Май 2012: трояны-шифровальщики продолжают наступление
Компания «Доктор Веб» опубликовала обзор вирусной активности за май 2012 г. По данным компании, в прошлом месяце не было зафиксировано серьезных вирусных эпидемий. Тем не менее, по-прежнему высоким остается число пострадавших от действий троянов-шифровальщиков, все увереннее осваивающих западный рынок, появляются новые угрозы для мобильной операционной системы Android.
Угрозой месяца стал Trojan.Matsnu.1 — от действий этой троянской программы пострадало большое количество пользователей по всему миру. Троян написан на языке «Ассемблер», распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троян шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована либо была инфицирована трояном-кодировщиком. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Чтобы расшифровать файлы, вирусописатели предлагают воспользоваться одной из наиболее распространенных на территории Европы платежных систем.
Одновременно с демонстрацией данного сообщения троян ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие: «убить систему» (удалить все файлы на жестких дисках); «загрузить с сайта злоумышленников указанную программу и запустить ее»; «загрузить и продемонстрировать другие изображения для диалогового окна»; «сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса»; «расшифровать файлы» (ключ присылается с сайта злоумышленников вместе с командой); «зашифровать файлы еще раз с использованием вновь сгенерированного ключа»; «обновить список управляющих серверов»; «обновить основной модуль трояна».
Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал, подчеркнули в «Доктор Веб». От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки.
По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз занимает троян Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к интернету: он был обнаружен на 3,73% проверенных данной утилитой компьютеров. Распространяясь с поддельных файлообменников под видом драйверов и полезных программ, а также в спам-рассылках, Trojan.Mayachok.1 приносит своим создателям неплохую прибыль, требуя у пользователей «активировать» доступ к тому или иному сайту, указав в соответствующем поле номер мобильного телефона и пришедший в ответном SMS-сообщении код. Таким образом, жертва оказывается подписанной на псевдоуслугу, за оказание которой с ее счета мобильного оператора будет ежемесячно списывается абонентская плата. Вот неполный список интернет-ресурсов, страницы которых может подменить этот троян: youtube.com, vkontakte.ru, vk.com, odnoklassniki.ru, my.mail.ru.
Не отстают от него и банковские трояны семейства Trojan.Carberp (1,3% случаев). По информации «Доктор Веб», достаточно часто на инфицированных ПК удается обнаружить различные трояны-даунлоадеры, вредоносные программы семейства Trojan.SMSSend (порядка 1,5%), Trojan.Hosts (около 0,5%) и всевозможные модификации IRC-ботов.
По сравнению со статистикой за предыдущий месяц число заражений трояном Trojan.Mayachok.1 выросло на 1,36%: в мае количество обнаружений данной вредоносной программы увеличилось на 10,5 тыс. А вот число обнаружений Trojan.Carberp, наоборот, сократилось практически на четверть. При этом несколько возросло количество случаев заражения троянами семейства Trojan.Hosts, подменяющими содержимое файла Windows/System32/Drivers/etc/hosts, который отвечает за трансляцию сетевых адресов сайтов в их DNS-имена.
Одной из весьма популярных модификаций данной вредоносной программы оказался Trojan.Hosts.5858. Распространение зловреда осуществляется с использованием ресурсов бот-сети BackDoor.Andromeda. В случае заражения при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т.д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты.
Численность выявленных угроз других типов за истекший месяц фактически осталась на прежнем уровне, сообщили в «Доктор Веб».
Между тем, среди угроз, обнаруженных в мае в почтовых сообщениях, лидирует вредоносная программа Trojan.SMSSend.2856, представляющая собой вредоносный скрипт, который перенаправляет браузер пользователя на мошеннические сайты. В числе лидеров вредоносных рассылок также замечены Trojan.Mayachok.1 и Trojan.Carberp. Нередко в почтовых сообщениях обнаруживается червь Win32.HLLW.Shadow, известный также под именем Kido — эта программа способна загружать с удаленных серверов, устанавливать и запускать на компьютере жертвы различные приложения. Также в качестве вложений в сообщениях e-mail нередко встречаются различные программы-загрузчики и троян-руткит Trojan.NtRootKit.6725. В целом по сравнению с апрелем 2012 г. объем вредоносных вложений в почтовых сообщениях немного сократился, в то время как качественный их состав практически не претерпел изменений.
