«Лаборатория Касперского»: обзор вирусной активности за январь 2011 г.

Согласно ежемесячному обзору вирусной активности «Лаборатории Касперского», январь 2011 г. был отмечен ростом количества мошеннических схем, применяемых злоумышленниками. В целом в течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено 213 915 256 сетевых атак, заблокировано 68 956 183 попыток заражения через Веб, обнаружено и обезврежено 187 234 527 вредоносных программ (попытки локального заражения), а также отмечено 70 179 070 срабатываний эвристических вердиктов, говорится в отчете компании.

По данным «Лаборатории Касперского», ключевым элементом большинства схем работы кибермошенников стали SMS-сообщения. Так, на ряде сайтов пользователям предлагалась возможность обновить популярный браузер Internet Explorer, однако процесс «установки» неожиданно завершался необходимостью «активировать» ПО с помощью SMS-сообщения, отправленного на указанный премиум-номер. В обмен на 300 руб., потраченных на SMS, пользователь получал ссылку на официальный ресурс, с которого Internet Explorer 8 распространяется совершенно бесплатно. Такие мошеннические веб-страницы детектируются продуктами «Лаборатории Касперского» как Hoax.HTML.Fraud.e, и по итогам месяца этот вердикт занял 17 место в топ-20 вредоносных программ в интернете.

У мошенников Сети по-прежнему популярен и другой способ наживы — поддельные архивы. В этом месяце новая модификация Hoax.Win32.ArchSMS.mvr попала в топ-20 сразу в обоих рейтингах: и вредоносных программ в интернете (11 место), и зловредов, обнаруженных на компьютерах пользователей (17 место).

Поживиться с помощью SMS пытались и мошенники, решившие воспользоваться популярностью продуктов «Лаборатории Касперского»: на сайте, название которого отличалось от kaspersky.ru всего на одну букву, пользователям предлагалось скачать «новогодний подарок» – бесплатный Kaspersky Internet Security 2011. Вместо KIS2011 на компьютер загружался зловред Trojan-Ransom.MSIL.FakeInstaller.e, установка которого приводила к перезапуску компьютера. После перезагрузки троян почему-то показывал фальшивое окно социальной сети «Одноклассники» с сообщением о том, что пользователь выиграл телефон Samsung Galaxy S, который можно получить всего за 1200 руб. (около €30). Чтобы подтвердить «выигрыш», необходимо было отправить SMS-сообщение на премиум-номер. За отправку SMS со счета снималась определенная сумма, и на этом история с «выигрышем» заканчивалась.

Кроме того, после новогодних праздников «Лабораторией Касперского» был обнаружен троян-дроппер, замаскированный под генератор ключей для продуктов «ЛК». Дроппер устанавливает и запускает на компьютерах любителей «бесплатного сыра» два опасных зловреда. Один из них ворует регистрационные данные от программ и пароли к онлайн-играм, второй — бэкдор, которы, к тому же, обладает функционалом кейлоггера.

Достаточно часто в январе жертвами злоумышленников становились владельцы мобильных телефонов, отметили в «Лаборатории Касперского». Пройдя по полученной в SMS-сообщении ссылке на «виртуальную открытку», пользователь активировал троянскую программу, которая отправляла SMS на номер, используемый оператором связи для перевода денег с одного счета на другой. В результате подобной операции пользователь в среднем терял около 200 руб.

В то же время, в январе 2011 г. атаки через Twitter, ставшие популярными в декабре 2010 г., не потеряли свою актуальность: за ссылками, укороченными при помощи сервиса goo.gl, скрывались фальшивые антивирусы, предлагающие пользователю заплатить за удаление «найденных» вредоносных программ. Действовал фальшивый антивирус по декабрьскому сценарию: открывал на странице окно, напоминающее окно «Мой Компьютер», имитировал сканирование машины и предлагал пользователю заплатить за удаление «найденных» вредоносных программ.

По-прежнему активно распространяются рекламные программы. Занявшая 12 место в рейтинге вредоносных программ в интернете AdWare.Win32.WhiteSmoke.a без согласия пользователя добавляет на рабочий стол ярлык Improve your PC. После того как пользователь щелкает по нему мышкой, открывается страница с предложением «очистить компьютер от ошибок». Если владелец компьютера соглашается на это предложение, на его компьютер устанавливается программа под названием RegistryBooster 2011, которая просканирует компьютер и потребует заплатить за исправление обнаруженных ошибок.

Компонент популярного рекламного софта FunWeb — Hoax.Win32.ScreenSaver.b — впервые попал в топ-20 вредоносных программ, заблокированных на компьютерах пользователей, но занял сразу 4 место. FunWeb — одно из популярных семейств рекламных программ, представители которого на протяжении года регулярно попадают в рейтинги самых популярных зловредов. Такие рекламные программы преобладают в англоговорящих странах: США, Канаде, Великобритании, а также в Индии, сообщили в «Лаборатории Касперского».

