2011 на компьютер загружался зловред Trojan-Ransom.MSIL.FakeInstaller.e, установка которого приводила к перезапуску компьютера. После перезагрузки троян почему-то показывал фальшивое окно социальной сети «Одноклассники» с сообщением о том, что пользователь выиграл телефон Samsung Galaxy S, который можно получить всего за 1200 руб. (около ?30). Чтобы подтвердить «выигрыш», необходимо было отправить SMS-сообщение на премиум-номер. За отправку SMS со счета снималась определенная сумма, и на этом история с «выигрышем» заканчивалась.
Кроме того, после новогодних праздников «Лабораторией Касперского» был обнаружен троян-дроппер, замаскированный под генератор ключей для продуктов «ЛК». Дроппер устанавливает и запускает на компьютерах любителей «бесплатного сыра» два опасных зловреда. Один из них ворует регистрационные данные от программ и пароли к онлайн-играм, второй — бэкдор, которы, к тому же, обладает функционалом кейлоггера.
Достаточно часто в январе жертвами злоумышленников становились владельцы мобильных телефонов, отметили в «Лаборатории Касперского». Пройдя по полученной в SMS-сообщении ссылке на «виртуальную открытку», пользователь активировал троянскую программу, которая отправляла SMS на номер, используемый оператором связи для перевода денег с одного счета на другой. В результате подобной операции пользователь в среднем терял около 200 руб.
В то же время, в январе 2011 г. атаки через Twitter, ставшие популярными в декабре 2010 г., не потеряли свою актуальность: за ссылками, укороченными при помощи сервиса goo.gl, скрывались фальшивые антивирусы, предлагающие пользователю заплатить за удаление «найденных» вредоносных программ. Действовал фальшивый антивирус по декабрьскому сценарию: открывал на странице окно, напоминающее окно «Мой Компьютер», имитировал сканирование машины и предлагал пользователю заплатить за удаление «найденных» вредоносных программ.
По-прежнему активно распространяются рекламные программы. Занявшая 12 место в рейтинге вредоносных программ в интернете AdWare.Win32.WhiteSmoke.a без согласия пользователя добавляет на рабочий стол ярлык Improve your PC. После того как пользователь щелкает по нему мышкой, открывается страница с предложением «очистить компьютер от ошибок». Если владелец компьютера соглашается на это предложение, на его компьютер устанавливается программа под названием RegistryBooster 2011, которая просканирует компьютер и потребует заплатить за исправление обнаруженных ошибок.
Компонент популярного рекламного софта FunWeb — Hoax.Win32.ScreenSaver.b — впервые попал в топ-20 вредоносных программ, заблокированных на компьютерах пользователей, но занял сразу 4 место. FunWeb — одно из популярных семейств рекламных программ, представители которого на протяжении года регулярно попадают в рейтинги самых популярных зловредов. Такие рекламные программы преобладают в англоговорящих странах: США, Канаде, Великобритании, а также в Индии, сообщили в «Лаборатории Касперского».
В двадцатку самых распространенных угроз, заблокированных на компьютерах пользователей, в январе попал эксплойт Exploit.JS.Agent.bbk (20 место), который использует уязвимость CVE-2010-0806. Несмотря на то что уязвимость была исправлена ещё в конце марта 2010 г. (патч здесь), помимо Agent.bbk ее эксплуатируют еще несколько зловредов из топ-20 (6 и 13 места). Таким образом, брешь в ПО до сих пор не закрыта на множестве компьютеров, и ее эффективно используют злоумышленники, подчеркнули в компании.
По информации «Лаборатории Касперского», загрузка вредоносных файлов с помощью Java-зловредов методом OpenConnection, которая начала использоваться злоумышленниками в октябре прошлого года, в настоящее время является одним из самых популярных способов загрузки. Два новых представителя семейства Trojan-Downloader.Java.OpenConnection попали в январскую топ-20 вредоносных программ в интернете (9 и 20 места).
Кроме того, в январе появился новый почтовый червь — Email-Worm.Win32.Hlux. Распространяется он с помощью сообщений о полученной поздравительной электронной открытке, которое содержит ссылку на страницу с предложением установить Flash Player для корректного отображения открытки. При попытке загрузить Flash Player открывается диалоговое окно, в котором пользователя спрашивают, согласен ли он скачать файл. Независимо от ответа пользователя, червь пытается проникнуть на его компьютер: через пять секунд после открытия диалогового окна происходит редирект на страницу, содержащую набор эксплойтов и программы семейства Trojan-Downloader.Java.OpenConnection, которые начинают загрузку Hlux на компьютер.
Червь, помимо самораспространения по почте, обладает функционалом бота и включает зараженный компьютер в ботнет. Hlux связывается с командным центром ботнета и выполняет его команды — в частности, рассылает фармацевтический спам. Бот общается с командным центром через прокси-серверы fast-flux сети. Если зараженный компьютер обладает внешним IP-адресом, то он может использоваться как звено Fast-Flux сети. Большое количество зараженных машин позволяет злоумышленникам очень часто менять IP-адреса доменов, на которых расположены командные центры ботнета, сообщили в «Лаборатории Касперского».
В целом рейтинг топ-20 вредоносных программ в интернете выглядит следующим образом:
AdWare.Win32.HotBar.dh 169173 Trojan-Downloader.Java.OpenConnection.cf 165576 Exploit.HTML.CVE-2010-1885.aa 140474 New AdWare.Win32.FunWeb.gq 114022 New Trojan.HTML.Iframe.dl 112239 Trojan.JS.Redirector.os 83291 New Trojan-Clicker.JS.Agent.op 82793 Trojan.JS.Popupper.aw 80981 Trojan-Downloader.Java.OpenConnection.cg 66005 New Trojan.JS.Agent.bhr 53698 Hoax.Win32.ArchSMS.mvr 47251 New AdWare.Win32.WhiteSmoke.a 44889 New Trojan.JS.Fraud.ba 44561 Exploit.JS.Agent.bab 42800 Trojan.JS.Redirector.lc 42231 Exploit.Java.CVE-2010-0886.a 41232 Hoax.HTML.Fraud.e 37658 New Trojan-Clicker.JS.Agent.om 36634 New Trojan-Downloader.JS.Small.os 35857 Trojan-Downloader.Java.OpenConnection.cx 35629 New
В свою очередь, рейтинг топ-20 вредоносных программ, обнаруженных на компьютерах пользователей, включает:
Net-Worm.Win32.Kido.ir 466686 Virus.Win32.Sality.aa 210635 Net-Worm.Win32.Kido.ih 171640 Hoax.Win32.Screensaver.b 135083 New AdWare.Win32.HotBar.dh 134649 Trojan.JS.Agent.bhr 131466 Virus.Win32.Sality.bh 128206 Virus.Win32.Virut.ce 114286 HackTool.Win32.Kiser.zv 104673 New Packed.Win32.Katusha.o 90870 HackTool.Win32.Kiser.il 90499 New Worm.Win32.FlyStudio.cu 85184 Exploit.JS.Agent.bab 77302 Trojan-Downloader.Win32.Geral.cnh 62426 Trojan-Downloader.Win32.VB.eql 58715 Worm.Win32.Mabezat.b 58579 Hoax.Win32.ArchSMS.mvr 50981 New Packed.Win32.Klone.bq 50185 Worm.Win32.Autoit.xl 43454 Exploit.JS.Agent.bbk 41193 New
Ещё новости по теме:
18:20