Нескінченна історія з Trojan.Encoder, наступ лже-антивірусів і інші тенденції вересня 2009 р., Безпека ПЗ, Security & Hack, статті

Вересень – час, коли “однокласники” повертаються за свої комп’ютери з канікул, а ті, хто постарше – з відпусток прямо на своє робоче місце в офісі. Активність користування Інтернетом зростає – неминуче зростає і кількість інтернет-загроз і постраждалих від них користувачів. У вересні 2009 року найбільш актуальними вірусними подіями стали різко зросла активність троянської програми Trojan.Encoder, що шифрує дані на комп’ютерах своїх жертв, продовження навали лже-антивірусів, а також оригінальні методи “злому” соціальних мереж. Компанія “Доктор Веб” представляє огляд цих та інших загроз, під “знаком” яких пройшов вересень.

“Коректор” запустив нову хвилю Trojan.Encoder


28 вересня 2009 “Доктор Веб” повідомив про те, що протягом останнього місяця істотно зросла кількість жертв програми-здирника Trojan.Encoder, що шифрує документи користувачів і вимагає викуп за їх розшифровку. В даний час сума викупу становить 600 рублів, і при цьому навіть після перерахування цих грошей зловмисникові, що іменує себе “Коректор”, він не гарантує передачу утиліти-дешифратора або її працездатність в системі потерпілого користувача. Щодня десятки постраждалих користувачів отримують від фахівців компанії “Доктор Веб” допомога по відновленню файлів, заражених цією шкідливою програмою.


З моменту публікації цієї новини з’явилися 3 нові модифікації Trojan.Encoder – 43, 44 і 45. Вони відрізняються від попередніх новим ключем шифрування документів, а також новими контактними даними зловмисника. Фахівці “Доктор Веб” оперативно створили утиліти, що дозволяють розшифрувати файли, доступ до яких був заблокований новими модифікаціями Trojan.Encoder. Але особливо цікава ще одна, сама “свіжа” модифікація Trojan.Encoder. Ця версія троянської програми додає до зашифрованих файлів розширення. DrWeb. Внаслідок успішної протидії Trojan.Encoder з боку антивіруса Dr.Web у автора, мабуть, зародилося бажання “нашкодити” за допомогою згадки нашої торгової марки в назві зашифрованих файлів.


Крім того, у розпорядженні фахівців “Доктор Веб” виявилася посилання на один із сайтів автора актуальних модифікацій Trojan.Encoder. Цікаво, що власник цього ресурсу намагається асоціювати себе з “Доктор Веб”, використовуючи образи павука та доктора, в той час як компанія не має до подібних сайтів ніякого відношення. Очевидно, таке оформлення використовується для того, щоб заплутати недосвідчених користувачів і скомпрометувати компанію “Доктор Веб”.


Зловмисник всіляко намагається постати перед постраждалими з позитивного боку – як людина, що допомагає відновити документи користувачів. На своєму сайті він пропонує просмортеть ролик, в якому демонструється робота утиліти дешифрування документів, за який вимагав гроші.



За наявними відомостями можна припускати, що вимаганням грошей після шифрування файлів займається одна людина.


Не кожен антивірус корисний


Лже-антивіруси вже не перший місяць турбують користувачів по всьому світу. Для того, щоб людина скачав таку шкідливу програму, придумуються самі різні хитрощі – від спеціальних інтернет-ресурсів з рекламою вигаданого “антивіруса” до традиційних спам-розсилок.


В кінці вересня помітне поширення набула одна з модифікацій лже-антивірусів Trojan.Fakealert.5115. Пік активності цієї шкідливої ​​програми припав на 27 вересня, коли на серверах статистики “Доктор Веб” було зафіксовано понад 800 000 її детектив.




Після запуску Trojan.Fakealert.5115 в області сповіщень Windows з’являється значок з повідомленням про те, що система інфікована і що необхідно використовувати спеціальне ПЗ для того, щоб уникнути втрати даних. Далі повідомляється про те, що Windows автоматично завантажить необхідне ПО, для чого потрібно клацнути по повідомленню.



Після цього зі спеціально підготовлених серверів відбувається завантаження інших компонентів Trojan.Fakealert.5115, які визначаються Dr.Web як Trojan.Fakealert.4709 і Trojan.Fakealert.5112. З візуальних проявів Trojan.Fakealert.5115 можна також відзначити відображення вікна вигаданого антивірусного продукту під назвою Antivirus Pro 2010.







