Обзор вирусной активности в октябре: лютые троянцы-шифровальщики, вредоносный спам в Skype и многое другое
1 ноября 2012 года
Вирусная обстановка
Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует
Угроза | % |
---|---|
2,34 | |
2,18 | |
1,64 | |
1,47 | |
1,29 | |
1,18 | |
0,96 | |
0,93 | |
0,82 | |
0,71 |
Распределение обнаруженных в течение месяца угроз по классам показано на следующей диаграмме:
Ботнеты
Специалисты компании «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, широко известный ботнет
Как и предполагалось ранее, в начале октября бот-сеть
Как уже упоминалось ранее, файловый вирус
Численность ботнета
Вредоносный спам
В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу
Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик
Наконец, в последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.
Угрозы для Android
С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства
Также в базы была добавлена запись для троянца
Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства
Угроза месяца: Trojan.GBPBoot.1
Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование
С точки зрения реализуемых данной вредоносной программой функций,
В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.
В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия
В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи. Более подробно узнать о внутреннем устройстве троянца
Другие угрозы октября
В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы
Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети
Вредоносные файлы, обнаруженные в почтовом трафике в октябре
01.10.2012 00:00 - 31.10.2012 23:00 | ||
1 | Trojan.Necurs.97 | 1.40% |
2 | Trojan.Oficla.zip | 1.20% |
3 | JS.Redirector.145 | 1.13% |
4 | Trojan.PWS.Stealer.946 | 0.84% |
5 | JS.Redirector.150 | 0.80% |
6 | Win32.HLLM.MyDoom.54464 | 0.58% |
7 | Exploit.CVE2010-3333.6 | 0.53% |
8 | BackDoor.Andromeda.22 | 0.53% |
9 | Trojan.PWS.Panda.786 | 0.47% |
10 | Trojan.DownLoader6.56603 | 0.47% |
11 | Win32.HLLM.MyDoom.33808 | 0.42% |
12 | Trojan.Siggen4.25819 | 0.42% |
13 | BackDoor.Kuluoz.3 | 0.38% |
14 | Trojan.Packed.18626 | 0.36% |
15 | Trojan.DownLoader7.6770 | 0.31% |
16 | Win32.HLLM.Beagle | 0.31% |
17 | Win32.HLLM.Netsky.35328 | 0.29% |
18 | Trojan.PWS.UFR.2334 | 0.29% |
19 | Trojan.Winlock.6566 | 0.27% |
20 | SCRIPT.Virus | 0.24% |
Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей
01.10.2012 00:00 - 31.10.2012 23:00 | ||
1 | Adware.Downware.533 | 0.82% |
2 | SCRIPT.Virus | 0.51% |
3 | Tool.Unwanted.JS.SMSFraud.10 | 0.38% |
4 | Adware.Downware.179 | 0.34% |
5 | Tool.Skymonk.6 | 0.31% |
6 | Trojan.Fraudster.329 | 0.31% |
7 | Trojan.Fraudster.296 | 0.30% |
8 | Adware.Downware.426 | 0.29% |
9 | Win32.HLLW.Autoruner.59834 | 0.27% |
10 | Win32.HLLW.Shadow | 0.27% |
11 | Tool.Unwanted.JS.SMSFraud.15 | 0.26% |
12 | Trojan.Fraudster.320 | 0.26% |
13 | Trojan.Fraudster.344 | 0.25% |
14 | Trojan.Fraudster.347 | 0.25% |
15 | Adware.InstallCore.53 | 0.25% |
16 | Trojan.Siggen4.23472 | 0.24% |
17 | JS.IFrame.317 | 0.23% |
18 | Exploit.CVE2012-1723.13 | 0.23% |
19 | Trojan.SMSSend.2363 | 0.23% |
20 | Adware.Downware.316 | 0.23% |