«Доктор Веб»: поддельные торрент-трекеры и другие вирусные уловки апреля 2010 года
Как рассказывает российский разработчик средств информационной безопасности компания «Доктор Веб», в апреле 2010 года злоумышленники сосредоточили своё внимание на новых схемах SMS-мошенничества. В зону их интересов теперь попали торрент-трекеры и файлообменники, которые они попытались заменить поддельными сайтами. Также в апреле были обнаружены образцы нового вредоносного ПО для смартфонов. В почтовом трафике по-прежнему лидируют лжеантивирусы.
Специалисты компании «Доктор Веб» выявили сеть поддельных торрент-трекеров и файлообменников, размещенных в различных странах мира, но предназначенных в основном для русскоязычных пользователей. Пользуясь популярностью подобных ресурсов и беспечностью многих интернет-пользователей, осуществляющих поиск необходимой информации посредством поисковых систем, злоумышленники намеренно размещают на данных сайтах ссылки на любые музыкальные композиции, фильмы, книги и пр. При этом поддельные торрент-трекеры и файлообменники занимают первые места в ответах поисковых систем на запросы пользователей. По всей видимости, для этого злоумышленники проводят поисковую оптимизацию и другие предварительные работы.
Когда пользователь попадает на поддельный сайт и проходит по ссылке на якобы архив с нужной информацией, на самом деле скачивается исполняемый файл размером 16 Мб, который определяется антивирусными продуктами Dr.Web как Tool.SMSSend.2. При запуске данного файла пользователю предлагается отправить несколько платных SMS-сообщений для получения якобы пароля доступа к загруженному архиву. На самом деле в таких вредоносных файлах не содержится ничего полезного. В настоящее время сервер статистики «Доктор Веб» фиксирует около 6 000 детектов Tool.SMSSend.2 в сутки.
Кроме приведенных выше способов получения доходов злоумышленники активно осуществляли психологические атаки на пользователей торрент-трекеров. В апреле было зафиксировано широкое распространение вредоносной программы Trojan.Fakealert.14886 (по классификации «Доктор Веб»), которая при заражении системы выводит сообщение о том, что на компьютере пользователя обнаружены нелегальные торрент-файлы, что, в свою очередь, преследуется законом.
Распространяется Trojan.Fakealert.14886 под видом инсталлятора программного обеспечения. В случае если пользователь перезагрузил компьютер, не удалив данную программу штатными средствами, она, подобно троянцам семейства Trojan.Winlock, блокирует доступ в систему. Наибольшее распространение этой вредоносной программы было зафиксировано в Европе.
Также в апреле было зафиксировано распространение новой модификации Trojan.Winlock, которая сообщает пользователю о том, что он нарушает авторское право, и предлагает для дальнейшего скачивания воспользоваться «резервными зарубежными каналами связи» в обмен на платное SMS-сообщение.
Лжеантивирусы продолжили своё массированное распространение по англоязычным странам. Появляются новые вариации уже известных ранее интерфейсов, а также свежие образцы дизайна лжеантивирусов. Схемы распространения троянцев семейства Trojan.Fakealert не изменились, в то время как количество их детектов в сутки сервером статистики Dr.Web снизилось и составило в апреле около 750 000 против около 1 000 000 в марте.
Темпы распространения блокировщиков Windows на территории России (Trojan.Winlock по классификации «Доктор Веб») в апреле также продолжали снижаться и составили около 720 детектов в сутки (против около 1 300 в сутки в марте). Однако количество новых разновидностей Trojan.Winlock в этом месяце по-прежнему росло. Пользователи продолжают ежедневно обращаться по данной проблеме в техподдержку компании "Доктор Веб".
В апреле было зафиксировано распространение вредоносной программы WinCE.Dialer.1, которая, будучи установлена на КПК, работающем под управлением ОС Windows Mobile, начинала самостоятельно звонить на платные телефонные номера, расположенные в различных странах. При этом, естественно, обнулялся счет владельца телефона. Активная фаза деятельности троянца начинается через двое суток после успешного заражения системы. WinCE.Dialer.1 распространяется под видом игры для КПК.
Процент вредоносных объектов во всём проверенном антивирусными продуктами Dr.Web почтовом трафике в апреле 2010 года вырос на 28 %. Процент вредоносных файлов среди всех проверенных файлов на компьютерах пользователей вырос в 2,12 раза. Это может говорить о том, что злоумышленники меньше внимания уделяли в апреле распространению вредоносных программ посредством канала электронной почты и больше использовали другие каналы - заражённые сайты, эксплойты PDF, Flash (SWF), браузеров и прочие.
Ранее редакция THG сообщала, что компания «Доктор Веб» выпустила антивирусные продукты Dr.Web версии 6.0 для защиты рабочих станций и файловых серверов Windows. Новая версия, номер которой присваивается Антивирусу Dr.Web для Windows и Dr.Web Security Space (для 32- и 64-битных платформ), а также Dr.Web для файловых серверов Windows (для 64-битных платформ) включает в себя ряд ключевых изменений по сравнению с 5.0. Вместе с тем продуктовая линейка расширяется за счет появления продуктов, в состав которых входит брандмауэр: Антивирус Dr.Web Pro и Dr.Web Security Space Pro.