rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Вирусная активность: жаркий август

Как отмечают эксперты ведущих разработчиков и производителей антивирусного ПО, август текущего года в части вирусной активности на просторах Рунета выдался «жарким». Среди наиболее заметных событий эксперты отмечают скачкообразный рост числа модификаций вредоносных программ для мобильных устройств, работающих под управлением ОС Android. Помимо этого некоторые из разработчиков антивирусного ПО отмечают, что в августе была зафиксирована беспрецедентная атака на поклонников многопользовательских компьютерных игр по Сети, а также ряд других происшествий и угроз безопасности.

Как отмечают эксперты, характерной особенностью России в части вирусной активности по-прежнему продолжают оставаться различные мошеннические схемы, реализуемые при помощи вредоносного ПО как в отношении владельцев настольных ПК, так и в отношении владельцев мобильных устройств. При этом в августе текущего года экспертами был зафиксирован значительный рост числа модификаций различных зловредов, ориентированных на операционную систему Android. Наиболее популярной у вирусописателей продолжает  оставаться группа так называемых «sms-троянцев»

Большинство таких вредоносных программ либо отправляют втайне от пользователя sms на платные сервисные номера, либо подписывают их на премиум-услуги, за предоставление которых со счета пользователя снимаются средства. Одним из «хитов» августа стали троянцы семейства Android.SmsSend. По данным экспертов компании Dr.Web эти вредоносные программы предлагают неискушенным пользователям отправить платное сообщение для установки программ, которые при иных обстоятельствах можно получить совершенно бесплатно.

В компании Dr.Web отмечают, что авторы троянцев семейства Android.SmsSend, известного еще с августа 2010 года, используют ту же мошенническую схему, которая применяется для распространения Trojan.SmsSend для настольных ПК. Жертва скачивает с одного из веб-сайтов нужное ей приложение (например, браузер Opera Mini для мобильных устройств). В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько sms на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь перешел не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.

На начало 2011 года в вирусных базах Dr.Web значилось всего шесть модификаций данного троянца, а на текущий момент их насчитывается уже 60. Иными словами, только за истекшие семь с половиной месяцев количество версий Android.SmsSend выросло в десять раз. Резко возросло и число новых модификаций этой вредоносной программы, присланных в вирусную лабораторию компании «Доктор Веб» в августе 2011 года. Всего с начала августа было выявлено 22 неизвестные ранее версии троянца против среднего показателя, составляющего 5–7 новых обнаружений в месяц. Таким образом, специалисты Dr.Web говорят о 36% росте числа версий данной угрозы только в августе 2011 года.

О взрывном росте в августе текущего года количества вредоносных программ, нацеленных на мобильные устройства, работающие на ОС Android говорят и в компании «Лаборатория Касперского»: «В августе мы обнаружили 314 модификаций вредоносных программ для различных мобильных платформ, из которых более половины (161) пришлись на Android. Причем такое количество модификаций, найденных за один месяц, стало самым большим за всю историю наблюдения за вредоносными программами для мобильных устройств. Зловреды для Android действительно получают все большее распространение, причем в разных странах преобладают определенные типы вредоносных программ. Если говорить о России, то злоумышленники по-прежнему сосредоточены на создании и распространении SMS-троянцев, отсылающих SMS-сообщения на короткие платные номера без ведома пользователя. Причем если раньше в основном большинство зловредов создавалось под платформу J2ME, то сейчас все больше и больше вредоносных программ нацелены на Android», - говорит старший вирусный аналитик «Лаборатории Касперского» Денис Масленников.

Вирусный аналитик «Лаборатории Касперского» Мария Гарнаева дополняет: «Характерной особенностью России по-прежнему продолжают оставаться различные мошеннеческий схемы через Интернет. В «топе» нашего рейтинга детектируемых вредоносных файлов для России в августе присутствуют Hoax.Win32.ArchSMS – «архивы за смс», а также Hoax.HTML.FraudLoad, Hoax.HTML.BroUpdate  - они соответствуют контенту интернет страничек, вводящих пользователя в заблуждение, например, предлагающих обновить браузер». 

