Прогнозы и отчеты антивирусных компаний

Тема в разделе "Новости информационной безопасности", создана пользователем akok, 5 фев 2009.

  1. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Сергей Голованов
    Александр Гостев
    Олег Зайцев
    Виталий Камлюк


    Итоги 2008 года
    2008 год показал, что эпоха эпидемий осталась в прошлом. Начавшись в 2000 году, она характеризовалась большим количеством червей, вызывавших глобальные эпидемии и использовавших для своего распространения сначала электронную почту, а ближе к концу периода – сетевые атаки. Пик эпидемий пришелся на 2003-2005 годы.

    2007-2008 годы стали началом нового периода со стремительным ростом количества троянских программ, ориентированных на кражу информации, которая в большинстве случаев относится к банковским аккаунтам и онлайн-играм. Очевидно, что в индустрии производства вредоносных программ существует четкое «разделение труда», когда разные этапы создания, распространения и использования вредоносных программ осуществляются разными группами людей. Фактически, киберкриминальный бизнес окончательно сложился в виде сети услуг, которые предоставляются взаимообразно внутри этого бизнеса.

    Если в 2007 году мы констатировали смерть «некоммерческого» вредоносного ПО, то в 2008 году произошла смерть «эксклюзивных» вредоносных программ, создававшихся и использовавшихся одним-двумя людьми. Подавляющее большинство обнаруженных в 2008 троянцев и вирусов были созданы для продажи, причем активно использовались услуги по технической поддержке таких продаж, в том числе и обход антивирусных продуктов, если они начинали обнаруживать конкретный файл.

    На международной сцене роль безусловного лидера в создании вредоносного ПО окончательно перешла к Китаю. Не ограничиваясь только созданием собственных троянских программ, китайские хакеры начали осуществлять локализацию иностранных вирусных решений, в первую очередь российских. Ими были созданы китайские версии таких популярных наборов эксплойтов, как IcePack, FirePack, MPack, локализованы несколько вариантов троянцев Pinch и Zeus и т.д.

    Вместе с тем, китайские киберпреступники продолжали проявлять повышенную активность в поиске новых уязвимостей в популярном ПО, в первую очередь в Microsoft Office и Microsoft Windows. Здесь им удалось достичь значительных успехов, самым громким из которых стало обнаружение ими уязвимости в NetAPI Windows. В результате конец 2008 года ознаменовался большим числом атак, использующих уязвимость MS08-067.

    Выражение «Большой Китайский Хак» фигурировало в средствах массовой информации, начиная с апреля и до октября 2008 года. Фактически, в интернете произошло две массовые атаки, нацеленные на взлом веб-сайтов, равных которым по объемам история еще не знала. В ходе первой из них, прошедшей в апреле-июне 2008 года, было взломано более двух миллионов интернет-ресурсов по всему миру. Основным инструментом атакующих были SQL-инъекции, позволявшие встроить в код взломанного сайта команды для скрытого перенаправления посетителей на хакерские сайты, откуда затем происходило заражение компьютеров пользователей вредоносными программами.

    Однако во многом законодателями мод на вирусной сцене остаются русскоязычные вирусописатели. Они продолжали активно реализовывать модель Malware 2.0, в основе которой лежит принцип разделения различных вредоносных модулей по функционалу, использование универсальных средств взаимодействия между модулями и защищенные от внешнего воздействия каналы обмена данными и центры управления ботнетами.

    Наиболее четко это проявилось в историях с двумя опаснейшими руткитами, обнаруженными в 2008 году: Rustock.C (по классификации «Лаборатории Касперского» эта программа получила имя Virus.Win32.Rustock.A) и Sinowal (Bootkit). В них были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, а созданные вокруг них мощные инфраструктуры по своей масштабности и сложности превосходили ранние образцы, – для червей Zhelatin и Warezov.

    В полном соответствии с нашим прогнозом 2008 год оказался годом возвращения файловых вирусов. Добавив к своей традиционной функции – заражению файлов – функцию кражи информации и, что более важно, способность распространяться с помощью сменных накопителей, подобные творения смогли за короткое время поразить компьютеры пользователей в большинстве стран мира. Современные вирусы практически полностью перешли на полиморфную структуру кода, что создает дополнительные проблемы антивирусным компаниям, зачастую не успевающим оперативно реализовывать надежные средства детектирования и лечения таких угроз.

    Черви на флешках оказались способны обойти традиционные средства защиты корпоративных сетей, основными элементами которых являлись почтовый антивирус, межсетевой экран и антивирус на файл-сервере. Проникая на локальную станцию в обход всех этих средств контроля, такие черви стремительно распространяются по всей сети, копируя себя на все доступные сетевые ресурсы.

    Продолжающийся бум популярности социальных сетей и их активное использование в странах с большим количеством новых интернет-пользователей (Юго-Восточная Азия, Индия, Китай, Южная Америка, Турция, Северная Африка, страны бывшего СССР) привели к тому, что атаки на и через социальные сети из единичных инцидентов стали обыденным и крайне опасным явлением. Социальные сети используются не только для распространения новых вредоносных программ, но и для сбора информации, а также для реализации множества мошеннических схем, в том числе фишинга. Наиболее значительной эпидемией, затронувшей пользователей социальных сетей, стала эпидемия червя Koobface, первые варианты которого были обнаружены «Лабораторией Касперского» в июле 2008 года. Червь, нацеленный на пользователей социальных сетей Facebook и MySpace, в декабре обернулся серьезной проблемой и еще больше заставил волноваться компьютерную общественность после того, как были обнаружены его новые варианты, способные атаковать пользователей еще одной популярной социальной сети – Bebo.

    В 2008 году прекратилось распространение множества вариантов червя Zhelatin (Storm Worm). Почти двухлетняя история (первые варианты червя появились в январе 2007 года) создала больше вопросов, чем ответов. Почти легендарный «Штормовой ботнет», по некоторым оценкам размером достигавший двух миллионов машин (некоторые эксперты говорили и о 50 миллионах), так и не показал всей своей мощности. Ожидавшиеся гигантские спам-рассылки и DDoS-атаки так и не произошли.

    Возможно, одной из причин этого стало фактическое закрытие печально известного киберкриминального хостинга RBN (Russian Business Network). Активное обсуждение в СМИ его возможной причастности едва ли не ко всем происходящим в интернете событиям криминального характера привело к тому, что неизвестные владельцы RBN предпочли раздробить бизнес и создать несколько автономных хостингов, разместив их по всему миру – от Сингапура до Украины, и осуществлять свою деятельность менее открыто.

    В итоге оказалось, что с маленькими клонами RBN справиться гораздо проще, чем с большим монстром. Осенью по киберпреступности было нанесено несколько серьезных ударов. Благодаря скоординированным действиям интернет-компаний, компаний, занимающихся информационной безопасностью, и правительств, последовательно были закрыты Atrivo\Intercage, EstDomains и McColo. Закрытие последней привело к тому, что количество спама в интернете резко сократилось – более чем на 50%. Прекратили свою работу множество ботнетов, управляемых с закрытых ресурсов. Несмотря на то что спустя несколько недель объем спама начал восстанавливаться, это событие стоит рассматривать как одну из самых значительных побед последних лет.

    Основные тенденции 2008 года
    Из всех событий 2008 года наиболее значительными – затронувшими всю антивирусную индустрию и формировавшими общую ситуацию в сфере информационной безопасности, – были четыре темы.

    То, что именно эти области и технологии окажутся в центре всеобщего внимания, было ожидаемо. Еще более важно то, что события 2008 года, с ними связанные, обнаружили большой потенциал данных проблем и несомненность их развития и усложнения в ближайшем будущем.

    Проблема руткитов уже давно является одной из наиболее интересных, и мы регулярно уделяем ей внимание. В 2008 году нами было опубликовано три масштабных аналитических статьи, посвященных этой проблеме: «Rustock и все, все, все», «Эволюция руткитов», «Буткит: вызов 2008». Исследования показывают, что в данной области остается еще много возможностей для организации комплексных атак. Ситуация осложняется еще и тем, что практически все антивирусные компании до сих пор не уделяют должного внимания проблеме обнаружения и лечения активных руткитов.

    Развитие ОС Windows пока ничего не изменило в ситуации, и в ближайшие годы руткиты будут продолжать существовать, становясь все сложнее и изощренней.

    Социальные сети оказались в центре множества атак в прошедшем году. Эта ситуация была нами предсказана в прогнозах на 2008 год, которые полностью оправдались. В настоящий момент социальные сети являются одним из краеугольных камней интернета, определяющих его развитие и вовлекающих все большее число пользователей. Интернет-компании активно используют их возможности для продвижения новых услуг, рекламы и попутных сервисов. В развитых странах практически каждый интернет-пользователь является членом какой-нибудь социальной сети, а сейчас мы наблюдаем стремительный рост количества интернет-пользователей из стран Юго-Восточной Азии.

    Одновременно с этим, активно развивается еще одна отрасль – онлайн-игры. Не являясь непосредственно частью интернета (для них он всего лишь средство осуществления коммуникации), они все же являются важной составляющей жизни современного общества. Получив наибольшее распространение в азиатском регионе – Южной Корее, Китае, странах ЮВА, – онлайн-игры тем самым оказались в центре современного вирусописательства и стали основным объектом вирусных атак, в численном выражении.

    Произошла смена лидера: игровые троянцы оказались на первом месте, вытеснив троянцев, атакующих пользователей систем онлайн-платежей и банкинга. В игровых троянцах весьма активно применялись новые технологии, в том числе механизмы заражения файлов, распространение на съемных накопителях. Эти же троянцы использовались для организации ботнетов.

    Кроме того, именно распространение игровых троянцев было одной из основных целей организаторов гигантских атак «Большой Китайский Хак», затронувших весь интернет.

    Слово «ботнеты», еще несколько лет назад использовавшееся исключительно сотрудниками антивирусных компаний в своей работе, в последнее время стало известно практически всем. Ботнеты стали основным источником распространения спама, DDoS-атак, рассылки новых вирусов. Ботнеты стоят за всеми темами, которые мы рассматриваем в данном отчете: руткитами, социальными сетями, онлайн-играми и т.д.

    В 2008 году, помимо анализа ряда ботнетов, мы публиковали большую вводную статью по этой теме: «Ботнеты»

    (http://www.viruslist.com/ru/analysis/), которая дает общие сведения о принципах их работы и использования. Как мы уже отмечали, реальные масштабы проблемы и ее влияние на всю индустрию вирусописательства по-прежнему остаются недооцененными. От решения этой проблемы напрямую зависит безопасность всего интернета, и ее нельзя решить усилиями одной или даже ряда антивирусных компаний – требуется самое деятельное участие компаний, отвечающих за регуляцию интернета, и правительственных и полицейских структур.

    К счастью, в этом направлении уже многое делается, и в 2008 году состоялось несколько серьезных конференций, посвященных именно этой проблеме, на которых были определены необходимые меры для улучшения ситуации. Закрытие компаний Atrivo и McColo также было отчасти инициировано в рамках данного процесса. Однако до окончательной победы еще очень далеко, и в 2009 году ботнеты останутся одной из наиболее главных проблем интернета.

    Руткиты
    2008 год был отмечен двумя яркими событиями, связанными с руткитами: исследованием знаменитого руткита Rustock.C (который стал знаменит не столько благодаря особым технологиям, сколько в связи с шумихой, поднятой вокруг его неуловимости) и появлением множества ITW-разновидностей буткитов семейства Sinowal.

    Rustock.C по классификации «Лаборатории Касперского» детектируется как Virus.Win32.Rustock.a. Детектирование данной вредоносной программы как “Virus” объясняется наличием в рутките функции заражения файлов.

    Основные тенденции, продемонстрированные в рутките Rustock.C
    1. Файловый инфектор как способ автозапуска.
      Принцип заражения файлов в рутките Rustock.C напоминает принцип работы обычного файлового вируса – с той лишь разницей, что Rustock заражает системный драйвер. Это обеспечивает руткиту ряд преимуществ с точки зрения маскировки: отсутствие отдельного драйвера руткита избавляет от необходимости маскировать его на диске и в памяти, также нет надобности в маскировке соответствующего драйверу руткита ключа реестра. Помимо маскировки, заражение драйвера значительно затрудняет лечение компьютера: если при заражении обычным руткитом достаточно было удалить его компоненты с диска, то в данном случае требуется либо восстановление зараженного драйвера из резервной копии, либо наличие в антивирусе процедуры лечения.
    2. Персонализация руткита и его привязка к аппаратным компонентам ПК.
      Важная концептуальная особенность состоит в следующем: дроппер руткита собирает системную информацию о заражаемом компьютере и передает ее на сервер в интернете, где формируется тело руткита, привязанное к полученным параметрам. Затем оно передается в зашифрованном виде дропперу. Привязка к «железу» в совокупности с шифровкой передаваемого тела руткита и реализованными в рутките методиками антиэмуляции существенно затрудняют его обнаружение автоматическими средствами мониторинга сети и делает невозможным автоматический анализ полученных самплов.
    Реализованные в Rustock.C методики получили свое дальнейшее развитие. Например, в декабре 2008 года был обнаружен ITW-образец руткита (на текущий момент детектируется «Лабораторией Касперского» как Trojan.Win32.Pakes.may), действующий по аналогичной схеме. Этот руткит заражает системный драйвер ndis.sys, а тело руткита в зашифрованном виде загружается с ресурса panda-server.ru. Размещенный в зараженном ndis.sys код зашифрован. При его загрузке запускается код протектора, расшифровывающего драйвер и передающего ему управление. В данном ITW-образце налицо все основные технологии Rustock.C: загрузка тела руткита в зашифрованном виде с сайта создателей вредоносной программы, применение методик защиты от анализа (криптография, антиотладочные приемы). Принцип работы этого руткита также похож на Rustock – он рассылает спам путем внедрения в системные процессы кода, отвечающего за загрузку шаблонов и параметров рассылки спама и собственно за саму рассылку.

    Буткиты
    Действующие образцы буткитов, в которых были реализованы основные принципы построения данной категории вредоносных программ (на концептуальном уровне и на уровне работоспособного демо-примера), появились в 2005-2006 гг. после публикации материалов, известных как eEye Bootroot. ITW-образцы буткитов были обнаружены в 2007 году, а пик их распространения пришелся на 2008 год.

    Наиболее известным буткитом является Trojan-Spy.Win32.Sinowal. Принцип действия буткита основан на концепции существовавших еще во времена DOS Boot-вирусов и заключается в заражении Boot- или MBR-секторов системного диска, что позволяет буткиту получить управление системой на ранней стадии загрузки, т.е. до загрузки ядра операционной системы и запуска антивирусного ПО. Получив управление, буткит размещается в адресном пространстве ядра и маскирует свои сектора на диске. Маскировка реализуется классическими методами – как правило, путем фильтрации IRP-пакетов. Для дроппера буткита характерно открытие диска для посекторного чтения/записи, что позволяет обнаружить подобные операции на уровне эмулятора/системы расчета рейтинга опасности или на уровне HIPS/PDM и блокировать дроппер.

    Другие тенденции, связанные с развитием руткит-технологий в 2008 году

    1. Технологии активного противодействия руткита антивирусам и антивирусным утилитам. В течение года набор технологий противодействия постоянно менялся. Наиболее популярными из них были:
      • Блокировка и повреждение принадлежащих антивирусу файлов. Идентификация файлов ведется либо по маске имени файла, либо по сигнатурам. Метод сигнатурной блокировки гораздо опаснее ввиду его универсальности.
      • Внедрение руткитов путем подмены системных драйверов – например, beep.sys. В данном случае не требуется регистрация драйвера в реестре, и в протоколах исследования системы посторонние драйверы не видны.
      • Применение новых методов самозащиты и маскировки. Кроме ставших уже привычными перехвата функций KiST, сплайсинга машинного кода функций ядра и фильтрации IRP, начали применяться сплайсинг кода обработчиков IRP-драйверов, а также использование штатного системного механизма CallBack-процедур на операции с реестром. Кроме того, активно внедрялись методики противодействия антируткитам, в частности:
        • блокировка доступа к файлам ядра, не позволяеющая анализировать машинный код этих файлов, что необходимо для восстановления ядра в памяти и поиска перехваченных функций;
        • подмена контекста файлов ядра и принадлежащих руткиту файлов – как правило, за счет перехвата функции открытия файла и открытия вместо ядра какого-то другого системного EXE-файла;
        • блокировка открытия диска для посекторного чтения/записи, которая позволяет противодействовать антируткитам и антивирусам, использующим собственные алгоритмы парсинга файловой системы;
        • перехват функций NTSaveKey и NTSaveKeyEx для блокировки снятия дампов ключей реестра и их последующего парсинга (данная методика, в частности, используется в последних поколениях руткитов TDSS);
        • слежение за своими перехватами и их восстановление (данный метод, известный еще со времен руткита A311 Death, в настоящее время снова стал активно применяться – например, в последних версиях руткита TDSS).
    2. Новые технологии маскировки объектов на диске, основанные на модификации объектов MFT при их чтении или непосредственно на диске. Данные технологии пока не получили широкого распространения, но есть вероятность того, что они будут развиваться. Метод маскировки может, например, заключаться в следующем: руткит рассчитывает физическое местоположение интересующих его ячеек MFT и затем при чтении диска подменяет содержимое ячейки MFT для защищаемого файла на ячейку, скажем, системного объекта, что позволяет маскировать содержимое файлов без классических перехватов. Другим примером может служить модификация индексов NTFS-тома (подобное поведение зафиксировал в ITW-образце Василий Бердников в сентябре 2008 года – в руткит-компоненте Trojan-GameThief.Win32.OnLineGames.snjl).

    Игровые вредоносные программы
    Несмотря на то что в большинстве игр продажа виртуальных игровых ценностей за реальные деньги запрещена, желающих их купить становится все больше. Как правило, покупателей не волнует, откуда взялась та «вещь», за которую они платят. Им все равно, выиграл ли ее другой игрок, была ли она украдена у законного владельца с помощью вредоносного кода. Это, безусловно, на руку вирусописателям, а кроме того, приводит к росту цен на виртуальную собственность и способствует криминализации рынка продаж виртуальных ценностей.

