Обзор вирусной активности в июле 2013 года
5 августа 2013 года
Вирусная обстановка
По данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, в июле 2013 года на первой строчке статистики оказался
Название | Кол-во | % |
---|---|---|
22921 | 3.05 | |
20641 | 2.74 | |
16088 | 2.14 | |
8624 | 1.15 | |
7414 | 0.99 | |
7197 | 0.96 | |
6130 | 0.81 | |
5828 | 0.77 | |
5741 | 0.76 | |
5696 | 0.76 | |
5347 | 0.71 | |
5265 | 0.70 | |
5227 | 0.69 | |
5114 | 0.68 | |
4588 | 0.61 | |
4174 | 0.55 | |
3653 | 0.49 | |
3434 | 0.46 | |
3369 | 0.45 | |
3307 | 0.44 |
Энкодеры и винлоки
Начиная с первых чисел июля в службу технической поддержки компании «Доктор Веб» поступило 550 запросов от пользователей, пострадавших в результате действия троянцев-шифровальщиков. Напомним, что вредоносное ПО данной категории создается злоумышленниками с единственной целью — шифрование файлов на компьютерах пользователей и получение денег за их расшифровку. Энкодеры способны шифровать самые разнообразные типы файлов: архивы, изображения, документы, музыку, фильмы и многие другие. Сумма, требуемая злоумышленниками за расшифровку, может варьироваться от нескольких десятков до нескольких тысяч долларов.
Модификации троянцев-энкодеров, жертвами которых по данным вирусной лаборатории «Доктор Веб» чаще всего становились пользователи в июле, перечислены на представленной ниже диаграмме.
Наибольшее число пользователей, пострадавших от троянцев-шифровальщиков (75%), проживает на территории России, чуть меньше — 15% — на Украине. Велико количество жертв энкодеров, как ни странно, и среди жителей Бразилии; также зафиксированы единичные случаи заражения в Венесуэле, Эстонии, США, странах Евросоюза. В течение июля в службу технической поддержки «Доктор Веб» с аналогичными запросами обратилось по пять жителей Колумбии и Аргентины, а также трое граждан Чили.
За помощью в ликвидации последствий заражения вредоносными программами семейства Trojan.Winlock в течение июля в компанию «Доктор Веб» обратилось несколько сотен пользователей, из них 79,5% составляют россияне, 16% — жители Украины, 1,67% приходится на жителей Казахстана. Также зафиксированы единичные случаи распространения винлоков в Швеции, Колумбии, США, Беларуси и странах Евросоюза.
Ботнеты
Численность бот-сети, организованной злоумышленниками с использованием файлового вируса
Общая численность бот-сети, состоящей из инфицированных файловым вирусом
Продолжается сокращение числа компьютеров, на которых антивирусное программное обеспечение «Доктор Веб» обнаруживает вредоносные модули, детектируемые как
Значительно изменилась и численность ботнета, созданного злоумышленниками с использованием вредоносной программы
Общее количество компьютеров, инфицированных троянцем BackDoor.Dande, за минувшие 30 дней почти не изменилось: в конце июня их число составляло 1 209, по данным на 28 июля — 1056. Эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний. В частности, злоумышленников интересуют сведения из клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты.
Продолжает функционировать и ботнет
Данные цифры говорят о том, что ботнет
Угрозы для мобильных устройств
Завидная регулярность, с которой вирусная база Dr.Web пополняется записями для разнообразных коммерческих шпионских приложений, предназначенных для работы на мобильных устройствах, в очередной раз служит доказательством того, что на современном высокотехнологичном рынке услуги подобных систем не только востребованы, но и продолжают наращивать популярность. В прошедшем месяце специалистами компании «Доктор Веб» было обнаружено большое число новых модификаций известных шпионских программ, таких как Android.MobileSpy и
В то же время, наряду с постоянно пополняющимся ассортиментом коммерчески доступного программного обеспечения для мониторинга, которое может использоваться как легально, так и в нарушение закона, все отчетливее проявляется тенденция к росту предложений по оказанию сугубо киберпреступных услуг, связанных с получением конфиденциальных сведений пользователей мобильных устройств. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле специалистами компании было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита использует для своей работы исходный код свободно распространяющейся программы для удаленного доступа и управления AndroRat, которая известна с 2012 года и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Во втором случае автор утилиты применяет самостоятельно разработанную им троянскую программу-шпион, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.
Особенностью таких утилит является то, что они отличаются относительной легкостью и простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от программирования. Вполне вероятно, что число подобных инструментов в ближайшем будущем будет увеличиваться.
