Следите за новостями

Обзор вирусной обстановки от компании «Доктор Веб» за первое полугодие 2009 года

Среди значительного потока вредоносных программ особо стоит выделить вредоносное ПО в банкоматах, волну программ-вымогателей, новые угрозы для Mac OS X.

20 июля 2009 11:48

Компания «Доктор Веб» представила обзор вирусной обстановки за первое полугодие 2009 года. Среди значительного потока вредоносных программ особо стоит выделить вредоносное ПО в банкоматах, волну программ-вымогателей, новые угрозы для Mac OS X. Кроме того, весной 2009 года появилась первая крупная бот-сеть, состоящая из зараженных веб-ресурсов. Противоположная тенденция — значительное снижение темпов вовлечения новых компьютеров в бот-сеть Shadow (Conficker, Downdup).

Бот-сети

Первые месяцы 2009 года внимание многих пользователей, а также специалистов по информационной безопасности, было приковано к сетевому червю Win32.HLLW.Shadow.

1.jpg

Рабочие станции, которые заражались этой вредоносной программой, добавлялись к бот-сети, которая насчитывала миллионы компьютеров, расположенных по всему миру. Для распространения Win32.HLLW.Shadow использовал несколько способов. В частности, уязвимости ОС Windows, попытки подбора пароля администратора сети (оказалось, что во многих локальных сетях использовались довольно простые пароли). В качестве еще одного канала распространения данной вредоносной программы использовались съемные носители.

Во время эпидемии Win32.HLLW.Shadow авторами червя было выпущено множество его модификаций, которые оперативно вносились в вирусные базы Dr.Web. В настоящее время наблюдается спад активности этой вредоносной программы. На данный момент она выбыла из десятки наиболее распространенных вирусов.

Из других заметных бот-сетей в первой половине 2009 года следует обратить внимание на Virut. В данном случае для заражения компьютеров использовался сложный полиморфный вирус. Также выделялась бот-сеть Tdss. При заражении компьютеров, попадавших в нее, использовались руткит-технологии скрытия вредоносных программ в системе. BackDoor.Tdss в течение последнего полугода распространяется достаточно активно, постоянно появляются его новые модификации. Особенно стоит отметить то, что данная угроза встречается в виде различного набора модулей, представляющих вредоносную составляющую этого бэкдора, что говорит о коммерческой направленности создания и распространения модулей BackDoor.Tdss, отвечающих за установку и скрытие в системе этой вредоносной программы. На рисунке показан график количества модификаций BackDoor.Tdss с начала года до настоящего времени.

2.jpg

Одной из последних по времени, но не по значению, проявила себя бот-сеть, формируемая благодаря активности вирусного семейства буткитов BackDoor.MaosBoot. Стоит отметить, что это один из самых сложных для лечения руткитов. Вирусными аналитиками компании «Доктор Веб» в первом полугодии были обнаружены две новые версии буткитов.

В апреле в алгоритме генерации доменного имени центра управления ботнетом злоумышленники начали использовать популярную социальную сеть Twitter. В мае наблюдалась активность со стороны вредоносных веб-ресурсов, распространявших этот руткит. Особый интерес представляет то, что они определяли геолокацию — если пользователь заходил на сайт, к примеру не находясь в США или Германии, он не подвергался атаке со стороны BackDoor.MaosBoot.

JS.Gumblar

Если раньше наиболее крупные бот-сети состояли в основном из зараженных рабочих станций, то сейчас, благодаря JS.Gumblar, ситуация несколько изменилась. Дело в том, что благодаря активности вредоносных объектов данного семейства была образована бот-сеть из более 60000 зараженных веб-страниц.

3.jpg

Середина мая 2009 года была ознаменована волной вредоносных сценариев, написанных на языке javascript. Именно в этот момент начал свое шествие JS.Gumblar.

Вредоносными сценариями из семейства JS.Gumblar было поражено множество интернет-ресурсов, большинство из которых до этого времени никогда не подвергались заражениям.

По данным компании Google, статистика обращений к ресурсу gumblar.cn (именно с этого сайта загружались вредоносные сценарии для атаки с зараженных страниц) выглядит следующим образом:

4.jpg

Таким образом, киберпреступники создали и до сих пор осуществляют контроль над своеобразной бот-сетью, состоящей уже не из компьютеров-жертв, а из веб-ресурсов, количество посетителей которых может исчисляться сотнями тысяч. С их помощью злоумышленники могут распространять любое вредоносное ПО, жертвами которого могут стать пользователи со всего мира.

Вредоносное ПО в банкоматах

В марте 2009 года многих взволновала новость о том, что в банкоматах некоторых российских банков была обнаружена вредоносная программа Trojan.Skimer.

Trojan.Skimer сохраняет информацию, расположенную на банковских карточках, а также имеет возможность сохранять информацию о балансе счета, связанного с банковской карточкой, если пользователь ее запрашивает с помощью банкомата. Злоумышленники же впоследствии, путем изготовления поддельных карт, могут полностью опустошать счета своих жертв.

5.jpg

В настоящее время уязвимость ПО банкоматов, которую использовал Trojan.Skimer, закрыта. Известный производитель банкоматов разослал по банкам соответствующие инструкции для ее устранения.

