Июнь 2012: угрозой месяца стал банковский троян размером всего 20 КБ
Компания «Доктор Веб» представила обзор вирусной активности за июнь 2012 г. Согласно отчету компании, первый месяц лета выдался достаточно спокойным с точки зрения информационной безопасности — не было зафиксировано ни аномальных всплесков вирусной активности, ни эпидемий. Однако в июне злоумышленники провели несколько массовых почтовых рассылок, посредством которых распространялось вредоносное программное обеспечение, появились и новые трояны для мобильной платформы Android. В целом количество выявленных угроз несколько снизилось, что, по данным «Доктор Веб», вполне характерно для летнего периода — времени отпусков и каникул.
Согласно статистическим данным, собранным лечащей утилитой Dr.Web CureIt!, в июне самой популярной вредоносной программой на компьютерах пользователей, как и месяц назад, оказался троян Trojan.Mayachok.1. При этом количество его обнаружений заметно выросло: с 3,73% (45 327 случаев) в мае до 5,82% (56 767 случаев) в июне. Возросло и число обнаруженных троянов-загрузчиков различных модификаций. Количество выявленных на инфицированных компьютерах вредоносных программ семейства Trojan.SMSSend осталось примерно на прежнем уровне, а распространение банковских троянов Trojan.Carberp различных версий, наоборот, снизилось на несколько процентов. Распределение наиболее распространенных угроз, обнаруженных с использованием утилиты Dr.Web CureIt!, продемонстрировано на представленном ниже графике.
Типы угроз, выявленные на компьютерах пользователей в июне 2012 г.
Что касается угроз, распространяющихся по каналам электронной почты, то здесь безусловным лидером является вредоносная программа BackDoor.Andromeda.22, с использованием которой на инфицированные компьютеры загружается большое количество других опасных приложений. Данное семейство бэкдоров способно обмениваться зашифрованными данными с удаленным сайтом злоумышленников и по команде с сервера скачивать на зараженный ПК различные файлы, говорится в отчете «Доктор Веб».
Второе и третье место уверенно занимают трояны-загрузчики, а на четвертом расположилась программа Trojan.Inject1.4969. Также в почтовой корреспонденции нередко встречаются программы-черви семейства Win32.HLLM.MyDoom и трояны-блокировщики различных модификаций.
В целом июньский рейтинг топ-20 вредоносных файлов, на компьютерах пользователей, выглядит, по версии «Доктор Веб», следующим образом:
- Trojan.Fraudster.256 0,50%
- SCRIPT.Virus 0,44%
- Trojan.Fraudster.292 0,42%
- Adware.Downware.179 0,38%
- Tool.Unwanted.JS.SMSFraud.15 0,36%
- Trojan.Fraudster.296 0.35%
- Trojan.SMSSend.2925 0,35%
- JS.IFrame.233 0,34%
- Win32.HLLW.Shadow 0,34%
- Trojan.Fraudster.261 0,33%
- Trojan.Mayachok.1 0,33%
- Trojan.SMSSend.2905 0,33%
- Trojan.SMSSend.2884 0,33%
- Tool.Unwanted.JS.SMSFraud.10 0,32%
- Win32.HLLW.Autoruner.59834 0,32%
- Trojan.SMSSend.2726 0,28%
- Trojan.Fraudster.308 0,26%
- Win32.HLLW.Shadow.based 0,26%
- Adware.Downware.316 0,25%
- Tool.InstallToolbar.55 0,24%
В свою очередь, топ-20 вредоносных файлов, обнаруженных в почтовом трафике в июне, включает:
- BackDoor.Andromeda.22 2,14%
- Win32.HLLW.Siggen.2984 2,06%
- Trojan.DownLoader6.19810 1,53%
- Trojan.Inject1.4969 1,23%
- Trojan.DownLoader6.20943 1,18%
- Trojan.DownLoader6.18049 1,09%
- Win32.HLLM.MyDoom.33808 1,01%
- Win32.HLLM.MyDoom.54464 0,88%
- Trojan.Winlock.5600 0,83%
- Trojan.AVKill.19024 0,74%
- Trojan.AVKill.18763 0,66%
- Win32.HLLM.Beagle 0,61%
- Trojan.AVKill.18755 0,53%
- Win32.HLLM.Netsky.35328 0,48%
- Trojan.DownLoader6.18373 0,48%
- SCRIPT.Virus 0,44%
- Trojan.AVKill.18749 0,44%
- Trojan.MulDrop3.55845 0,39%
- Win32.HLLM.Netsky.based 0,39%
- Trojan.PWS.Panda.786 0,35%
Примечательно, что обнаруженная специалистами «Доктор Веб» в начале апреля крупнейшая в истории бот-сеть BackDoor.Flashback.39, поразившая огромное количество Apple-совместимых компьютеров, исправно функционирует и по сей день, хотя ее численность постепенно сокращается. По уточненным данным, на начало месяца в сети активно действовал 364 741 инфицированный «мак», а к концу июня их число снизилось до 191 756, то есть на 47,4%. Среднесуточный прирост ботнета также крайне мал: в среднем каждые 24 часа в сети BackDoor.Flashback.39 регистрируется не более 25 вновь инфицированных компьютеров. Проверить свой компьютер на наличие инфекции можно, воспользовавшись ресурсами сайта drweb.com/flashback, специально созданного «Доктор Веб» для борьбы с данной угрозой.