Некоторые из экспертов отметили в августе и угрозу безопасности, которая распространялась среди поклонников многопользовательских компьютерных игр по Сети. В частности, в компании Dr.Web говорят об атаке на  поклонников популярной  игры Counter-Strike. В ходе проведенного аналитиками компании Dr.Web расследования удалось установить, что изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy. Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на реальный игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и служебные серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Эксперты Dr.Web предполагают, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы.

В части атак на игровые серверы в Dr.Web отмечают также, что за последние четыре месяца специалистами компании Dr.Web было зафиксировано 49 бот-сетей, построенных с использованием BackDoor.DarkNess. Порядка десяти из них действуют до сих пор, и за их активностью компания продолжает внимательно следить. Всего за этот период ботам было передано 363 уникальные команды, большинство из которых инициировало DDoS-атаки. Наиболее популярной целью таких атак стали многочисленные российские серверы онлайновой игры LineAge-2: игровые серверы LA2 подвергались нападению в 13,5% случаев (71 уникальная атака).

Говоря о других августовских угрозах, в частности в «Лаборатории Касперского» отмечают следующие: «В августе получил широкое распространение один из клонов печально известного троянца ZeuS, нацеленного на кражу логинов/паролей от онлайн-банкинга. Цена новинки, получившей название Ice IX, варьируется от $600 до $1800. Все большее распространение получают вредоносные программы, которые тем или иным образом связаны с системой электронных денег Bitcoin. А в конце августа активно распространялся червь Morto, который использует службу Windows RDP (удаленный рабочий стол) для своего распространения. Червь содержит в себе функционал ботнета, основной целью которого в данном случае является проведение DDoS-атак», - говорит Денис Масленников.

Еще одним «хитом» августа текущего года стало активное распространение и рост числа заражений троянской программой Trojan.Mayachok.1. Атаке этой вредоносной программы подверглись многие пользователи, неожиданно столкнувшиеся с невозможностью выйти в сеть Интернет. О распространении этого зловреда наше издание писало в связи с сообщением от оператора связи «Ростелеком», который предупреждал пользователей о появлении вредоносной программы. Напомним, что в начале августа российскими интернет–провайдерами был зафиксирован ряд случаев заражения компьютеров пользователей вредоносным ПО, блокирующим доступ к сети Интернет якобы из-за «перегрузки каналов» связи. После заражения компьютера данное ПО предлагает абонентам активировать «резервные каналы» подключения к Интернет путем указания номера своего мобильного телефона или с помощью отправки sms. 

По данным  Dr.Web, в связи с распространением  Trojan.Mayachok.1 были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались: вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru.

Одновременно с этим множество пользователей оказались подвержены заражению второй версией данной троянской программы: ее особенность заключается в том, что эта модификация Trojan.Mayachok инфицирует Volume Boot Record, после чего в браузерах пользователей появляется сообщение о том, что их компьютер якобы заражен вирусом Trojan.Win32.Ddox.ci. Для устранения «проблемы» злоумышленники предлагают жертве установить обновление браузера, для чего требуется отправить на короткий номер платное sms-сообщение. При этом создатели троянца не поленились разработать отличающиеся своим оформлением баннеры для наиболее популярных на сегодняшний день браузеров: Microsoft Internet Explorer, Mozilla Forefox, Opera, Google Chrome.

Автор: Денис Шишулин (info@mskit.ru)

Рубрики: ПО, Web, Безопасность

Ключевые слова: Лаборатория Касперского, Касперский, Dr Web, троян, вирус, безопасность, Kaspersky, информационная безопасность, антивирус, вирусная активность, Доктор Веб, мошенничество

наверх
 
 
     

А знаете ли Вы что?

     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

MSKIT.RU: последние новости Москвы и Центра

ITSZ.RU: последние новости Петербурга