    В 2007 году мы констатировали стремительный рост числа вредоносных программ, нацеленных на кражу паролей к онлайн-играм. В 2008 году ситуация, к сожалению, только ухудшилась: за год нами было обнаружено 100 397 новых игровых троянцев – эта цифра втрое превышает аналогичные показатели 2007 года (32 374).
    [​IMG]
    Общее количество вредоносных программ, ворующих пароли к онлайн-играм

    Среди семейств вредоносных программ, атакующих игроков онлайн-игр, самым многочисленным по-прежнему остается Trojan-GameThief.Win32.OnLineGames, представители которого воруют пароли к двум и более играм. На долю Trojan-GameThief.Win32.OnLineGames приходится 65,4% всех игровых троянцев. Отличительной чертой 2008 года стал невероятный всплеск активности вредоносных программ данного семейства летом, в период отпусков и максимальной геймерской активности. В августе 2008 года вирусными аналитиками «Лаборатории Касперского» было задетектировано почти 12 000 новых вредоносных программ, относящихся к Trojan-GameThief.Win32.OnLineGames, а это значит, что каждые четыре минуты появлялась новая вредоносная программа.

    На этом фоне активность семейства вредоносных программ Trojan-GameThief.Win32.WOW, атакующего только игроков в World of Warcraft, росла планомерно вплоть до ноября 2008 года, когда был зафиксирован случай массового взлома сайтов с целью распространения вредоносных программ этого семейства. Злоумышленникам удалось взломать около 10 000 сайтов и разместить на них вредоносный код. Пострадали, в основном, европейские и американские сайты – в этих регионах больше всего игроков в World of Warcraft. Взлом сайтов был приурочен к выходу 13 ноября второго дополнения к игре под названием Wrath of the Lich King.
    [​IMG]
    Количество вредоносных программ (по семействам),
    атаковавших игроков в онлайн-игры в 2008 году

    Подавляющее большинство вредоносных программ, ворующих пароли к онлайн-играм, относится к классу троянских программ. На долю вирусов и червей приходится лишь около 10% подобных зловредов. В сентябре 2008 года ситуация, связанная с самораспространяющимися вредоносными программами, ворующими пароли к онлайн-играм, обострилась: в начале учебного года заметно возросло число новых вредоносных программ семейства Worm.Win32.AutoRun.

    Основные характеристики игровых вредоносных программ
    К основным характеристикам вредоносных программ, атаковавших пользователей онлайн-игр в 2008 году, можно отнести:
    • наличие в одной программе модулей для кражи паролей к нескольким онлайн-играм;
    • наличие бэкдор-функционала, позволяющего объединить зараженные компьютеры в ботнет;
    • активное применение крипторов и пакеров для затруднения анализа и детектирования вредоносной программы;
    • активное противодействие антивирусным продуктам;
    • использование руткит-технологий.
    Самым технологически развитым в 2008 году оказалось семейство Trojan-GameThief.Win32.Magania, представители которого были виновниками самых громких инцидентов, связанных с распространением игровых вредоносных программ. В июне 2008 года вирусописатели модифицировали свое творение таким образом, что вредоносные программы данного семейства, которые раньше атаковали пользователей только одного игрового портала – Gamania (http://en.wikipedia.org/wiki/Gamania), стали воровать пароли практически ко всем известным онлайн-играм, в том числе:
    • World of Warcraft
    • Lineage
    • Lineage 2
    • FunTown
    • ZhengTu
    • Perfect World
    • Dekaron Siwan Mojie
    • HuangYi Online
    • RuneScape
    • Rexue Jianghu
    • ROHAN Online
    • Seal Online
    • Lord of the Rings
    • Maple Story
    • Reign of Revolution
    • Talesweaver
    • ZodiacOnline.
    В Trojan-GameThief.Win32.Magania наиболее эффективно использовались активные и пассивные способы противодействия обнаружению вредоносной программы и лечению зараженных компьютеров.
    [​IMG]
    Пример использования руткит-технологий в Trojan-GameThief.Win32.Magania

    Распространение игровых вредоносных программ
    В 2008 году для распространения вредоносных программ, ворующих пароли к онлайн-играм, злоумышленники стали активно использовать:
    • неизвестные уязвимости движков веб-ресурсов для массового заражения сайтов;
    • неизвестные уязвимости клиентского ПО;
    • обновление вредоносного кода чаще регулярных обновлений антивирусных баз на компьютерах пользователей;
    • спам-рассылки писем, содержащих ссылки на зараженные страницы.
    Сотня новых вредоносных программ, ворующих пароли к онлайн-играм, заражает в среднем около пятисот компьютеров пользователей. Такая высокая эффективность распространения игровых вредоносных программ достигается за счет использования уязвимостей ПО, установленного на компьютерах посетителей популярных сайтов. Если на протяжении 2007 года борьбу с программами, ворующими пароли к онлайн-играм, вели в основном антивирусные компании, разработчики игр и администрация игровых серверов, то в 2008 году удар пришелся также на администраторов взломанных веб-ресурсов и на разработчиков ПО, которое было использовано для проникновения вредоносных программ на компьютеры пользователей.

    Самый нашумевший инцидент был связан с использованием злоумышленниками ошибки в обработке XML-файлов в Internet Explorer для распространения вредоносных программ семейства Trojan-GameThief.Win32.Magania. Уязвимость MS08-78 оказалась настолько популярной, что (по данным компании Microsoft) зараженными оказались 0,2% всех пользователей интернета.
    [​IMG]
    Высокой эффективности распространения вредоносной программы также способствует ее быстрая модификация – программа видоизменяется еще до того, как детектирующая сигнатура появляется на компьютерах пользователей антивирусных продуктов.

    Перечислим самые яркие события 2008 года, связанные с распространением вредоносных программ, ворующих пароли к онлайн-играм:

    Апрель 2008. Неизвестными злоумышленниками взломаны более 1 500 000 интернет-сайтов. Цель – заражение посетителей данных сайтов вредоносной программой Trojan-GameThief.Win32.OnLineGames.

    Июль 2008. Произведена спам-рассылка писем, содержащих ссылки на полиморфный вирус Virus.Win32.Alman.b, в функционал которого встроен модуль кражи паролей к онлайн-играм. Alman.b был задетекрирован еще в апреле 2007 года.

    Август 2008. Программа для кражи паролей к онлайн-играм Trojan-GameThief.Win32.Magania обнаружена на борту Международной космической станции.

    Декабрь 2008. Для распространения вредоносных программ семейства Trojan-GameThief.Win32.Magania использована критическая уязвимость MS08-78 в браузере Internet Explorer.

    Доставка украденных данных злоумышленникам
    Вредоносные программы пересылают украденные у пользователей пароли к онлайн-играм злоумышленникам. Пароли отправляются в электронных письмах на специальные серверы, которые пересылают полученную информацию на адреса злоумышленников. IP-адреса серверов при этом регулярно меняются (в ряде случаев – несколько раз в день).

    Такой способ доставки гарантирует злоумышленникам анонимность, а частая смена доменных имен перенаправляющих серверов позволяет избежать попадания адресов этих серверов в черные списки.
    [​IMG]
    Пример расположения перенаправляющего сервера, на который отправляются письма,
    содержащие украденные пароли
    Серверы, реализующее доставку эксплойтов, вредоносных программ, а также электронных писем с украденными паролями к онлайн-играм, расположены преимущественно в Азиатском регионе.

    Заключение
    Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится.

    Как ожидается, основными тенденциями 2009 года станут:
    • создание развитой инфраструктуры для автоматического создания и распространения вредоносных программ, ворующих пароли к онлайн-играм;
    • использование новых каналов доставки вредоносных программ пользователям (IM, p2p-сетей и т.д.);
    • массовое использование zero-day уязвимостей в пользовательских приложениях и операционной системе;
    • массовое использование zero-day уязвимостей для взлома максимального количества веб-ресурсов с целью распространения игровых вредоносных программ;
    • активное использование файловых вирусов и сетевых червей для кражи паролей к онлайн-играм.
    Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели.

    Развитие угроз в социальных сетях
    За последние несколько лет социальные сети вошли в число наиболее популярных интернет-ресурсов. Согласно прогнозам компаний RelevantView и eVOC Insights, количество пользователей социальных сетей в 2009 году достигнет 80% от числа всех пользователей интернета и составит более миллиарда человек.

    Растущая популярность социальных сетей не осталась без внимания злоумышленников: в 2008 году социальные сети стали рассадником зловредных программ и спама и еще одним источником нелегального заработка в интернете.

    Почему социальные сети?
    Как правило, между пользователями социальной сети устанавливаются доверительные отношения. К сообщениям от тех, кто занесен в список «друзей» или доверенных контактов, пользователи относятся некритически, что создает благоприятные условия для распространения злоумышленниками ссылок, ведущих на зараженные ресурсы. Под различными предлогами пользователей провоцируют пройти по присланной ссылке и загрузить вредоносную программу.

    Схема распространения вредоносных программ может выглядеть так:
    1. Пользователь получает ссылку от своего доверенного контакта – например, на видеоролик.
    2. Для просмотра ролика требуется установить специальную программу.
    3. После установки эта программа ворует учетную запись пользователя социальной сети и продолжает рассылку вредоносной программы доверенным контактам новой жертвы.
    Такая схема аналогична схеме распространения почтовых червей. Однако эффективность распространения вредоносного кода в социальных сетях составляет около 10%, что значительно превышает эффективность классического метода распространения вредоносных программ по электронной почте (менее 1%).

    Украденные имена и пароли пользователей социальных сетей могут быть использованы для рассылки по доверенным контактам ссылок на зараженные ресурсы, спама или мошеннических сообщений (например, содержащих просьбу перевести деньги на срочные нужды). Каждый из этих способов так или иначе приносит прибыль злоумышленникам.

    В интернете сейчас можно найти предложения преступников взломать аккаунты пользователей социальных сетей, разослать любые сообщения по контактам, собрать информацию о конкретном пользователе.
    [​IMG]
    Очередное предложение злоумышленников по взлому аккаунтов

    Вредоносные программы
    В конце 2008 года в коллекции «Лаборатории Касперского» содержалось более 43 000 вредоносных файлов, так или иначе связанных с различными социальными сетями.
    [​IMG]
    Общее количество вредоносных программ,
    атакующих пользователей социальных сетей

    Социальные сети привлекают все больше вирусописателей, о чем свидетельствует число вредоносных программ, атакующих пользователей различных социальных сетей, которые поступили на обработку в вирусную лабораторию.
    [​IMG]
    Количество вредоносных программ,
    атакующих пользователей популярных социальных сетей

    Сопоставляя число вредоносных программ, атаковавших пользователей различных социальных сетей в 2008 году, и количество зарегистрированных пользователей этих сетей (http://en.wikipedia.org/wiki/List_of_social_networking_websites), можно составить рейтинг наиболее «опасных» для пользователей ресурсов.
    [​IMG]

    По числу вредоносных программ в расчете на одного пользователя лидирует российская сеть «Одноклассники.ru». Самая популярная мировая социальная сеть МуSpace занимает в этом рейтинге только 6-е место, хотя и лидирует по суммарному числу вредоносных программ, которые распространялись в 2008 году среди ее пользователей.

    Пользователи социальных сетей становятся жертвами вредоносных программ различных поведений. Это могут быть Trojan-Spy, Trojan-PSW, Worm, Trojan и многие другие.

    Атаки на пользователей социальных сетей в 2008 году
    Январь 2008. На Facebook размещено flash-приложение Secret Crush, которое содержало ссылку на AdWare-программу. До того как приложение было удалено администраторами сети, его успели установить себе более 1,5 миллионов пользователей.

    Май 2008. «Лабораторией Касперского» обнаружена вредоносная программа Trojan-Mailfinder.Win32.Myspamce.a, которая распространяла спам в комментариях «друзей» на MySpace. Буквально на той же неделе проявился сетевой червь для российской социальной сети «ВКонтакте» – Net-Worm.Win32.Rovud.a, который рассылал вредоносную ссылку по доверенным контактам зараженного пользователя. Через несколько дней по контактам пользователей социальной сети «Одноклассники.ru» была произведена спам-рассылка, в которой содержалась ссылка на сайт miss-runet.net и просьба проголосовать за одну из участниц конкурса. При попытке проголосовать на компьютер пользователя загружалась вредоносная программа из семейства Trojan-Dropper.Win32.Agent.

    Июнь 2008. По электронной почте произведена спам-рассылка сообщений якобы от администрации сети «Одноклассники.ru». По ссылке в письме пользователи заходили на страницу, имитирующую главную страницу ресурса, откуда на их компьютеры пыталась загрузиться троянская программа. После установки троянец загружал на зараженный компьютер еще несколько вредоносных файлов, затем происходило автоматическое перенаправление пользователя на оригинальный сайт сети «Одноклассники.ru».

    Июль 2008. «Лабораторией Касперского» зафиксировано несколько прецедентов распространения вредоносных программ через социальные сети Facebook, MySpace и «ВКонтакте». Net-Worm.Win32.Koobface.a распространялся в сети MySpace так же, как и образец, обнаруженный в мае (Trojan-Mailfinder.Win32.Myspamce.a), т.е. через комментарии друзей. Следующая версия червя – Net-Worm.Win32.Koobface.b – распространялась в сети Facebook. Червь рассылал сообщения «друзьям» зараженного пользователя. В обоих случаях комментарии и сообщения, рассылаемые червями, содержали ссылку на поддельный a la YouTube-ресурс, с которого пользователям предлагалось скачать «новую версию Flash Player». Вместо проигрывателя загружался сам сетевой червь, заражая таким образом очередной компьютер.

    В ходе очередной атаки на социальную сеть «ВКонтакте» спам-сообщения, рассылаемые по спискам контактов пользователей, содержали личное обращение к адресату и были намного более «живыми». В этих сообщениях содержалась ссылка на сервер, с которого пользователь перенаправлялся на сайты с эротическим содержанием. Далее под видом кодека, необходимого для просмотра видеоролика, на компьютеры пользователей загружалась троянская программа Trojan.Win32.Crypt.ey, которая являлась вредоносным BHO (Browser Helper Object). После этого пять первых результатов поисковых запросов на зараженных компьютерах заменялись на зловредную ссылку. По данным «Лаборатории Касперского», за несколько часов было похищено около 4000 аккаунтов пользователей социальной сети «ВКонтакте».

    Август 2008. Предпринята атака на быстро набирающую популярность социальную сеть Twitter. На специально созданной странице пользователя содержалась фотография, рекламирующая эротическое видео. При клике на эту фотографию пользователю предлагалось скачать «новую версию Adobe Flash», которая на самом деле являлась троянским загрузчиком Trojan-Downloader.Win32.Banload.sco.

    Октябрь 2008. В социальной сети «ВКонтакте» зафиксировано распространение ссылок на вредоносные программы для мобильных телефонов. С похищенных аккаунтов пользователей сети по списку контактов рассылалось сообщение с предложением пополнить счет мобильного телефона бесплатно. Для этого надо было установить на телефон некое Java-приложение (ссылка на файл содержалась в рассылаемых сообщениях), коим оказался Trojan-SMS.J2ME.Konov.b. После установки на телефон пользователя троянец незаметно отправлял SMS-сообщение на 5 коротких номеров. За каждое отправленное сообщение со счета пользователя снималось 250 рублей.

    Разумеется, это далеко не полный перечень подобных инцидентов – мы упомянули лишь наиболее значимые атаки на пользователей социальных сетей, имевшие место в 2008 году.

    Заключение
    В 2008 году социальные сети вошли в десятку самых передовых информационных технологий, наряду с виртуализацией и Cloud computing. К сожалению, развитие социальных сетей сопровождается появлением новых угроз и рисков для пользователей интернета.

    В 2008 году в развитии угроз, ориентированных на пользователей социальных сетей, произошел качественный скачок. Теперь атаки на социальные сети – это не одиночные акты энтузиастов, а набирающий обороты бизнес, в котором участвуют практически все слои компьютерного андеграунда.

    На черном рынке все, что связано с аккаунтами пользователей социальных сетей, имеет денежный эквивалент: персональные данные пользователей стали востребованным товаром, а среди предлагаемых услуг весьма популярны взлом аккаунтов пользователей социальных сетей и рассылка спама по их контактам. Коммерциализация способствует росту интереса современного компьютерного андеграунда к социальным сетям и приводит к увеличению числа вредоносных программ, нацеленных на пользователей социальных сетей. В 2009 году эти тенденции сохранятся.

    Сетевая активность вредоносных программ
    Вопрос о том, чем в глобальных масштабах занимаются вредоносные программы в интернете, всегда был актуальным. Наиболее распространенные технологии сбора информации о вредоносной сетевой активности – системы класса honeypot. Однако они, как правило, наблюдают лишь за собственным интернет-каналом и регистрируют только попытки посторонних пользователей атаковать наблюдаемый сервер, поэтому большая часть сетевой активности вредоносных программ остается «за кадром».

    Мы собрали статистику сетевой активности, наблюдая за актуальными вредоносными программами и регистрируя на зараженном компьютере их сетевые подключения. Такой метод позволяет объективно оценить, чем занимаются киберпреступники в локальных сетях и в интернете.

    Статистика соединений по протоколу UDP не представляет особого интереса, поскольку вредоносные программы используют UDP в очень редких случаях. Поэтому ниже рассматривается лишь статистика соединений по протоколу TCP. Представленные данные соответствуют ситуации, сложившейся к концу 2008 года, и не учитывают сетевую активность легальных программ. Большая часть интернет-трафика вредоносных программ принадлежит ботам, и представленная статистика характеризует трафик ботнетов.

    Порты, используемые вредоносными программами
    Сетевые соединения

    На какие же порты приходится больше всего сетевых соединений вредоносных программ?
    [​IMG]
    Распределение сетевых соединений вредоносных программ

    Наиболее популярными по числу сетевых соединений (TCP) вредоносных программ оказались порты 139, 445 и 135. Это порты сетевых служб Microsoft Windows, которые использует, прежде всего, служба обмена файлами в сети Windows, работающая по протоколу NetBIOS. Следует отметить, что хотя Windows и производит автоматическую рассылку сообщений по данному протоколу, в приведенных на диаграмме данных статистика по стандартным соединениям ОС не учитывается.

    На порты 139, 445 и 135 приходится более 96% сетевых соединений множества проанализированных нами вредоносных программ. Такой высокий процент связан с наличием уязвимости MS08-067, которая была обнаружена в октябре 2008 года в сетевой службе Windows, работающей по протоколу NetBIOS. К счастью, практически все интернет-провайдеры в целях безопасности клиентов блокируют сетевой трафик по этим портам – протокол NetBIOS известен как потенциальный источник уязвимостей в ОС Windows еще со времен Windows 95 и Windows 98. Можно только предполагать, во что за считанные минуты превратился бы интернет в октябре, если бы провайдеры не применяли фильтрацию NetBIOS! Однако проблема уязвимости MS08-067 все еще актуальна для небольших компьютерных сетей, таких как домашние сети, сети коммерческих компаний и государственных учреждений, в которых протокол NetBIOS, как правило, не блокируется.