А вот в случае с распространением опасного файлового вируса Win32.Rmnet.12 дела обстоят несколько иначе: за месяц образованный им ботнет по своей численности превысил трехмиллионную отметку и достиг значения 3 292 190 инфицированных компьютеров, что на 17,5% больше по сравнению с майскими показателями. География распространения вируса в целом не изменилась, наибольшее количество заражений по-прежнему приходится на долю Индонезии, Бангладеш, Вьетнама и Индии, в то время как ареал распространения угрозы постепенно расширяется, захватывая все новые регионы, отметили в «Доктор Веб». В среднем каждые сутки в подсетях Win32.Rmnet.12 регистрируется порядка 9-15 тыс. новых ботов.
В то же время, бот-сеть Win32.Rmnet.16 также продолжает увеличиваться в размерах, правда, не такими стремительными темпами. Если в конце мая данная модификация вируса, получившая распространение в основном на территории Великобритании и Австралии, заразила 84 491 компьютер, то ровно через месяц число инфицированных ПК составило 104 874.
В июне «Доктор Веб» сообщил об очередном способе мошенничества, все активнее применяемом киберпреступниками. В качестве цели для осуществления своих махинаций сетевые жулики выбрали пользователей интернета, находящихся в активном поиске работы.
Зарегистрировавшись на одном из предлагающих вакансии порталов в качестве соискателя, пользователь обычно заполняет специальную форму, в которой указывает свое полное имя, контактные данные, образование, опыт работы, а также иные сведения, которые могут быть интересны потенциальному нанимателю. Просматривать такие резюме имеют возможность представители компаний, зарегистрированные на сайте в качестве работодателя. Преследуя свои корыстные цели, злоумышленники создают на подобных ресурсах учетную запись несуществующей компании либо одной из реально действующих известных компаний. Затем ищут опубликованные на сайте резюме и отправляют соискателям по электронной почте сообщение, в котором им предлагается занять некую вымышленную вакансию, например, «инженер по подбору оборудования». Для этого потенциальной жертве следует пройти «онлайн-собеседование» на определенном сайте, ответив на несколько несложных вопросов. Сайт создается злоумышленниками специально для этой цели и выглядит, как правило, достаточно солидно.
«Онлайн-собеседование», как правило, состоит из нескольких десятков несложных вопросов, при этом у соискателя не спрашивают ни имени, ни контактных данных, ни информации об опыте работы или квалификации. Зато после прохождения теста жертве предлагается отправить SMS-сообщение «с личным кодом результата» на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. Таким образом, пользователь соглашается с условиями «псевдоподписки» — услуги по предоставлению доступа к информации, за оказание которой с его счета мобильного оператора будет регулярно списываться сумма в размере 250-300 руб.
В традиционной номинации «угроза месяца» в июне победил самый маленький из известных на сегодняшний день банковских троянов, который специалисты по информационной безопасности называют Tinba (Tiny Banker). Этот написанный на языке ассемблера троян действительно поражает своими скромными размерами, составляющими всего 20 КБ. В вирусных базах Dr.Web данная угроза числится под наименованием Trojan.Hottrend, причем записи о первых образцах данного семейства были добавлены в вирусные базы Dr.Web еще в конце апреля 2012 г.
Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам. Также в июне специалистами «Доктор Веб» было обнаружено еще несколько разновидностей небольших по размеру банковских троянов — например, Trojan.PWS.Banker.64540, занимающий на диске порядка 80 КБ.
Динамика выявления новых угроз для мобильной платформы Android в целом не демонстрирует каких-либо аномалий. В течение месяца было добавлено в базы более 35 новых модификаций семейства Android.SmsSend, а также несколько других вредоносных программ, от которых могут пострадать пользователи мобильных устройств. Кроме того, во второй половине июня был обнаружен троян Android.SpyEye.2.origin, способный красть SMS на инфицированном мобильном телефоне.
В конце месяца в вирусные базы Dr.Web был также добавлен троян Android.SmsBot.1">Android.SmsBot.1.origin, распространяемый посредством спам-рассылок. Его уникальность заключается в том, что для получения команд от принадлежащего злоумышленникам удаленного сервера бот использует Twitter. С использованием достаточно сложного алгоритма троян формирует имя требуемого аккаунта, обращаясь к которому, он получает имена управляющих серверов.
Установив соединение с командным центром, Android.SmsBot.1 может передать злоумышленникам сведения об инфицированном устройстве, получить различные команды и отчитаться о результатах их выполнения. Одна из основных функций трояна — отправка SMS-сообщений без ведома пользователя. Данная программа может представлять определенную опасность для пользователей мобильных устройств, хотя некоторые анонимные пользователи (возможно, имеющие отношение к ее созданию) утверждают, что данное приложение предназначено для автоматизации телефонных голосований, отметили в «Доктор Веб».
© CNews