В даний час відзначено поширення нових модифікацій цього лже-антивіруса – Trojan.Fakealert.5229 і Trojan.Fakealert.5238. Відмінністю Trojan.Fakealert.5229 інших подібних модифікацій є перезавантаження системи під час роботи троянської програми.


Trojan.Fakealert.5238 відрізняється тим, що відображає модифіковане вікно Windows Security Center, в якому повідомляється про те, що комп’ютер нібито приховується за допомогою Antivirus Pro 2010, але необхідно придбати його ліцензію.



При натисканні на відповідну кнопку відкривається спеціально підготовлений сайт, за допомогою якого можна придбати дану вельми недешеву бутафорію. На ділі ж пропонований “повноцінний антивірус”, як і завжди, виявляється пустушкою.



Лже-антивіруси вже протягом кількох років забезпечують зловмисникам значний дохід, отриманий злочинним шляхом, але за останній місяць розповсюдження даного типу шкідливого ПО істотно посилився.


Хто хоче зламати соціальну мережу?


З незвичайною пропозицією звернувся до своїх потенційних жертв один з вірусописьменників зі своєї сторінки в Інтернеті. Він опублікував подробиці про нібито виявлений нещодавно методі злому облікових записів користувачів популярної соціальної мережі “ВКонтакте”. За допомогою цього методу, зловмисник пропонує отримати можливість редагувати чужі анкетні дані, а також одночасно захистити від даної “Уразливості” свій профіль.



Для досягнення цієї мети він рекомендує користувачеві самостійно модифікувати системний файл hosts. При цьому з плечей Вірусописьменники знімається турбота про те, як реалізувати цю операцію в рамках шкідливої програми.


Природно, після виконання інструкцій, довгоочікуваний ефект, обіцяний автором сайту, не наступає. На цей випадок зловмисник пропонує завантажити програму, яка внесе необхідні настройки автоматично. І тут користувачів чекає розчарування – оскільки і тепер очікуваного результату немає. Що й не дивно, бо ця програма визначається Dr.Web як Trojan.DownLoad.47503.


Як показує статистика, відчути себе “хакерами” вирішили сотні відвідувачів мережі. Шкідлива програма продовжує своє поширення, пік якого припав на 28 вересня.




І знову Trojan.Winlock. Тепер через ICQ і разом з pinch


Протягом останнього тижня вересня 2009 року через розсилку по ICQ набула поширення нова модифікація Trojan.Winlock – 252 і Trojan.PWS.LDPinch.1941.


Користувачеві приходило повідомлення, що містить текст: “Нікого не впізнаєш на цій фотке?” і посилання на веб-сторінку, де нібито опублікована фотографія.


При завантаженні веб-сторінки скачується файл lock.ex, упакований вірусними пакувальниками. В процесі своєї роботи він зберігає на комп’ютер користувача чотири файли – explorerr.ex, svcoost.ex, 43.jpg, а також 154.bat – файл, що видаляє дроппер.


Explorerr.ex визначається Dr.Web як Trojan.PWS.LDPinch.4308. Він упакований вірусним пакувальником + FSG. Розпакований об’єкт детектируется як Trojan.PWS.LDPinch.1941. У свою чергу svcoost.ex визначається як Trojan.Winlock.252.


Той факт, що тепер Trojan.Winlock поширюється разом з “Пінчем”, робить цю загрозу ще більш небезпечною, оскільки не тільки блокується система, але і викрадаються паролі, знайдені на комп’ютері жертви.


Поштові віруси не здаються


В даний час в поштовому трафіку продовжує лідирувати троянська програма Trojan.DownLoad.47256, про яку “Доктор Веб” інформував користувачів 22 вересня 2009. Пік її епідемії вже пройшов, але сервер статистики “Доктор Веб” продовжує фіксувати сотні тисяч детектив Trojan.DownLoad.47256 на добу.



Не сильно відстає за статистичними показниками від Trojan.DownLoad.47256 Trojan.Packed.2915, який прийшов на зміну Trojan.Botnetlog.11 (про нього компанія “Доктор Веб” повідомляла в огляді вірусної обстановки за серпень. Trojan.Packed.2915 поширюється під видом повідомлень від імені популярної кур’єрської служби DHL.



Як і раніше, в кожній новій розсилці зловмисники використовували нову модифікацію троянської програми. Фахівці компанії “Доктор Веб” створили вірусну запис Trojan.Packed.2915, що дозволяє визначати навіть ті модифікації троянця, які ще не встигли побувати в вірусної лабораторії.


Пік поширення Trojan.Packed.2915 припав на 25 вересня. В даний час епідемія має тенденцію до завершення, але рахунок виявляються екземплярів цієї шкідливої ​​програми продовжує йти на десятки тисяч на добу.



У зв’язку з широким розповсюдженням різних типів шкідливих програм, які ставлять своєю метою вимагання у користувачів грошових коштів, ми не рекомендуємо спілкуватися з зловмисниками, а тим більше – Перераховувати їм гроші або відправляти платні SMS-повідомлення. Замість цього необхідно звертатися до фахівців “Доктор Веб”, які в переважній більшості випадків можуть допомогти повернути загублену в результаті роботи троянців інформацію або відновити працездатність системи. Так як поштовий трафік залишається одним з основних каналів розповсюдження вірусів, нагадуємо, що не рекомендується запускати файли, прикладені до повідомлень від невідомих адресатів. Також не рекомендується намагатися використовувати описувані на сторінках деяких сайтів методи злому сайтів або ПЗ, оскільки подібні дії можуть завдати серйозної шкоди системі та даним, а також є кримінально караними.


Шкідливі файли, виявлені у вересні в поштовому трафіку





















































































 01.09.2009 00:00 – 01.10.2009 00:00  
1 Trojan.DownLoad.47256 4208589 (61.34%)
2 Trojan.Fakealert.5115 927637 (13.52%)
3 Trojan.Packed.2915 514717 (7.50%)
4 Trojan.DownLoad.5637 181751 (2.65%)
5 Win32.HLLM.MyDoom.33808 170029 (2.48%)
6 Win32.HLLM.Beagle 146890 (2.14%)
7 Trojan.Packed.2788 113316 (1.65%)
8 Win32.HLLM.Netsky.35328 84013 (1.22%)
9 Win32.HLLM.Netsky.based 70553 (1.03%)
10 Trojan.Botnetlog.11 67909 (0.99%)
11 W97M.Godzilla 61111 (0.89%)
12 Win32.HLLM.MyDoom.54464 50964 (0.74%)
13 Trojan.MulDrop.19648 36837 (0.54%)
14 Win32.HLLM.Perf 32354 (0.47%)
15 Win32.Sector.28480 30066 (0.44%)
16 Win32.HLLM.MyDoom.based 24638 (0.36%)
17 Trojan.Fakealert.5229 15730 (0.23%)
18 Win32.HLLM.Netsky 12506 (0.18%)
19 BackDoor.Gladrac 10804 (0.16%)
20 Trojan.DownLoad.16849 9195 (0.13%)








Всього перевірено: 12,475,886,574
Інфіковано: 6,861,469 (0.05%)

Шкідливі файли, виявлені у вересні на комп’ютерах користувачів





















































































 01.09.2009 00:00 – 01.10.2009 00:00  
1 Trojan.DownLoad.47256 7851901 (36.17%)
2 Trojan.Fakealert.5115 1709557 (7.87%)
3 Win32.HLLW.Gavir.ini 1091500 (5.03%)
4 Win32.HLLW.Shadow.based 552387 (2.54%)
5 Win32.Alman.1 453996 (2.09%)
6 Win32.HLLM.Beagle 399883 (1.84%)
7 JS.Nimda 381940 (1.76%)
8 Trojan.DownLoad.5637 366191 (1.69%)
9 DDoS.Kardraw 338885 (1.56%)
10 Trojan.Recycle 332882 (1.53%)
11 Win32.HLLM.Netsky.35328 306700 (1.41%)
12 VBS.Sifil 296165 (1.36%)
13 Win32.Sector.17 275083 (1.27%)
14 Win32.HLLW.Autoruner.5555 273128 (1.26%)
15 Trojan.AuxSpy.4 234102 (1.08%)
16 Trojan.MulDrop.16727 212213 (0.98%)
17 Win32.HLLW.Texmer.43 207238 (0.95%)
18 Trojan.Packed.2788 194328 (0.90%)
19 Win32.Virut.14 193677 (0.89%)
20 Win32.HLLM.Netsky.based 179267 (0.83%)

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*