Узнать подробнее
Узнать подробнее

Обзор вирусной обстановки за март 2009 года от компании «Доктор Веб»

Обзор вирусной обстановки за март 2009 года от компании «Доктор Веб»

 

Обзор вирусной обстановки за март 2009 года от компании «Доктор Веб»

Компания «Доктор Веб» представляет обзор вирусной активности в марте 2009 года. В прошедшем месяце было отмечено большое количество новых случаев мошенничества с использованием вредоносных программ. Бот-сети продолжили своё качественное развитие, их авторы стали применять более агрессивные методы их распространения и эксплуатации, а количество заражённых компьютеров-ботов продолжает стремительно увеличиваться. В тематике спама преобладает реклама самих массовых рассылок писем.

Бот-сети

В марте 2009 года наибольшее внимание привлекли бот-сети Tdss и Shadow. Они начали использовать новые методы для увеличения эффективности своей деятельности, а также продолжили применять уже хорошо зарекомендовавшие себя способы распространения - через съёмные диски, через общие сетевые ресурсы, с использованием известных уязвимостей. Это, к сожалению, говорит о том, что далеко не все пользователи следуют рекомендациям антивирусных компаний по соблюдению элементарных правил информационной безопасности.

С другой стороны, компания «Доктор Веб» не последнюю роль в своих новостях и при организации обучения специалистов предприятий уделяет информированию о новых информационных угрозах. Также регулярно сообщается об элементарных методах противодействия им. Владельцы бот-сетей тоже знают, что наличие возможного заражения компьютера с целью вовлечения в бот-сеть можно легко определить по наличию некоторых незакрытых уязвимостей в системе. И знают, что многие администраторы сетей по всему миру используют этот метод в своей работе. Следствием этого явилась новая функциональность последней модификации Win32.HLLW.Shadow.based, в функционал которой входит закрытие использованных ранее для заражения компьютеров уязвимостей. Таким образом, по наличию уязвимостей факт заражения определить сложнее, а компьютеры-боты также, как и ранее, продолжают получать инструкции от злоумышленников.

Последняя модификация Win32.HLLW.Shadow.based также использует генератор адресов, который создаёт, руководствуясь определённым алгоритмом, 50 000 адресов серверов в сутки, из них отбирает 500 адресов, с которых осуществляются попытки получить инструкции и загружаются обновлённые вредоносные модули. Этот новый алгоритм работы существенно усложняет работу по противодействию работе данной бот-сети, т.к. невозможно вычислить все адреса серверов, участвующих в работе бот-сети и прекратить их работу на законных основаниях.

BackDoor.Tdss, использующийся злоумышленниками для расширения бот-сети Tdss, использует несколько другие методы - от версии к версии дорабатываются используемые руткит-методы скрытия в системе для того чтобы более эффективно противодействовать работе антивирусных программ. Так, современные версии BackDoor.Tdss научились довольно эффективно препятствовать работе файловых мониторов антивирусов. Также кроме довольно популярного и не принимаемого до сих пор серьёзно факта использования уязвимостей ОС семейства Windows, данный бэкдор использует и такой старый и известный большинству пользователей метод распространения вредоносных программ - в виде кодеков для проигрывания видеороликов. Несмотря на общеизвестность, данный метод до сих пор вполне успешно работает.

Мошенничество

За последний месяц в очередной раз наблюдался значительный рост новых схем мошенничества с помощью вредоносных программ.

Клиентов банков, использующих банковские пластиковые карточки, в прошлом месяце взволновала новость об обнаруженных в системах некоторых банкоматов, принадлежащих российским банкам, вредоносных программ. Данные программы собирали для злоумышленников информацию, хранящуюся на банковских карточках, а также балансы счетов, которые передаются в банкомат из банков по запросу пользователя. Данная вредоносная программа по классификации Dr.Web была названа Trojan.Skimer. В настоящее время в вирусной базе Dr.Web содержится около десятка различных модификации этой вредоносной программы. Стоит заметить, что до обнаружения образцов данного троянца антивирусными лабораториями, компания-производитель подверженных уязвимости банкоматов разослала инструкции по устранению уязвимости банкам. Подробное описание функциональности Trojan.Skimer доступно в вирусной библиотеке компании «Доктор Веб».

Несмотря на широко распространяемую антивирусными вендорами подробную информацию о лже-антивирусах, злоумышленники до сих пор активно используют схемы мошенничества с помощью антивирусов-подделок для получения от пользователей денег за программу-пустышку. Со временем вредоносные сайты, распространяющие лже-антивирусы, становятся всё более убедительными, используются профессиональные приёмы дизайна. Такие наименования лже-антивирусов как Antivirus XP 2008 стали уже притчей во языцех.

Неугасающая популярность социальных сетей не перестаёт предоставлять новые возможности кибер-мошенникам для импровизаций. Так, троянец Trojan.PWS.Vkontakte.6 распространяется в виде программы для быстрого поднятия рейтинга популярной в России социальной сети Vkontakte.ru.

Спам

Основной поток спама в марте был посвящён, собственно, рекламе самих спам-рассылок. Видимо, на данный момент на рынке спам-услуг, предложение намного превышает спрос. Из наиболее популярных тем в спаме можно отметить рекламу пиратских DVD-дисков с сериалами, медицинских препаратов, предложения приобрести дорогие модели мобильных телефонов с большими скидками, а также реплики (внешне идентичные копии) дорогих наручных часов. Также следует отметить высокий уровень сообщений, приглашающих посетить различного рода конференции и другие мероприятия, связанные с обучением.

Что касается распространения вредоносных программ в спаме, а также ссылок на вредоносные сайты в спам-сообщениях, то в последние месяцы их количество значительно уменьшилось. Из-за отсутствия длительных по времени и массовых рассылок, связанных с распространением вредоносных файлов возникают различные фоновые эффекты. Так, часто в статистике на первое место выходят вредоносные программы, для которых нетипично распространение посредством почтового трафика, например, различные файловые вирусы. Связано это может быть с тем, что пользователи заражённых компьютеров перед передачей файлов создают архивы с данными, которые необходимо передать, и в такие архивы заодно попадают и вредоносные программы.

Из массовых рассылок, связанных с распространением вредоносных вложений в марте можно выделить весьма кратковременную (несколько часов), но массивную рассылку Win32.HLLW.Brutus.3 и немного более продолжительную, но менее массовую рассылку Trojan.PWS.Panda.114. Последний троянец распространялся под видом сообщения якобы от курьерской службы DHL, в котором говорилось о том, что отправку доставить невозможно по причине ошибки в указанном адресе. В письме предлагается распечатать прилагаемую счёт-фактуру и зайти с ней в офис DHL. На деле в приложенном архиве находился вредоносный файл.

В марте также продолжились спам-рассылки, предлагающие пользователей поучаствовать в схемах, похожих на финансовые пирамиды. Количество данных схем увеличивается.

Несмотря на некоторое уменьшение в марте случаев использования фишинга, были заметны фишинг-рассылки, ориентированные на участников популярного интернет-аукциона eBay.


Возврат к списку