«Доктор Веб»: октябрь стал месяцем лже-антивирусов
Компания «Доктор Веб» представила обзор вирусной активности за октябрь 2009 г., а также опубликовал две вирусные двадцатки. В целом октябрь показал, что основными каналами передачи вредоносных программ на компьютеры пользователей остаются электронная почта и вредоносные сайты, которые создаются злоумышленниками ежедневно и в огромном количестве.
Первая двадцатка включает вредоносные файлы, обнаруженные в октябре в почтовом трафике:
- Trojan.DownLoad.47256 10750198 (21,85%)
- Trojan.Fakealert.5115 7452584 (15,15%)
- Trojan.Fakealert.5238 5346181 (10,87%)
- Trojan.Packed.2915 2474234 (5,03%)
- Win32.HLLM.Netsky.35328 2248095 (4,57%)
- Trojan.DownLoad.37236 2078358 (4,22%)
- Trojan.Fakealert.5229 1961846 (3,99%)
- Trojan.Fakealert.5356 1821482 (3,70%)
- Trojan.DownLoad.50246 1724409 (3,51%)
- Trojan.Fakealert.5437 1570923 (3,19%)
- Trojan.Packed.683 1347946 (2,74%)
- Trojan.Fakealert.5825 1164324 (2,37%)
- Win32.HLLM.MyDoom.33808 1137315 (2,31%)
- Win32.HLLM.Beagle 1109455 (2,26%)
- Trojan.DownLoad.5637 895101 (1,82%)
- Trojan.Fakealert.5457 868063 (1,76%)
- Trojan.Fakealert.5784 650010 (1,32%)
- Win32.HLLM.Netsky.based 593596 (1,21%)
- Trojan.Fakealert.5311 593453 (1,21%)
- W97M.Godzilla 499719 (1,02%)
Соответственно, вторая вирусная двадцатка содержит вредоносные файлы, обнаруженные в октябре на компьютерах пользователей:
- Trojan.DownLoad.47256 6767108 (17,74%)
- Trojan.Fakealert.5238 5646226 (14,80%)
- Trojan.Fakealert.5115 5035344 (13,20%)
- Trojan.Fakealert.5229 2455376 (6,44%)
- VBS.Sifil 1169118 (3,07%)
- Win32.HLLM.Netsky.35328 709710 (1,86%)
- Win32.HLLW.Shadow.based 680072 (1,78%)
- Win32.HLLM.Beagle 673072 (1,76%)
- JS.Nimda 657868 (1,72%)
- BackDoor.IRC.Sdbot.5190 608800 (1,60%)
- Trojan.DownLoad.5637 590821 (1,55%)
- Win32.HLLW.Gavir.ini 579411 (1,52%)
- Trojan.MulDrop.16727 562342 (1,47%)
- Win32.HLLM.Netsky.based 550754 (1,44%)
- Win32.Alman.1 542423 (1,42%)
- Win32.HLLM.MyDoom.49 416950 (1,09%)
- Win32.Sector.17 370738 (0,97%)
- Win32.Virut.14 345415 (0,91%)
- W97M.Thus 339490 (0,89%)
- Trojan.Recycle 328507 (0,86%)
Как видно из первой таблицы, около половины составляют различные модификации Trojan.Fakealert. Это указывает на то, что лжеантивирусы стали основным источником дохода вирусописателей, считают в «Доктор Веб». В течение первых двух недель октября количество детектов лжеантивирусов, согласно серверу статистики «Доктор Веб», держалось на уровне более 2,5 млн в сутки. К настоящему времени количество детектов упало до 1 млн в сутки.
Основная доля лже-антивирусов в октябре распространялась в виде файла с названием install.exe, упакованного в ZIP-архив. Данный архив предлагался в качестве обновления используемой почтовой системы (при этом сообщение было написано от имени администратора почтового сервера, который используется) или же обновления конкретно почтового клиента Microsoft Outlook.
