Обзор вирусной активности в августе 2013 года

В августе специалисты компании «Доктор Веб» проанализировали много новых угроз. В начале месяца был обнаружен троянец, устанавливающий на инфицированные компьютеры ПО от известного коммуникационного портала, а также вредоносная программа, взламывающая сайты, работающие под управлением популярных CMS. Во второй половине августа был обнаружен троянец-шпион, представляющий серьезную опасность для пользователей ОС Linux.

Согласно статистическим сведениям, собранным на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, лидером среди всех выявленных угроз по-прежнему является Trojan.Loadmoney.1. Кроме того, в начале августа специалистами «Доктор Веб» был обнаружен троянец Trojan.LMclicker.1, предназначенный для накрутки показателей в партнерской программе Loadmoney.

Второе место по распространенности занимает троянец Trojan.Hosts.6815, модифицирующий на инфицированном компьютере файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. На третьем месте располагается IRC-бот BackDoor.IRC.Cirilico.119, за ним с небольшим отрывом следует Trojan.BtcMine.142 — вредоносная программа, использующая ресурсы инфицированного компьютера для добычи электронной валюты Bitcoin.

Численность ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает немного расти. Рост ботнета, состоящего из машин, инфицированных файловым вирусом Win32.Rmnet.16, также продолжается прежними темпами: в среднем ежесуточно к данной бот-сети присоединяется порядка 1500 вновь инфицированных ПК.

Статистика распространения вредоносного модуля, детектируемого антивирусным ПО Dr.Web как Trojan.Rmnet.19, также демонстрирует незначительный прирост: всего в течение августа было зафиксировано 685 новых случаев заражения, а общая численность бот-сети осталась примерно на прежнем уровне и составляет на 28 августа 5014 инфицированных компьютеров. Постепенно увеличиваются и количественные показатели спам-ботнета BackDoor.Bulknet.739. Среднесуточное количество активно действующих ботов в данной сети практически не изменилось по сравнению с предыдущим месяцем и составило около двух с половиной тысяч, а среднее число регистрирующихся в сети вновь инфицированных ПК составило 500–600 рабочих станций в сутки. 

Общая численность ботнета, созданного с использованием троянской программыBackDoor.Dande (эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний), за месяц практически не претерпела изменений: в конце августа в нем насчитывалось 1279 инфицированных компьютеров.

Практически не изменилось и количество Apple-совместимых компьютеров, инфицированных троянцем BackDoor.Flashback.39: в конце августа общее число зараженных «маков» составило 38 822. Больше всего инфицированных машин зафиксировано на территории США (20 020), на втором месте располагается Канада (7102), на третьем — Великобритания (5200). Далее следуют Австралия с показателем 3571 компьютер, 313 пользователей зараженных «макинтошей» проживают во Франции, 236 — в Мексике, 218 — в Испании, 148 — в Италии, 146 — в Германии, 129 — в Бразилии. На территории России зафиксирован только один случай зараженияBackDoor.Flashback.39. 

Еще год назад, до возникновения эпидемии троянца BackDoor.Flashback.39, пользователи были уверены в полной безопасности операционной системы Mac OS X, в настоящее время бытует мнение о том, что в природе не существует угроз для платформы Linux. Тем не менее, в августе специалисты компании «Доктор Веб» провели исследование очередного троянца для данной операционной системы, получившего название Linux.Hanthie.

Linux.Hanthie (также известен под названием Hand of Thief) позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит). Гибкая настройка бота осуществляется через файл конфигурации.

После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В троянце предусмотрены средства противодействия анализу и запуску в изолированных и виртуальных окружениях. Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии. Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE.

Основной вредоносный функционал Linux.Hanthie заключается в перехвате и отправке злоумышленникам содержимого заполняемых пользователем форм. Троянец позволяет встраивать граббер в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. Кроме того, троянец реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется.

Все большую популярность у киберпреступников приобретают различные мошеннические схемы торговли «виртуальным товаром», например «лайками» социальных сетей. Некоторые пользователи готовы платить реальные деньги за эти виртуальные «знаки внимания». Кроме того, «лайки» помогают фирмам продвигать товары или услуги на рынке: число «лайков», которыми отмечен тот или иной товар, повышают его популярность в глазах потенциальных покупателей. Злоумышленники торгуют фальшивыми учетными записями подписчиков Twitter и Instagram, используя для их создания необычную версию вредоносного ПО Trojan.PWS.Panda. Антивирусное ПО Dr.Web детектирует данную угрозу как Trojan.PWS.Panda.106.

Также в августе было зафиксировано распространение новой версии троянца семейства BackDoor.Maxplus, выполняющей функции кейлоггера и подключающей зараженный компьютер к созданной злоумышленниками пиринговой сети. Чтобы избежать детектирования антивирусным ПО, троянец использует нетривиальные способы маскировки. Запустившись на инфицированном устройстве, он копирует себя сразу в две директории, расположенные с нарушением алфавитного порядка. При этом названия исполняемых файлов BackDoor.Maxplus записаны в реестре справа налево, как в текстах, написанных на семитских языках (арабском, иврите). Сигнатура данной вредоносной программы добавлена в вирусные базы компании Dr.Web.

Также в августе специалистами «Доктор Веб» был обнаружен троянец Trojan.WPCracker.1, предназначенный для взлома веб-сайтов, работающих под управлением популярных CMS, разработана утилита дешифровки файлов, пострадавших от Trojan.Encoder.252, и описана чрезвычайно популярная в Рунете схема мошенничества.

Последний летний месяц оказался относительно спокойным в плане появления угроз для мобильных устройств. Так, в августе вирусные базы Dr.Web пополнились очередными записями для нескольких СМС-троянцев семейства Android.SmsSend, которые служат для отправки премиум-сообщений на короткие номера и подписки абонентов на различные платные услуги. Кроме того, в течение месяца было зафиксировано большое число разнообразных коммерческих шпионских приложений, включая версии, которые предназначены для работы на iOS-устройствах, подвергавшихся процедуре jailbreak. Данные приложения опасны тем, что, будучи установленными злоумышленниками, способны скрытно от пользователя осуществлять мониторинг его активности, например, перехватывать СМС-сообщения, получать информацию о совершаемых звонках, отслеживать GPS-координаты и пересылать на удаленный сервер все собранные данные.

Версия для печатиВерсия для печати

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!