• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Dr.Web - бібліотека безкоштовних утиліт

    1. вірусна обстановка
    2. ботнети
    3. загроза місяці
    4. Рекламний троянець для Mac OS X
    5. Android-загрози

    2 квітня 2013 року

    За спостереженнями аналітиків компанії «Доктор Веб», одна з найвиразніших тенденцій березня - тимчасове зниження і новий виток зростання темпів масового поширення серед користувачів Інтернету шкідливих програм сімейства Trojan.Hosts . Пік цієї епідемії припав на початок 2013 року. Також березень був відзначений зростанням числа заражень троянцями-енкодер в Європі і появою рекламних троянців для операційної системи Mac OS X. Загальний розмір ботнету Win32.Rmnet.12 з початку року збільшився на 2 млн інфікованих комп'ютерів, досягнувши в березні рекордної позначки в 8,5 млн заражених машин.

    вірусна обстановка

    За даними, отриманим з використанням лечащей утиліти Dr.Web CureIt !, в березні 2013 року найбільш поширеною загрозою стали шкідливі програми сімейства Trojan.Hosts . Протягом місяця було зафіксовано 186 496 випадків зміни даними троянцями системного файлу hosts, відповідального за трансляцію мережевих адрес в їх DNS-імена, що становить понад 10% від загального числа виявлених загроз.

    Причини цього явища вже детально розглядалися в опублікованому компанією «Доктор Веб» новинному матеріалі . Одним з найбільш популярних способів поширення цих троянців є злом веб-сайтів з метою розміщення спеціального командного інтерпретатора, за допомогою якого зловмисники модифікували файл .htaccess і поміщали на сайт спеціальний шкідливий скрипт-обробник. При зверненні до такого інтернет-ресурсу скрипт-обробник видає користувачеві веб-сторінку, яка містить посилання на різні шкідливі програми. Альтернативний спосіб поширення загроз сімейства Trojan.Hosts - використання бекдор і троянців-завантажувачів. При цьому найбільш популярною модифікацією цієї шкідливої ​​програми згідно зі статистикою є Trojan.Hosts.6815 .

    У початку 2013 року поширення загроз сімейства Trojan.Hosts прийняло масштаби епідемії: щодня антивірусне ПЗ Dr.Web фіксувало понад 9 500 випадків зараження. Пік поширення троянців Trojan.Hosts припав на січень і середину лютого, на початку березня ця хвиля потроху пішла на спад, а в другій половині місяця кількість випадків інфікування знову почала зростати. Динаміка цього процесу показана на представленої нижче діаграмі.

    Серед інших найбільш поширених загроз, виявлених на комп'ютерах користувачів в березні 2013 року, слід зазначити мережного хробака Win32.HLLW.Phorpiex.54 . Ця шкідлива програма, поширюючись з використанням розсилок по каналах електронної пошти, а також шляхом самокопірованія на знімні носії, здатна надавати зловмисникам несанкціонований доступ до інфікованого комп'ютера.

    На четвертому місці в статистиці заражень розташувався один з платних архівів, детектіруемих антивірусним ПЗ Dr.Web як Trojan.SMSSend.2363 , За ним слідують троянці BackDoor.IRC.NgrBot.42 і Win32.HLLP.Neshta . Березнева двадцятка найбільш поширених шкідливих програм за даними, отриманими від користувачів лечащей утиліти Dr.Web CureIt !, представлена ​​в наступній таблиці:

    ботнети

    В кінці 2012 року аналітики компанії «Доктор Веб» висловлювали припущення, що розмір ботнету, що складається з інфікованих файловим вірусом Win32.Rmnet.12 робочих станцій, буде рости. За даними на грудень 2012 року, загальна кількість заражених комп'ютерів становило 6,5 млн, а на 27 березня 2013 року їхня чисельність склала 8 593 330, збільшившись за перші три місяці 2013 року на 2 млн. Таким чином, середньодобовий приріст ботнету Win32.Rmnet.12 в січні склав близько 15-25 тис. інфікованих комп'ютерів, а в лютому і березні - 20-22 тис. Динаміку даного процесу можна простежити на представленому нижче графіку.