    Сетевые обращения
    Картина популярности портов будет неполной, если не сопоставить число сетевых соединений и количество сетевых обращений к порту тех вредоносных программ, которые создают эти соединения. Под обращениями к порту в данном случае понимается передача одного и более сетевых пакетов. Таким образом, если одна программа установила 1 000 соединений с одним и тем же портом, мы считаем это одним сетевым обращением к данному порту.
    [​IMG]
    Распределение сетевых обращений вредоносных программ

    Как видно на диаграмме, 34% сетевых обращений вредоносных программ приходится на порт 80, который является стандартным для веб-серверов. Этот порт наиболее популярен и среди легальных программ.

    Порт 80 стандартно используется вредоносными программами для установления соединений с сайтами злоумышленников. При этом вредоносная сетевая активность маскируется под веб-серфинг, осуществляемый пользователем. К этому порту обращаются многие семейства ботов и троянцев, в том числе такие, как Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal и различные модификации Trojan-GameThief.Win32.OnLineGames. Именно порт 80 используется вредоносными программами для связи с командными центрами ботнетов.

    Второе место по популярности занимает нестандартный порт 8000, который используют легальные программы HP Web Jetadmin, ShoutCast Server, Dell OpenManage, а также множество приложений, разработанных на основе технологии Java RMI. При этом каждое приложение использует данный порт по собственному протоколу.

    Наши исследования показали, что порт 8000 используется семейством вредоносных программ Backdoor.Win32.Hupigon. Данное семейство разработано китайскими хакерами и является, пожалуй, самым быстрорастущим среди всех семейств вредоносных программ, когда-либо зарегистрированных «Лабораторией Касперского». В конце 2008 года в нашей коллекции находилось более 110 000 различных модификаций Hupigon.

    Почему же именно порт 8000? Ответ прост – на этом порте работает самый популярный в Китае IM-сервис QQ. Китайские киберпреступники используют этот сервис, чтобы управлять зараженными компьютерами пользователей. Есть также версия Hupigon, использующая порт 8181. По суммарному количеству сетевых обращений семейство Hupigon занимает лидирующие позиции среди вредоносных программ: почти каждое третье сетевое обращение, идущее от вредоносной программы на уникальный порт, принадлежат Hupigon!

    Другой нестандартный порт – 3460 – используется в 7% случаев сетевых обращений проанализированных нами вредоносных программ. В основном к этому порту обращаются представители семейства Backdoor.Win32.Poison, известного также как Poison Ivy. Вредоносные программы, относящиеся к этому семейству, являются ботами, на основе которых можно строить небольшие ботнеты (до 200 компьютеров). Это бесплатная программа, которую можно скачать с сайта разработчика, что способствует ее популярности. Poison не позволяет отсылать большую часть встроенных команд нескольким компьютерам одновременно и используется, как правило, начинающими злоумышленниками. Некоторые системные администраторы небольших сетей используют Poison как средство работы с удаленным компьютером.

    Домены второго уровня, к которым обращаются вредоносные программы
    Вернемся к наиболее популярному порту 80 и проанализируем статистику доменных имен второго уровня, к которым обращаются вредоносные программы, использующие этот порт.
    [​IMG]
    Распределение обращений вредоносных программ
    к доменам второго уровня

    Подавляющее большинство доменов второго уровня, к которым обращаются вредоносные программы, принадлежит китайским DNS-службам.

    Почти 40% вредоносных программ соединяются с субдоменами 3322.org. Что же это за провайдер, и почему он привлекает киберпреступников?

    Домен 3322.org принадлежит крупному китайскому проекту cn99.com, число пользователей которого превышает 35 миллионов человек. Популярность cn99.com в Китае обусловлена тем, что он бесплатно предоставляет почтовый аккаунт и доменное имя третьего уровня. В соглашении о предоставлении услуг клиентам cn99.com запрещается использовать предоставляемые сервисы с нарушением китайского законодательства и международных правовых норм. Кроме того, согласно соглашению, владельцу почтового ящика/доменного имени необходимо указывать достоверную персональную информацию, а также своевременно обновлять эту информацию в случае ее изменения. К сожалению, это не мешает киберпреступникам, которые активно пользуются услугами cn99.com, предоставлять фальшивые персональные данные.

    Просмотрев список наиболее популярных доменов второго уровня, мы довольно быстро обнаружили причину, по которой они попали в TOP 10: все провайдеры, которым принадлежат эти домены, предоставляют услугу, известную как DDNS (Dynamic Domain Name System).

    Популярность DDNS-сервисов у злоумышленников
    Задача сервиса DDNS состоит в том, чтобы легко находить серверы с динамически изменяемыми IP-адресами. Кому это может быть нужно? Например, легальным пользователям, которые подключают компьютер к интернету по ADSL-линии с внешним адресом из пространства интернет-адресов. Как правило, провайдеры выделяют подключившемуся ADSL-модему IP-адрес из пула IP-адресов, которые находятся в их распоряжении. При каждом новом подключении ADSL-модема IP-адрес будет меняться. Если пользователь не имеет физического доступа к своему компьютеру и хочет подключиться к нему удаленно, то ему нужно знать, по какому IP-адресу его компьютер доступен в данный момент. DDNS-провайдеры позволяют зарегистрировать доменное имя (например, myhomepc.dyndns.org) и далее подключаться к компьютеру, указав имя домена. Некоторые производители ADSL-модемов включают поддержку DDNS в программу управления модемом. При правильной настройке модема каждый раз при установлении интернет-соединения модем связывается с провайдером DDNS-услуги и сообщает ему свой текущий IP-адрес. Далее программа пользователя, обращающаяся к удаленному компьютеру по имени хоста, отправляет DNS-запрос на получение IP-адреса компьютера c именем myhomepc.dyndns.org. Запрос проходит по цепочке DNS-серверов и в конечном итоге оказывается у DDNS-провайдера, который знает актуальный IP-адрес компьютера, поскольку хранит последнее сообщение от ADSL-модема.

    Злоумышленникам такой сервис позволяет быстро и легко регистрировать новое доменное имя, сохраняя анонимность, а также в любое время быстро менять DNS-информацию об используемом сервере.

    Более того, злоумышленники могут даже использовать зараженные компьютеры, имеющие внешний IP-адрес, с целью размещения на них временного центра управления ботнетом. Если компьютер отключается, злоумышленник вручную или автоматически может перевести центр управления на любой другой зараженный компьютер, и при этом центр управления всегда останется доступным по доменному имени от DDNS-провайдера.

    Вот почему DDNS-сервисы пользуются такой популярностью у киберпреступников. По нашим оценкам, около 50% доменов, к которым обращаются вредоносные программы, принадлежат DDNS-провайдерам.

    Заключение
    Сетевую активность проявляют самые распространенные поведения вредоносных программ: троянские программы отсылают собранную информацию злоумышленникам, сетевые черви пытаются найти и заразить другие компьютеры в локальной сети, спам-боты рассылают спамовые письма, DDoS-боты атакуют интернет-серверы, боты связываются с командными центрами ботнетов. Наиболее активную сетевую жизнь ведут боты и компьютерные черви, которые сегодня зачастую успешно действуют в рамках одного приложения. Именно поэтому при обнаружении червя или троянца вполне может оказаться, что в нем есть функционал бота, и зараженный компьютер является частью ботнета. А это значит, что и сетевой трафик, создаваемый большинством вредоносных программ, работающих в интернете, принадлежит ботнетам.

    Анализ статистики сетевых обращений вредоносных программ и TOP 10 доменов второго уровня, к которым обращаются вредоносные программы, подтверждают, что в 2008 году по числу разработок вредоносного ПО доминировали китайские хакеры и киберпреступники. 29% сетевых обращений вредоносных программ осуществляется представителями китайского семейства Hupigon, использующими нестандартные порты 8000 и 8181, а подавляющее большинство доменов второго уровня, к которым обращаются вредоносные программы, принадлежит китайским DNS-службам.

    Несмотря на наличие «великой китайской киберстены» – национальной программы по фильтрации сетевого трафика, – следует ожидать, что активность китайских хакеров в 2009 году только увеличится. Разработки китайских киберпреступников в основном нацелены на кражу логинов и паролей к онлайн-играм и угрожают прежде всего китайским геймерам и любителям популярных онлайн-игр из других стран. Хотя в 2009 году глобальных изменений в специализации китайских хакеров не предвидится, их программы могут представлять угрозу для всех пользователей, поскольку наблюдается тенденция включения бэкдор-функционала в троянцы, ворующие пароли к онлайн-играм.

    Более трети сетевых обращений вредоносных программ приходится на стандартный для веб-серверов порт 80. Как правило, при соединении вредоносной программы с портом 80 не просто скачивается веб-страница, а устанавливается связь с центром управления ботнетом. Злоумышленники опасаются, что рано или поздно адрес центра управления ботнетом станет известен конкурентам или правоохранительным органам, и доменное имя или сервер закроют. Поэтому киберпреступники ищут возможности быстрого изменения DNS-информации о центрах управления и предпочитают использовать интернет-сервисы, позволяющие сохранять анонимность. Как следствие, большой популярностью у злоумышленников пользуются сервисы DDNS: DDNS-провайдерам принадлежит около 50% доменов второго уровня, к которым обращаются вредоносные программы, и все домены, попавшие в TOP 10. Вероятно, в 2009 году DDNS-провайдеры начнут более решительно бороться с нарушителями закона из числа своих клиентов. В этом случае по аналогии с ответвлением RBN-подобных хостинг-провайдеров от легальных хостеров мы увидим и abuse-proof DDNS-службы.

    Учитывая высокую популярность DDNS-служб среди злоумышленников и рост пропускной способности интернет-каналов, можно ожидать появления новых видов криминального бизнеса, специализирующихся на разработке новых подходов к анонимизации адресов/имен веб-серверов.

    Всякий раз, когда становится известной новая сетевая уязвимость в Windows, появляется множество вредоносных программ, которые пытаются найти удаленные уязвимые компьютеры. Это также касается другого прикладного ПО, работающего по сети. Вредоносные программы, сканирующие сеть, создают довольно много посторонних сетевых подключений. Кроме использования сетевого канала впустую, это грозит переполнением таблиц трансляции адресов на недорогих маршрутизаторах, что может привести к полной потере связи локальной сети с интернетом. Наличие одного зараженного компьютера в сети может лишить остальные компьютеры доступа в интернет. Это уже стало весьма распространенной проблемой для домашних сетей, в которых выход в интернет осуществляется через один маршрутизатор.

    Поскольку интерес к сетевым уязвимостям продолжает расти и, скорее всего, в 2009 году мы еще столкнемся со случаями обнаружения новых сетевых уязвимостей, пользователям небольших сетей угрожает потеря доступа в интернет. Чтобы защититься от этой угрозы, необходимо обезопасить все компьютеры в локальной сети от заражения вредоносными программами.

    Прогноз-2009
    Год назад, в отчете за 2007 год, мы представили наш прогноз развития угроз в 2008 году. Он фокусировал внимание на следующих проблемах, которые, по нашему мнению, в 2008 году должны были стать наиболее серьезными:
    • Malware 2.0 – развитие концепции распределенных компонент вредоносных программ.
    • Руткиты и буткиты – начало эпидемий программ, использующих данные технологии.
    • Файловые вирусы – новый виток эволюции классических вирусов, их усложнение и использование методов заражения файлов другими классами вредоносных программ.
    • Социальные сети – переход от концептуальных угроз и пробных атак к массовым атакам.
    • Мобильные угрозы – рост числа атак на мобильные телефоны и начало коммерциализации таких атак.
    К сожалению для всех нас, этот прогноз полностью оправдался, о чем свидетельствуют данные, приведенные в нашем отчете за 2008 год, – как в разделе «Тенденции», так и в статистической части.

    Наш прогноз на 2009 год будет построен по той же схеме, что и предыдущий. Мы не будем говорить о том, что в 2009 году все те проблемы, которые вышли на первый план в 2008 году, станут еще значительнее. Это и так очевидно. Уже существующие угрозы никуда не исчезнут и, разумеется, будут создавать нам всем проблемы. Мы не будем говорить о росте числа атак на онлайн-игры, социальные сети, усложненении вирусных технологий и росте числа ботнетов, а также о развитии киберпреступности как бизнеса и сервисов. Это все уже произошло.

    Наш прогноз касается тенденций, которые пока еще не стали очевидными, но могут оказать значительное влияние на развитие киберугроз в 2009 году.

    Глобальные эпидемии
    поражающих миллионы компьютеров по всему миру. Однако мы полагаем, что в 2009 году ситуация вновь изменится, и ожидаем ряд серьезных инцидентов, превосходящих по своим масштабам инциденты 2006-2008 годов.

    С нашей точки зрения современный мир киберпреступности вступил в период насыщения рынка: количество людей и группировок на этом рынке стало слишком велико, и между ними уже начинается серьезная конкуренция. Конечно, конкуренция была и раньше, но, как правило, ограничивалась столкновением интересов двух-трех групп, действующих в одной узкой области. Сейчас же она перестает быть локальной и выходит на международный уровень. Конкурентная борьба между российскими, китайскими, бразильскими, украинскими и турецкими злоумышленниками ведется не только на уровне используемых ими технологий. Киберпреступники конкурируют при поиске заказчиков и исполнителей; лучших каналов получения, сбыта и обработки данных; ресурсов для размещения и осуществления взломов и так далее.

    Одновременно с этим мы ожидаем в 2009 году еще большего увеличения числа киберпреступников. Главной причиной этого станет мировой экономический кризис. По нашему мнению, сокращение рабочих мест и закрытие IT-проектов приведет к тому, что множество высококвалифицированных программистов либо останутся без работы, либо будут нуждаться в деньгах в связи со снижением уровня доходов. Таких людей будут вовлекать в киберкирминальный бизнес, а некоторые из них сами обратят внимание на подобный способ заработка. Учитывая, что технический уровень «новобранцев» будет значительно превышать уровень большинства современных киберпреступников, они составят им серьезную конкуренцию.

    Все это приведет к тому, что злоумышленникам потребуется гораздо больше жертв. За каждую тысячу зараженных компьютеров пользователей уже начинается серьезная борьба, поскольку выжить на конкурентном рынке киберпреступности можно единственным способом: заразить как можно больше машин как можно быстрее. Для того чтобы получить ботнет размером в 100 000 машин, необходимо атаковать несколько миллионов компьютеров. Это и есть глобальные эпидемии. Для того чтобы этот ботнет сохранить, нужны регулярные новые атаки. А это уже множественные глобальные эпидемии.

    Снижение активности игровых троянцев
    Прогноз снижения активности игровых троянцев, очевидно, идет вразрез с мнением большинства других антивирусных экспертов, но, на наш взгляд, такое снижение станет прямым следствием экономического кризиса и обострения конкуренции среди киберпреступников.

    За последние два года игровые троянцы стали наиболее распространенным поведением вредоносных программ. Сейчас их количество исчисляется сотнями тысяч, и они давно обогнали доминировавшие ранее троянские программы, ворующие информацию о кредитных картах и аккаунтах систем онлайн-банкинга.

    Преобладание игровых троянцев обусловлено не только тем, что они стали основным объектом приложения усилий китайских киберпреступников, но и тем, что зарабатывать деньги на кардинге и атаках на пользователей банков стало на несколько порядков сложнее, чем раньше, конкуренция стала чрезвычайно высокой, а потенциальные доходы киберпреступников значительно снизились.

    Русскоязычные и восточноевропейские вирусописатели, ранее занимавшиеся именно такими видами преступности, либо ушли из бизнеса, либо сменили вид деятельности, занявшись созданием и распространением AdWare и поддельных антивирусов.

    Игровые троянцы являются китайским ноу-хау и прерогативой азиатской киберпреступности. Но легкость создания таких вредоносных программ, широкий круг потенциальных жертв и прочие факторы, которые в экономике называются «порогом вхождения в рынок», привели к тому, что и «игровой» рынок перенасыщен. Доход тех, кто «зарабатывает» кражей виртуальных игровых ценностей, стал слишком мал. (Аналогичная ситуация с банковскими троянцами в свое время привела к уменьшению числа новых программ этого поведения.) Еще три года назад даже такой доход удовлетворил бы киберпреступников, однако экономический рост Китая и рост благосостояния населения страны привели к тому, что аппетиты злоумышленников выросли.

    Доход мал, конкуренция велика, антивирусные компании научились справляться с гигантскими объемами игровых вредоносных программ, пользователи увеличили свой образовательный уровень, игровые компании приняли ряд мер по пресечению незаконных операций с украденными аккаунтами и игровыми ценностями… И хотя говорить о полном исчезновении проблемы в ближайшем будущем еще рано, на наш взгляд, можно ожидать уменьшения количества новых игровых вредоносных программ и числа преступных группировок, специализирующихся на их создании.

    Malware 2.5
    На смену концепции Malware 2.0 приходит новая. Концепция функционирования гигантских распределенных систем-ботнетов, придуманная русскоязычными хакерами и реализованная во вредоносных программах Rustock.C, Sinowal (буткит) и нескольких других, продемонстрировала свою высокую эффективность и надежность.

    Основные черты новой концепции:
    • Отсутствие стационарного центра управления ботнетом – так называемый «мигрирующий ботнет», детально описанный нами в исследовании буткита. Центр управления ботнетом либо постоянно перемещается с одного IP-адреса, сервера на другой, либо может даже не существовать какое-то время. Реализована система создания произвольных адресов центра управления, таким образом злоумышленники решают проблему обнаружения и отключения С&C и получают возможность выбора мест его размещения.
    • Использование стойких криптографических алгоритмов при взаимодействии между C&C и машинами в ботнете. Даже получив доступ к C&C или перехватив передаваемые данные, исследователи не в состоянии перехватить управление ботнетом, который рассчитан на работу с ключами шифрования, известными только хозяевам ботнета.
    • Использование универсальных центров управления для разных ботнетов. Развитие идеи «универсального кода», реализованной во вредоносной программе Zbot: вредоносные программы разных авторов могут коммуницировать с одним и тем же типом центра управления. В настоящее время наблюдаются тенденция к тому, чтобы реализовать возможность одновременно управлять разными ботнетами из одного C&C.
    Эти технологии тесно связаны с областью распределенных вычислений и созданием систем, работающих под значительной нагрузкой с громадными объемами данных (архитектура HighLoad). В обычной жизни примеры подобных решений мы можем видеть в поисковых системах. Они также являются основой модной технологии «cloud computing», которая используется в том числе и рядом антивирусных компаний.