Для мобильной операционной системы Android второй летний месяц не прошел бесследно и в плане обнаружения программных уязвимостей, среди которых одной из самых заметных стала так называемая Master Key. Она связана с тем, что система безопасности Android при установке apk-пакетов, сформированных специальным образом, некорректно обрабатывает содержащиеся внутри них дублирующие файлы, позволяя инсталлировать приложения с неподписанными компонентами. Благодаря оперативной работе вирусных аналитиков в антивирус Dr.Web для Android было добавлено детектирование приложений, эксплуатирующих данную уязвимость: вне зависимости от того, применяется ли эта программная ошибка целенаправленно, или же она возникла в результате непредвиденных технических сбоев, соответствующие программы будут определяться как Exploit.APKDuplicateName.
Менее чем через месяц после анонса информации об уязвимости Master Key был обнаружен и первый троянец, который эксплуатирует эту программную ошибку. Распространение вредоносной программы, добавленной в вирусную базу Dr.Web под именем Android.Nimefas.1.origin, было зафиксировано на одном из китайских интернет-порталов, посвященных Android-приложениям. Этот троянец способен рассылать СМС, выполнять перехват входящих сообщений, а также передавать на удаленный сервер конфиденциальную информацию пользователей, в частности, их номера телефонов, а также сведения из телефонной книги. Более подробные сведения об этой угрозе можно получить в опубликованной на сайте компании новости.
Не остались в стороне и угрозы, размещенные в каталоге Google Play. В конце месяца специалистами «Доктор Веб» было обнаружено несколько вредоносных приложений, которые в процессе работы могли установить на мобильные устройства пользователей троянцев семейства
Этот случай в очередной раз показывает, что обеспечиваемый в каталоге Google уровень безопасности на данный момент все еще недостаточен, и пользователям следует внимательно и осторожно относиться ко многим находящимся в нем приложениям. Подробнее об этом случае вы можете узнать в соответствующей публикации на сайте компании.
Вредоносные файлы, обнаруженные в почтовом трафике в июле
01.07.2013 00:00 - 30.07.2013 14:00 | ||
1 | Trojan.PWS.Panda.4379 | 1.02% |
2 | Trojan.PWS.PandaENT.4379 | 0.71% |
3 | Trojan.Packed.196 | 0.71% |
4 | Trojan.Inject2.23 | 0.58% |
5 | Trojan.Packed.24465 | 0.48% |
6 | Trojan.PWS.Panda.547 | 0.47% |
7 | BackDoor.Tishop.55 | 0.40% |
8 | Win32.HLLM.MyDoom.54464 | 0.38% |
9 | Trojan.PWS.Panda.655 | 0.36% |
10 | Trojan.Packed.24450 | 0.35% |
11 | Win32.HLLM.MyDoom.33808 | 0.31% |
12 | Trojan.PWS.Stealer.3128 | 0.29% |
13 | Trojan.Proxy.24953 | 0.28% |
14 | Trojan.MulDrop4.35808 | 0.25% |
15 | BackDoor.Comet.152 | 0.21% |
16 | VBS.Rmnet.2 | 0.20% |
17 | Trojan.Inor | 0.17% |
18 | SCRIPT.Virus | 0.17% |
19 | Trojan.DownLoader1.64229 | 0.17% |
20 | Trojan.VbCrypt.8 | 0.16% |
Вредоносные файлы, обнаруженные в июле на компьютерах пользователей
01.07.2013 00:00 - 30.07.2013 14:00 | ||
1 | SCRIPT.Virus | 0.96% |
2 | Exploit.SWF.254 | 0.73% |
3 | Trojan.LoadMoney.1 | 0.72% |
4 | Adware.InstallCore.122 | 0.68% |
5 | Adware.Downware.915 | 0.55% |
6 | Adware.Downware.179 | 0.52% |
7 | Tool.Unwanted.JS.SMSFraud.26 | 0.51% |
8 | Adware.Downware.1284 | 0.49% |
9 | Adware.InstallCore.114 | 0.47% |
10 | JS.IFrame.453 | 0.41% |
11 | Adware.Toolbar.202 | 0.37% |
12 | Adware.InstallCore.115 | 0.34% |
13 | Adware.Downware.1132 | 0.34% |
14 | Tool.Skymonk.11 | 0.34% |
15 | Adware.InstallCore.101 | 0.34% |
16 | Tool.Unwanted.JS.SMSFraud.29 | 0.31% |
17 | Win32.HLLW.Shadow | 0.31% |
18 | Adware.Webalta.11 | 0.31% |
19 | Adware.Downware.1317 | 0.30% |
20 | Exploit.BlackHole.183 | 0.30% |
Источник: Доктор Веб