Тихий декабрь. Относительно

В частности, по данным «Лаборатории Касперского», в области активности спамеров характерной особенностью декабря стал рост доли спам-сообщений, содержащих вредоносные вложения. Эта тенденция наблюдалась на протяжении всего 2011 года, а в  декабре этот показатель достиг 4%, что на 1% больше, чем в ноябре.

Относительно рейтинга стран, на долю которых в декабре пришлось больше всего спам-трафика с вредоносными вложениями в письмах, аналитики «Лаборатории Касперского» приводят следующие данные: США с долей в 15,1% остались на второй строчке рейтинга стран по срабатыванию почтового антивируса. Однако по этому показателю США почти догнали лидера – Россию (15,3%). При этом доля срабатываний почтового антивируса на территории России уменьшилась на 4,9%. Далее в рейтинге идет Вьетнам (7,8%), а на четвертой строчке рейтинга в декабре появился Гонконг (7,4%). Австралия поднялась в декабре с десятой строчки рейтинга на пятую (5,7%). Доля этой страны по сравнению с ноябрем увеличилась на 2,6%. Места с шестого по десятое занимают Индия (5,3%), Испания (4,6%), Великобритания (4,1%), Италия (3,3%) и Китай (2,8%).

Среди программ, наиболее часто детектировавшихся почтовым антивирусом «Лаборатории Касперского» в декабре, по-прежнему лидирует Trojan-Spy.HTML.Fraud.gen (вредоносная программа, выполненная в виде html-странички, подделанной под регистрационную форму финансовой организации или какого-либо онлайн-сервиса). Доля срабатываний, связанных с ним, снизилась еще на 1% и составила 11%. На втором месте с долей 6,3% почтовый червь Email-Worm.Win32.Mydoom.m, выполняющий сбор электронных адресов на зараженных машинах и рассылку по ним самого себя. Третье место за Net-Worm.Win32.Mytob.fr с долей 4,7%.

Кстати, примечательным является появление в декабре вредоносного ПО, предназначенного для рассылки политического спама. О нем говорится в отчете за декабрь от компании Dr.Web. Правда в данном случае речь идет о зловреде для мобильной платформы Android. По данным Dr.Web, в конце прошлого месяца появилось первое вредоносное приложение для Android, предназначенное для рассылки политического спама, ориентированное при этом на ближневосточную аудиторию.

Вредоносная программа Android.Arspam.1 встроена в легитимное приложение AlSalah, предназначенное для мусульман и реализующее функции компаса, который с помощью GPS-координат абонента определяет направление на Мекку и расстояние до нее. Предлагаемая на официальном сайте Android Market версия данной программы не несет какого-либо деструктивного функционала, в то время как аналогичное приложение, распространяемое на арабоязычных форумах, как правило, содержит в себе троянца. Иными словами, злоумышленники воспользовались программой AlSalah в своих интересах, добавив в нее вредоносную нагрузку.

Запустив на инфицированном устройстве специальную службу, троянец собирает перечень контактов, сохраненных в адресной книге мобильного устройства, и рассылает каждому из них одну из ссылок на интернет-форумы, посвященные политическим событиям на Ближнем Востоке, в частности, революции в Тунисе. Список рассылаемых адресов хранится непосредственно в теле троянца. Кроме того, если работающая в устройстве сим-карта зарегистрирована в Бахрейне, то троянец скачивает с удаленного сервера PDF-документ, содержащий разработанный Независимой комиссией Бахрейна (Bahrain Independent Commission) отчет о нарушении прав человека в этой стране.

Эксперты Dr.Web также отмечают, что поскольку Android.Arspam.1 уже сейчас содержит функционал, позволяющий загружать файлы с удаленных узлов, в дальнейшем можно ожидать появления новых, более совершенных его модификаций, способных, например, получать от управляющих центров конфигурационные файлы или списки ссылок для последующей отправки получателям. Теоретически также возможно объединение работающих под управлением Android спам-ботов в ботнеты.