    Именно в области создания высокоустойчивых распределенных систем и ожидается повышенная конкуренция между киберпреступными группами. Те злоумышленники, которые смогут создавать собственные системы, будут определять общий уровень угроз и связанных с ними проблем в будущем. На смену script-kiddies придут серьезные специалисты, способные создавать и поддерживать концепцию Malware 2.5.

    Фишинг/мошенничество
    Фишинг/мошенничество – еще одна область киберпреступности, на которую повлияет мировой экономический кризис. Фишинг и мошенничество в Сети будут набирать обороты.

    Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.

    Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Фишинг (http://ru.wikipedia.org/wiki/Фишинг) может стать для киберпреступников одним из наиболее привлекательных решений.

    Конкуренция среди фишеров растет. Для обмана пользователей простейшей подделки сайта банка будет уже недостаточно – атаки станут более изощренными и интенсивными.

    В целом, денег в Сети из-за кризиса станет меньше. Особенно если серьезные проблемы коснутся систем электронных денег, не справляющихся с задачей обналичивания виртуальных денег в реальные.

    Дифференциация по платформам
    Дифференциация вредоносных программ коснется всех без исключения платформ и операционных систем, отличных от Microsoft Windows. Этот процесс также станет следствием усиления конкуренции киберпреступников на технологическом уровне и их активной борьбы за увеличение числа зараженных компьютеров.

    Одним из наиболее очевидных итогов этого процесса станет смещение угроз в малоохваченные области. В первую очередь это касается Mac OS и мобильных платформ, которые ранее использовались, в основном, для экспериментов. Сейчас доля этих платформ на рынке уже достаточно велика для того, чтобы они стали представлять интерес для киберпреступников. В то же время на данных платформах остается нерешенным множество проблем с безопасностью, а пользователи этих платформ не готовы к атакам вредоносных программ.

    Источник: www.viruslist.ru
     
    Legion107 и machito нравится это.
  2. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Panda: Злоумышленники зарабатывают на лже-антивирусах $34 млн в месяц

    Количество ложных антивирусов за год выросло более чем в 100 раз, говорится в исследовании Panda Security. В 1-м квартале 2009 г. специалисты компании выявили 111 тыс. ложных антивирусов против 1 тыс. годом ранее. В июне число таких программ выросло до 374 тыс. штук. По словам технического директора PandaLabs Луиса Корронса (Luis Corrons), они находят данное ПО на 3-5% сканируемых компьютеров.

    После перехода на произвольный веб-сайт жертва атаки видит предупреждение о том, что компьютер заражен. Ниже предлагается скачать и установить антивирус, который его вылечит. Впоследствии пользователю предлагается купить улучшенную версию программы, так как бесплатным средством вылечить компьютер не удается. Обычно такое ПО стоит $50 за годовую лицензию или $80 за лицензию с неограниченным сроком. В действительности, то, что пользователь устанавливает на свой компьютер, и то, что он покупает, вовсе не является антивирусом. Деньги уходят за несуществующий продукт, а компьютер мог быть и не заражен вовсе. Это и есть ложный антивирус (rogueware, ложное ПО).

    Расцвет rogueware пришелся на 2008 г. «Злоумышленникам больше не нужно воровать персональную информацию пользователей для того, чтобы завладеть их счетами. Теперь они заставляют пользователя отдавать им деньги добровольно», - говорится в отчете Panda. Ссылки на такие программы распространяются всеми возможными способами: посредством рекламы на сайтах средств массовой информации, на веб-сайтах социальных сетей вроде Facebook, блог-сервисов, включая Twitter, и так далее. Путем определенных манипуляций (SEO-оптимизация) злоумышленники делают так, чтобы ссылки на rogueware были как можно выше в Google и других поисковиках, заставляя пользователей кликать на них, а не на ссылки реальных поставщиков.

    Ежемесячно ложным ПО инфицируется около 35 млн персональных компьютеров в мире. По данным Panda Security, суммарный доход злоумышленников, использующих данный способ вытягивания денег, составляет около $34 млн в месяц. Согласно исследованию компании Finjan, предложением установить бесплатное ПО для фиктивного сканирования системы на вирусы воспользовались 1,8 млн уникальных посетителей избранных веб-сайтов за 16 дней мониторинга. От 7% до 12% людей установили программу и 1,8% из них заплатили за несуществующий антивирус $50. За каждый клик веб-сайты, согласившиеся разместить подобного рода ссылки, получили по 9,6 центов, а их суммарный доход составил $10 тыс. в день.


    источник
     
  3. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Обзор вирусной обстановки за июль 2009 от компании «Доктор Веб»

    Компания «Доктор Веб» представляет обзор вирусной активности в июле 2009 года. Основная тенденция прошедшего месяца – появление нескольких эксплойтов, использующих уязвимости ОС Windows и другого популярного ПО. Несмотря на снижение вирусной активности в электронной почте, вирусописатели не прекращают изобретать новые способы привлечения внимания пользователей к своим сообщениям.

    JS.Gumblar


    В аналитическом обзоре компании «Доктор Веб» за первое полугодие 2009 года уже рассказывалось о серьезной угрозе и высоких темпах распространения вируса JS.Gumblar. С недавнего времени данная угроза начала распространяться и в России, что показано на графике ниже.

    [​IMG]

    Как видно из приведенного графика, основной пик активности пришёлся на 28 мая и составил 13.7% от всех вредоносных сайтов. Сейчас наблюдается снижение темпов распространения этой угрозы, однако она остается до сих пор актуальной.

    FlashBack

    Середина июля 2009 года неожиданно ознаменовалась вредоносной активностью со стороны нескольких модификаций семейства Win32.HLLM.MyDoom. При этом предшествующий пик распространения этих червей наблюдался аж в 2004 году.

    В настоящее время они используются в массированных DDoS-атаках на южнокорейские и американские веб-ресурсы. На рисунке ниже приведен дамп строковых констант из конфигурационного файла для вирусного компонента, непосредственно осуществляющего DDoS-атаку (обнаруживается Dr.Web как DDoS.Config).

    [​IMG]

    На сегодняшний день число зараженных машин, участвующих в атаке, достигает десятков тысяч. В число атакованных веб-ресурсов входят интернет-сайты различных государственных структур США и Южной Кореи. Например, whitehouse.gov, nsa.gov, president.go.kr и многие другие. Распространяются новые модификации в основном через вложения в почтовом спаме. Таким образом, угроза давно минувших дней смогла провести массированную атаку и в наше время.

    Мобильный ботнет

    В июле появился новый червь для мобильных телефонов под управлением ОС Symbian Series 60 3rd Edition. Он распространяется с веб-ресурсов в виде заманчивого ПО для пользователя, а уже зараженные пользователи рассылают СМС¬-спам от своего имени по обнаруженным в телефоне контактам. В теле такого СМС-сообщения содержится интригующее послание с предложением проследовать по ссылке на сайт –распространитель вируса.

    [​IMG]

    Эта угроза положила начало семейству Symbian.Worm и обнаруживается нами как Symbian.Worm.1. Особый интерес вызывает тот факт, что вредоносный дистрибутив, устанавливающий червя в систему, имеет цифровую подпись от Symbian Signed.

    [​IMG]

    На данный момент этот сертификат уже отозван Symbian, о чем официально сообщается в блоге компании.

    Symbian.Worm.1 похищает персональную информацию об абоненте и отправляет ее на удаленный сервер. Шаблоны СМС-сообщений для вредоносной рассылки могут обновляться при наличии интернет-соединения. Таким образом, получается своеобразный «мобильный» ботнет, имеющий обратную связь с киберпреступниками и собирающий для них персональные данные зараженных пользователей.

    Эксплойты

    В первой половине месяца была обнаружена серьезная уязвимость «нулевого дня» в одном из компонентов Microsoft DirectX, использующемся браузером MS Internet Explorer версии 6 и 7. Этой уязвимости оказались подвержены пользователи версий ОС Windows 2000/2003/XP (включая все последние обновления и x64-версии этих ОС). Суть данной уязвимости заключается в некорректной обработке потокового видео в ActiveX-компоненте msVidCtl.dll. Эта уязвимость может использоваться для распространения вредоносных программ с помощью специально сформированного злоумышленниками веб-сайта, вызывающего переполнение стека и запускающего вредоносное ПО на целевой системе. Все обнаруживаемые специалистами компании «Доктор Веб» эксплойты, использующие эту уязвимость, попадают в семейство Exploit.DirectShow.

    Также была обнаружена аналогичная уязвимость в Office Web Components Spreadsheet ActiveX-компоненте. Суть ошибки, приводящей к таким трагическим последствиям, кроется в некорректной проверке границ данных в методе msDataSourceObject(). Все обнаруженные эксплойты такого типа по классификации Dr.Web попадают в семейство Exploit.SpreadSheet.

    Последнюю версию браузера Firefox злоумышленники тоже не обделили вниманием. Ближе к середине месяца была найдена ошибка при обработке javascript-сценариев, которая может привести к повреждению памяти Just-in-Time-компилятора после возврата данных из собственных функций. Все обнаруженные эксплойты такого типа попадают в семейство Exploit.Mozilla по версии Dr.Web.

    Ближе к концу месяца была обнаружена критическая уязвимость «нулевого дня» в продуктах компании Adobe (Reader, Acrobat и Flash Player). Уязвимой оказалась библиотека authplay.dll, которая отвечает за обработку SWF-файлов, встроенных в PDF-документы. Она работает как при открытии специально сформированного PDF-документа, так и при посещении вредоносных веб-ресурсов, эксплуатирующих эту уязвимость. Все обнаруженные вредоносные PDF-файлы попали в семейство Exploit.PDF. На момент публикации обзора эта уязвимость еще не была закрыта.

    Все вышеперечисленные уязвимости на данный момент активно используются злоумышленниками для распространения вредоносных программ с помощью специально подготовленных веб-ресурсов.

    Для всех этих уязвимостей (кроме уязвимости в продуктах Adobe) на момент публикации обзора уже выпущены патчи. В связи с этим «Доктор Веб» настоятельно рекомендует установить последние обновления для используемого программного обеспечения.

    Червь Win32.HLLW.Facebook в Twitter

    В июле 2009 года увеличилась вредоносная активность червя Win32.HLLW.Facebook (Koobface) в социальной сети Twitter.

    [​IMG]

    О повышенной активности вирусного семейства Win32.HLLW.Facebook предупреждают в своем блоге и создатели этой социальной сети.

    [​IMG]

    Вирусными аналитиками компании «Доктор Веб» было установлено, что все модификации червя Win32.HLLW.Facebook незначительны, и базовые алгоритмы его работы не претерпели изменений ни в одном из полученных нами вредоносных файлов. Это позволило реализовать эффективное обнаружение данной угрозы при помощи технологии Origins Tracing. Теперь большинство новых модификаций обнаруживаются как Win32.HLLW.Facebook.origin.

    Trojan.Winlock

    В июле продолжилось распространение троянцев, блокирующих работу ОС Windows. При этом наибольшую популярность в прошедшем месяце
    получила тема маскировки этих троянцев под антивирусные продукты.

    [​IMG]

    Почтовые вирусы и фишинг

    В июле 2009 года электронная почта для распространения вредоносных программ использовалась реже, чем в предыдущем месяце. Вместо этого в сообщениях спамеров появилось больше рекламы медицинских препаратов. Также были отмечены случаи использования таких популярных сервисов как Google Groups, Yahoo Groups, LiveJournal для хостинга спам-рекламы.
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]

    При этом вредоносное ПО в спаме за июль практически не встречалось. Исключением здесь является IRC.Flood.702, который распространялся под видом электронной открытки от одного из пользователей ICQ.

    [​IMG]

    Киберпреступники не обделили вниманием и смерть Майкла Джексона, а также связанные с ней события. В частности, под видом секретной информации о подробностях данного события ими рассылалась ссылка на вредоносный сайт, откуда загружалась очередная модификация Trojan.PWS.Panda.122.

    [​IMG]

    Под видом электронной открытки осуществлялись также рассылки вредоносных программ семейства BAT.Hosts, которые добавляли несколько строк в системный файл hosts. В результате этого при попытке пользователя открыть определённые сайты совершалось перенаправление его на фишинговые ресурсы, ориентированные на клиентов испанских банков. Исходные письма также были составлены на испанском языке.

    [​IMG]

    В числе потенциальных жертв фишинга в июле оказались, как это стало уже привычным, пользователи интернет-аукциона eBay и клиенты банка America Online. Среди новых жертв фишинга отмечены клиенты американских банков Comerica Bank, Ally Bank и USAA.

    [​IMG]
    [​IMG]
    [​IMG]

    Вредоносные файлы, обнаруженные в июле в почтовом трафике


    01.07.2009 00:00 - 31.07.2009 00:00
    1 Win32.HLLM.Netsky.35328 8166826 (22.65%)
    2 Win32.HLLM.Beagle 5909675 (16.39%)
    3 Trojan.DownLoad.36339 5504479 (15.27%)
    4 Trojan.PWS.Panda.122 2103096 (5.83%)
    5 Win32.HLLM.MyDoom.based 1982009 (5.50%)
    6 Trojan.Botnetlog.9 1813173 (5.03%)
    7 Win32.HLLM.MyDoom.33808 1418521 (3.93%)
    8 Trojan.MulDrop.19648 1369527 (3.80%)
    9 Win32.HLLM.MyDoom.44 1071356 (2.97%)
    10 Win32.HLLM.Netsky 742919 (2.06%)
    11 Win32.HLLM.Beagle.32768 722449 (2.00%)
    12 Trojan.MulDrop.13408 658883 (1.83%)
    13 Win32.HLLM.Perf 587196 (1.63%)
    14 Win32.HLLM.MyDoom.49 561190 (1.56%)
    15 Win32.HLLM.Beagle.27136 476340 (1.32%)
    16 Win32.HLLM.Netsky.based 444932 (1.23%)
    17 Exploit.IframeBO 443541 (1.23%)
    18 Exploit.IFrame.43 360002 (1.00%)
    19 Trojan.PWS.Panda.114 335392 (0.93%)
    20 W97M.Dig 238968 (0.66%)
    Всего проверено: 137,012,732,015
    Инфицировано: 36,051,605 (0.0263%)

    Вредоносные файлы, обнаруженные в июле на компьютерах пользователей

    01.07.2009 00:00 - 31.07.2009 00:00
    1 Trojan.DownLoad.36339 2503920 (10.23%)
    2 Win32.HLLM.Beagle 2334712 (9.54%)
    3 Trojan.WinSpy.176 1304339 (5.33%)
    4 Win32.Virut.14 1171115 (4.78%)
    5 Win32.HLLW.Gavir.ini 1163586 (4.75%)
    6 Win32.HLLM.Netsky.35328 1027107 (4.20%)
    7 Trojan.WinSpy.180 971590 (3.97%)
    8 Win32.HLLM.MyDoom.49 899655 (3.68%)
    9 Trojan.MulDrop.16727 799252 (3.27%)
    10 Trojan.PWS.Panda.122 666798 (2.72%)
    11 Trojan.Botnetlog.9 587117 (2.40%)
    12 Win32.HLLW.Shadow.based 584087 (2.39%)
    13 Trojan.WinSpy.160 513468 (2.10%)
    14 Win32.HLLM.MyDoom.33808 494072 (2.02%)
    15 Win32.Sector.17 383420 (1.57%)
    16 Win32.Alman 381582 (1.56%)
    17 DDoS.Kardraw 379553 (1.55%)
    18 Win32.HLLM.Netsky.based 343624 (1.40%)
    19 W97M.Hana 283978 (1.16%)
    20 Win32.HLLW.Autoruner.5555 267185 (1.09%)
    Всего проверено: 210,224,776,255
    Инфицировано: 24,478,202 (0.0116%)

    источник
     
    3 пользователям это понравилось.
  4. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Рейтинг вредоносных программ, ноябрь 2009

    Вредоносные программы, задетектированные на компьютерах пользователей

    В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

    Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
    1 0 Net-Worm.Win32.Kido.ir 330305
    2 New Net-Worm.Win32.Kido.iq 174351
    3 -1 Net-Worm.Win32.Kido.ih 145332
    4 0 Virus.Win32.Sality.aa 128737
    5 0 Worm.Win32.FlyStudio.cu 93848
    6 -3 not-a-virus:AdWare.Win32.Boran.z 84825
    7 -1 Trojan-Downloader.Win32.VB.eql 63287
    8 9 Trojan-Downloader.WMA.GetCodec.s 48426
    9 1 Virus.Win32.Virut.ce 47812
    10 -3 Virus.Win32.Induc.a 46252
    11 -2 Worm.Win32.AutoRun.awkp 36453
    12 -4 Packed.Win32.Black.d 36422
    13 -2 Packed.Win32.Black.a 35094
    14 -1 Trojan-Dropper.Win32.Flystud.yo 34638
    15 -3 Worm.Win32.AutoRun.dui 32493
    16 -1 Packed.Win32.Klone.bj 31963
    17 1 Worm.Win32.Mabezat.b 29804
    18 New Packed.Win32.Krap.ag 26041
    19 New Trojan-GameThief.Win32.Magania.ckqi 25529
    20 New Trojan.Win32.Genome.bjgu 24730

    В целом, в первой двадцатке изменений немного, но стоит отметить несколько моментов.

    Во-первых, появление в рейтинге сразу на второй позиции Kido.iq. Эта вредоносная программа обладает схожим функционалом с лидером последних месяцев Kido.ir, который попал в рейтинг еще в сентябре.

    Во-вторых, перемещение мультимедийного загрузчика GetCodec.s сразу на 9 позиций вверх. Число компьютеров, на которых ,был затектирован GetCodec, увеличилось более чем в 2 раза. Напомним, что GetCodec.s распространяется в связке с червем P2P-Worm.Win32.Nugg, аналогично версии GetCodec.r, о которой мы писали в декабре прошлого года. Видимо, злоумышленники предпринимают очередную попытку распространить P2P-Worm.Win32.Nugg, используя файлообменную сеть Gnutella (в данном случае через популярное приложение LimeWire). Этот червь также является загрузчиком других вредоносных программ, что представляет дополнительную опасность для компьютеров пользователей.

    Еще один заметный новичок - Packed.Win32.Krap.ag. Как и другие представители Packed, данная версия является детектированием специального упаковщика вредоносных программ. В данном случае такими вредоносными программами, тщательно скрытыми под регулярно модифицирующимся упаковщиком, являются представители фальшивых антивирусов, о которых мы недавно писали. Таким образом, 18-е место в рейтинге фактически занимают лжеантивирусы.

