Обзор вирусной активности за октябрь 2012: атака троянов-шифровальщиков и вредоносный спам в Skype
Читайте также:
Компания «Доктор Веб» опубликовала обзор вирусной активности за октябрь. В первой половине месяца был замечен резкий всплеск активности троянов-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троян Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype, рассказали CNews в компании.
Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы трояна BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троян Trojan.Mayachok.17994. А вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз в «Доктор Веб» отметили многочисленные модификации троянов семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 г.), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201.
В целом десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, выглядит следующим образом:
- Trojan.MayachokMEM.4 2,34%
- BackDoor.IRC.NgrBot.42 2,18%
- Exploit.CVE2012-1723.13 1,64%
- Trojan.Mayachok.17994 1,47%
- Trojan.Mayachok.1 1,29%
- Java.Downloader.697 1,18%
- Trojan.SMSSend.2363 0,96%
- Win32.HLLP.Neshta 0,93%
- Trojan.Mayachok.17986 0,82%
- Win32.Sector.22 0,71%
Специалисты «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, размер известной бот-сети Backdoor.Flashback.39, которую составляют инфицированные компьютеры под управлением Mac OS X, в течение месяца сократился незначительно: по данным на 30 октября популяция этого трояна составляет более 105 730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109 372.
В свою очередь, бот-сеть Win32.Rmnet.12 в начале октября преодолела по числу зараженных ПК 5-миллионную отметку, а к концу месяца достигла размера в 5,5 млн инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132 445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета, сообщили в «Доктор Веб». При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).
Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться. Общая численность сети на 30 октября 2012 г. составила 254 838 инфицированных ПК, что на 16 373 компьютера больше по сравнению с показателями на начало месяца.
В октябре 2012 г. был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.
Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь, этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: троян-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.
Наконец, в последних числах октября кибермошенники организовали массовую SMS-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.
С точки зрения угроз для мобильной платформы Android октябрь 2012 г. прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Эти трояны представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих SMS-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.
Также в базы была добавлена запись для трояна Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские SMS-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троян не является серьезной угрозой для пользователей Android, т.к. на момент удаления из каталога его успели установить не более 50 человек, отметили в «Доктор Веб».
Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.
Одной из наиболее интересных вредоносных программ, обнаруженных в октябре, в антивирусной лаборатории «Доктор Веб» называют троян Trojan.GBPBoot.1. С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 довольно примитивен: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа, прежде всего, тем, что имеет возможность противодействовать попыткам ее удаления, а именно — способность восстанавливать себя в защищаемой системе. В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы.
В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. Кроме того, в октябре активно распространялся (с использованием ресурсов пиринговой сети) троян-загрузчик Trojan.PWS.Panda.2395.
В целом в октябрьский рейтинг топ-20 вредоносных программ, обнаруженных в почтовом трафике, вошли:
- Trojan.Necurs.97 1,40%
- Trojan.Oficla.zip 1,20%
- JS.Redirector.145 1,13%
- Trojan.PWS.Stealer.946 0,84%
- JS.Redirector.150 0,80%
- Win32.HLLM.MyDoom.54464 0,58%
- Exploit.CVE2010-3333.6 0,53%
- BackDoor.Andromeda.22 0,53%
- Trojan.PWS.Panda.786 0,47%
- Trojan.DownLoader6.56603 0,47%
- Win32.HLLM.MyDoom.33808 0,42%
- Trojan.Siggen4.25819 0,42%
- BackDoor.Kuluoz.3 0,38%
- Trojan.Packed.18626 0,36%
- Trojan.DownLoader7.6770 0,31%
- Win32.HLLM.Beagle 0,31%
- Win32.HLLM.Netsky.35328 0,29%
- Trojan.PWS.UFR.2334 0,29%
- Trojan.Winlock.6566 0,27%
- SCRIPT.Virus 0,24%
В свою очередь, рейтинг топ-20 вредоносных файлов, обнаруженных в октябре на компьютерах пользователей, включает:
- Adware.Downware.533 0,82%
- SCRIPT.Virus 0,51%
- Tool.Unwanted.JS.SMSFraud.10 0,38%
- Adware.Downware.179 0,34%
- Tool.Skymonk.6 0,31%
- Trojan.Fraudster.329 0,31%
- Trojan.Fraudster.296 0,30%
- Adware.Downware.426 0,29%
- Win32.HLLW.Autoruner.59834 0,27%
- Win32.HLLW.Shadow 0,27%
- Tool.Unwanted.JS.SMSFraud.15 0,26%
- Trojan.Fraudster.320 0,26%
- Trojan.Fraudster.344 0,25%
- Trojan.Fraudster.347 0,25%
- Adware.InstallCore.53 0,25%
- Trojan.Siggen4.23472 0,24%
- JS.IFrame.317 0,23%
- Exploit.CVE2012-1723.13 0,23%
- Trojan.SMSSend.2363 0,23%
- Adware.Downware.316 0,23%
Источник: http://safe.cnews.ru/news/line/index.shtml?2012/11/09/509257
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-04-22 » Комментирование кода и генерация документации в PHP
- 2024-04-22 » SEO в России и на Западе: в чем основные отличия
- 2024-04-22 » SEO для международного масштабирования
- 2024-04-22 » Как использовать XML-карты для продвижения сайта
- 2024-04-22 » Цифровой маркетинг: инструменты для продвижения и рекламы в 2024 году
- 2024-04-22 » Что такое CSS-модули и зачем они нам?
- 2024-04-17 » 23 сервиса для эффективного экспресс-аудита любого сайта
- 2024-04-08 » Яндекс переходит на новую версию Wordstat
- 2024-04-08 » Яндекс интегрировал в свой облачный сервис эмпатичную нейросеть
- 2024-04-08 » Новая версия нейросети Claude превзошла по мощности аналоги Google и OpenAI
- 2024-04-08 » Как пользоваться GPT 4 и Claude бесплатно и без VPN
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
Если ты рождён без крыльев, не мешай им расти. (Коко Шанель / ЖИТЕЙСКАЯ МУДРОСТЬ ) |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.