Возвращаясь к отчету «Лаборатории Касперского» за декабрь, отметим, что аналитики этой компании говорят о том, что в целом в декабре доля спама в почтовом трафике уменьшилась на 4,4% и составила в среднем 76,2%. Неизменным осталось и лидерство Индии среди стран-рапространителей спама. Однако позиции других государств, входящих в первую десятку, претерпели значительные изменения. Верхние строчки со второй по четвертую заняли страны, доля которых в распространении мирового почтового мусора по сравнению с ноябрем увеличилась более чем на 3%: Индонезия (+3,55%), Бразилия (+3,5%) и Перу (+3,5%). Одновременно вклад Южной Кореи, занимавшей в ноябре второе место, уменьшился на 2,85% и теперь эта страна на пятом месте в рейтинге.  Отметим также, что Россия поднялась на одну ступень вверх и оказалась на 14 строчке.

Говоря о сезонных особенностях, в отчете «Лаборатории Касперского» отмечено, что в преддверии зимних праздников многие вредоносные сообщения использовали тему Рождества, а также были подделаны под уведомления от онлайн-магазинов о регистрации заказов. Доля спама, в котором так или иначе обыгрывалась тема Нового года и Рождества, увеличивалась начиная с ноября. К предпоследней неделе декабря она составила более 10%. По итогам декабря доля «новогоднего» и «рождественского» спама вкупе составила 6,8%.

Еще одной особенностью декабря стало то, что в этом месяце спамеры часто использовали новый прием, который они позаимствовали у легитимных сервисов и онлайн-магазинов – предложения различных товаров со скидкой по купонам. Многие товары, традиционно рекламирующиеся в спаме, предлагалось купить со скидкой, право на которую давал «купон», отображавшийся в письме.

«До сих пор мы не фиксировали вредоносных вложений в сообщениях, подделанных под рассылку купонов. Однако не исключено, что в будущем они могут появиться в таких спам-письмах. Обычно на популярные новшества первыми реагируют спамеры, участвующие в партнерских программах, а затем к ним присоединяются распространители вредоносного кода. Кроме того, на пользователей купонных сервисов могут быть направлены и фишинговые атаки», – комментирует старший спам-аналитик «Лаборатории Касперского» Мария Наместникова.

Что касается распространения других типов вредоносного ПО для различных платформ, то, к примеру, Dr.Web в декабре провел специальную операцию по поиску вредоносного ПО в официальном каталоге программ для Android — Google Market. Первоначально было выявлено 33 таких приложения, однако вскоре к ним прибавилось еще 12, таким образом, общее число обнаруженных угроз достигло 45. Практически все обнаруженные специалистами компании вредоносные программы относятся к известному семейству Android.SmsSend. Назначение таких программ - отправка без ведома пользователя платных SMS на премиум-номера.

Угрожают мобильным платформам также и взломанные сайты. В декабре 2011 года специалисты Dr.Web выявили более 100 русскоязычных площадок, подвергшихся взлому с целью осуществления атаки на пользователей мобильных устройств. Многочисленные владельцы смартфонов и планшетов, работающих под управлением ОС Android и других системных платформ с поддержкой Java, в последнее время стали замечать, что они лишились возможности посетить свои любимые сайты. При открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального веб-сайта Opera Mini и предлагающий загрузить обновление браузера. Под видом такого обновления обычно скрывается троянец семейства Java.SMSSend или Android.SmsSend.

Среди других угроз, специалистами Dr.Web  в декабре был обнаружен новый бэкдор для Windows под названием BackDoor.Pads. Функционал этого зловреда стандартен для бэкдоров подобного типа: он собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Если троянцу удается получить токен explorer.exe (права на доступ), он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем. Этот модуль внесен в вирусные базы Dr.Web под именем Trojan.PWS.Pads. Опасность данной вредоносной программы для пользователя кроется в том, что она способна предоставлять злоумышленникам доступ к ресурсам инфицированной машины и выполнять различные команды, в том числе команду поиска файлов, создания и удаления папок, копирования, перемещения и удаления файлов, перезагрузки Windows, получения списка запущенных процессов, загрузки файлов и их запуска от имени определенного пользователя.

Помимо прочего, первая половина декабря ознаменовалась обнаружением на торрент-трекере The Pirate Bay новых архивов, содержащих троянскую программу Trojan.Merin.3. Основной троянский модуль Trojan.Merin.3 способен красть на инфицированном компьютере пользовательские пароли, данные электронных кошельков, а также логи командного интерпретатора bash (.bash_history), и отсылать все эти данные на удаленный сервер, принадлежащий злоумышленникам.