В последний летний месяц 2012 года, как и ожидалось, произошла заметная активизация вирусописателей и сетевых мошенников. В середине августа была зафиксирована, пожалуй, крупнейшая за минувшее полугодие волна взломов веб-сайтов в Рунете с целью распространения вредоносного ПО для мобильных устройств. В распространении опасных троянцев, таких как Trojan.Mayachok.1, были уличены и создатели платных архивов. Число новых угроз, обнаруженных специалистами компании «Доктор Веб», по сравнению с июлем 2012 года несколько возросло.
По данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt! в августе 2012 года, наиболее распространенной вредоносной программой на компьютерах пользователей по-прежнему является Trojan.Mayachok.1, однако количество обнаруженных экземпляров троянца по сравнению с предыдущим месяцем выросло на 6,5%. Этот рост можно, в частности, связать с тем, что Trojan.Mayachok.1 начали активно распространять создатели платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend. В статистических сводках Trojan.Mayachok.1 уверенно и с большим отрывом занимает лидирующую позицию, в то время как на втором месте разместился троянец-бэкдор BackDoor.Butirat.91 — эта программа способна выполнять поступающие с удаленного сервера команды, а также загружать и запускать на инфицированном ПК различные файлы. Для сравнения: число обнаружений этой угрозы на 87,1% меньше по отношению к количеству выявленных экземпляров Trojan.Mayachok.1. В то же время общее количество компьютеров, инфицированных BackDoor.Butirat.91, за истекший месяц выросло на 41,8%.
Число обнаруженных на инфицированных компьютерах экземпляров вредоносных программ семейства Trojan.SMSSend осталось практически на прежнем уровне, однако следует обратить внимание на тот факт, что если ранее данную категорию троянцев можно было назвать относительно «безобидной», то с недавнего времени они стали представлять значительную опасность для пользователей. Напомним, что к семейству Trojan.SMSSend относятся архивы, максимально правдоподобно имитирующие программу установки различных популярных приложений. При открытии такого архива пользователю предлагается либо отправить на короткий номер платное СМС-сообщение, либо указать собственный мобильный телефон и ввести в специальное поле код, полученный в ответном СМС, подписавшись таким образом на какую-нибудь ненужную услугу с абонентской платой. Внутри архива, как правило, оказывается какой-либо бесполезный «мусор», иными словами, жертва не получает того, за что заплатила деньги.
Однако количество доверчивых пользователей Интернета, по всей видимости, стало понемногу снижаться, и прибыль от «бизнеса на платных архивах» пошла на убыль.
Среди угроз, выявленных в течение месяца в почтовом трафике, лидирует бэкдор BackDoor.Andromeda.22. Вторую и третью позицию занимают троянцы Trojan.Oficla.zip и Trojan.Necurs.21, не менее активно распространяются по электронной почте черви Win32.HLLM.MyDoom.54464, Win32.HLLM.MyDoom.33808 и Win32.HLLM.Netsky.35328.
Несмотря на то, что с момента обнаружения крупнейшей в истории бот-сети Backdoor.Flashback.39, состоящей из инфицированных «маков», прошло уже более четырех месяцев, говорить об исчезновении этого ботнета пока еще преждевременно. На текущий момент объем бот-сети составляет 126781 зараженная машина, что на 21711 единиц меньше, чем в конце прошлого месяца. В целом темпы сокращения численности ботнета Backdoor.Flashback.39 заметно снизились (в прошлом месяце вредоносная сеть уменьшилась на 76524 машины).
В 20-х числах августа компания FireEye, а вслед за ней и другие разработчики антивирусного ПО сообщили об обнаружении критической уязвимости Java Runtime Environment версий 1.7x, названной CVE-2012-4681. Первые заметки о данной уязвимости были опубликованы 26 августа, а уже на следующий день уязвимость CVE-2012-4681 успела попасть в активно распространяемый среди злоумышленников пакет эксплойтов BlackHole Exploit Кit. Разработчик JRE, компания Oracle, выпустила соответствующее обновление безопасности 30 августа, следовательно, пользователи Java оставались беззащитны перед злоумышленниками как минимум в течение четырех суток.
В настоящее время с использованием уязвимостей Java распространяется троянская программа Trojan.Rodricter.21, обладающая богатыми функциональными возможностями, включающими подмену пользовательских запросов, «накрутку» посещаемости различных сайтов и т. д. Была выявлена и альтернативная цепочка редиректов, в финале которой на компьютер жертвы загружается вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.DownLoader6.29607.
Август оказался весьма урожайным месяцем с точки зрения угроз, ориентированных на мобильную платформу Google Android. В течение месяца было зафиксировано рекордное количество случаев взлома веб-сайтов с целью распространения вредоносных программ для мобильных платформ. Всего, по подсчетам специалистов «Доктор Веб», атакам подверглись более 2000 русскоязычных интернет-ресурсов, среди которых было отмечено множество популярных и посещаемых сайтов. Злоумышленники изменяли настройки сайтов таким образом, что при открытии веб-страницы на мобильном устройстве пользователь автоматически перенаправлялся на один из вредоносных ресурсов, с которых распространяются троянские программы семейства Android.SmsSend.
В августе получил распространение весьма любопытный троянец Android.SmsSend.186.origin, также ориентированный на мобильную платформу Android. В отличие от большинства других вредоносных программ семейства Android.SmsSend, данный троянец проникает на мобильное устройство с использованием специального дроппера. Еще одной отличительной чертой Android.SmsSend.186.origin является то обстоятельство, что этот троянец обладает способностью сопротивляться попыткам его удаления.
Среди других угроз для Android, добавленных в базы Dr.Web в августе, следует отметить Android.Luckycat.1.origin — троянца, предназначенного для хищения пользовательской информации (такой как IMEI устройства, номер телефона, хранящиеся на устройстве файлы) и ее передачи на принадлежащий злоумышленникам сервер. Помимо этого Android.Luckycat.1.origin «умеет» обрабатывать поступающие от злоумышленников команды. Также была выявлена целая группа вредоносных программ для мобильных платформ, относящаяся к знаменитому семейству Zeus/SpyEye — троянцев, предназначенных для кражи паролей. Версия для ОС Android была добавлена в базы под именем Android.Panda.2.origin, версии для BlackBerry — BlackBerry.Panda.1, BlackBerry.Panda.2 и BlackBerry.Panda.3.
Кроме того, в августе было зафиксировано появление нового троянца-загрузчика для ОС Android, получившего имя Android.DownLoader.5.origin. Наконец, следует отметить, что в августе было выявлено большое количество коммерческих шпионских программ: в течение месяца в вирусные базы Dr.Web было добавлено множество подобных приложений, среди них — FinSpy для Android, Symbian OS и iOS.
Наиболее интересной троянской программой из всех, обнаруженных в августе 2012 года, можно назвать новую модификацию широко распространенного и довольно опасного троянца Trojan.Mayachok, получившую название Trojan.Mayachok.17516. Эта вредоносная программа представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.
В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.
Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.
По материалам официального пресс-релиза.
|
