Январь 2013: атака буткитов Trojan.Mayachok, новые угрозы для Windows и Android
Читайте также:
Компания «Доктор Веб» опубликовала обзор вирусной активности в январе 2013 г. По данным компании, основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok, а также появление новых угроз как для операционной системы Windows, так и для мобильной платформы Android.
В январе 2013 г. в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 г., стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. «Иными словами, этот троян заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows», — рассказали CNews в компании.
Основное функциональное назначение этой вредоносной программы — блокировка доступа в интернет и демонстрация в окне браузера предложения «скачать обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном SMS код. Таким образом, пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.
Среди обнаруженных утилитой Dr.Web CureIt! угроз велико количество детектов трояна Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 тыс. случаев), также в январе на компьютерах пользователей часто выявлялся троян Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend, велико и число заражений троянской программой BackDoor.IRC.NgrBot.42. Сводные данные о 20 наиболее распространенных угрозах, обнаруженных в январе 2013 г. на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, представлены в опубликованном ниже списке:
- Trojan.MayachokMEM.4 4,85%
- Trojan.Mayachok.2 2,39%
- Trojan.SMSSend.2363 2,26%
- Trojan.Mayachok.18550 1,50%
- BackDoor.IRC.NgrBot.42 0,94%
- Trojan.BhoSiggen.6713 0,87%
- Trojan.StartPage.48148 0,85%
- Trojan.DownLoader7.16737 0,75%
- Win32.HLLP.Neshta 0,71%
- Trojan.Hosts.5268 0,66%
- Win32.HLLW.Phorpiex.54 0,64%
- Trojan.Mayachok.18024 0,60%
- Trojan.Mayachok.18397 0,59%
- Win32.Sector.22 0,54%
- Trojan.Mayachok.17994 0,53%
- Trojan.Mayachok.1 0,47%
- Win32.HLLW.Gavir.ini 0,46%
- Trojan.Click2.47013 0,46%
- BackDoor.Butirat.245 0,45%
- Trojan.Mayachok.18566 0,45%
В январе 2013 г. специалистами «Доктор Веб» было зафиксировано появление новой модификации вредоносной программы BlackEnergy, получившей наименование BackDoor.BlackEnergy.36. О ликвидации бот-сети BlackEnergy —ботнета, предназначенного для рассылки спама — стало известно летом 2012 г. В период своей максимальной активности бот-сеть BlackEnergy рассылала более 18 млрд писем в день, однако благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.
Однако уже в январе 2013 г. злоумышленники предприняли попытку создания новой бот-сети с использованием вредоносной программы BackDoor.BlackEnergy.36. Основных отличий этой модификации трояна от его предыдущих редакций два: конфигурационный файл трояна хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций трояна и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.
С использованием бот-сети уже была предпринята попытка DDoS-атаки на один из популярных в Рунете развлекательных ресурсов. Троян был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda.
В свою очередь, наметившаяся в 2012 г. тенденция к увеличению числа вредоносных и потенциально опасных Android-приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом нового 2013 года, отметили в «Доктор Веб». Так, в начале января был обнаружен очередной Android-троян, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств.
Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе трояна. Примечательно, что злоумышленники попытались разнообразить «каталог», предлагая к загрузке сразу несколько различных «приложений», однако во всех случаях это была одна и та же вредоносная программа.
В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме: после запуска он уведомлял пользователя о выполнении предварительной настройки, однако через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троян скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер. Полученные сведения в дальнейшем могут быть использованы злоумышленниками для организации новых спам-кампаний или для продажи на черном рынке.
Также в январе специалистами «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin,Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1,Program.Spector.2, Program.Spector.3.
В начале января 2013 г. специалистами компании «Доктор Веб» была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троян встраивается в процессы наиболее популярных браузеров (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant), после чего перехватывает обращения пользователей к сайтам различных поисковых систем (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com) и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки.
Также в январе, по данным компании, был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.Butirat — BackDoor.Butirat.245. Данный троян способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов.
Согласно данным «Доктор Веб», в январе наиболее распространенными вредоносными файлами, обнаруженными в почтовом трафике, стали:
- JS.Redirector.162 1,11%
- Trojan.PWS.Stealer.1932 0,73%
- Win32.HLLM.MyDoom.54464 0,64%
- Trojan.Oficla.zip 0,58%
- BackDoor.Andromeda.22 0,54%
- Trojan.PWS.Panda.547 0,47%
- Trojan.PWS.Panda.655 0,47%
- Win32.HLLM.MyDoom.33808 0,45%
- Trojan.Winlock.7048 0,45%
- Trojan.Packed.23728 0,41%
- Win32.HLLM.Beagle 0,36%
- Trojan.Inject.64560 0,36%
- Win32.HLLM.Netsky.35328 0,26%
- VBS.Rmnet.2 0,26%
- Trojan.PWS.Stealer.715 0,26%
- Win32.HLLM.Graz 0,26%
- Trojan.PWS.Panda.2401 0,26%
- BackDoor.Bebloh.21 0,24%
- Trojan.PWS.Panda.786 0,24%
- Win32.HLLM.Netsky.18401 0,24%
Наиболее часто обнаруживаемыми вредоносными файлами на компьютерах пользователей в январе были:
- JS.IFrame.363 0,75%
- Tool.Unwanted.JS.SMSFraud.26 0,73%
- SCRIPT.Virus 0,56%
- Adware.Downware.774 0,47%
- Tool.Unwanted.JS.SMSFraud.10 0,42%
- Adware.Downware.179 0,41%
- JS.IFrame.387 0,40%
- Tool.Unwanted.JS.SMSFraud.30 0,38%
- Adware.InstallCore.53 0,34%
- Trojan.Fraudster.394 0,34%
- Adware.Webalta.11 0,33%
- Tool.Skymonk.11 0,32%
- Trojan.SMSSend.2363 0,30%
- JS.Redirector.175 0,29%
- Trojan.Hosts.6613 0,28%
- Win32.HLLW.Shadow 0,28%
- Win32.HLLW.Autoruner.59834 0,27%
- Adware.Downware.804 0,26%
- Trojan.Fraudster.245 0,25%
- JS.IFrame.356 0,25%
Источник: http://safe.cnews.ru/news/line/index.shtml?2013/02/08/518554
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-11-26 » Капитан грузового судна, или Как начать использовать Docker в своих проектах
- 2024-11-26 » Обеспечение безопасности ваших веб-приложений с помощью PHP OOP и PDO
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
Все мы сидим в сточной канаве, но некоторые при этом смотрят на звезды Уайльд Оскар - (1854-1900) - английский писатель |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.