    После своего возвращения игровой троянец Magania занимает устойчивую позицию в рейтинге: в ноябре модификацию Magania.cbrt на 19-м месте сменила новая версия Magania.ckqi.

    Вредоносные программы в интернете

    Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

    Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
    1 0 Trojan-Downloader.JS.Gumblar.x 1714509
    2 1 Trojan-Downloader.HTML.IFrame.sz 189881
    3 New Trojan-Clicker.JS.Iframe.be 170319
    4 0 not-a-virus:AdWare.Win32.Boran.z 136748
    5 0 Trojan.JS.Redirector.l 130271
    6 New Trojan.JS.Ramif.a 115163
    7 1 Trojan.JS.Agent.aat 55291
    8 -2 Trojan-Clicker.HTML.Agent.aq 47873
    9 New Trojan.HTML.Fraud.r 47473
    10 -8 Trojan-Downloader.JS.Gumblar.w 41977
    11 New Trojan.JS.Iframe.dy 35152
    12 -5 Trojan-Downloader.JS.Zapchast.m 31161
    13 New Trojan-Downloader.JS.IstBar.cy 30806
    14 New Trojan-Clicker.JS.Iframe.u 30553
    15 Return Trojan-Downloader.JS.Psyme.gh 30078
    16 New Trojan-Downloader.HTML.FraudLoad.b 29466
    17 New Trojan-Clicker.HTML.IFrame.ajn 29455
    18 New Trojan.JS.PrygSkok.a 27804
    19 New Packed.Win32.Krap.ag 26770
    20 -5 Trojan-Downloader.JS.LuckySploit.q 26175

    Gumblar продолжает шагать по планете. Он с огромным разрывом лидирует в рейтинге вредоносных программ в интернете, а число уникальных попыток загрузки этой вредоносной программы увеличилось почти в 4 раза.

    Новая атака Gumblar, о которой мы рассказывали в прошлом месяце, в ноябре продолжилась. Но, в отличие от атаки полугодовой давности, на это раз все компоненты атаки на протяжении месяца модифицировались с завидной регулярностью - будь то сам загрузчик, эксплойты или основной исполняемый файл.

    Лжеантивирусы отметились и во втором рейтинге. Одним из способов их распространения является загрузка на компьютеры пользователей с веб-сайтов, сделанных по одному шаблону и вовлеченных в мошеннические партнерские программы. В ноябре наиболее популярные веб-страницы, с которых загружались фальшивые антивирусы, детектировались нами как Trojan.HTML.Fraud.r и Trojan-Downloader.HTML.FraudLoad.b. С этих страниц загружался в том числе и упомянутый выше Packed.Win32.Krap.ag, что и обусловило его попадание во второй рейтинг.

    Остальные новички, в соответствии с уже сложившейся традицией, являются скриптовыми загрузчиками разной степени обфусцированности и сложности.

    Тенденции месяца

    По результатам ноября картина в целом остается прежней. В настоящее время наиболее популярные схемы распространения зловредов - это «вредоносный скрипт + эксплойт + исполняемый файл» и «вредоносный скрипт + исполняемый файл». Чаще всего таким образом распространяются вредоносные программы, которые крадут конфиденциальные данные или выкачивают деньги пользователя. Например, Trojan-PSW.Win32.Kates, загрузка которого является основной целью атаки Gumblar, или же Trojan-Spy.Win32.Zbot очень распространенный троянец, который активно распространяется с помощью скриптовых загрузчиков и различных спам-акций, а также многие ложные антивирусы.

    Еще одна яркая тенденция последних месяцев, продолжившаяся в ноябре – это распространение фальшивых антивирусов с использованием шаблонных веб-страниц.

    Кроме того, злоумышленники активно используют упаковщики (чаще всего полиморфные), рассчитывая, что это позволит им избежать детектирования упакованных вредоносных программ без существенного изменения их функционала.

    Также в этом месяце мы зафиксировали распространение вредоносных программ через P2P-сети и с помощью мультимедийных загрузчиков по схеме, которую злоумышленники уже использовали в декабре прошлого года.

    Страны, в которых отмечено наибольшее количество попыток заражения через веб.

    [​IMG]

    источник
     
    1 человеку нравится это.
  5. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Доктор Веб: обзор вирусных событий 2009 года

    Компания "Доктор Веб" представила обзор основных вирусных событий 2009 года.
    [​IMG]
    По восточному календарю завершающийся год считается годом быка. Для киберпреступников "красной тряпкой" стали деньги пользователей – легкая добыча в условиях, когда человек доверчиво кликает по ссылкам, присланным якобы от друзей, и скачивает программы, "необходимые" для решения тех или иных задач. Создание разрушительных вредоносных программ при этом осталось в прошлом. Требования о переводе денег злоумышленникам выводились как в окнах различных интернет-браузеров, так и на рабочем столе или поверх всех окон в системе. В качестве транспорта для распространения вирусов использовались как классические каналы – электронная почта, системы мгновенного обмена сообщениями, так и новые – социальные сети и блоги.

    Руткиты

    Больше всего загадок разработчикам антивирусных технологий в 2009 году задали авторы новых руткитов. Эти вредоносные программы скрывают своё присутствие в системе, а также позволяют работать в скрытом от глаз пользователя и большинства антивирусов режиме другим вредоносным программам, которые они загружают с вредоносных интернет-сайтов. Нередки случаи, когда компоненты руткита уже добавлены в вирусную базу какого-либо антивируса, но он, тем не менее, не замечает присутствия вредоносного объекта в системе.

    Наиболее заметными вредоносными программами данного класса стало семейство BackDoor.Tdss (название приводится по классификации Dr.Web). В марте текущего года сообщалось о том, что очередная модификация BackDoor.Tdss препятствует работе файловых мониторов, входящих в состав некоторых антивирусов, а также обходит антируткиты. В то время распространённость BackDoor.Tdss была относительно невысокой.

    В ноябре 2009 года новые модификации BackDoor.Tdss распространились значительно шире. Сервер статистики компании "Доктор Веб", в прошедшем месяце зафиксировал около 400 000 определений данной вредоносной программы на компьютерах пользователей. До этого момента данная цифра редко поднималась выше 1 000 определений в месяц.

    Интересно, что новые модификации BackDoor.Tdss злоумышленники стали оснащать инструментами сокрытия в системе. К примеру, специально создаваемый зашифрованный виртуальный диск и механизм обхода некоторых типов поведенческих анализаторов. Несмотря на это специалисты "Доктор Веб" в короткие сроки решили данную задачу, обеспечив продукты компании возможностями корректного лечения BackDoor.Tdss.

    Лжеантивирусы

    В последние месяцы уходящего года существенно увеличилась активность распространения лжеантивирусов, которые по классификации Dr.Web называются Trojan.Fakealert. Эти программы при запуске внешне похожи на настоящие антивирусные программы, но не являются таковыми. Цель создателей лжеантивирусов - завлечь пользователя на специально подготовленный вредоносный сайт, на котором он должен приобрести якобы полную версию продукта.

    Как правило, лжеантивирусы распространяются в виде приложений к спам-письмам или через специально подготовленные вредоносные сайты. При этом чаще всего таким образом передаётся загрузчик лжеантивируса, который при запуске загружает с сервера злоумышленников компоненты, составляющие основной функционал. Упор во вредоносном ПО этого типа делается на визуальную часть – программа отображает системные окна Windows, которые сообщают о том, что данный антивирус якобы интегрирован в систему. Основное окно программы показывает процесс сканирования компьютера и имитирует обнаружение вирусов.

    После того, как пользователь заплатит деньги за якобы полную версию такого антивируса, его беды отнюдь не заканчиваются - он остаётся "на крючке", и в систему могут быть загружены какие-либо другие вредоносные объекты.

    С сентября 2009 года наблюдается всплеск активности данных угроз - в октябре и ноябре было зафиксировано по несколько десятков миллионов определений программ данного типа. До сентября общее количество обнаруживаемых в месяц лжеантивирусов на компьютерах пользователей было аж на 4 порядка меньше.

    Блокировщики Windows

    Много бед в 2009 году принесли пользователям и блокировщики Windows – вредоносные программы, которые по классификации Dr.Web называются Trojan.Winlock. Эти вредоносные программы при старте Windows выводят поверх всех окон сообщение о том, что доступ в систему заблокирован, и для того, чтобы данное окно исчезло, необходимо отправить платное СМС-сообщение.

    В качестве причины блокировки программа могла информировать о том, что на компьютере установлена якобы нелицензионная операционная система или другое программное обеспечение (реже используются другие «поводы»). Известны случаи распространения конструкторов данных вредоносных программ за определённую сумму – приобрести их мог любой желающий.

    Несколько лет назад вредоносные программы семейства Trojan.Winlock были гораздо безобиднее: в отличие от современных экземпляров они автоматически удалялись с компьютера через несколько часов после установки, если пользователь не совершал никаких действий; не запускались в Безопасном режиме Windows; система действительно разблокировалась в случае ввода правильной строки, а стоимость СМС-сообщений была невысокой.

    Последние модификации Trojan.Winlock стали более агрессивными. СМС-сообщения для разблокировки существенно подорожали. Некоторые модификации могут и не содержать в себе правильного кода для разблокировки, и, соответственно, пользователь после отправки денег злоумышленникам остается ни с чем. Данные программы не удаляются автоматически из системы по прошествии некоторого времени. Trojan.Winlock научился препятствовать запуску множества программ, способных упростить исследование блокировщика на заражённой системе или просто завершающих работу системы при попытке запуска такого ПО.

    В случае заражения системы очередной модификацией Trojan.Winlock не следует передавать деньги злоумышленникам. Вместо этого необходимо обратиться в техподдержку используемого антивируса или на форум компании "Доктор Веб".

    Браузерные баннеры

    Ещё одной модификацией троянцев-вымогателей является семейство вредоносных программ, устанавливаемых в качестве дополнения к используемому интернет-браузеру. В результате установки появляется окно, которое может занимать до половины полезной площади окна браузера. Для удаления этого окна требуется отправить СМС-сообщение.

    По классификации Dr.Web основная часть таких вредоносных программ определяется как одна из модификаций Trojan.Blackmailer или Trojan.BrowseBan. Если Trojan.Blackmailer устанавливается обычно только в браузер Internet Explorer, то Trojan.BrowseBan может устанавливаться в несколько различных популярных браузеров - Internet Explorer, Mozilla Firefox и Opera. Для этого на вредоносных сайтах, с которых распространяется данная вредоносная программа, злоумышленники создают скрипт, который позволяет определять используемый браузер и после этого загружать предназначенную для него модификацию вредоносной программы.

    В марте 2009 года был замечен всплеск активности распространения вредоносных программ данного типа. Тогда было зафиксировано около 3 млн. определений Trojan.Blackmailer на компьютерах пользователей. В среднем же в течение года количество определений вредоносных браузерных баннеров держалось на уровне 5 000 – 10 000 в месяц.

    Шифровальщики документов

    Очередной проблемой, с которой столкнулись многие пользователи в 2009 году, стали шифровальщики документов – вредоносные программы, которые определяются антивирусом Dr.Web как различные модификации Trojan.Encoder. Данная вредоносная программа, проникая в систему, шифрует с помощью определённого алгоритма документы пользователей, не затрагивая файлы, относящиеся к операционной системе. После этого на рабочий стол выводится уведомление о том, что данные пользователя зашифрованы, а для восстановления необходимо перечислить злоумышленникам определённую сумму денег.

    Разрваботчики антивирусов столкнулась с фактами использования своей корпоративной атрибутики в материалах одного из авторов Trojan.Encoder. Также были зафиксированы случаи распространения спам-сообщений от имени сотрудников компании "Доктор Веб", а некоторые модификации Trojan.Encoder использовали дополнительное расширение drweb для зашифрованных файлов.

    Несмотря на относительно малую распространённость вредоносных программ данного типа, при попадании в систему они наносят весьма ощутимый урон – ведь документы часто имеют высокую ценность для пользователей. Пострадавшие от Trojan.Encoder всегда могут обратиться в вирусную лабораторию компании "Доктор Веб" – в подавляющем большинстве случаев специалисты помогут в восстановлении зашифрованных документов, причём бесплатно.

    Сетевые черви

    Сетевые черви в 2009 году заставили многих администраторов локальных сетей предприятий вспомнить об элементарных правилах информационной безопасности. Наиболее ярким представителем этих вредоносных программ стал сетевой червь Win32.HLLW.Shadow.based.

    Во-первых, данный червь использует для своего распространения съёмные носители и сетевые диски, напоминая о том, что в современных условиях необходимо отключать автозапуск программ с таких дисков. Во-вторых, данная программа может использовать стандартный для Windows-сетей протокол SMB. При этом она по словарю перебирает наиболее часто встречающиеся пароли, напоминая администраторам сетей о том, что подобные пароли должны быть достаточно сложными – ведь от этого зависит функционирование всей сети. Наконец, Win32.HLLW.Shadow.based использует несколько известных уязвимостей Windows-систем. При этом на момент начала активного распространения Win32.HLLW.Shadow.based эти уязвимости уже были закрыты производителем. Этот факт говорит о том, что автоматическая установка обновлений на используемую операционную систему никогда не будет лишней потерей интернет-трафика.

    Активное распространение Win32.HLLW.Shadow.based продолжается и сейчас. Данный сетевой червь продолжает своё своеобразное, но весьма эффективное обучение сетевых администраторов.

    Многообразие программных сред

    Некоторые вредоносные объекты сегодня уже способны определять используемую операционную систему, браузер, версии другого популярного ПО для того, чтобы более эффективным образом поразить систему. Но для того, чтобы данная схема начала работать, злоумышленникам нужно научиться создавать вредоносные программы, которые смогут работать на большинстве популярных операционных систем. Как обстоят дела на этом фронте?

    Если обратиться к статистике распространения вредоносных программ по различным платформам за 2009 год, то сможем сделать следующие выводы. Интерес к альтернативным платформам постоянно растёт. Судя по статистике, для таких платформ как Mac OS, Linux, Windows CE тенденция не так очевидна, хотя в новостях часто можно услышать про вредоносные программы под эти системы. А вот к таким мобильным платформам как программная среда Java (которую поддерживают множество мобильных устройств) и Symbian интерес увеличивается с каждым месяцем. Даже несмотря на то, что доля определений вредоносных программ в общем вредоносном трафике по-прежнему весьма мала.

    Прогнозируемые тенденции 2010 года

    В 2010 году можно ожидать продолжение тенденции к одномоментному охвату злоумышленниками пользователей как можно большего числа операционных систем и браузеров. Можно предположить, что увеличится количество вредоносных сайтов, на которых будут работать скрипты, способные определять используемую программную среду и в зависимости от этого производить загрузку соответствующей вредоносной программы. Рынок операционных систем постепенно расслаивается – появляются новые ОС, новые мобильные устройства, всё больше пользователей интересуются свободным или альтернативным программным обеспечением, и вирусописатели будут реагировать на эти тенденции, чтобы не упустить свою выгоду.

    Следует ожидать, что в последующие годы злоумышленники будут больше времени уделять обходу не только классических сигнатурных и эвристических технологий, но и противодействию различным поведенческим анализаторам, примеры чему мы видим уже сегодня.

    Наверняка будет продолжаться разработка новых руткит-технологий, и борьба с ними будет такой же острой, как и в последние годы. Вероятно, уже в 2010 году будут осуществлены первые попытки создать руткит для 64-битной платформы Windows. Многие эксперты утверждают, что это лишь вопрос времени. Весьма вероятно более активное использование полиморфных технологий, которые могут с лёгкостью препятствовать работе так называемых облачных антивирусов. Если распространение вредоносных программ, уникальных в каждом своем экземпляре, будет составлять значительную часть всего вредоносного трафика, это может сделать использование подобных антивирусных технологий крайне неэффективным.

    Количеством будут брать и создатели вредоносных сайтов. Уже сегодня антифишинговые технологии, используемые в любом современном браузере и призванные уберечь пользователей от посещения вредоносных сайтов, частенько не справляются с поставленной задачей. Злоумышленники быстро создают слишком много копий одного и того же сайта, и антифишинговые системы просто не успевают сработать на каждый из них.



    Источник
     
    Последнее редактирование: 19 дек 2009
    5 пользователям это понравилось.
  6. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    McAfee предсказывает в 2010 году новые ИТ-угрозы

    По мнению антивирусных аналитиков компании McAfee, в 2010 году создатели локального вредоносного программного обеспечения переключат свое внимание с офисных форматов Microsoft Office в пользу форматов Adobe Flash и Acrobat Reader. "Киберпреступники довольно долго эксплуатировали форматы Microsoft Office из-за их популярности. Мы ожидаем, что в будущем году пальму первенства здесь возьмут продукты Adobe, в частности Acrobat Reader и Flash", - говорится в прогнозе McAfee.

    Эксперты говорят, что хакеры в большинстве случаев предпочитают концентрировать свои усилия на широко распространенных среди пользователей продуктах. Очевидно, что здесь долгое время популярностью пользовались именно разработки Microsoft. Теперь приоритеты смещаются. В прошлом месяце в одном из интервью технический директор Adobe признал, что в 2009 году именно их продукты атаковали чаще других. Вероятно, что в 2010 году эта тенденция будет продолжена.

    "Можно совершенно точно сказать, что количество атак растет и, скорее всего, будет расти и дальше", - говорит технический директор Adobe Кевин Линч. "Мы постоянно работаем над устранением брешей в безопасности продуктов, стараемся сократить время, затрачиваемое на устранение проблем".

    Еще одним очевидным вектором хакерского внимания McAfee также выделяет набирающий популярность веб-браузер Mozilla Firefox и мультимедийный формат Apple QuickTime.

    Помимо этого, ИТ-преступники продолжат докучать пользователям социальных сетей, особенно крупных сетей, таких как Facebook или Twitter. "Взрывной рост популярности Facebook и Twitter стал идеальным вектором для киберпреступников. Они активно эксплуатируют атмосферу доверия друзей в социальных сетях для кражи персональны данных, используют сторонние инструменты для рекламы и распространения вирусов в соцсетях", - говорят в антивирусной компании.

    Также эксперты видят дополнительные угрозы в появлении новых интернет-технологий, в частности HTML 5. Этот язык имеет встроенные широкие возможности мультимедиа, чем наверняка воспользуются злоумышленники в своих интересах. "HTML 5 имеет своей целью размыть границы между рабочим столом и интернетом. Это одна из основных возможностей, которая была задействована в новой системе Google ChromeOS", - предсказывают эксперты.