    файловий вірус Win32.Rmnet.12 може реалізовувати функції бекдор, виконуючи надходять від віддаленого сервера команди. Також він здатний красти паролі від популярних FTP-клієнтів, які можуть бути використані для організації мережевих атак або зараження сайтів. Шкідливий функціонал вірусу дозволяє вбудовувати в Популярні веб-сторінки сторонній контент (веб-Інжект), перенаправляти користувача на зазначені зловмисниками сайти, а також передавати на віддалені вузли вміст заповнюваних жертвою форм. Як і інші файлові віруси, Win32.Rmnet.12 має здатність до самореплікаціі і може заражати файлові об'єкти.

    Триває поступове зростання бот-мережі Win32.Rmnet.16 - ще однієї модифікації файлового вірусу сімейства Win32.Rmnet . У грудні чисельність цього ботнету становила 259 458 інфікованих машин, а в кінці березня їх число досягло 262 083, збільшившись за три місяці всього на 2 625 вузлів. Середньодобовий приріст ботнету склав 20-30 заражень. Простежити динаміку зростання ботнету можна за допомогою представленого нижче графіка.

    Простежити динаміку зростання ботнету можна за допомогою представленого нижче графіка

    На жаль, незважаючи на численні публікації і попередження з боку компанії «Доктор Веб», фармацевтичні компанії, як і раніше схильні до зараження небезпечним троянцем BackDoor.Dande , Які крадуть інформацію з програм електронного замовлення медикаментів, таких як спеціалізована конфігурація «Аналіт: Фармація 7.7» для платформи 1С, «Система електронного замовлення» СЕЗ-2 виробництва компанії «Аптека-Холдинг», програма формування заявок компанії «Російська Фармація», система електронного замовлення фармацевтичної групи «Роста», програма «Катрен WinPrice» і деякі інші. Оскільки дане шкідливий додаток здатне працювати тільки на комп'ютерах, де встановлена ​​одна з названих програм, можна сміливо говорити про те, що ботнет BackDoor.Dande складається здебільшого з робочих станцій, що належать фармацевтичним компаніям і аптекам. За даними на кінець 2012 року, в цій бот-мережі значився 3 031 інфікований комп'ютер; на 27 березня 2013 Росії таких комп'ютерів налічується вже 3 066, і ще близько 800 інфікованих вузлів знаходяться за межами Російської Федерації. В середньому щодоби до ботнету BackDoor.Dande приєднується 1-2 заражених вузла.

    У січні 2013 року компанія «Доктор Веб» повідомила про поширення (переважно на території США) троянця BackDoor.Finder , Що підміняє пошукові запити користувачів браузерів Microsoft Internet Explorer, Mozilla Firefox, Maxthon, Google Chrome, Safari, Opera, Netscape або Avant. На сьогоднішній день до контрольованих фахівцями «Доктор Веб» керуючим серверів підключилося 5 422 бота, при цьому динаміка зростання ботнету BackDoor.Finder виглядає наступним чином:

    загроза місяці

    Протягом березня було відзначено широке поширення троянців-шифрувальників, серед яких слід особливо відзначити Trojan.ArchiveLock.20 - шкідливу програму, упаковують призначені для користувача файли в захищений паролем архів WinRAR. Якщо до недавнього часу цей троянець був знайомий тільки нашим співвітчизникам, то в березні були зафіксовані численні випадки зараження комп'ютерів користувачів європейських країн, в тому числі Іспанії та Франції. Тільки в період з 23 по 26 березня в службу технічної підтримки компанії «Доктор Веб» звернулося 150 італійських користувачів, які постраждали від цієї шкідливої ​​програми, і їх кількість продовжує зростати.

    Для поширення троянця зловмисники намагаються отримати доступ до атакується машині по протоколу RDP методом підбору пароля. Запустити на інфікованому комп'ютері, Trojan.ArchiveLock.20 видаляє вміст «Кошика» і зберігаються на комп'ютері резервні копії даних, після чого поміщає призначені для користувача файли за заздалегідь складеним списком в захищені паролем архіви з використанням консольного застосування WinRAR. Вихідні файли при цьому знищуються за допомогою спеціальної утиліти, внаслідок чого їх відновлення стає неможливим.

    Вихідні файли при цьому знищуються за допомогою спеціальної утиліти, внаслідок чого їх відновлення стає неможливим

    Подробиці про цю шкідливу програму можна дізнатися в опублікованій на сайті компанії «Доктор Веб» оглядовій статті .

