Звичні й незвичні форми обману: вірусний жовтня 2010

Жовтень в черговий раз показав розмаїття способів інтернет-шахрайства, при цьому зловмисники використовували нові варіанти відомих раніше схем перенаправлення користувачів інтернет-браузерів з сторінок популярних веб-сайтів на шкідливі сторінки. Також вирусописатели використовували високу популярність деяких "гучних" шкідливих програм для розповсюдження інших вірусів під виглядом вакцини від них. Тим часом протистояння шкідливих і антивірусних програм поступово виходить на нове поле 64-бітових платформ.


64-бітний антіруткит


26 жовтня 2010 компанія "Доктор Веб"Випустила бета-версію безкоштовної лечащей утиліти Dr.Web CureIt!, Сканер якої містить 2 версії антіруткит-модуля Dr.Web Shield, призначених для роботи в 32 – і 64-бітових версіях операційних систем сімейства Microsoft Windows. Оновлений Dr.Web CureIt! здатний виявити 64-бітну модифікацію руткіта BackDoor.Tdss і провести лікування системи.


Відмінною рисою цієї шкідливої програми є наявність так званої буткіт-складової, яка дозволяє бекдор завантажуватися до старту операційної системи. Така схема дозволяє шкідливої програмі взяти хід завантаження системи під контроль і обійти всі методи захисту системи від установки непідписаного зловмисних драйвера, після чого таємно виробляти зловмисні дії в системі.


Після завершення тестування сканер з бета-версії Dr.Web CureIt! буде включений у всі продукти Dr.Web, призначені для роботи в ОС Windows.


Зворотний бік популярності вірусів


У той час як антивірусні компанії вивчають нові шкідливі програми і публікують результати своїх досліджень у ЗМІ, підвищуючи рівень знань користувачів, зловмисники теж користуються цими знаннями, поширюючи одні шкідливі програми під виглядом утиліт для лікування інших, більш відомих.


У жовтні фахівці компанії "Доктор Веб"Виявили відразу кілька подібних випадків. Найбільш відомим з них стала розсилка зловмисниками утиліти, яка нібито протидіють знаменитому (з вересня 2010 року) Trojan.Stuxnet, Від імені відомих виробників антивірусів. Хибна утиліта визначається Dr.Web як Trojan.KillAll.94. Повідомлення про розповсюдження даного троянця надходили від користувачів з європейських країн.


Розповсюджувачі помилкових архівів (Trojan.SMSSend) Скористалися тим, що деякі види їх "продукції" (наприклад, WinRARC) стали досить популярними, і деякі користувачі не звертають увагу на те, що дані "архіви" не містять ніякої корисної інформації. І тоді кіберзлочинці пішли ще далі: почали поширювати інші помилкові архіви – нібито утиліти для розпакування файлів, створених в "архіваторі" WinRARC. Звичайно, для використання цієї "Утиліти" буде потрібно знову відправити гроші зловмисникам.


В останніх числах жовтня почала поширюватися нова модифікація Trojan.Hosts, Орієнтована на російськомовних користувачів. У ній повідомляється про те, що комп'ютер заражений однієї з модифікацій троянця Zbot (Trojan.PWS.Panda по класифікації Dr.Web), а для лікування системи пропонується відправити платне СМС-повідомлення.



Інтернет-шахрайство в жовтні


У цілому число звернень в безкоштовну техпідтримку компанії "Доктор Веб"У зв'язку з випадками інтернет-шахрайства за жовтень залишилося практично на вересневому рівні, склавши 118 звернень на добу проти 124 в минулому місяці.


Основна частина запитів була створена у першій половині місяця, коли активно поширювався троянець Trojan.HttpBlock. У пікові дні фіксувалося до декількох сотень звернень в техпідтримку з цього приводу (до 80% усіх звернень).


Дана шкідлива програма перенаправляє інтернет-браузер на сторінки, що передаються веб-сервером, який Trojan.HttpBlock встановлює локально на комп'ютер жертви. Після цього зловмисники вимагають викуп за відновлення нормальної роботи інтернет-браузера.


Після публікації компанією "Доктор Веб"14 жовтня 2010 року Новини про широке розповсюдження Trojan.HttpBlock агрегатори коротких номерів повідомлень оперативно відреагували на ситуацію, заблокувавши акаунти зловмисників. Після цих подій кількість звернень в техпідтримку у зв'язку з випадками інтернет-шахрайства скоротилося до звичних 50-70 на добу.


Разом зі спадом хвилі Trojan.HttpBlock найбільш поширеними шкідливими програмами, як і раніше, стали блокувальники Windows (Trojan.Winlock), Що вимагають відправити гроші на рахунок мобільного телефону за допомогою терміналу, і троянці, модифікуючі системний файл hosts для перенаправлення користувачів на шкідливі сайти при спробі відвідати сайти соціальних мереж, або інші популярні інтернет-ресурси (Trojan.Hosts).