    В то же время, McAfee говорит и об ужесточении законодательства ряда стран. Новые законы будут существенно строже к киберпреступникам и многих это, возможно, остановит от соблазна совершить преступление с использованием компьютера.


    Источник
     
  7. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Блокировщики Windows и другие вирусные угрозы декабря 2009 года

    2 января 2010 года

    В декабре 2009 года логическое продолжение получили тенденции предыдущих месяцев. Основную часть вирусного трафика составили вредоносные программы, вымогающие у пользователей деньги. Для этого злоумышленниками создавалось различное троянское ПО и вредоносные сайты. В спаме все чаще использовались аудио-файлы с низким качеством.

    Блокировщики Windows


    В декабре появилось множество новых модификаций троянцев-блокировщиков Windows, которые обладают новыми методами защиты от исследования. По классификации Dr.Web подобные программы классифицируются как Trojan.Winlock. В последние месяцы подобный способ получения денег от пользователей-жертв стал одним из наиболее популярных на территории России и Украины.

    Данный тип вредоносных программ в активном состоянии препятствует запуску утилит, с помощью которых можно её исследовать, а также имеет возможность форсированно завершать работу компьютера. Для усложнения удаления из системы вручную такие троянцы создают множество копий своих файлов в системных папках Windows. Также используется приём, при котором название запущенного процесса вредоносной программы не совпадает с названием её исполняемого файла.

    [​IMG]

    Ложные онлайн-антивирусы

    За последний месяц появилось множество русскоязычных сайтов, на которых пользователю предлагается проверить свою систему на наличие вредоносных программ, либо наличие уязвимостей. Заодно может предлагаться изменение конфигурации системы для ускорения её работы.

    Чтобы привлечь внимание пользователя во время бесплатного «сканирования» выводится информация об IP-адресе, версии операционной системы, используемом браузере и его версии.

    Для того, чтобы решить найденные в системе «проблемы» с безопасностью, пользователю предполагается отправить SMS-сообщение, стоимость которого принижается - счёт на самом деле идёт не об одной сотне рублей за каждое отправленное сообщение.

    Все предлагаемые «программные продукты» являются бутафорией, служащей для вымогательства у интернет-пользователей денежных средств.

    [​IMG][​IMG]

    Почтовые троянцы

    Спам по-прежнему является одним из основных каналов распространения вредоносных программ.

    В течение декабря 2009 года различные модификации Trojan.PWS.Panda распространялись под видом отчёта по операциям, совершённым с банковских карточек Visa, а также под видом нового пароля для пользователей социальной сети Facebook.

    Под «компрометирующими фотографиями», на которых якобы запечатлён пользователь, распространялись такие вредоносные программы как Trojan.NtRootKit.3226, а также различные модификации Trojan.Packed. От имени курьерской службы DHL распространялся троянец Trojan.Botnetlog.

    [​IMG][​IMG]

    Аудио-файлы в спаме

    За последний месяц началось распространение сразу нескольких типов спам-рассылок с приложенными к письмам аудиофайлами. Как правило, это файлы в формате mp3 с низким битрейтом (16 Кбит/с).

    Таким образом распространялась реклама интернет-магазинов медицинских препаратов - в аудио-файле был записан адрес рекламируемых сайтов. В рассылках, целью которых являлось привлечение новых пользователей к участию в финансовых пирамидах, распространялись mp3-файлы размером более 6МБ, в которых были записаны лекции продолжительностью около часа.

    Тенденции 2009-2010

    Вирусописателей в прошедшем году все больше привлекали деньги пользователей - легкая добыча в условиях, когда множество людей переходит по ссылкам, присланным якобы от известных организаций и друзей, загружает программы, якобы необходимые для решения тех или иных задач. Требования о переводе денег злоумышленникам выводились как в окнах различных интернет-браузеров, так и на рабочем столе или поверх всех окон в системе. В качестве транспорта для распространения вирусов использовались как классические каналы - электронная почта, системы мгновенного обмена сообщениями, так и новые - социальные сети и блоги.

    В 2010 году можно ожидать продолжение тенденции к одномоментному охвату злоумышленниками пользователей как можно большего числа операционных систем и браузеров. Следует ожидать, что в последующие годы злоумышленники будут больше времени уделять обходу не только классических сигнатурных и эвристических технологий, но и противодействию различным поведенческим анализаторам, примеры чему мы видим уже сегодня. Наверняка будет продолжаться разработка новых руткит-технологий, и борьба с ними будет такой же острой, как и в последние годы. Вероятно, уже в 2010 году будут осуществлены первые попытки создать руткит для 64-битной платформы Windows. Количеством будут брать и создатели вредоносных сайтов. Уже сегодня антифишинговые технологии, используемые в любом современном браузере и призванные уберечь пользователей от посещения вредоносных сайтов, часто не справляются с поставленной задачей.

    Количество вредоносных программ в декабре во всём почтовом трафике относительно ноября 2009 года возросло в 2,8 раза. Доля вредоносных программ среди всех проверенных файлов на компьютерах пользователей возросла в 2,2 раза. Злоумышленники за восстановление системы и данных требуют всё больше денег - известны случаи, когда за расшифровку данных злоумышленники требуют выкуп в 1000 рублей.

    Вредоносные файлы, обнаруженные в декабре в почтовом трафике

    01.12.2009 00:00 - 01.01.2010 00:00


    1


    Trojan.DownLoad.37236


    12417046 (14.38%)

    2


    Trojan.DownLoad.47256


    9400042 (10.89%)

    3


    Trojan.MulDrop.40896


    6643369 (7.69%)

    4


    Trojan.Fakealert.5115


    6574865 (7.61%)

    5


    Trojan.Packed.683


    5380941 (6.23%)

    6


    Trojan.Fakealert.5238


    4924800 (5.70%)

    7


    Trojan.DownLoad.50246


    3791901 (4.39%)

    8


    Win32.HLLM.MyDoom.44


    3555068 (4.12%)

    9


    Trojan.Fakealert.5825


    3221976 (3.73%)

    10


    Win32.HLLM.Netsky.35328


    3012162 (3.49%)

    11


    Trojan.Fakealert.5437


    2355690 (2.73%)

    12


    Trojan.Fakealert.5356


    2135038 (2.47%)

    13


    Trojan.Fakealert.5784


    1846800 (2.14%)

    14


    Trojan.Botnetlog.zip


    1794382 (2.08%)

    15


    Trojan.PWS.Panda.122


    1732410 (2.01%)

    16


    Trojan.Fakealert.5229


    1717600 (1.99%)

    17


    Trojan.Fakealert.5457


    1504800 (1.74%)

    18


    Trojan.Siggen.18256


    1429018 (1.66%)

    19


    Trojan.MulDrop.46275


    1390881 (1.61%)

    20


    Win32.HLLM.Beagle


    1301627 (1.51%)

    Всего проверено:


    84,146,920,455

    Инфицировано:


    86,343,017 (0.103%)

    Вредоносные файлы, обнаруженные в декабре на компьютерах пользователей

    01.12.2009 00:00 - 01.01.2010 00:00

    1


    Trojan.WinSpy.440


    2410816 (12.69%)

    2


    Trojan.WinSpy.413


    1627202 (8.56%)

    3


    Win32.Virut.56


    1297220 (6.83%)

    4


    Win32.HLLW.Gavir.ini


    802751 (4.23%)

    5


    Win32.Rammstein.13346


    647967 (3.41%)

    6


    Trojan.AuxSpy.71


    585736 (3.08%)

    7


    Trojan.Packed.19247


    525731 (2.77%)

    8


    Win32.HLLW.Shadow.based


    466105 (2.45%)

    9


    Win32.HLLW.Texmer


    399722 (2.10%)

    10


    JS.Popup.1


    397594 (2.09%)

    11


    Trojan.AuxSpy.110


    374109 (1.97%)

    12


    Trojan.DownLoad1.16161


    368920 (1.94%)

    13


    Win32.HLLW.Shadow


    311983 (1.64%)

    14


    Trojan.AppActXComp


    298597 (1.57%)

    15


    Trojan.Siggen.29874


    295692 (1.56%)

    16


    Trojan.AuxSpy.128


    264613 (1.39%)

    17


    Win32.Yasv.924


    230928 (1.22%)

    18


    VBS.Psyme.377


    229697 (1.21%)

    19


    Win32.Alman.1


    218138 (1.15%)

    20


    Win32.HLLW.Autoruner.5555


    210376 (1.11%)

    Всего проверено:


    89,457,410,121

    Инфицировано:


    18,999,657 (0.0212%)

    источник
     
    5 пользователям это понравилось.
  8. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Рейтинг вредоносных программ, декабрь 2009

    «Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ в декабре.

    Вредоносные программы, задетектированные на компьютерах пользователей


    В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

    Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
    1 0 Net-Worm.Win32.Kido.ir 265622
    2 0 Net-Worm.Win32.Kido.iq 211101
    3 0 Net-Worm.Win32.Kido.ih 145364
    4 0 Virus.Win32.Sality.aa 143166
    5 0 Worm.Win32.FlyStudio.cu 101743
    6 New not-a-virus:AdWare.Win32.GamezTar.a 63898
    7 -1 not-a-virus:AdWare.Win32.Boran.z 61156
    8 -1 Trojan-Downloader.Win32.VB.eql 61022
    9 -1 Trojan-Downloader.WMA.GetCodec.s 56364
    10 New Trojan.Win32.Swizzor.c 54811
    11 New Trojan-GameThief.Win32.Magania.cpct 42676
    12 -3 Virus.Win32.Virut.ce 45127
    13 -3 Virus.Win32.Induc.a 37132
    14 0 Trojan-Dropper.Win32.Flystud.yo 33614
    15 3 Packed.Win32.Krap.ag 31544
    16 -3 Packed.Win32.Black.a 31340
    17 0 Worm.Win32.Mabezat.b 31020
    18 -2 Packed.Win32.Klone.bj 28814
    19 -7 Packed.Win32.Black.d 28560
    20 -5 Worm.Win32.AutoRun.dui 28551


    Первая двадцатка традиционно стабильна.

    Появление трех новичков на 6, 10 и 11 позиции привело к незначительному сдвигу части программ, представленных в таблице, вниз. Исключением стал появившийся месяц назад Packed.Win32.Krap.ag, который поднялся на 3 пункта вверх. Напомним, что Krap.ag, как и другие представители Packed, является детектированием упаковщика вредоносных программ, в данном случае — фальшивых антивирусов. Абсолютные показатели этого зловреда также несколько возросли, что говорит об актуальности псевдоантивирусов и неутомимости использующих их в своих преступных схемах злоумышленников, которым эффективное распространение таких программ приносит существенный доход.

    Заметным новичком в декабре является рекламная программа GamezTar.a, занявшая 6-е место в рейтинге. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливает несколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента. К слову, все эти компоненты описаны в правилах пользования (www.gameztar.com/terms.do), но пользователя обычно больше привлекает большая мигающая кнопка “click here, get free games”, чем неприметная надпись “terms of service” внизу экрана. Перед тем как скачивать ПО, рекомендуется читать подобные документы, если они присутствуют.

    На десятом месте мы видим Trojan.Win32.Swizzor.c — родственника Swizzor.b, который уже побывал в дцадцатке в августе, а также Swizzor.a, который был замечен нами в мае. Разработчики этого искусно обфусцированного зловреда не стоят на месте и регулярно работают над новыми версиями. Истинный же функционал этого троянца очень простой — он загружает другие зловредные файлы из интернета.
    Вредоносные программы в интернете

    Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

    Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
    1 0 Trojan-Downloader.JS.Gumblar.x 445881
    2 3 Trojan.JS.Redirector.l 178902
    3 New not-a-virus:AdWare.Win32.GamezTar.a 165678
    4 -2 Trojan-Downloader.HTML.IFrame.sz 134215
    5 New Trojan-Clicker.JS.Iframe.db 128093
    6 -2 not-a-virus:AdWare.Win32.Boran.z 109256
    7 New Trojan.JS.Iframe.ez 91737
    8 New Trojan.JS.Zapchast.bn 64756
    9 New Packed.JS.Agent.bn 60361
    10 New Packed.Win32.Krap.ai 43042
    11 8 Packed.Win32.Krap.ag 41731
    12 New Exploit.JS.Pdfka.asd 36044
    13 New Trojan.JS.Agent.axe 35309
    14 New Trojan-Downloader.JS.Shadraem.a 35187
    15 Return Trojan.JS.Popupper.f 33745
    16 New not-a-virus:AdWare.Win32.GamezTar.b 33266
    17 New Trojan-Downloader.JS.Twetti.a 30368
    18 New Trojan-Downloader.Win32.Lipler.iml 28634
    19 New Trojan-Downloader.JS.Kazmet.d 28374
    20 New Trojan.JS.Agent.axc 26198

    Во второй двадцатке, в отличие от достаточно стабильной первой, всего лишь четверть участников удержали свои позиции, один вернулся, а в остальном рейтинг коренным образом изменился.

    Лидером по-прежнему является Gumblar.x. Зараженные им сайты постепенно очищаются вебмастерами — число уникальных попыток загрузки в декабре более чем в 3 раза меньше, чем в ноябре.

    Упомянутый в первом рейтинге Krap.ag также поднялся и во втором — на 8 позиций. Его пытались загружать в полтора раза чаще, чем в прошлом месяце. На ступень выше его расположился Krap.ai, который также является детектированием специального упаковщика псевдоантивирусов.

    GamezTar.a появился и во втором рейтинге, что закономерно, учитывая ориентированность этой программы на онлайн-игры и ее общий веб-функционал. Более того, на 16 место попала и другая модификация этого зловреда — GamezTar.b.

    Trojan-Clicker.JS.Iframe.db является обычным, нехитро обфусцированным iframe-загрузчиком.

    Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, Trojan-Downloader.JS.Kazmet.d — это скрипты различной степени логической сложности и обфусцированности, которые используют уязвимости в продуктах Adobe и Microsoft для последующей загрузки основных исполняемых файлов.

    И, наконец, наиболее интересным образцом творчества злоумышленников оказался Trojan-Downloader.JS.Twetti.a (17-е место), которым было заражено множество легитимных сайтов. Алгоритм работы этого загрузчика достоин внимания. После расшифровки в нем не оказалось ни ссылки на основной исполняемый файл, ни эксплойтов или ссылок на них! В процессе анализа выяснилось, что скрипт использует API (интерфейс программирования приложения) популярной, в том числе и у злоумышленников, социальной сети Twitter.

    Схема работы троянца следующая: формируется запрос к API, результатом которого являются данные по так называемым “трендам” — наиболее обсуждаемым темам в Twitter. Из полученных данных впоследствии формируется псевдослучайное доменное имя, которое злоумышленники регистрируют заранее, получив его по аналогичному алгоритму, и выполняется скрытый переход на него. На этом домене и располагается основная вредоносная часть, будь то PDF-эксплойт или исполняемый файл. Таким образом, формирование вредоносной ссылки и переход на нее осуществляется “на лету” через посредника, которым как раз и является Twitter.

    Интересно отметить, что зловреды Packed.JS.Agent.bn и Trojan-Downloader.JS.Twetti.a для заражения компьютера пользователя используют специально сформированный PDF-файл, который детектируется как Exploit.JS.Pdfka.asd и который также попал в рейтинг (12-е место). То есть, можно легко предположить, что по меньшей мере три популярных зловреда декабря — дело рук одной киберпреступной группировки. Более того, среди исполняемых файлов, которые в итоге drive-by атаки загружаются на компьютеры-жертвы, были замечены представители семейств TDSS, Sinowal и Zbot, которые являются одними из наиболее серьезных из существующих сейчас угроз, что тоже наводит на определенные
    размышления.

    источник
     
    5 пользователям это понравилось.
  9. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    PandaLabs представила рейтинг самых необычных вредоносных кодов 2009 года

    Антивирусная лаборатория PandaLabs опубликовала рейтинг самых известных интернет-угроз за 2009 год с обзором и анализом вредоносных кодов, которые появились за последние 12 месяцев. Это скорее не рейтинг самых распространенных вирусов или вирусов, вызвавших самое большое количество инфекций. Это список тех кодов, которые особенно выделились в прошедшем году, использовали технологии социальной инженерии либо очень эффективно воздействовали на компьютеры. Поэтому некоторые наиболее известные вредоносные коды (такие как вирус Koobface) в списке отсутствуют.

    - Самая противная “заноза”. Нет никаких сомнений, что Conficker.C за последние двенадцать месяцев стал самым несносным вирусом. Впервые он появился 31 декабря 2008 года и провел весь год, вызывая серьезные инфекции в компаниях и у домашних пользователей. Хитрость и настойчивость этого вредоносного кода принесли ему первое место в нашем рейтинге.

    - Вирусный Гарри Поттер. Несмотря на то, что данный вирус не имеет никакого отношения к самому популярному сказочному волшебнику, все сообщения, демонстрируемые Samal.A на дисплее ПК – о магии. После заражения компьютера пользователи видят сообщение “Эх, эх, Вы не сказали волшебного слова (Ah ah you didn't say the magic word)”, а курсор начинает мигать в ожидании, пока пользователь введет слово. На самом деле, не имеет никакого значения, какое слово вводится, поскольку после трех попыток на дисплее появляется фраза “Самаэль пришел. Конец”, а компьютер перезагружается.

    - В – значит Вендетта. Эксперты до сих пор не знают, кто является настоящей целью этой вендетты, но DirDel.A мстит зараженным пользователям, постепенно заменяя папки в различных директориях на копии самого себя. Червь содержится в файле под названием Vendetta.exe с обычным значком папки Windows.

    - Просто зануда. Троян Sinowal.VZR заразил тысячи компьютеров под прикрытием авиабилетов, якобы приобретенных пользователем.

    - Деятельный вирус. Здесь речь идет о Whizz.A. Сразу после заражения им компьютер начинает издавать звуковые сигналы, указатель мыши бесконтрольно бегает по экрану, CD/DVD-проигрыватель открывается и закрывается, а дисплей “украшается” решеткой.

    - Шпион. Waledac.AX заманивает своих жертв, утверждая, что предлагает бесплатное приложение для чтения чужих СМС-сообщений. Идеальный вариант для тех, кто хочет проверить своих партнеров. Возможно, именно поэтому такое огромное количество пользователей стали жертвами этого интеллигентного вируса.

    - Самый нежный. BckPatcher.C победил в данной категории, потому что он заменяет обои рабочего стола на изображение с надписью “поцелуй от вируса (virus kiss) 2009”.

