Вирусным лидером мая стал Trojan.Mayachok
Компания "Доктор Веб" сообщила, что май 2012 года оказался спокойным месяцем с точки зрения информационной безопасности. За это время не зафиксировано серьезных вирусных эпидемий. Вместе с тем высоким остается число пострадавших от действий троянцев-шифровальщиков, осваивающих западный рынок, появляются новые угрозы для мобильной операционной системы Android.
Trojan.Matsnu.1 занял лидирующие позиции в списке наиболее актуальных угроз. Он шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована. Trojan.Mayachok.1, обнаруженный на 3,73% компьютеров, он подменяет пользователям наиболее популярные сайты при подключении к интернету. Причины его высокой популярности объясняются тем, что, распространяясь с поддельных файлообменников под видом драйверов и полезных программ, а также в спам-рассылках, Trojan.Mayachok.1 приносит своим создателям неплохую прибыль, требуя у пользователей активировать доступ к тому или иному сайту, указав номер мобильного телефона и пришедший в ответном SMS-сообщении код. Таким образом, жертва оказывается подписанной на псевдоуслугу, за оказание которой с ее счета мобильного оператора будет ежемесячно списываться абонентская плата.
Активны были и банковские троянцы семейства Trojan.Carberp (1,3% случаев). Часто на инфицированных ПК были обнаружены различные троянцы-даунлоадеры, вредоносные программы семейства Trojan.SMSSend (1,5%), Trojan.Hosts (0,5%) и всевозможные модификации IRC-ботов. Нередко в почтовых сообщениях обнаруживается червь Win32.HLLW.Shadow, известный также под именем Kido. Эта программа способна загружать с удаленных серверов, устанавливать и запускать на компьютере жертвы различные приложения. Также в качестве вложений в сообщения e-mail нередко встречаются различные программы-загрузчики и троянец-руткит Trojan.NtRootKit.6725.
В конце месяца зафиксирован всплеск активности злоумышленников, рассылающих спам от имени Сбербанка России. В самом сообщении говорится о том, что получатель "превысил максимальную отсрочку платежа", и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружается троянец-энкодер: при попытке распаковать архив хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными.
Обнаруженная в начале апреля бот-сеть BackDoor.Flashback.39, поразившая более 800 000 Apple-совместимых компьютеров, работающих под управлением Mac OS X, продолжает существовать, хотя общая численность инфицированных машин заметно сократилась.
Май также ознаменовался появлением новых угроз для мобильной платформы Google Android. В начале месяца "Доктор Веб" сообщал о троянцах, представляющих угрозу для мобильных телефонов с root-доступом. Данные вредоносы реализованы по принципу матрешки: модифицированное злоумышленниками приложение содержит другой зашифрованный программный apk-файл. Троянцы устанавливают в систему программу-загрузчик, способную скачивать и запускать на инфицированном устройстве другие приложения.
Помимо этого, в мае было выявлено вредоносное приложение для мобильной платформы Android, добавленное в вирусные базы под именем Android.Proxy.1.origin. Распространяясь под видом системного обновления с взломанных сайтов, троянец запускает на инфицированном устройстве простой прокси-сервер, благодаря которому хакеры могут получить несанкционированный доступ к частным сетям, к которым подключается устройство. Загрузка данного троянца начинается автоматически при посещении модифицированных злоумышленниками сайтов, в структуру которых добавлен скрытый элемент IFrame, однако чтобы мобильное устройство оказалось инфицированным, пользователь должен установить данное приложение.
© @Astera