В двадцатку самых распространенных угроз, заблокированных на компьютерах пользователей, в январе попал эксплойт Exploit.JS.Agent.bbk (20 место), который использует уязвимость CVE-2010-0806. Несмотря на то что уязвимость была исправлена ещё в конце марта 2010 г. (патч здесь), помимо Agent.bbk ее эксплуатируют еще несколько зловредов из топ-20 (6 и 13 места). Таким образом, брешь в ПО до сих пор не закрыта на множестве компьютеров, и ее эффективно используют злоумышленники, подчеркнули в компании.

По информации «Лаборатории Касперского», загрузка вредоносных файлов с помощью Java-зловредов методом OpenConnection, которая начала использоваться злоумышленниками в октябре прошлого года, в настоящее время является одним из самых популярных способов загрузки. Два новых представителя семейства Trojan-Downloader.Java.OpenConnection попали в январскую топ-20 вредоносных программ в интернете (9 и 20 места).

Кроме того, в январе появился новый почтовый червь — Email-Worm.Win32.Hlux. Распространяется он с помощью сообщений о полученной поздравительной электронной открытке, которое содержит ссылку на страницу с предложением установить Flash Player для корректного отображения открытки. При попытке загрузить Flash Player открывается диалоговое окно, в котором пользователя спрашивают, согласен ли он скачать файл. Независимо от ответа пользователя, червь пытается проникнуть на его компьютер: через пять секунд после открытия диалогового окна происходит редирект на страницу, содержащую набор эксплойтов и программы семейства Trojan-Downloader.Java.OpenConnection, которые начинают загрузку Hlux на компьютер.

Червь, помимо самораспространения по почте, обладает функционалом бота и включает зараженный компьютер в ботнет. Hlux связывается с командным центром ботнета и выполняет его команды — в частности, рассылает фармацевтический спам. Бот общается с командным центром через прокси-серверы fast-flux сети. Если зараженный компьютер обладает внешним IP-адресом, то он может использоваться как звено Fast-Flux сети. Большое количество зараженных машин позволяет злоумышленникам очень часто менять IP-адреса доменов, на которых расположены командные центры ботнета, сообщили в «Лаборатории Касперского».

В целом рейтинг топ-20 вредоносных программ в интернете выглядит следующим образом:

  1. AdWare.Win32.HotBar.dh 169173
  2. Trojan-Downloader.Java.OpenConnection.cf 165576
  3. Exploit.HTML.CVE-2010-1885.aa 140474 New
  4. AdWare.Win32.FunWeb.gq 114022 New
  5. Trojan.HTML.Iframe.dl 112239
  6. Trojan.JS.Redirector.os 83291 New
  7. Trojan-Clicker.JS.Agent.op 82793
  8. Trojan.JS.Popupper.aw 80981
  9. Trojan-Downloader.Java.OpenConnection.cg 66005 New
  10. Trojan.JS.Agent.bhr 53698
  11. Hoax.Win32.ArchSMS.mvr 47251 New
  12. AdWare.Win32.WhiteSmoke.a 44889 New
  13. Trojan.JS.Fraud.ba 44561
  14. Exploit.JS.Agent.bab 42800
  15. Trojan.JS.Redirector.lc 42231
  16. Exploit.Java.CVE-2010-0886.a 41232
  17. Hoax.HTML.Fraud.e 37658 New
  18. Trojan-Clicker.JS.Agent.om 36634 New
  19. Trojan-Downloader.JS.Small.os 35857
  20. Trojan-Downloader.Java.OpenConnection.cx 35629 New

В свою очередь, рейтинг топ-20 вредоносных программ, обнаруженных на компьютерах пользователей, включает:

  1. Net-Worm.Win32.Kido.ir 466686
  2. Virus.Win32.Sality.aa 210635
  3. Net-Worm.Win32.Kido.ih 171640
  4. Hoax.Win32.Screensaver.b 135083 New
  5. AdWare.Win32.HotBar.dh 134649
  6. Trojan.JS.Agent.bhr 131466
  7. Virus.Win32.Sality.bh 128206
  8. Virus.Win32.Virut.ce 114286
  9. HackTool.Win32.Kiser.zv 104673 New
  10. Packed.Win32.Katusha.o 90870
  11. HackTool.Win32.Kiser.il 90499 New
  12. Worm.Win32.FlyStudio.cu 85184
  13. Exploit.JS.Agent.bab 77302
  14. Trojan-Downloader.Win32.Geral.cnh 62426
  15. Trojan-Downloader.Win32.VB.eql 58715
  16. Worm.Win32.Mabezat.b 58579
  17. Hoax.Win32.ArchSMS.mvr 50981 New
  18. Packed.Win32.Klone.bq 50185
  19. Worm.Win32.Autoit.xl 43454
  20. Exploit.JS.Agent.bbk 41193 New
Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s