"Винлоки" вновь наступают

Вопрос вирусной активности в июле оказался не самым скучным относительно предыдущих месяцев: вновь активизировались создатели "винлоков" и разработчики вредоносного ПО для мобильной платформы Android, сообщила компания "Доктор Веб". Также специалисты обнаружили и обезвредили множество других опасных угроз.

Российские пользователи пережили две крупные волны заражений вредоносными программами, блокирующими работу Windows. Первая состоялась в конце 2009 - начале 2010 года, вторая - летом 2010 года. С тех пор количество заражений шло на спад, и практически все производители антивирусного ПО научились эффективно бороться с подобными угрозами. Однако примерно с мая 2011 года зафиксированы случаи появления программ-вымогателей, ориентированных на западную аудиторию. Одной из них стала программа Trojan.Winlock.3794, собирающая данные банковских карт. Ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное SMS-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.

С конца января 2011 года наиболее популярным именем файла, в котором скрываются "винлоки", является xxx_video.exe (37,8% случаев заражения), на втором месте - pornoplayer.exe (28,6%), на третьем - xxx_video.avi (9,6%).

На лидирующей позиции среди стран, размещающих на своих серверах раздающие вредоносное ПО сайты, с находится Россия (58,8%). Далее с большим отрывом следуют США (15,6%) и Украина (7,1%). За тройкой лидеров расположились Молдавия (6,8%), Канада (3,1%), Румыния (2,3%), Япония (2,3%), Германия (1,7%), Израиль, Корея и Бразилия (1,3% и по 0,5% соответственно).

За истекший месяц "Доктор Веб" выявила множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к банковским системам. Среди них Trojan.Carberp.1, который обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данной программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Загрузившись на инфицированном компьютере, троянец проверяет, запущен ли в системе процесс op_mon.exe программы Outpost Firewall, и если да, завершает его. Затем он запускает explorer.exe, встраивается в него и пытается поместить вредоносный объект в экземпляры процесса explorer.exe, владеющие панелью задач и рабочим столом Windows. Если сделать этого не удается, Trojan.Carberp.1 пытается встроиться в процесс svchost.exe, а в случае, если и эта попытка заканчивается неудачей, троянец пытается инфицировать любой браузер, позволяющий открывать файлы с расширением .html. Затем программа копирует себя в автозагрузку, завершает процесс-дроппер и запускает несколько инфицированных процессов svchost.exe.

В июле специалистами "Доктор Веб" в вирусные базы были добавлены описания 29 новых угроз для ОС Android, среди которых следует отметить две новых модификации троянца Android.Gongfu и программу Android.Ggtrack.1-2, предназначенную для кражи денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы. Кроме того, в июле была обнаружена и добавлена в базы программа-шпион Android.GoldDream.1.

В последних числах месяца также был зафиксирован всплеск заражений программой Trojan.Mayachok.1 - многие пользователи неожиданно столкнулись с невозможностью выйти в интернет. При попытке открыть в окне браузера какой-либо сайт, троянец перенаправлял пользователя на заранее определенный URL, демонстрируя веб-страницу, предлагающую "активировать" или "подтвердить" аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение.

Помимо этого, обнаружен троянец, крадущий у пользователей не файлы электронных кошельков или реквизиты доступа к платежным системам, а вычислительные ресурсы. На сегодняшний день известно несколько вредоносных программ, занимающихся майнингом, в частности, Trojan.Coinbit и некоторые версии Trojan.Vkbase.

©  @Astera