В целом рейтинг топ-20 вредоносных программ, обнаруженных в почтовом трафике в мае, выглядит следующим образом:
- BackDoor.Andromeda.22 10,81%
- Trojan.Siggen.65111 3,60%
- BackDoor.Bulknet.546 2,70%
- Trojan.DownLoader6.380 2,70%
- Trojan.Packed.22544 2,70%
- Win32.HLLM.MyDoom.54464 2,70%
- Win32.HLLM.MyDoom.33808 1,80%
- Trojan.DownLoader6.8588 1,80%
- Trojan.PWS.Banker1.2269 1,80%
- Trojan.Winlock.6068 1,80%
- Win32.HLLM.Beagle 1,80%
- Trojan.Inject.12703 0,90%
- Win32.HLLM.Netsky.18401 0,90%
- Adware.Downware.235 0,90%
- Exploit.PDF.2862 0,90%
- JS.IFrame.117 0,90%
- Trojan.Siggen4.1047 0,90%
- X97M.Escape.2 0,90%
- Trojan.DownLoader6.9595 0,90%
- Trojan.SMSSend.2666 0,90%
В свою очередь, рейтинг топ-20 вредоносных файлов, обнаруженных в мае на компьютерах пользователей, включает:
- Trojan.Fraudster.292 0,73%
- Trojan.Mayachok.1 0,68%
- Trojan.Fraudster.256 0.67%
- Tool.Unwanted.JS.SMSFraud.15 0,62%
- Trojan.Carberp.30 0,61%
- Trojan.SMSSend.2856 0,56%
- Win32.HLLW.Shadow 0,55%
- Trojan.SMSSend.2778 0,52%
- Trojan.Fraudster.296 0,51%
- SCRIPT.Virus 0,51%
- Trojan.SMSSend.2872 0,50%
- Win32.HLLW.Shadow.based 0,50%
- Tool.Unwanted.JS.SMSFraud.10 0,49%
- Trojan.Fraudster.252 0,47%
- Trojan.NtRootKit.6725 0,47%
- Trojan.SMSSend.2726 0,44%
- Trojan.Fraudster.261 0,42%
- Tool.InstallToolbar.74 0,41%
- Trojan.MulDrop3.49657 0,40%
- Adware.Downware.179 0,39%
Напомним также, что в конце мая был зафиксирован всплеск активности спамеров, рассылающих письма от имени «Сбербанка России». В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружается троян-энкодер: при попытке распаковать скачанный архив хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными.
В свою очередь, обнаруженная в начале апреля специалистами «Доктор Веб» бот-сеть BackDoor.Flashback.39, поразившая более 800 тыс. Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X, продолжает свое существование, хотя общая численность инфицированных машин заметно сократилась и продолжает уменьшаться с течением времени. На начало мая число ботов в сети снизилось до 529 355. По данным на 24 мая, в сети действовало 331 992 зараженных «мака», при этом среднесуточное количество присоединяющихся к сети новых ботов составляет 110 машин. В течение месяца это число также плавно сокращалось.
В апреле «Доктор Веб» также сообщила о перехвате крупного ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12: уже тогда его численность составляла более миллиона инфицированных компьютеров, расположенных преимущественно в странах ближнего востока и Азии. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он обладает функционалом бэкдора, позволяет выполнять поступающие от удаленного управляющего центра команды, а также «умеет» красть пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.
На 29 мая 2012 г. общая численность ботнета Win32.Rmnet.12 составляла уже 2 641 855 инфицированных машин, то есть только за последний месяц она превысила значение в два с половиной миллиона, увеличившись вдвое, подсчитали в «Доктор Веб». Между тем, география распространения вируса не претерпела существенных изменений: лидерами среди наиболее подвергшихся инфекции регионов по-прежнему остаются Индонезия, Бангладеш, Вьетнам, Индия и Египет, велико количество инфицированных ПК и в России. Объем ботнета продолжает расти весьма быстрыми темпами.
Примерно схожая ситуация наблюдается в отношении другой бот-сети — Win32.Rmnet.16. В начале мая, по состоянию на 11 число, численность ботнета составляла 55 310 инфицированных узлов, наибольшая доля которых была расположена на территории Великобритании. За прошедшие с этого момента 18 дней число зараженных машин достигло 84 491. Появление новых инфицированных машин в сети Win32.Rmnet.16 происходит неравномерно, но общее их количество, тем не менее, постепенно увеличивается, отметили в «Доктор Веб».
Последний месяц весны также ознаменовался появлением новых угроз для мобильной платформы Google Android. В частности, в начале мая были обнаружены трояны, представляющие угрозу для мобильных телефонов с root-доступом. Данные вредоносные программы реализованы по «принципу матрешки»: модифицированное злоумышленниками приложение содержит другой зашифрованный программный apk-файл. Трояны устанавливают в систему программу-загрузчик, способную скачивать и запускать на инфицированном устройстве другие приложения.
Помимо этого, в мае было выявлено вредоносное приложение для мобильной платформы Android, добавленное в вирусные базы под именем Android.Proxy.1.origin. Распространяясь под видом системного обновления со взломанных злоумышленниками сайтов, троян запускает на инфицированном устройстве простой прокси-сервер, благодаря которому хакеры могут получить несанкционированный доступ к частным сетям, к которым подключается устройство. Загрузка данного трояна начинается автоматически, при посещении модифицированных злоумышленниками веб-сайтов, в структуру которых добавлен скрытый элемент IFRAME. Однако для того чтобы мобильное устройство оказалось инфицированным, пользователь должен установить данное приложение, пояснили в компании.
Среди запросов от пользователей, поступивших в течение мая в службу технической поддержки «Доктор Веб», по-прежнему велико количество обращений, связанных с действием программ-блокировщиков — 21,2% от общего количества. По данным компании, число незначительно сократилось по сравнению с апрелем, также немного снизилось количество запросов о расшифровке файлов, пострадавших в результате заражения ПК вредоносными программами семейства Trojan.Encoder — таковых насчитывается 0,71%. По поводу прочих вирусных угроз за истекший месяц в компанию обратилось 5,3% пользователей, запросы технического характера составили 44% от общего количества обращений в техподдержку.
© CNews