    У деяких випадках фахівці компанії «Доктор Веб» можуть відновити файли, заархівовані троянцем Trojan.ArchiveLock.20 : Для цього слід створити заявку в категорії « Запит на лікування ».

    Рекламний троянець для Mac OS X

    Троянськими програмами, призначеними для демонстрації реклами на комп'ютерах користувачів Windows, вже давно нікого не здивувати, однак останнім часом подібні програми стали з'являтися і для інших платформ, зокрема, Mac OS X. Одним з таких троянців є Trojan.Yontoo.1 .

    Поширюючись під виглядом кодеків для перегляду відео, а також інших програм, таких як медіаплеєри, програми для поліпшення якості перегляду відео, «прискорювачі» завантаження файлів з Інтернету і т. Д., Trojan.Yontoo.1 встановлює на інфікований «мак» плагіни для браузерів Safari, Google Chrome і Mozilla Firefox.

    1 встановлює на інфікований «мак» плагіни для браузерів Safari, Google Chrome і Mozilla Firefox

    Цей плагін отримує від зловмисників спеціальний файл, що дозволяє вбудовувати в Популярні користувачем веб-сторінки різні рекламні модулі від сторонніх партнерських програм, а також передає на віддалений сервер дані про те, які веб-сторінки відкриває користувач в своєму браузері. Дізнатися більше про принципи роботи цієї шкідливої ​​програми можна, ознайомившись з опублікованою на сайті «Доктор Веб» аналітичною статтею .

    Android-загрози

    Для ОС Android в області вірусних подій березні виявився вельми насиченим періодом. Так, на початку місяця в вірусну базу Dr.Web було внесено запис для досить примітивного троянця, який отримав ім'я Android.Biggboss . Ця шкідлива програма поширювалася на різних сайтах-збірниках ПО в модифікованих зловмисниками додатках і призначалася для користувачів з Індії. Будучи встановленим на мобільний Android-пристрій, Android.Biggboss завантажувався в якості системного сервісу при запуску ОС і демонстрував діалогове вікно, в якому говорилося про отримання важливого повідомлення з якогось відділу кадрів. У разі згоди користувача переглянути це «повідомлення» троянець відкривав в веб-браузері спеціальний URL, за яким здійснювалося завантаження зображення, що містить підроблене звернення від відділу кадрів компанії TATA India Limited, не має ніякого відношення до цієї корпорації TATA. Поряд з привабливим описом потенційної посади, звернення містило заклик перевести певну грошову суму на банківський рахунок шахраїв з метою гарантувати кандидату отримання вакантного місця.

    Також в березні набули поширення нові представники троянських програм-шпигунів, спрямованих проти японських користувачів і призначених для крадіжки конфіденційної інформації з телефонної книги їх мобільних Android-пристроїв. У вірусну базу Dr.Web вони були внесені під іменами Android.EmailSpy.2.origin , Android.EmailSpy.3.origin і Android.EmailSpy.4.origin . Як і раніше, троянці поширювалися під виглядом найрізноманітніших додатків, наприклад відеоплеєра, емулятора ігр та фотоапарата-рентгена.

    Після запуску ці шкідливі програми імітують ініціалізацію налаштувань або початок процесу роботи, потім демонструють повідомлення, яке говорить про помилку або неможливості виконати запитану дію. Одночасно з цим троянці виконують збір інформації з телефонної книги користувача і непомітно для нього відправляють отримані дані на віддалений сервер.

    Примітно, що деякі модифікації цих нових шкідливих програм отримали можливість розсилати по виявленим в телефонній книзі номерами СМС-повідомлення, що містять посилання на завантаження відповідних версій троянців, що, в свою чергу, збільшує швидкість їх поширення і число постраждалих користувачів.

    Крім того, в березні було виявлено кілька нових модифікацій шкідливих програм сімейства Android.SmsSend , А також чергові представники комерційних шпигунських програм, зокрема, Android.Recon.3.origin і Program.Childtrack.1.origin .

    origin

    Шкідливі файли, виявлені в поштовому трафіку в березні

    Шкідливі файли, виявлені в березні на комп'ютерах користувачів


    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua