Різдво – найкращий час для поширення вірусів, Безпека ПЗ, Security & Hack, статті

Грудень завершив 2010 рік поширенням шкідливих програм з використанням технологій, які вирусописатели винаходили протягом усього року.Зловмисники застосували нові технології, що дозволяють видаляти з комп’ютера користувача антивірусне ПЗ, а західноєвропейські користувачі під час святкування католицького Різдва відчули на собі епідемію поширення шкідливої ​​програми, підміняє результати запитів в пошукових системах.

Свята як час для поширення вірусів

Складно сказати, чим конкретно керуються автори шкідливих програм в кожному конкретному випадку, коли вибирають для поширення результатів своєї “роботи” загальні свята. Може бути, тим, що в цей час антивірусні компанії можуть не зреагувати оперативно на появу нової загрози, або тим, що користувач не буде під час свят займатися проблемою із зараженням системи, і тим самим зловмисники з більшою ймовірністю зможуть досягти своєї мети. Але, незважаючи на те, що сучасні антивірусні компанії працюють в цілодобовому режимі, зловмисників і раніше притягають свята.

Так, західноєвропейські користувачі комп’ютерів відчули на собі поширення шкідливої ​​програми Trojan.Hottrend.32. Дана шкідлива програма була додана в вірусну базу Dr.Web 8 грудня 2010, але пік її поширення припав на 24-25 грудня – час, коли Західна Європа святкує католицьке Різдво.

Основною складністю, з якою зіткнулися багато антивіруси при лікуванні комп’ютерів, заражених Trojan.Hottrend.32, Були пов’язані з тим, що лікування проводилось не повністю, і після такого “лікування” після перезавантаження комп’ютера система вже не завантажувалася коректно – користувачі спостерігали BSOD – так званий “синій екран смерті “.

Справа в тому, що даний троянець – багатокомпонентний. Багато антивіруси змогли визначити в системі шкідливі бібліотеки, розташовані в системному каталозі Windows, і видалити їх. Але при цьому такі антивіруси не відновлювали системні файли, які заражаються при установці троянця в систему для запуску з цих системних процесів шкідливих бібліотек. Користувачів Dr.Web при цьому чекав приємний сюрприз – Антивірус з лікуванням системи впорався успішно, видаляючи як шкідливі dll-бібліотеки, так і відновлюючи системні файли. Заражені системні файли Dr.Web визначає як Win32.Dat.15.

Цікава зв’язок останніх модифікацій Trojan.Hottrend з іншими відомими шкідливими програмами. Так, установник Trojan.Hottrend.34 використовує уразливість, яку використовував раніше BackDoor.Tdss, Широко відомий також як TDL4, що дозволяє троянці підняти привілеї своєї роботи в сучасних версіях Windows. При цьому використовується вразливість Планувальника Windows. Відповідний компонент визначається Dr.Web як Exploit.TaskScheduler.1. Якщо необхідно, Trojan.Hottrend.34 також використовує уразливість в підсистемі друку Windows. Схожий, але дещо модифікований експлойт був використаний в одній із банківських троянців Trojan.PWS.Ibank.279.

Антивіруси знову можна видалити

У грудні з’явилася інформація про багатокомпонентному троянця Trojan.VkBase.1, Навчився видаляти сучасні антивірусні продукти. Для цього троянець перезавантажувати систему в Безпечний режим. Оскільки модуль самозахисту в антивірусі Dr.Web функціонує і в безпечному режимі Windows, то для видалення антивіруса Dr.Web зловмисники використовували спеціальний завантажуваний модуль, котрий використовував вразливість, – Trojan.AVKill.2942. В даний час дана уразливість закрита. Таким чином, користувачі Dr.Web виявилися першими захищені від подібних атак вірусописьменників.

Метою Trojan.VkBase.1 була банальна блокування комп’ютерів з метою вимагання викупу за розблокування, але після розблокування системи користувачів чекав черговий сюрприз – незважаючи на те, що антивірусна програма, встановлена ​​раніше, була видалена шкідливою програмою при зараженні системи, користувачеві пропонувалася ілюзія того, що антивірусна програма продовжує працювати в нормальному режимі. Для цього автори програми використовували модуль Trojan.Fakealert.19448, Який імітував встановлений раніше антивірус, хоча насправді це не відповідало дійсності.

Інтернет-шахрайство грудня

Кількість звернень користувачів, що постраждали від інтернет-шахрайства, в грудні збільшилася незначно (на 5%) і склав 164 звернення на добу.

Кількість блокувальників Windows, що вимагають відправити гроші зловмисникам на рахунок мобільного телефону, у грудні 2010 року знову збільшилася з 60% до 70% всіх шкідливих програм, пов’язаних з інтернет-шахрайством. Можна говорити про те, що автори блокувальників Windows майже відмовилися від схем монетизації, пов’язаних з платними СМС-повідомленнями. При цьому старі схеми з СМС-повідомленнями використовуються в інших типах шкідливих програм.

У грудні також набрала обертів нова модифікація схеми, при якій користувач відправляє гроші на рахунок мобільного телефону шахраїв. При використанні цієї схеми користувачів не змушують йти до терміналу – досить скористатися сервісом передачі грошей з рахунку мобільного телефону користувача-жертви на рахунок мобільного телефону зловмисника. Таку можливість зараз підтримують всі відомі стільникові оператори. Число блокувальників, що використовують таку схему, в грудні склало близько чверті всіх запитів користувачів, при цьому в листопаді 2010 року вони практично відсутні.

Інші загрози грудня 2010

Аналізуючи статистику, зібрану сервером статистики Dr.Web за грудень 2010 року, можна також відзначити серйозне поширення через електронну пошту клієнтів бот-мереж (Trojan.Oficla), А також шкідливих програм, мета яких – видалення антивірусних продуктів, встановлених на комп’ютерах користувачів (Trojan.AVKill). Намагаються не відставати від них і троянці, які крадуть паролі від інтернет-акаунтів, належать користувачам (Trojan.PWS.Panda).

Якщо поглянути на статистику шкідливих програм, виявлених на комп’ютерах користувачів, можна помітити, що як і раніше в двадцятку найбільш поширених програм входять спеціально написані ярлики, які визначаються Dr.Web як Exploit.Cpllnk, При цьому патч, що закриває дану уразливість, виробник Windows випустив ще спочатку серпня 2010 року. Це говорить про те, що багато користувачів до цих пір не встановили критичні оновлення за серпень минулого року, тобто не вважають за необхідне дотримуватися елементарних правил інформаційної безпеки і піддають свої системи додатковому ризику зараження.

Шкідливі файли, виявлені в грудні в поштовому трафіку

01.12.2010 00:00 – 01.01.2011 00:00
1 Trojan.DownLoad1.58681 585624 (10.67%)
2 Trojan.Packed.20878 424313 (7.73%)
3 Trojan.Oficla.zip 310037 (5.65%)
4 Trojan.Packed.20312 258656 (4.71%)
5 Trojan.DownLoad.41551 241333 (4.40%)
6 Trojan.Oficla.38 146380 (2.67%)
7 Trojan.AVKill.2788 111996 (2.04%)
8 Win32.HLLM.Beagle 108907 (1.98%)
9 Trojan.PWS.Panda.114 94719 (1.73%)
10 W97M.Killer 86120 (1.57%)
11 Trojan.DownLoader1.17157 68893 (1.25%)
12 Win32.HLLW.Autoruner.35407 60270 (1.10%)
13 Trojan.MulDrop1.54160 52069 (0.95%)
14 Trojan.PWS.Panda.387 51701 (0.94%)
15 Trojan.Oficla.48 51661 (0.94%)
16 Trojan.Oficla.73 51660 (0.94%)
17 Trojan.Botnetlog.zip 43136 (0.79%)
18 Win32.HLLM.MyDoom.54464 36344 (0.66%)
19 Trojan.AVKill.3097 35781 (0.65%)
20 Trojan.Inject.12703 34457 (0.63%)

Всього перевірено: 49,621,212,845

Інфіковано: 5,489,646

Шкідливі файли, виявлені в грудні на комп’ютерах користувачів

01.12.2010 00:00 – 01.01.2011 00:00
1 Win32.HLLP.Whboy.45 26157925 (35.09%)
2 Win32.HLLP.Neshta 19074952 (25.59%)
3 Win32.Siggen.8 9701550 (13.01%)
4 Win32.HLLP.Whboy.105 3029087 (4.06%)
5 Win32.HLLP.Rox 1778666 (2.39%)
6 Win32.HLLP.Novosel 1694940 (2.27%)
7 Win32.Antidot.1 1417299 (1.90%)
8 ACAD.Pasdoc 880117 (1.18%)
9 Win32.HLLP.Whboy 837595 (1.12%)
10 Trojan.MulDrop1.48542 813936 (1.09%)
11 JS.Nimda 649954 (0.87%)
12 HTTP.Content.Malformed 500629 (0.67%)
13 Trojan.DownLoad.32973 373241 (0.50%)
14 Win32.HLLW.Shadow.based 348344 (0.47%)
15 Exploit.Cpllnk 338660 (0.45%)
16 Win32.Sector.22 310594 (0.42%)
17 Win32.HLLW.Autoruner.5517 206193 (0.28%)
18 Win32.Sector.21 185741 (0.25%)
19 Trojan.MulDrop.54146 176975 (0.24%)
20 Trojan.DownLoader.42350 175097 (0.23%)

Всього перевірено: 112,698,120,297

Інфіковано: 74,550,079

 

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Трекбек і пінги

трекбеків / пінгів ще немає.

Відгуки

Відформатуйте статтю перед викладенням,величезні пробіли і русизми в статті,дякую

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*