    - Немного насморка. WinVNC.A и Sinowal.WRN, которые с целью обмана пользователей и заражения их ПК воспользовались шумихой вокруг свиного гриппа.

    - А награду в категории “Самый некомпетентный новичок” получает… Ransom.K. Этот троян зашифровывает документы на зараженном компьютере, а затем просит $100 выкупа за их расшифровку. Однако его создатель, которому, вероятно, не хватило опыта, допустил ошибку при программировании, которая позволяет пользователям освободить файлы с помощью простой комбинации клавиш.

    - Самый коварный. По итогам 2009 года победителем в данной категории стал FakeWindows.A, который заражает пользователей, выдавая себя за процесс активации лицензий для Windows XP.

    - Тусовщик. Banbra.GMH проникает в компьютер в электронном сообщении, которое обещает фотографии бразильских вечеринок.

    источник
     
    Последнее редактирование: 12 янв 2010
    3 пользователям это понравилось.
  10. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    PandaLabs: 57 процентов российских компьютеров заражены

    Лаборатория PandaLabs компании Panda Security опубликовала отчет о ситуации с веб-безопасностью в 2009 году.

    За прошедшие 12 месяцев специалисты PandaLabs зафиксировали рекордное количество новых вредоносных кодов — 25 млн. Для сравнения: за всю 20-летнюю историю компании в базе данных PandaLabs была накоплена информация лишь о 15 млн образцов такого ПО.

    Среди основных киберпреступных тенденций 2009-го эксперты выделяют массовое появление банковских троянов, фальшивых антивирусов и возрождение традиционных вирусов, одно время почти сошедших на нет. В качестве каналов распространения вредоносного кода все чаще используются социально ориентированные ресурсы вроде Facebook, Twitter, YouTube и Digg.

    [​IMG]
    Новые образцы вредоносных кодов, обнаруженные лабораторией PandaLabs в 2009 году.

    В 2009 году Россия стала второй по степени заражения компьютерного парка: почти 57% машин, проверенных средствами Panda Security, содержали вредоносные компоненты. Первое место удерживает Тайвань (62,2%), на третьем — Польша (55,4%). Лучше всего ситуация с безопасностью обстоит в Швеции, Португалии и Нидерландах, где, по данным PandaLabs, инфицировано 31,6, 37,8 и 38,0% компьютеров.

    Около 92% годового почтового трафика было спамом. В качестве приманки в основном использовались последние мировые события и громкие новости.

    Отчет PandaLabs можно загрузить с этой страницы.

    Подготовлено по материалам PandaLabs.

    источник
     
  11. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    «Лаборатория Касперского» подводит вирусные и спам-итоги 2009 года

    «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о публикации годовых аналитических отчетов о развитии компьютерных угроз и спаме в 2009 году. Основными тенденциями минувшего года стало дальнейшее усложнение вирусных технологий на фоне относительной стабилизации количества нового вредоносного ПО, глобальные эпидемии, а также появление новых схем интернет-мошенничества.

    Новый уровень угроз и глобальные эпидемии

    За прошедший год технологии вирусописателей серьезно усложнились. Программы, оснащенные руткит-функционалом, не только получили широкое распространение, но и значительно продвинулись в своей эволюции. Среди них особенно выделяются такие угрозы, как Sinowal (буткит), TDSS и Clampi.

    Прошлогодний прогноз экспертов «Лаборатории» об увеличении числа эпидемий полностью оправдался. В 2009 году уровня глобальных эпидемий смогли достичь не только TDSS, Clampi и Sinowal, но и еще целый ряд опасных вредоносных программ. Эпидемией года стал червь Kido (Conficker), поразивший свыше 7 млн компьютеров по всему миру.

    Необходимо отметить, что для борьбы со столь распространенной угрозой впервые была создана специальная международная группа - Conficker Working Group -, объединившая антивирусные компании, Интернет-провайдеров, независимые исследовательские организации, учебные заведения и регулирующие органы.

    За последние 3-4 года Китай стал ведущим поставщиком вредоносных программ. В 2009 году «Лабораторией Касперского» было зафиксировано 73 619 767 сетевых атак, более половины из которых – 52,70% – были проведены с интернет-ресурсов, размещенных в Поднебесной.

    В 2009 году изменил свое направление вектор атак: Китай по-прежнему лидирует по числу потенциальных жертв, но его доля уменьшилась на 7%. А вот другие лидеры прошлого года – Египет, Турция, Вьетнам – стали заметно менее интересны киберпреступникам. Одновременно с этим значительно выросло число атак на граждан США, Германии, Великобритании и России.
    Расцвет мошенничества

    В 2009 году все более разнообразными становятся и мошеннические схемы, используемые в Интернете. К традиционному и весьма распространенному фишингу добавились различные сайты, предлагающие платный доступ к «услугам». Пальма первенства здесь принадлежит, увы, России. Именно российские мошенники поставили на поток создание сайтов с предложением «узнать местоположение человека через GSM», «прочитать приватную переписку в социальных сетях», «собрать информацию» и т. д.

    В 2009 году у мошенников продолжала расти популярность псевдоантивирусов. Сегодня для распространения фальшивых антивирусов используются не только другие вредоносные программы (как, например, Kido), но и реклама в Интернете.

    Альтернативные платформы


    Мобильные ОС и Mac OS, привлекают все больше внимания со стороны вирусописателей. В 2009 году на вирусные угрозы для Mac внимание обратила даже компания Apple, встроившая некое подобие антивирусного сканера в новую версию ОС. Кроме этого, в 2009 году произошли давно прогнозируемые события: для iPhone были обнаружены первые вредоносные программы (черви Ike), для Android была создана первая шпионская программа, а для Symbian-смартфонов были зафиксированы первые инциденты с подписанными вредоносными программами.

    Уникальным событием 2009 года стало обнаружение троянской программы Backdoor.Win32.Skimer, первой вредоносной программы, нацеленной на банкоматы. После успешного заражения злоумышленник, используя специальную карточку доступа, может снять все деньги, находящиеся в банкомате, или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат.
    Спам

    Несмотря на кризис, спама в почте меньше не стало. Мировые объемы незапрошенной корреспонденции выросли, но незначительно – рост составил 3,1%, а средняя доля спама в почтовом трафике в 2009 году составила 85,2%. США остаются лидерами спам-рейтинга – 16% всех спам-писем родом из Северной Америки, Россия идет следом – 8,5% всего спама имеет российские корни.

    Главной новинкой в области спамерских трюков можно считать использование сервиса YouTube. Еще одной спам-новинкой 2009 года стали письма с mp3-вложениями.

    Что нас ждет

    В 2010 году эксперты «Лаборатории Касперского» ожидают постепенное смещение вектора атак на пользователей: с атак через веб-сайты и приложения в сторону атак через файлообменные (P2P) сети. При этом сложность вредоносного ПО значительно увеличится.

    По прогнозам специалистов, вырастет и число зловредных программ, ориентированных на iPhone и мобильные устройства под управлением ОС Android. А ситуация, аналогичная падению активности игровых троянцев, повторится на этот раз с поддельными антивирусами.

    С полной версией годового аналитического отчёта «Лаборатории Касперского» о развитии угроз в 2009 году можно познакомиться на информационно-аналитическом портале Securelist.com/ru. Подробнее ознакомиться со спам-итогами года можно в разделе «Аналитка» портала об информационной безопасности Securelist.com/ru.


    источник
     
  12. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Киберугрозы: сценарий будущего по версии "Лаборатории Касперского"

    Антивирусные компании любят делать прогнозы будущих тенденций киберпреступности. Специалисты "Лаборатории Касперского" не остались в стороне и в рамках проведённой вчера пресс-конференции "Компьютерный андеграунд 2009-2010: итоги и прогнозы" поделились с пришедшими на мероприятие журналистами своим видением развития компьютерных угроз на 2010 год.

    По мнению экспертов, в наступившем году будет наблюдаться постепенное смещение вектора с веб-атак в сторону атак через широко востребованные нынче файлообменные сети. Повышенный интерес киберпреступников к торрентам вирусные аналитики объясняют не только огромной аудиторией P2P-сетей, но и привычкой многих пользователей при скачивании и активации пиратского софта отключать антивирусную защиту компьютера. В прошлом году были зафиксированы случаи распространения вредоносных программ TDSS и Virut с использованием P2P-соединений, и в "Лаборатории Касперского" предполагают, что основной удар по торрентам придётся в 2010 году.

    Вредоносные программы станут ещё более сложными - таков ещё один неутешительный прогноз сотрудников антивирусной лаборатории. Уже сейчас получили широкое распространение зловреды, использующие самые продвинутые технологии проникновения на компьютеры и сокрытия в заражённой системе, отличающиеся от предшественников сложной многомодульной структурой и крайне изощрёнными схемами взаимодействия друг с другом. Ситуация усугубляется ещё и тем, что многие антивирусы неспособны вылечить инфицированные такими приложениями машины. Всё это существенно повлияет на развитие средств защиты, и разработчики антивирусов будут стремиться блокировать угрозы на самом раннем этапе их внедрения в систему, так как в противном случае избавиться от проникшего зловреда будет практически невозможно.

    Основными причинами возникновения эпидемий по-прежнему будут обнаруженные уязвимости в пользующемся популярностью программном обеспечении. Особый интерес у хакеров, как предполагают в "Лаборатории Касперского", вызовет Windows 7 - активно принятая рынком новая платформа. Владельцам компьютеров с Mac OS X также не стоит расслабляться: события прошедшего года развеяли миф об отсутствии вирусов для операционных систем Apple, и велика вероятность, что с ростом количества пользователей "Маков" преступники вплотную займутся адаптацией вредоносных кодов к невостребованной ранее среде.

    Обыденностью, как предсказывается, станут атаки на портативные устройства. Для iPhone уже обнаружены вредоносные приложения (черви Ike), для Android была создана первая шпионская программа, а для Symbian-смартфонов были зафиксированы инциденты с подписанными вредоносными компонентами. По словам аналитиков, всплеск интереса киберпреступников к мобильным платформам даст о себе знать в ближайшем будущем, и волной вирусных инцидентов может накрыть пользователей девайсов под управлением операционной системы Android.

    [​IMG]
    В 2010 году владельцам портативных устройств следует быть готовым ко всему, в том числе и к атакам со стороны злоумышленников

    Ожидается, что в наступившем году криминальные структуры вновь сфокусируют своё внимание на технологиях социальной инженерии, и основные усилия хакеров будут направлены на использование изъянов и дыр сервиса Google Wave. Спам, фишинговые атаки, распространение вредоносного ПО - со всем этим безобразием, по мнению специалистов "Лаборатории Касперского", обязательно столкнутся пользователи разрабатываемой корпорацией Google коммуникационной платформы. Утверждение, на наш взгляд, довольно смелое, хотя бы потому, что в настоящий момент Google Wave находится в стадии полуоткрытого бета-тестирования, а во вторых, даже после амбициозного старта вряд ли проект привлечёт огромную армию начинающих пользователей, готовых клевать на уловки вирусописателей.

    В 2010 году следует быть готовым к повторной волне распространения фальшивых антивирусных продуктов. Уже сейчас можно наблюдать, как злоумышленники посредством спам-рассылок и рекламной сети Google Adsense предпринимают массированные попытки пропагандирования своих бестолковых приложений, заставляющих доверчивых пользователей заплатить деньги за активацию псевдоантивируса. Появление и широкое распространение ложных программ обусловлено, в первую очередь, простотой их разработки, отлаженным механизмом эффективного распространения и баснословными финансовыми суммами, извлекаемыми предприимчивыми мошенниками из криминального бизнеса за короткий промежуток времени.

    Интересным выглядит предположение аналитиков антивирусной лаборатории о возможных попытках легализации бизнеса киберпреступников в наступившем году. Если сейчас борьба за создаваемый ботнетами целевой трафик идёт в основном между однозначно криминальными сервисами, то в ближайшем будущем на рынке ботнет-услуг ожидается появление серых схем, позволяющих монетизировать работу зомби-сетей иными способами, без явного криминального оттенка.

    Таким вот мрачным получилось видение будущего у "Лаборатории Касперского". Учитывая повальную компьютеризацию всего и вся, картинка вырисовывается безрадостная, однако не стоит воспринимать её всерьез, поскольку перечисленные в заметке варианты развития киберугроз - всего лишь прогнозы, и не факт, что все они сбудутся. Это, во-первых. Во-вторых, следует помнить о существовании простейших инструкций, позволяющих существенно снизить риск заражения зловредами. Суть их сводится к уходу от постоянного использования администраторского аккаунта, постоянному обновлению компонентов операционной системы и банальному руководству здравым смыслом при работе за компьютером. Соблюдая эти три правила, можно надёжно защититься от угроз даже без использования антивирусов. Звучит немного странно, но так оно и есть на самом деле.



    Источник
     
    machito, Sergei, Саныч и 2 другим нравится это.
  13. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Рейтинг вредоносных программ января по версии "Лаборатории Касперского"

    «Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ. По итогам работы Kaspersky Security Network в январе 2010 года сформированы две вирусные двадцатки. В первой зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

    Среди новичков присутствуют сразу три модификации Trojan.Win32.Autorun. Это autorun.inf-файлы, с помощью которых в данном случае распространяются по переносным носителям печально известные P2P-Worm.Win32.Palevo и Trojan-GameThief.Win32.Magania.

    Скриптовый язык AutoIt набирает популярность – в двадцатке появилось сразу два новых представителя вредоносных программ, созданных с помощью него, – это Packed.Win32.Krap.l и Worm.Win32.AutoIt.tc.

    Вторая двадцатка характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц на компьютеры пользователей.

    Среди новичков Trojan.JS.Iframe.hw, Trojan-Downloader.JS.Agent.ewo и Trojan-Downloader.JS.Pegel.c. Это - скриптовые загрузчики одного типа, перенаправляющие пользователей на другие зловредные скрипты, эксплуатирующие уязвимости в распространенных программных продуктах.

    В целом тенденции не меняются. Все также зловреды активно распространяются с помощью переносных носителей, все также они скачиваются с помощью различных скриптовых загрузчиков, в большинстве своем использующих уязвимости в популярном ПО.



    источник
     
    machito, whop, INKVIZITOR и 4 другим нравится это.
  14. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    McAfee: Угрозы безопасности в 4 квартале 2009 года

    McAfee представила Отчет об угрозах за четвертый квартал, в котором выделяются наиболее значительные области создания нежелательной, а также рассказывается о политически мотивированных электронных атаках в таких странах, как Польша, Латвия, Дания и Швейцария. Несмотря на то, что дневное число сообщений нежелательной почты в 2009 году в среднем составляло 135,5 миллиарда в день, их объем в четвертом квартале, по сравнению с третьим, сократился на 24%.

    Распространители нежелательной почты в 2009 году широко использовали заголовки, пользуясь сенсационными новостями, крупными трагедиями и последними событиями. Крушение самолета компании Air France и смерть Майкла Джексона оказались в числе трагедий, которые распространители спама использовали чаще всего. Исследователи McAfee также отметили значительное число фишинг-мошенничеств, связанных с чемпионатом мира по футболу 2010 года, троянов Zeus, маскирующихся под CDC, ссылок на вакцину от гриппа H1N1 и мошенничеств, предлагавших схемы быстрого обогащения, пользуясь растущим уровнем безработицы в США.

    По всему миру растет количество атак с политическими мотивами. Как показала недавняя политическая атака "Иранской киберармии" на Twitter, они нацелены на популярные социальные сети. В отчете подтверждается, что США не являются единственной целью, а Китай — единственным источником этих атак. Недавние политические атаки были направлены против польского правительства, конференции по климату в Копенгагене и Дня независимости Латвии.

    Распространение вредоносных программ, включая фальшивые программные продукты безопасности, атаки на социальные сети и заражения USB с автоматическим запуском продолжало повышаться в течение года. Интернет-атаки, построенные вокруг технологий Web 2.0 и угрозы на переносных накопителях сыграли огромную роль в 2009 году, внеся значительный вклад в рост размаха угроз и демонстрируя, как природа компьютерных угроз эволюционирует со временем. Киберпреступники использовали сайты социальных сетей, чтобы атаковать новое поколение жертв. Активность червя Koobface существенно выросла во второй половине 2009 года. Koobface теперь размещен на в 46 различных странах, в первую очередь в США, Германии и Дании.

    В отчете также говорится, что лидером по созданию бот-сетей в четвертом квартале 2009 года является Китай, на долю которого приходится 12% всех мировых бот-сетей. США сместились на второе место, доля которых сократилась до 9,5% против 13,1% в третьем квартале 2009 года. Бразилия находится на третьем месте, а завершают первую пятерку Россия и Германия.

    Согласно данным отчета,лидером по объему спама в почтовом являются США. Второе и третье места занимают Бразилия и Индия.

    Северная Америка, по мнению McAfee, занимает первое место по количеству размещенных сетевых угроз. Европа, Ближний Восток и Африка совместно занимают второе место, затем следует Азия с Тихоокеанским регионом. В Европе на первом месте остается Германия, за ней следуют Голландия и Италия. Китай является основным местом размещения вредоносного содержимого в Азии, за ним следуют Россия и Южная Корея. Южная Америка начинает играть более важную роль, а Бразилия занимает первое место в регионе.


    источник
     
    machito нравится это.
  15. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    ESET: вирусы января 2010 года в цифрах

    Разработчик антивирусного ПО и решений в области компьютерной безопасности компания ESET сообщает о самых распространенных интернет-угрозах, выявленных специалистами вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в январе 2010 года.

    [​IMG]

    В январе рейтинг мировых угроз с большим отрывом снова возглавил червь Conficker. Общий процент заражений составил 9,9%. Наиболее высокие показатели распространения данной угрозы на Украине - 24,95%, в ЮАР - 15,77% и Болгарии - 15,37%. На втором месте рейтинга по-прежнему осталась вредоносная программа INF/Autorun с показателем в 7,37%, которая распространяется с помощью сменных носителей. Что касается регионального проникновения, то INF/Autorun возглавил рейтинги угроз в Объединенных Арабских Эмиратах - 8,3%, в Израиле - 5,19% и Литве - 4,9%. «Наши статистические данные по-прежнему показывают большое количество инцидентов, связанных с червем Conficker, - отмечает Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства ESET. - И хотя данная угроза уже не привлекает такого пристального внимания к себе как раньше, она все еще является очень серьезной, и мы продолжаем фиксировать неутихающую активность созданного с помощью Conficker многомиллионного ботнета».

