Добавить новость
Добавить компанию
Добавить мероприятие
«Великие» киберкомбинаторы в поисках наживы: вирусный ноябрь 2010 года
07.12.2010 12:26
версия для печати
Загрузочный блокировщик Windows В ноябре получила распространение вредоносная программа Trojan.MBRlock.1, которая незамедлительно была взята на вооружение интернет-мошенниками. Данный троянец по своему функционалу существенно отличается от всех известных до этого мошеннических вредоносных программ. При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы $100. В сообщении в числе прочего говорится о том, что содержимое всех дисков компьютера якобы зашифровано. Это не соответствует действительности. В любом случае после факта заражения лечение из самой системы становится невозможным, т. к. она даже не начинает загружаться. При вводе верного пароля происходит восстановление исходного состояния загрузочной области диска, и загрузка установленной операционной системы происходит в обычном режиме. В настоящее время известно несколько модификаций Trojan.MBRlock.1, каждая из которых, тем не менее, определяется антивирусом Dr.Web одинаково. Для лечения системы необходимо ввести известные коды разблокировки: ekol или jail. Если ни один из этих кодов не подойдет, пострадавшие пользователи имеют возможность обратиться в бесплатную техническую поддержку компании «Доктор Веб» по интернет-мошенничеству. Некоторые модификации Trojan.MBRlock.1 до внесения их в базу антивируса Dr.Web определялись эвристическим анализатором как MULDROP.Trojan. Таким образом, пользователи антивируса Dr.Web уже были защищены — до того, как для данных модификаций были созданы полноценные вирусные записи. Новая версия троянца-шифровальщика В ноябре вновь напомнили о себе троянцы-шифровальщики. На этот раз авторы данных вредоносных программ нацелились на европейских пользователей. Trojan.Encoder.88 шифрует пользовательские документы многих популярных форматов по алгоритму AES-256, что существенно затрудняет расшифровку. Так, для полного перебора всех возможных ключей расшифровки в поисках того, который необходим для восстановления файлов всего на одном зараженном компьютере, потребуется 2256 операций. Это превышает число, которое можно записать как единицу с 77 нулями. При этом для каждого компьютера генерируется свой уникальный ключ шифрования, после чего он шифруется по алгоритму RSA и сохраняется на диске в виде текстового файла. До создания специальной записи для детекта Trojan.Encoder.88 данная модификация троянца-шифровальщика определялась антивирусом Dr.Web с помощью технологии поиска cовпадений Origins Tracing как Trojan.Encoder.origin. Интернет-мошенничество в ноябре: винлоки возвращаются В ноябре в бесплатную техническую поддержку для пользователей — жертв интернет-мошенничества поступило около 4700 запросов, что составило около 42% всех обращений. Среднесуточное количество обращений составило 146, что приблизительно на треть превышает аналогичный показатель в октябре. Основным типом мошеннических программ в ноябре снова стало семейство Trojan.Winlock (73% обращений). Также заметным было количество обращений по троянцам семейства Trojan.Hosts, блокирующим доступ к популярным интернет-ресурсам. В схемах монетизации незаконных доходов интернет-мошенников также происходят изменения. Доля вредоносных программ, требующих от пользователей отправить СМС-сообщения, продолжает снижаться, а в ноябре количество обращений по подобным программам составило 31% всех запросов. С другой стороны, злоумышленников все больше привлекает схема передачи денег от пострадавших пользователей через отправку наличных денег посредством терминалов на счета мобильных телефонов (60% всех обращений). При этом если ранее злоумышленники использовали мобильные номера, принадлежащие только одному популярному российскому сотовому оператору, то в течение ноября на постоянной основе стали использоваться номера телефонов, относящиеся к другому сотовому оператору, также российскому (49% и 11% всех обращений соответственно). Банковские троянцы наступают В ноябре продолжали появляться новые троянцы, нацеленные на пользователей систем дистанционного банковского обслуживания (ДБО). По-прежнему под прицелом находятся как частные клиенты, так и юридические лица. В частности, в течение ноября в вирусную базу антивируса Dr.Web были добавлены несколько модификаций Trojan.PWS.Ibank.213. Данный троянец в различных своих модификациях является своеобразным контейнером для различного вредоносного наполнения. В качестве основного вредоносного функционала он умеет отключать компоненты защитного ПО, имеет возможность обнаруживать факт запуска в виртуальных средах, которые могут помочь изучить функционал программы, а также может отключать системный механизм создания точек восстановления. Для сбора информации, необходимой для доступа к аккаунтам систем ДБО, троянец перехватывает некоторые системные функции и функции систем ДБО, сохраняет информацию, вводимую пользователем с клавиатуры. Тот факт, что Trojan.PWS.Ibank.213 имеет возможность связываться с сервером, расположенным в Интернете, а после этого загружать и запускать исполняемые файлы, говорит о том, что зараженные данной программой компьютеры являются частью бот-сети. Ноябрь 2010 года показал, что различные цели злоумышленников и различные типы вредоносных программ, которые они используют в своей незаконной деятельности, могут использоваться в самых причудливых комбинациях. При этом наибольшую эффективность показывают те антивирусные продукты, в которых реализован функционал противодействия всем известным типам вредоносных программ, а также методы лечения от них. По-прежнему слабым звеном в защите системы и информации, расположенной на дисках, является сам пользователь компьютера. Еще раз обращаем внимание пользователей: следование элементарным правилам информационной безопасности позволяет на порядки снизить вероятность заражения системы. Редактор раздела: Алена Журавлева (info@mskit.ru) Рубрики: Безопасность Ключевые слова: Dr Web, безопасность, Доктор Веб
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
NNIT.RU: последние новости Нижнего Новгорода и Поволжья13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||