rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Угрозы января. Традиционно опасно

По данным разработчиков и производителей решений в области информационной безопасности, первый месяц наступившего года не принес значительных сюрпризов со стороны вирусописателей и сетевых мошенников. Отмечено, что основной январской тенденцией стала очередная волна распространения вредоносных программ-вымогателей, а также появление новых угроз как для Windows, так и для Android. Кроме того, эксперты указывают, что хакеры продолжают активно использовать трояны для перенаправления пользователей на фишинговые ресурсы.

В частности, по данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt! в январе 2013 года в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей, выбилась троянская программа Trojan.Mayachok.2. Этот троянец заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows. Основным назначением этой вредоносной программы является блокировка доступа в Интернет и демонстрация в окне браузера предложения скачать «обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном SMS код. Таким образом пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.

Cреди обнаруженных экспертами Dr.Web угроз велико количество обнаружений троянца Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 тысяч случаев). Также в январе на компьютерах пользователей часто выявлялся троянец Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend. Велико также и число заражений троянской программой BackDoor.IRC.NgrBot.42.

В свою очередь, если говорить непосредственно о ситуации в России (вредоносное ПО выявленное специалистами ESET с помощью технологии ESET Live Grid), то эксперты компании ESET отмечают, что в январе неоспоримым лидером в нашей стране  стала троянская программа Win32/Qhost. Ее рейтинг активности, по сравнению с другими угрозами, остается очень высоким – 15,9%. Win32/Qhost не представляет из себя технологически сложную угрозу, одним из основных ее предназначений является модификация служебного hosts файла. Используя вредоносные записи, добавляемые в этот текстовый файл, злоумышленники переадресуют пользователя на фишинговые ресурсы. Эксперты отмечают, что используя hosts файл, злоумышленники могут перенаправить пользователя фактически на любой вредоносный ресурс, практически неотличимый от легального. Таким образом, ничего не подозревающий пользователь может запросто отправить злоумышленникам свою конфиденциальную информацию. Как правило, их целью является получение аутентификационных данных для онлайн-банкинга, либо персональной информации из социальных сетей. При этом перенаправление на такие ресурсы осуществляется за счет стандартных механизмов ОС и при минимальном участии самого пользователя, которому достаточно просто воспользоваться браузером. Статистика распространения Win32/Qhost по России показывает, что пик активности пришелся на декабрь 2012 года и в настоящее время его активность снижается.

Вредоносные объекты, которые встраиваются злоумышленниками в веб-страницы, по-прежнему занимают верхние строчки российского рейтинга. Речь идет о семействах HTML/IFrame (4,95%) и HTML/ScrInject (3,55%). Как правило, с этих вредоносных объектов и начинается заражение пользователя вредоносным ПО. Злоумышленники осуществляют атаку на какой-либо сайт и заражают веб-страницы вредоносным содержимым. Несмотря на текущую отрицательную динамику по этим угрозам, вряд ли можно ожидать существенного спада HTML/IFrame и HTML/ScrInject в будущем.

Известный же банковский троян Carberp, напротив, с середины 2012 года демонстрирует устойчивую тенденцию к падению. Среди всех российских угроз его рейтинг составляет 1,1%. Другой известный троян – Win32/Bicololo, который, как и Win32/Qhost, ориентирован на модификацию hosts файла, значительно увеличил свою активность в декабре и закончил январь с положительной динамикой. Его доля составляет 2,07 %.

В январский рейтинг угроз ESET попали также и INF/Autorun и Win32/Conficker. В январе их рейтинг составил 1,92% и 1,18% соответственно. Троян Win32/StartPage также попал в «десятку» с показателем 0,8 %. Его основная задача – подмена стартовой страницы браузера пользователя для перенаправления на веб-страницы, заданные злоумышленником. Кроме того, он может отслеживать поисковые запросы пользователя и открывать специальные фишинговые сайты. Общая доля России в мировом объеме вредоносного ПО в январе составила 7,81%.

Глобальная статистика угроз, обнаруженных  ESET за январь  отличается от российской. Но и здесь наблюдается преобладание HTML/IFrame (3,0%) и HTML/ScrInject (2,71%). С российской «десяткой» ее роднит и присутствие INF/Autorun (2,71%), Win32/Conficker (2,31%), Win32/Qhost (2,41%), а также Win32/Dorkbot (1,52%). Кроме вредоносных объектов веб-страниц, которые детектируются как HTML/IFrame и HTML/ScrInject, в глобальную «десятку» попали и вредоносные Java-скрипты. JS/Kryptik.ADZ (2,52%) и JS/TrojanDownloader.Iframe (1,32%). Также в мировом рейтинге оказались файловые инфекторы Win32/Sality (2,6%) и Win32/Ramnit (1,4%).

Возвращаясь к исследованию компании «Доктор Веб», отметим, что в начале января 2013 года специалистами была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троянец встраивается в процессы наиболее популярных браузеров, после чего перехватывает обращения пользователей к сайтам различных поисковых систем и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки. Также в январе был зафиксирован факт распространения новой модификации вредоносной программы семейства BackDoor.Butirat — BackDoor.Butirat.245. Данный троянец способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов.

Что касается новых угроз для мобильной платформы Android, то по данным «Доктор Веб» большая популярность мобильных устройств под управлением этой ОС привела к закономерному увеличению интереса злоумышленников к персональной информации, хранимой на таких устройствах. Наметившаяся в 2012 году тенденция к увеличению числа вредоносных и потенциально опасных приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом нового 2013 года.

Так, в начале января был обнаружен очередной Android-троянец, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств. Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе троянца.

Также в январе специалистами «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений. Программы этого типа позволяют контролировать самые разнообразные функции мобильных устройств (отслеживать SMS-переписку, входящие и исходящие телефонные звонки, получать GPS-координаты пользователя). Помимо легального применения, очень часто такое программное обеспечение может быть использовано без ведома владельца устройства. Как отмечают эксперты «Доктор Веб», большое число новых семейств коммерческих шпионских приложений, обнаруженных в январе, говорит о том, что на подобные услуги имеется достаточный спрос, и число таких программ в ближайшее время будет стабильно увеличиваться.

В частности, в январе были обнаружены новые коммерческие шпионские приложения Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Автор: Тимофей Белосельцев (info@mskit.ru)

Рубрики: Web, Безопасность

Ключевые слова: Dr Web, троян, вирус, зловред, безопасность, информационная безопасность, антивирус, eset, вирусная активность, Доктор Веб, мобильное мошенничество, мошенничество, мошенничество в интернете, мошенничество смс

наверх
 
 
     

А знаете ли Вы что?

     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

MSKIT.RU: последние новости Москвы и Центра

ITSZ.RU: последние новости Петербурга