Обзор вирусной активности в августе 2013 года
2 сентября 2013 года
Вирусная обстановка
Согласно статистическим сведениям, собранным на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, лидером среди всех выявленных угроз по-прежнему является Trojan.Loadmoney.1, о котором мы уже сообщали ранее в одном из наших материалов. Этой записью антивирусное ПО Dr.Web детектирует приложение для загрузки торрентов одноименной партнерской программы, которое также устанавливает на компьютеры пользователей различное ПО от известного российского коммуникационного портала. Кроме того, в начале августа специалистами «Доктор Веб» был обнаружен троянец Trojan.LMclicker.1, предназначенный для накрутки показателей в партнерской программе Loadmoney.
Второе место по распространенности занимает троянец
Название | Кол-во | % |
---|---|---|
32564 | 3.94 | |
19553 | 2.37 | |
17453 | 2.11 | |
17272 | 2.09 | |
14618 | 1.77 | |
13486 | 1.63 | |
9345 | 1.13 | |
8018 | 0.97 | |
7193 | 0.87 | |
6977 | 0.84 | |
6821 | 0.83 | |
6230 | 0.75 | |
6098 | 0.74 | |
5815 | 0.70 | |
5673 | 0.69 | |
5416 | 0.66 | |
5409 | 0.65 | |
5354 | 0.65 | |
5184 | 0.63 | |
5160 | 0.62 |
Ботнеты
Численность ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает немного расти. В первой подсети среднесуточный прирост вновь инфицированных ПК составляет примерно 12 000 машин, во второй подсети — 10 500. Динамика процесса показана на представленных ниже диаграммах.
Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в августе 2013 года (1-я подсеть)
Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в августе 2013 года (2-я подсеть)
Рост ботнета, состоящего из машин, инфицированных файловым вирусом Win32.Rmnet.16, также продолжается прежними темпами: в среднем ежесуточно к данной бот-сети присоединяется порядка 1500 вновь инфицированных ПК. Динамику процесса можно проследить на представленной ниже диаграмме.
Динамика регистрации новых ботов в ботнете Win32.Rmnet.16 в августе 2013 года
Статистика распространения вредоносного модуля, детектируемого антивирусным ПО Dr.Web как Trojan.Rmnet.19, также демонстрирует незначительный прирост: всего в течение августа было зафиксировано 685 новых случаев заражения, а общая численность бот-сети осталась примерно на прежнем уровне и составляет на 28 августа 5014 инфицированных компьютеров. Постепенно увеличиваются и количественные показатели спам-ботнета BackDoor.Bulknet.739. Среднесуточное количество активно действующих ботов в данной сети практически не изменилось по сравнению с предыдущим месяцем и составило около двух с половиной тысяч, а среднее число регистрирующихся в сети вновь инфицированных ПК составило 500–600 рабочих станций в сутки. Динамика изменения численности данного ботнета показана на представленной ниже диаграмме:
Динамика регистрации новых ботов в ботнете BackDoor.Bulknet.739 в августе 2013 года
Общая численность ботнета, созданного с использованием троянской программы
Практически не изменилось и количество Apple-совместимых компьютеров, инфицированных троянцем
Угроза месяца: Linux.Hanthie
Еще год назад, до возникновения эпидемии троянца
После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В троянце предусмотрены средства противодействия анализу и запуску в изолированных и виртуальных окружениях. Текущая версия
Основной вредоносный функционал
Другие события месяца
К важным новостям месяца можно отнести сообщения, касающиеся компьютерной безопасности в области банковской сферы. В материале известного специалиста по информационной безопасности, опубликованном в его блоге 19 августа, подробно рассмотрена схема атак на клиентов банков через их Android-устройства и компьютеры. Троянцы, созданные при помощи конструктора Android-программ Perkele, способны обойти многофакторную аутентификацию, которую используют многие банки. Множество клиентов немецких банков стали жертвами мошенничества, инсталлировав на свои устройства вредоносную программу, присланную злоумышленниками под видом сертификата безопасности банка. Детально преступная схема выглядит следующим образом.
Когда жертва посещает веб-сайт своего банка (см. рисунок, стрелка 1), троянец (Zeus или Citadel, или любой другой) выполняет веб-инжект (встраивает код) в браузер жертвы (стрелка 2), предлагая пользователю ввести номер мобильного телефона и тип операционной системы (позиция 9). Эта информация передается обратно на атакующий сервер (стрелка 3), который направляет запрос браузеру жертвы (стрелка 4), побуждая жертву сканировать QR-код со своего мобильного устройства, чтобы якобы установить дополнительный защитный модуль, который на самом деле является вредоносной программой. Как только жертва сканирует QR-код, вредоносная программа загружается и устанавливается на мобильный телефон жертвы, что позволяет злоумышленникам перехватывать поступающие СМС. В этот момент вредоносная программа на компьютере жертвы автоматически инициирует финансовые операции со счета жертвы (стрелка 5). Когда банк отправляет СМС с одноразовым кодом (стрелка 6), троянец его перехватывает и отправляет на сервер атакующего (стрелка 7), а вредоносный скрипт на устройстве жертвы получает код (стрелка 8) и завершает несанкционированные транзакции.
Российские финансовые учреждения также вызывают интерес у киберпреступников. По данным популярного информационного портала, некоторое время в Интернете существовал фишинговый сайт, копирующий веб-страницу находящегося в Москве Первого Депозитного Банка. Сотрудники этого банка сообщили в ЦБ РФ о мошенническом ресурсе. В настоящее время сайт-клон недоступен. Можно отметить совпадение: материал о поддельном сайте опубликован 19 августа, а на следующий день на реальном сайте банка сообщалось о другой фальшивке: на рынке появились подделки банковских гарантий, якобы выданных Первым Депозитным Банком.
