Июль 2013: трояны-энкодеры продолжают наступление
Компания «Доктор Веб» опубликовала обзор вирусной активности за июль 2013 г. Как и в предыдущих месяцах, в июле были зафиксированы сотни обращений в службу технической поддержки от пользователей, пострадавших в результате действия троянов-энкодеров различных модификаций. Помимо этого, в компанию обращались за помощью жертвы вредоносных программ семейства Trojan.Winlock. Также были выявлены случаи распространения троянских программ для мобильной платформы Android с официального сайта Google Play: по мнению специалистов «Доктор Веб», от этих вредоносных приложений могли пострадать от 10 тыс. до 25 тыс. пользователей мобильных устройств.
Так, согласно данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, в июле 2013 г. на первой строчке статистики оказался Trojan.LoadMoney.1 — загрузчик, устанавливающий на компьютер жертвы различные рекламные приложения, в том числе программы, распространяемые известным коммуникационным порталом.
Второе место по количеству обнаруженных экземпляров занимает троян Trojan.Hosts.6815, модифицирующий на зараженном компьютере системный файл hosts. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу.
На третьем месте по итогам месяца расположилась вредоносная программа Trojan.Mods.2 — этот троян подменяет на компьютере жертвы просматриваемые в браузере веб-страницы. В результате деятельности трояна вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное SMS-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма, рассказали CNews в «Доктор Веб».
В целом двадцатка наиболее распространенных угроз июля, согласно статистике лечащей утилиты Dr.Web CureIt!, включает:
Trojan.LoadMoney.1 22921 (3,05%) Trojan.Hosts.6815 20641 (2,74%) Trojan.Mods.2 16088 (2,14%) Trojan.DownLoader9.19157 8624 (1,15%) BackDoor.IRC.NgrBot.42 7414 (0,99%) Trojan.Mods.1 7197 (0,96%) BackDoor.Andromeda.178 6130 (0,81%) Trojan.Hosts.6838 5828 (0,77%) Trojan.MayachokMEM.7 5741(0,76%) BackDoor.Maxplus.24 5696 (0,76%) Trojan.PWS.Panda.2401 5347 (0,71%) Win32.HLLP.Neshta 5265 (0,70%) BackDoor.Bulknet.963 5227 (0,69%) Win32.HLLW.Autoruner1.45469 5114 (0,68%) Trojan.MulDrop4.25343 4588 (0,61%) Trojan.Packed.24079 4174 (0,55%) Win32.HLLW.Autoruner1.40792 3653 (0,49%) Win32.HLLW.Gavir.ini 3434 (0,46%) Win32.Sector.22 3369 (0,45%) Trojan.AVKill.31324 3307 (0,44%)Начиная с первых чисел июля в службу технической поддержки «Доктор Веб» поступило 550 запросов от пользователей, пострадавших в результате действия троянов-шифровальщиков. Модификации троянов-энкодеров, жертвами которых по данным вирусной лаборатории «Доктор Веб» чаще всего становились пользователи в июле, перечислены на представленной ниже диаграмме.
Наибольшее число пользователей, пострадавших от троянов-шифровальщиков (75%), проживает на территории России, чуть меньше — 15% — на Украине. Велико количество жертв энкодеров, как ни странно, и среди жителей Бразилии; также зафиксированы единичные случаи заражения в Венесуэле, Эстонии, США, странах Евросоюза. В течение июля в службу технической поддержки «Доктор Веб» с аналогичными запросами обратилось по пять жителей Колумбии и Аргентины, а также трое граждан Чили.
За помощью в ликвидации последствий заражения вредоносными программами семейства Trojan.Winlock в течение июля в «Доктор Веб» обратилось несколько сотен пользователей, из них 79,5% составляют россияне, 16% — жители Украины, 1,67% приходится на жителей Казахстана. Также зафиксированы единичные случаи распространения винлоков в Швеции, Колумбии, США, Беларуси и странах Евросоюза.
Численность бот-сети, организованной злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает постепенно сокращаться: так, по данным на 29 июля 2013 г. в первой подсети насчитывается 392 538 инфицированных машин (на 66 654 меньше, чем в июне), а во второй подсети — 532 166 активно действующих ботов (что на 80 969 меньше по сравнению с предыдущим месяцем). Всего за минувшие 30 дней к данным ботнетам присоединилось 374 605 и 288 634 вновь инфицированных компьютеров соответственно.
Общая численность бот-сети, состоящей из инфицированных файловым вирусом Win32.Rmnet.16 компьютеров, в июле сократилась более чем вдвое: если месяц назад данный ботнет насчитывал в среднем 4 674 активных бота, то к концу июля количество инфицированных компьютеров составило 2 059. Одновременно с этим прирост бот-сети практически остановился — среднесуточное число регистраций вновь инфицированных ПК на управляющих серверах не превышает 10.