Необхідно відзначити, що до кінця жовтня частіше стали зустрічатися схеми, при яких зловмисники вимагають від користувача ввести його номер телефону, після чого відповісти на яке прийшло безкоштовне СМС-повідомлення. Тим самим користувач підписується на якусь платну послугу, за яку з рахунку його мобільного телефону раз на кілька днів знімаються гроші. Ця давно відома схема знову виявилася досить популярною. Але якщо раніше вона використовувалася в основному на шкідливих сайтах, то зараз її нерідко можна зустріти при поширенні таких шкідливих програм, як помилкові архіви Trojan.SMSSend, А також троянців Trojan.Hosts.



Крім того, була виявлена незначно змінена схема вимагання з використанням мобільного телефону: користувачам мобільного зв'язку пропонується замість прогулянки до банкомату відправити гроші на рахунок іншого мобільного телефону, не встаючи з місця. Для цього зловмисники пропонують або набрати певну команду, або відправити спеціальне СМС-повідомлення.



Інтернет-шахраї теж жартують


Незначне поширення отримала одна з модифікацій Trojan.Winlock, В блокуючому вікні якої вимагалося вводити ніяких кодів розблокування. Навпаки, текст розповідав користувачеві про шкоду постійної участі у житті однієї з популярних соціальних мереж.



З інших помітних подій жовтня можна відзначити появу нових модифікацій троянця Android.SmsSend, який займається прихованою розсилкою платних СМС-повідомлень з зараженого мобільного пристрою. На території Європи триває поширення лжеантівірусов, шкідливих програм, що містять буткіт-складову, а також троянців, орієнтованих на користувачів інтернет-банкінгу.


Шкідливі файли, виявлені в жовтні в поштовому трафіку





















































































01.10.2010 00:00 – 01.11.2010 00:00


1


Trojan.DownLoad1.58681


599141 (14.92%)


2


Trojan.Packed.20878


418992 (10.43%)


3


Trojan.Oficla.zip


305686 (7.61%)


4


Trojan.Packed.20312


254743 (6.34%)


5


Trojan.DownLoad.41551


237799 (5.92%)


6


Win32.HLLM.Netsky.18401


232178 (5.78%)


7


Win32.HLLM.MyDoom.33808


179524 (4.47%)


8


Trojan.Oficla.38


120247 (2.99%)


9


Win32.HLLM.Beagle


101548 (2.53%)


10


Trojan.PWS.Panda.114


93394 (2.33%)


11


Win32.HLLM.Netsky.35328


87369 (2.18%)


12


Trojan.DownLoader1.17157


67928 (1.69%)


13


W97M.Killer


61803 (1.54%)


14


Trojan.Oficla.48


53498 (1.33%)


15


Trojan.PWS.Panda.387


51020 (1.27%)


16


Trojan.Oficla.73


45969 (1.14%)


17


Trojan.Botnetlog.zip


42480 (1.06%)


18


Trojan.AVKill.2788


35663 (0.89%)


19


Trojan.DownLoader1.23313


33962 (0.85%)


20


Trojan.MulDrop1.39520


33956 (0.85%)









Всього перевірено:


33,579,363,132


Інфіковано:


4,016,939


 


 


Шкідливі файли, виявлені в жовтні на комп'ютерах користувачів





















































































01.10.2010 00:00 – 01.11.2010 00:00


1


Win32.HLLP.Neshta


8277556 (25.33%)


2


Win32.HLLP.Whboy.45


6770512 (20.72%)


3


Trojan.DownLoader.42350


4116047 (12.60%)


4


ACAD.Pasdoc


1616962 (4.95%)


5


JS.Nimda


1334519 (4.08%)


6


Exploit.Cpllnk


862594 (2.64%)


7


Win32.HLLM.Dref


714726 (2.19%)


8


Win32.Virut


596437 (1.83%)


9


Trojan.Click.64310


469055 (1.44%)


10


Win32.HLLP.Rox


458892 (1.40%)


11


Win32.Antidot.1


450340 (1.38%)


12


Trojan.Click1.6029


447519 (1.37%)


13


Win32.Rmnet


400975 (1.23%)


14


Win32.HLLW.Shadow.based


282147 (0.86%)


15


Trojan.Smorchok.334


221668 (0.68%)


16


Win32.HLLP.Whboy


220591 (0.68%)


17


Win32.HLLP.Novosel


213851 (0.65%)


18


Trojan.DownLoader.46199


156212 (0.48%)


19


BackDoor.IRC.Sdbot.4590


154582 (0.47%)


20


Trojan.DownLoad.32973


136309 (0.42%)










Всього перевірено:


84,690,812,733


Інфіковано:


32,677,797


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*