Помимо махинаций с денежными средствами все большую популярность у киберпреступников приобретают различные мошеннические схемы торговли «виртуальным товаром», например «лайками» социальных сетей. Некоторые пользователи готовы платить реальные деньги за эти виртуальные «знаки внимания». Кроме того, «лайки» помогают фирмам продвигать товары или услуги на рынке: число «лайков», которыми отмечен тот или иной товар, повышают его популярность в глазах потенциальных покупателей. Злоумышленники торгуют фальшивыми учетными записями подписчиков Twitter и Instagram, используя для их создания необычную версию вредоносного ПО Trojan.PWS.Panda. Антивирусное ПО Dr.Web детектирует данную угрозу как Trojan.PWS.Panda.106.
Также в августе было зафиксировано распространение новой версии троянца семейства BackDoor.Maxplus, выполняющей функции кейлоггера и подключающей зараженный компьютер к созданной злоумышленниками пиринговой сети. Чтобы избежать детектирования антивирусным ПО, троянец использует нетривиальные способы маскировки. Запустившись на инфицированном устройстве, он копирует себя сразу в две директории, расположенные с нарушением алфавитного порядка. При этом названия исполняемых файлов BackDoor.Maxplus записаны в реестре справа налево, как в текстах, написанных на семитских языках (арабском, иврите). Сигнатура данной вредоносной программы добавлена в вирусные базы компании Dr.Web.
Также в августе специалистами «Доктор Веб» был обнаружен троянец Trojan.WPCracker.1, предназначенный для взлома веб-сайтов, работающих под управлением популярных CMS, разработана утилита дешифровки файлов, пострадавших от Trojan.Encoder.252, и описана чрезвычайно популярная в Рунете схема мошенничества.
Мобильные угрозы
Последний летний месяц оказался относительно спокойным в плане появления угроз для мобильных устройств. Так, в августе вирусные базы Dr.Web пополнились очередными записями для нескольких СМС-троянцев семейства Android.SmsSend, которые служат для отправки премиум-сообщений на короткие номера и подписки абонентов на различные платные услуги. Кроме того, в течение месяца было зафиксировано большое число разнообразных коммерческих шпионских приложений, включая версии, которые предназначены для работы на iOS-устройствах, подвергавшихся процедуре jailbreak. Данные приложения опасны тем, что, будучи установленными злоумышленниками, способны скрытно от пользователя осуществлять мониторинг его активности, например, перехватывать СМС-сообщения, получать информацию о совершаемых звонках, отслеживать GPS-координаты и пересылать на удаленный сервер все собранные данные. Подробнее об этих программах можно узнать из соответствующей публикации на сайте компании.
Вредоносные файлы, обнаруженные в почтовом трафике в августе
01.08.2013 00:00 - 31.08.2013 23:00 | ||
1 | Trojan.Winlock.8811 | 1.11% |
2 | Trojan.PWS.Panda.4379 | 1.00% |
3 | Trojan.Packed.24465 | 0.86% |
4 | Trojan.Inject2.23 | 0.64% |
5 | Trojan.PWS.Stealer.3243 | 0.53% |
6 | Trojan.PWS.Panda.655 | 0.51% |
7 | Trojan.PWS.Panda.547 | 0.46% |
8 | Win32.HLLM.MyDoom.33808 | 0.44% |
9 | Trojan.Proxy.25849 | 0.35% |
10 | Trojan.DownLoader4.56255 | 0.35% |
11 | Win32.HLLW.Autoruner.25074 | 0.33% |
12 | Trojan.Spambot.12288 | 0.33% |
13 | Trojan.PWS.Panda.786 | 0.29% |
14 | Win32.HLLM.Beagle | 0.29% |
15 | Trojan.PWS.Stealer.946 | 0.26% |
16 | Trojan.MulDrop4.35808 | 0.26% |
17 | BackDoor.Comet.700 | 0.26% |
18 | Win32.HLLM.MyDoom.54464 | 0.26% |
19 | Trojan.DownLoad3.28161 | 0.26% |
20 | Trojan.DownLoader9.40193 | 0.26% |
Вредоносные файлы, обнаруженные в августе на компьютерах пользователей
01.08.2013 00:00 - 31.08.2013 23:00 | ||
1 | Exploit.SWF.254 | 1.28% |
2 | SCRIPT.Virus | 1.11% |
3 | Adware.Downware.915 | 0.85% |
4 | Trojan.Fraudster.524 | 0.71% |
5 | Trojan.LoadMoney.1 | 0.71% |
6 | Adware.InstallCore.122 | 0.68% |
7 | Adware.Downware.179 | 0.60% |
8 | JS.IFrame.482 | 0.57% |
9 | Tool.Unwanted.JS.SMSFraud.26 | 0.51% |
10 | Adware.Downware.1328 | 0.40% |
11 | Adware.Downware.1317 | 0.38% |
12 | Trojan.InstallMonster.28 | 0.38% |
13 | Adware.InstallCore.124 | 0.37% |
14 | Tool.Skymonk.11 | 0.36% |
15 | Adware.Toolbar.202 | 0.35% |
16 | Adware.InstallCore.114 | 0.35% |
17 | Tool.Unwanted.JS.SMSFraud.29 | 0.33% |
18 | Trojan.Fraudster.394 | 0.32% |
19 | Trojan.LoadMoney.17 | 0.31% |
20 | Tool.Unwanted.JS.SMSFraud.10 | 0.30% |
Источник: Доктор Веб