Также продолжается сокращение числа компьютеров, на которых антивирусное ПО «Доктор Веб» обнаруживает вредоносные модули, детектируемые как Trojan.Rmnet.19. Уже в начале июля количество выявленных экземпляров данных модулей уменьшилось до 7 995, а к концу месяца оно достигло значения 4 955, при этом ежесуточно в сети регистрировалось не более 40 вновь инфицированных компьютеров.
Значительно изменилась и численность ботнета, созданного злоумышленниками с использованием вредоносной программы BackDoor.Bulknet.739. Данное приложение предназначено для массовой рассылки спама. В июле 2013 г. в бот-сети среднесуточно фиксировалась активность примерно 2,5 тыс. зараженных компьютеров, при этом ежедневно к управляющему серверу BackDoor.Bulknet.739 обращалось от 500 до 800 вновь инфицированных ПК.
Общее количество компьютеров, инфицированных трояном BackDoor.Dande, за минувшие 30 дней почти не изменилось: в конце июня их число составляло 1 209, по данным на 28 июля — 1056. Эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний. В частности, злоумышленников интересуют сведения из клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты.
Продолжает функционировать и ботнет BackDoor.Flashback.39, состоящий из Apple-совместимых компьютеров, работающих под управлением ОС Mac OS X. Ежесуточно к управляющим серверам данного ботнета обращается порядка 40 тыс. зараженных «маков».
В прошедшем месяце специалистами «Доктор Веб» было обнаружено большое число новых модификаций известных шпионских программ, таких как Android.MobileSpy и Program.Mobimon, а также новые семейства Program.Topspy и Program.Tracer. Эти и другие аналогичные приложения, доступные в различных конфигурациях, позволяют отслеживать самую разнообразную активность пользователей мобильных устройств и в большинстве случаев имеют версии для работы сразу на нескольких мобильных платформах, включая Android, BlackBerry и Symbian OS.
В то же время, все отчетливее проявляется тенденция к росту предложений по оказанию сугубо киберпреступных услуг, связанных с получением конфиденциальных сведений пользователей мобильных устройств, отметили в компании. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита использует для своей работы исходный код свободно распространяющейся программы для удаленного доступа и управления AndroRat, которая известна с 2012 г. и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Во втором случае автор утилиты применяет самостоятельно разработанную им троянскую программу-шпион, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.
Для системы Android второй летний месяц не прошел бесследно и в плане обнаружения программных уязвимостей, среди которых одной из самых заметных стала так называемая Master Key. Она связана с тем, что система безопасности Android при установке apk-пакетов, сформированных специальным образом, некорректно обрабатывает содержащиеся внутри них дублирующие файлы, позволяя инсталлировать приложения с неподписанными компонентами. Менее чем через месяц после анонса информации об уязвимости Master Key был обнаружен и первый троян, который эксплуатирует эту программную ошибку.
Не остались в стороне и угрозы, размещенные в каталоге Google Play. В конце месяца специалистами «Доктор Веб» было обнаружено несколько вредоносных приложений, которые в процессе работы могли установить на мобильные устройства пользователей троянов семейства Android.SmsSend.
По данным компании, в топ-20 вредоносных файлов, обнаруженных в июле в почтовом трафике, вошли:
Trojan.PWS.Panda.4379 1,02% Trojan.PWS.PandaENT.4379 0,71% Trojan.Packed.196 0,71% Trojan.Inject2.23 0,58% Trojan.Packed.24465 0,48% Trojan.PWS.Panda.547 0,47% BackDoor.Tishop.55 0,40% Win32.HLLM.MyDoom.54464 0,38% Trojan.PWS.Panda.655 0,36% Trojan.Packed.24450 0,35% Win32.HLLM.MyDoom.33808 0,31% Trojan.PWS.Stealer.3128 0,29% Trojan.Proxy.24953 0,28% Trojan.MulDrop4.35808 0,25% BackDoor.Comet.152 0,21% VBS.Rmnet.2 0,20% Trojan.Inor 0,17% SCRIPT.Virus 0,17% Trojan.DownLoader1.64229 0,17% Trojan.VbCrypt.8 0,16%В свою очередь, рейтинг топ-20 вредоносных файлов, обнаруженных в июле на компьютерах пользователей, включил:
SCRIPT.Virus 0,96% Exploit.SWF.254 0,73% Trojan.LoadMoney.1 0,72% Adware.InstallCore.122 0,68% Adware.Downware.915 0,55% Adware.Downware.179 0,52% Tool.Unwanted.JS.SMSFraud.26 0,51% Adware.Downware.1284 0,49% Adware.InstallCore.114 0,47% JS.IFrame.453 0,41% Adware.Toolbar.202 0,37% Adware.InstallCore.115 0,34% Adware.Downware.1132 0,34% Tool.Skymonk.11 0,34% Adware.InstallCore.101 0,34% Tool.Unwanted.JS.SMSFraud.29 0,31% Win32.HLLW.Shadow 0,31% Adware.Webalta.11 0,31% Adware.Downware.1317 0,30% Exploit.BlackHole.183 0,30%
© CNews