Также файлы этого типа распространялись в письмах, в которых говорилось о том, что пользователь нарушает авторские права, загружая из интернета объекты авторского права, и в приложенном архиве находится распечатка подозрительной активности пользователя за последние 6 месяцев. Кроме того, файл install.zip, содержащий очередную модификацию Trojan.Fakealert, позиционировался киберпреступниками как утилита для лечения локальной сети от сетевого червя Conficker (Win32.HLLW.Shadow.based по классификации Dr.Web).
Наравне с лже-антивирусами одной из наиболее серьёзных угроз для пользовательских данных в прошедшем месяце стали вредоносные программы, которые воруют параметры учётных записей для доступа к различным интернет-ресурсам, в том числе к электронным денежным счетам, социальным сетям и пр.
Наиболее заметным представителем этого класса вредоносных программ долгое время остаётся Trojan.PWS.Panda.122. Эта троянская программа «специализируется» на похищении паролей от различных сервисов, список которых злоумышленники передают с вредоносных сайтов. Список этот со временем может меняться. В качестве средства распространения трояна используются не только спам-письма со ссылками на вредоносные сайты, откуда производится загрузка программ, но и рассылки Trojan.PWS.Panda.122 под видом обновлений для почтового клиента Microsoft Outlook (в первой половине октября).
Так, в октябре компанией «Доктор Веб» была зафиксирована рассылка писем от имени Службы внутренних доходов (Internal Revenue Service, IRS). При этом в ряде случаев для хостинга вредоносных сайтов был использован сервис Yahoo! Geocities. В письмах адресатам предлагалось ознакомиться с текущим балансом выплат по налогам на сайте IRS, откуда пользователь под видом этой информации уже самостоятельно загружал вредоносную программу.
Наконец, с последней недели октября началась рассылка Trojan.PWS.Panda.122 от имени Федеральной корпорации по страхованию депозитов (Federal Deposit Insurance Corporation, FDIC). Пользователям сообщалось о том, что банк, в котором у пользователя находится вклад, был признан банкротом, и на сайте FDIC необходимо получить информацию о размере компенсации, на которую может рассчитывать вкладчик. Конечно же, пользователь вместо этого снова загружал к себе на компьютер очередную модификацию похитителя паролей.
Кроме Trojan.PWS.Panda.122, распространялись в октябре и другие похитители паролей. Например, в системах мгновенного обмена сообщений была заметна рассылка линков на вредоносные сайты, с которых неосторожные пользователи загружали одну из модификаций Trojan.PWS.LDPinch под видом популярного видеоролика.
На протяжении нескольких последних месяцев постоянно совершается рассылка различных модификаций двух типов вредоносных программ – Trojan.Botnetlog.11 и Trojan.BhoSpy.97 – под видом сообщений от компаний, осуществляющих курьерские услуги. В частности, от имени DHL и UPS. В письмах сообщается о том, что посылка не может быть доставлена по причине того, что пользователь сообщил несуществующий адрес.
В последние дни октября были также замечены рассылки Trojan.Botnetlog.11 от имени администрации социальной сети Facebook. В письмах сообщалось о том, что для повышения уровня информационной безопасности администрация Facebook ввела новую систему доступа пользователей к своим ресурсам. Для того чтобы ей воспользоваться, пользователь должен обновить свой аккаунт, пройдя по приведенной ссылке. На самом деле ссылка вела на подставной сайт, где под видом утилиты для обновления аккаунта распространялась вредоносная программа.
По данным «Доктор Веб», Trojan.Botnetlog.11 имеет возможность эксплуатировать известные уязвимости системы, в которой запускается. После установки и запуска в системе троян пытается связаться с сервером злоумышленника для получения команд и загрузки дополнительных компонентов вредоносной программы. Исполняемый код Trojan.Botnetlog.11 зашифрован с помощью специально разработанного алгоритма.
Trojan.BhoSpy.97 устанавливается в систему в качестве плагина браузера Microsoft Internet Explorer. Помимо возможности загружать файлы, составляющие основной функционал данной вредоносной программы, этот троян способен по команде удалять определённые системные файлы, делая систему неработоспособной.
© CNews