    В статистике вредоносных программ впервые можно наблюдать троянца JS/TrojanDownloader.Agent, который обычно распространяется на вредоносных веб-сайтах. Он занял восьмую позицию рейтинга с показателем в 0,9%. Данная программа загружает все файлы на зараженном компьютере и запускает их без ведома или согласия пользователя. Высокое распространение троян показал во многих странах, таких как Румыния (4,43%), Венгрия (4,25%), Турция (3,33%), Нидерланды (2,7%), Словакия (2,47%) и других.

    В России рейтинг вредоносных программ по-прежнему возглавляет червь Conficker. Общее количество заражений составило 14,44%, первую же позицию занимает разновидность этой вредоносной программы - Win32/Conficker.AA с показателем 6,8%.

    Резко возросло проникновение шпионской программы Spy.Ursnif. В январе она заняла вторую строчку российского рейтинга. Этот червь крадет персональную информацию, учетные записи с зараженного компьютера и отправляет их на удаленный сервер. Распространение данной угрозы характерно и для других стран Восточной Европы. В частности, доля проникновения Spy.Ursnif в Белоруссии составила 5,29%, в России - 5,17%, на Украине и в Казахстане - 0,96%.


    источник
     
  16. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Лжеантивирусы и другие актуальные угрозы февраля 2010 года

    Февраль 2010 года, несмотря на свою традиционную краткость, оказался достаточно насыщенным в плане вирусных угроз. Наибольшее внимание в феврале привлекали лжеантивирусы, как действующие в режиме онлайн, так и классические. Появились новые схемы вымогательства с использованием мобильных устройств. Масштабы эпидемии блокировщиков Windows сократились, достигнув уровня ноября 2009 года.

    Блокировщики Windows

    Благодаря совместным усилиям «Доктор Веб», правоохранительных органов, сотовых операторов, агрегаторов коротких номеров, а также широкой огласке проблемы блокировщиков Windows (Trojan.Winlock по классификации Dr.Web) количество пострадавших от данного типа угроз в феврале существенно сократилось, приблизившись к уровню начала эпидемии. Напомним, оно было зафиксировано в ноябре 2009 года. Если в январе в отдельные дни количество детектов Trojan.Winlock по данным сервера статистики компании "Доктор Веб" превышало 100 000, то в феврале данная цифра составляла несколько тысяч определений в сутки.

    [​IMG]

    Несмотря на то, что масштабы эпидемии Trojan.Winlock в феврале сократились, а количество активно используемых коротких номеров не превышает 10, каждый день от данной угрозы по-прежнему страдают десятки тысяч интернет-пользователей России и Украины.

    Во второй половине февраля стала популярной схема блокировки, направленная на интернет-браузеры. При посещении вредоносной страницы отображается диалоговое окно, которое невозможно закрыть до ввода "кода активации", для получения которого требуется отправить платное SMS-сообщение. Несмотря на то, что избавиться от данной проблемы достаточно просто (необходимо просто снять в диспетчере задач используемой ОС процесс, относящийся к браузеру или принудительно перезагрузить компьютер), количество жертв подобного рода схем вымогательства растет. При этом страдают пользователи как Windows, так и альтернативных операционных систем, таких как Mac OS.

    [​IMG]


    Лжеантивирусы

    В феврале на территории России и ближнего зарубежья злоумышленники стали более активно, чем ранее, использовать схемы вымогательства, связанные с вредоносными сайтами, содержащими на своих страницах так называемые онлайновые лжеантивирусы. Ссылки на данные сайты распространяются в основном через электронную почту, взломанные аккаунты систем мгновенного обмена сообщениями (ICQ), а также через контекстную рекламу популярных поисковых систем и социальные сети. Подобные вредоносные сайты блокируются модулем Родительского контроля Dr.Web.

    [​IMG] [​IMG]

    Наряду с онлайновыми лжеантивирусами русскоязычным пользователям также иногда предлагается классический Trojan.Fakealert. В этом случае авторы вредоносного сайта убеждают пользователя в необходимости загрузки и установки ложной антивирусной программы, которая после якобы сканирования предлагает отправить платное SMS-сообщение.

    [​IMG] [​IMG]

    Несмотря на то, что Trojan.Fakealert предлагается в том числе для русскоязычных пользователей, больше всего пострадавших от данного типа угроз приходится на англоязычные страны. Там Trojan.Fakealert предлагает жертве оплатить "антивирус" банковской карточкой. Сумма перевода в этом случае составляет 50 долларов США и выше. Предложение об оплате "полной версии антивируса" может выводиться как в интернет-браузере, так и непосредственно в интерфейсе лжеантивируса. Если посмотреть на статистику распространения Trojan.Fakealert за последние полгода, можно увидеть, что, начиная с октября 2009 года, наблюдается бурный рост распространения данного типа вредоносных программ. Каждые сутки сервер статистики компании "Доктор Веб" фиксирует огромное число определений лжеантивирусов продуктами Dr.Web. Если же посмотреть на двадцатку самых распространённых за февраль вредоносных программ в почтовом трафике, то в ней можно увидеть целых 8 модификаций Trojan.Fakealert.

    [​IMG] [​IMG]

    Новая схема онлайн-мошенничества

    Всё большую популярность набирает новая схема монетизации преступных доходов, которая связана с отправкой пользователем номера своего мобильного телефона при подписке на ту или иную услугу. В ответ ему приходит SMS-сообщение с кодом активации (содержание которого обычно вовсе не соответствует тематике сайта). Вводя код, пользователь тем самым подписывается на некую услугу, для оплаты которой безо всяких предупреждений каждый день со счёта мобильного телефона списывается некоторая сумма денег. Так как сумма списывается небольшая, пользователь может сразу и не заметить наличие проблемы. Кроме того, часто в подобных случаях возникают трудности с отменой подписки на данную "услугу": для этого злоумышленники могут также требовать отправку платного SMS-сообщения.

    [​IMG] [​IMG]

    Уровень содержания вредоносных программ за февраль в почтовом трафике относительно января текущего года вырос в 4 раза. В основном это связано с более активным распространением лжеантивирусов посредством электронной почты, а также их загрузчиков. Количество вредоносных файлов среди всех проверяемых файлов на компьютерах пользователей увеличилось в феврале на 24 %, практически вернувшись к уровню декабря 2009 года.



    источник
     
  17. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    Рейтинг вредоносных программ февраля по версии "Лаборатории Касперского"

    «Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ. Итоги последнего зимнего месяца не выявили новых тенденций, но в то же время ярко иллюстрируют сложившуюся на сегодняшний день ситуацию: основная опасность заражения компьютеров подстерегает пользователей в интернете.

    Об активности злоумышленников в Сети и масштабах подобного рода атак свидетельствует рейтинг вредоносных программ, обнаруженных на веб-страницах и пытающихся загрузиться на компьютеры пользователей из интернета. Из 20 программ, попавших в список, только 6 фигурировали в аналогичных рейтингах в предыдущие месяцы. 14 позиций заняты новичками. Для сравнения — среди программ, заблокированных непосредственно на компьютерах пользователей (в этот рейтинг не попадают вредоносные программы, загружающиеся из интернета) только 4 новых.

    Из 20 наиболее активных угроз в интернете 8 могут использоваться для редиректа посетителей взломанных легитимных ресурсов на вредоносные сайты. По описанной выше схеме действует и лидирующий в рейтинге печально известный Gumblar, что свидетельствует об очередной волне эпидемии этого скриптового загрузчика. Растут масштабы начавшейся в январе эпидемии аналогичного Gumblar загрузчика Pegel. Среди программ, впервые попавших в рейтинг, присутствуют четыре представителя этого семейства, причем один из них оказался сразу на третьем месте.

    На компьютеры попавших на зловредные сайты пользователей загружается исполняемый вредоносный файл. Для этого злоумышленники чаще всего эксплуатируют уязвимости в крупных программных продуктах, таких как Internet Explorer и Adobe Reader. При этом в таких атаках часто используются уязвимости, обнаруженные несколько лет назад. Это свидетельствует о том, что многие пользователи не потрудились своевременно залатать дыры в установленном на их компьютерах ПО.

    К сожалению, даже установив все обновления для крупных программных пакетов, нельзя быть уверенным в том, что компьютер в безопасности, так как производители такого ПО не всегда вовремя выпускают «заплатки» для обнаруженных уязвимостей. Подтверждением тому служит присутствие на 9-м месте в рейтинге Exploit.JS.Aurora.a. Этот эксплойт к уязвимости в Internet Explorer использовался в таргетированной атаке на крупные компании (такие как Google и Adobe) с целью получения персональной информации пользователей и интеллектуальной собственности компаний. Несмотря на то, что о наличии уязвимости в Microsoft было известно задолго до атаки, исправлена она была только через несколько недель после ее проведения.

    С полной версией отчета о развитии вредоносных программ в феврале можно ознакомиться здесь.



    источник
     
    4 пользователям это понравилось.
  18. zaq
    Оффлайн

    zaq Активный пользователь

    Сообщения:
    188
    Симпатии:
    821
    Весна 2010: кибер-преступность и кибер-защита

    О коммерциализации и организованности действий кибер-преступников СМИ говорят на протяжении уже нескольких лет.

    Ныне даже в ходу термин “рынок кибер-преступности”. Так, Денис Батранков, консультант корпорации IBM по ИБ в регионе Восточной Европы, Азии и России, ссылаясь на отчеты команды экспертов из X-Force, сообщил, что кибер-преступники используют те же технологии ведения своего бизнеса, что и легальные предприниматели. Они, например, тоже переходят на облачные вычисления.

    Через Интернет сегодня можно заказать кибер-криминальные услуги с разными уровнями и стоимостью поддержки, с регулярными дистанционными обновлениями задействованного в услугах ПО.
    Часто прибегая к целевым атакам, хакеры активно используют средства технической и экономической разведки, внимательно и продолжительно, порой по нескольку месяцев, изучают средства защиты жертвы, выявляют слабые места, планируют возможную выручку.

    Кибер-преступники активно легализуют свой бизнес, выводя на рынок ботнет-услуг серые схемы. Примером могут служить так называемые “партнерские программы”, позволяющие владельцам ботнетов “монетизировать” свою работу, не заставляя “партнеров” непосредственно выполнять услуги явно криминального характера (такие как рассылка спама, DoS-атаки, распространение вирусов…).

    Как следует из отчета компании McAfee о кибер-угрозах, в последнем квартале прошлого года по числу заново подвергшихся зомбированию компьютеров лидировали США (15,7%), за ними следовали Китай (9,3%) и Бразилия (8,2%). Россия на “почетном” четвертом месте — 5,6%. Самыми активными, согласно данным “Лаборатория Касперского”, в 2009 г. оказались китайские хакеры: на их долю пришлось почти 53% всех кибер-атак, и вместе с тем сам Китай стал главной целью международных атак. По-видимому, бурно развивающиеся экономика и ИТ-инфраструктура этой страны представляют для преступников двойной интерес: как место проживания перспективных кибер-жертв и как площадка для создания бот-сетей для новых атак.

    По словам Бориса Мирошникова, начальника бюро специальных технических мероприятий МВД России, среди зарегистрированных кибер-преступлений в нашей стране в прошлом году преобладали неправомерный доступ к компьютерной информации (54%), создание и распространение вредоносных программ (12%) и мошенничество (6%). ...

    Читать полностью
     
    4 пользователям это понравилось.
  19. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    61% новых угроз - банковские трояны

    PandaLabs, лаборатория компании-производителя «облачных» решений Panda Security, опубликовала свой отчет за первый квартал 2010. В нем проанализированы события и инциденты в сфере IT- безопасности, произошедшие за первые три месяца текущего года.

    По данным PandaLabs, количество новых вредоносных программ продолжило свой рост. В первом квартале самой распространенной угрозой снова стал банковский Троян - 61% всего нового вредоносного ПО. Интересно, что второе место в этом рейтинге занимают традиционные вирусы (15,13%), несмотря на то, что они фактически исчезли в последние годы.

    [​IMG]
    Благодаря данным, полученным с помощью бесплатного онлайн-сканера Panda ActiveScan, был составлен рейтинг наиболее инфицированных стран. Испания вновь оказалась на первом месте (более чем 35 % зараженных компьютеров). Вслед за ней расположились США, Мексика и Бразилия.

    Что касается других областей IT-безопасности, то в них также произошли важные события. Напомним, что была ликвидирована одна из крупнейших зарегистрированных бот-сетей – Mariposa. Также были обнаружены вредоносные программы в устройствах компании Vodafone и открыты неизвестные ранее критические уязвимости.

    IPad от Apple и Facebook вновь подверглись атакам со стороны BlackHat SEO. Также социальные сети продолжают использоваться кибер-преступниками как средство распространения вредоносного ПО для обмана пользователей. Эта тенденция, по мнению специалистов PandaLabs, продолжится в течение всего года.



    источник
     
  20. zaq
    Оффлайн

    zaq Активный пользователь

    Сообщения:
    188
    Симпатии:
    821
    «Доктор Веб». Вирусные угрозы марта 2010 года.

    В марте 2010 года ситуация с распространением вредоносных программ стабилизировалась, основные «вирусные ньюсмейкеры», такие как блокировщики Windows и баннеры в интернет-браузерах, сократили своё распространение. Лжеантивирусы продолжили своё распространение на территории англоязычных стран, постоянно изменяя свой внешний облик. Заметным событием марта стало также появление нескольких новых модификаций Trojan.Encoder.

    Блокировщики Windows и баннеры в интернет-браузерах

    Сравнивая месячный график распространения браузерных блокировщиков (Trojan.BrowseBan) и блокировщиков Windows (Trojan.Winlock), можно заметить, что они вернулись к уровню октября-ноября 2009 года. Но если взглянуть на недельный график, то можно увидеть, что распространение этих программ стабилизировалось на уровне около 10 000 еженедельных детектов, что соответствует уровню в приблизительно 100 000 заражённых систем в неделю.

    [​IMG]

    [​IMG]

    В течение марта через систему технической поддержки пользователи прислали в адрес компании «Доктор Веб» более 100 уникальных скриншотов блокировщиков. Всего же обработанных службой техподдержки запросов по данной тематике – на порядок больше, так как очень редко пользователи имеют возможность получить изображения с заражённых компьютеров.

    [​IMG]

    Блокировщики остаются одной из самых актуальных тем запросов пользователей в техподдержку по нескольким причинам. Во-первых, избавиться от них очень сложно, и они препятствуют работе на компьютерах, а во-вторых, это угрозы, действие которых наиболее заметно. В то время как большинство вирусных угроз действуют в системе скрытно, в связи с чем специалисты компании «Доктор Веб» рекомендуют пользователем антивирусных продуктов Dr.Web при появлении малейших косвенных признаков активного вирусного заражения обращаться в техническую поддержку.

    Бот-сеть общается через Microsoft Word

    Одним из представителей "подводного мира" вредоносных программ является троянец Trojan.Oficla, который позволяет владельцам бот-сетей, построенных с его помощью, скрываться в системе под процессом Microsoft Word, если эта программа установлена в системе.

    Создатели Trojan.Oficla продают новые версии данной вредоносной программы другим злоумышленникам с целью создания всё новых бот-сетей, которые работают по всему миру.

    Как и в любой другой бот-сети, заражённые Trojan.Oficla компьютеры находятся под полным контролем ее владельца и могут загружать с сервера, принадлежащего злоумышленникам, другие типы вредоносных программ, устанавливать и запускать их в системе.

    Сервер статистики компании «Доктор Веб» в течение марта 2010 года фиксировал в среднем около 100 000 детектов данной вредоносной программы в неделю. Распространяется Trojan.Oficla по каналам электронной почты и через уязвимости в интернет-браузерах. Возможно распространение и по другим каналам – всё зависит от фантазии владельца конкретной бот-сети.

    Невидимый банкир

    Другим представителем вирусного мира, работающим без привлечения внимания пользователя, является троянец Trojan.PWS.Ibank, различные модификации которого имеют возможность на заражённых системах получать информацию о параметрах доступа к интернет-аккаунтам клиентов крупных банков, расположенных в России. Для получения этих данных троянец использует функции эксплуатации уязвимостей ПО банков, с помощью которого их клиенты могут совершать операции со своими счетами через Интернет.

    Полученные данные параметров доступа отправляются к злоумышленникам. Также Trojan.PWS.Ibank имеет в своём составе функционал, с помощью которого отслеживает информацию, вводимую пользователем с клавиатуры.

    Распространяется Trojan.PWS.Ibank неравномерно. В частности, в марте было зафиксировано несколько вспышек новых модификаций этого семейства вредоносных программ, которые по продолжительности занимали не более суток.
    Лжеантивирусы

    К концу марта обращения пользователей по поводу русскоязычных онлайновых лжеантивирусов практически прекратились, но распространение классических представителей этого типа программ (Trojan.Fakealert) продолжается на уровне 30 млн. детектов различных модификаций в месяц.

    Схемы распространения лжеантивирусов отточены годами и не меняются. Корректируется их внешний вид - лжеантивирусы все больше напоминают тот или иной популярный продукт информационной защиты и используют новые методы социальной инженерии.

    [​IMG]

    Шифровальщики файлов

    Март был отмечен появлением нескольких новых модификаций троянцев-шифровальщиков (Trojan.Encoder), которые за расшифровку файлов требуют выкуп в несколько тысяч рублей.

    Так, Trojan.Encoder.67 шифровал все файлы, кроме тех, которые расположены в некоторых системных папках, что в отдельных случаях могло приводить к неработоспособности системы и даже к отсутствию возможности вывести сообщение с требованиями злоумышленников.

    Trojan.Encoder.68 шифровал файлы только определённых типов с помощью их упаковки в архив с паролем по ZIP-алгоритму. Длина пароля составляла 47 символов, при этом он отличался на каждой заражённой системе. Специалисты компании «Доктор Веб» разработали специальную форму для бесплатной генерации паролей для распаковки зашифрованных файлов.

    Средства для противодействия троянцам семейства Trojan.Encoder.68 сосредоточены на специальной странице сайта компании «Доктор Веб», посвящённого бесплатным средствам противодействия вирусным угрозам.

    В марте процентное содержание вредоносных программ в почтовом трафике относительно февраля увеличилось на 22 %. Доля вредоносных программ среди проверенных файлов на компьютерах пользователей уменьшилась на 24 %. Данные изменения можно считать незначительными, порядок процентного отношения вредоносного трафика ко всем проверяемым объектам остался на уровне февраля 2010 года.



    Подробнее
     
    6 пользователям это понравилось.

Поделиться этой страницей