Программы-вымогатели

Все сильнее набирает популярность SMS-мошенничество, при котором по тем или иным причинам пользователь вынужден отправлять платные SMS-сообщения злоумышленникам. Для достижения данной цели вирусописатели создают такие программы как программы-вымогатели, блокирующие доступ к ОС Windows - Trojan.Winlock, порно-баннеры для браузеров Trojan.Blackmailer и т.д.

Просьба отправить SMS может приходить и в ICQ, и в социальных сетях, и в почтовых спам-сообщениях. Относительная простота вывода денег, полученных таким путем, и безнаказанность арендаторов «коротких номеров», на которые отправляются сообщения, дает практически неограниченные возможности злоумышленникам.

Mac OS X

С начала 2009 года наблюдается возрастающий интерес злоумышленников к платформе Mac OS X. Он начал проявляться с появлением троянца Mac.Iservice, который включал зараженные компьютеры в бот-сеть. Это был первый случай объединения компьютеров под управлением Mac OS X в бот-сети (ее назвали iBotnet).

К концу весны 2009 года последовала другая волна распространения вредоносных программ для Mac. На этот раз это были троянцы семейства Mac.DnsChange, которые распространялись в виде ссылок на вредоносный видеоролик. В частности, как один из каналов здесь использовался Twitter.

Интересно то, что при активации вредоносного видео определялся тип операционной системы по данным User-Agent пользователя. После определения типа ОС отдавался соответствующий тип вредоносной программы — либо для Windows, либо для Mac OS X.

С ростом популярности Mac OS X возрастает и интерес к ней со стороны киберпреступников. Пока, естественно, объемы появления новых угроз под Windows и Mac OS X несопоставимы, однако в будущем это соотношение может измениться.

Эксплойты

В первой половине июля была обнаружена серьезная уязвимость «нулевого дня» в одном из компонентов Microsoft DirectX, использующемся браузером MS Internet Explorer версии 6 и 7.

Опасности оказались подвержены пользователи ОС Windows 2000/2003/XP (включая все последние обновления и x64 версии этих ОС). Суть данной уязвимости заключается в некорректной обработке потокового видео в ActiveX-компоненте msVidCtl.dll. Она может использоваться для распространения вредоносных программ с помощью специально созданного злоумышленниками веб-сайта, вызывающего переполнение стека и позволяющего запустить вредоносное ПО на целевой системе.

Все обнаруживаемые эксплойты, использующие эту уязвимость, попадают в семейство Exploit.DirectShow.

Спам и почтовые вирусы

Спамеры продолжают использовать горячие новости в своих спам-рассылках. Так, уже через несколько часов после известия о смерти Майкла Джексона они использовали эту новость в спам-сообщениях как в электронной почте, так и в социальных сетях. До этого спамеры активно эксплуатировали иранскую тему.

В июне был отмечен всплеск активности фишинг-рассылок. Возросло как общее количество рассылок, так и число банковских и электронных платежных систем, на пользователей которых они были ориентированы. Рассылки были нацелены на пользователей американских (Bank of America, JPMorgan Chase Bank, Community State Bank) и австралийских (St. George Bank) банков, а также платежной системы PayPal, интернет-аукциона eBay и интернет-магазина Amazon.

Почтовые вирусы напомнили о себе с самых первых чисел июня. Без преувеличения можно сказать, что июнь по распространению почтовых рассылок, содержащих вредоносное ПО или ссылки на зараженные сайты, стал лидером за последний год. Так, в ночь с 1 на 2 июня под видом электронных открыток рассылался Trojan.PWS.Panda.122. Данная вредоносная программа сканирует интернет-трафик, проходящий через компьютер пользователя и ворует из него пароли к банковским интернет-сервисам и электронным платежным системам.

Социальные сети

Весной 2009 года, как и в 2008, повысилась вредоносная активность в зарубежных социальных сетях. Российские социальные сети эта беда пока обошла стороной.

К середине лета сильно возросла активность семейства Win32.HLLW.Facebook (известного также как Koobface). Только за летние месяцы численность заражений увеличилась вдвое. В начале июня антивирусная база Dr.Web начала активно пополняться новыми модификациями вредоносных программ Win32.HLLW.Facebook, которые осуществляют вредоносную деятельность в Facebook, МySpace и Twitter.

6.jpg

О системе микроблоггинга Twitter необходимо рассказать более подробно. Киберпреступники уже серьезно взялись за использование ее в качестве канала для распространения вредоносных программ. Так, в ней выросло общее количество спам-сообщений, содержащих ссылки на вредоносные веб-ресурсы.

Особое внимание следует уделить тому, что ссылки при этом благодаря сервису их сокращения обезличены. Пользователь не может самостоятельно догадаться, что скрывается за ними.

В конце мая было положено начало вирусному семейству JS.Twitter. На данный момент это семейство вредоносных программ олицетворяют XSS-черви, которые активно распространялись в конце весны внутри этой социальной сети.

Что же касается активности вредоносного ПО, имеющего отношение к российским социальным сетям, можно выделить семейство программ-вымогателей Trojan.Hosts.

Выводы

К лету текущего года значительно уменьшилось количество заражений Win32.HLLW.Shadow. Однако появление его в конце 2008 года позволило заявить о тенденции увеличения числа масштабных вирусных угроз, которая продолжается и в 2009. Весной этого года эстафету перехватил JS.Gumblar, заразивший беспрецедентное количество веб-ресурсов.

Очевидный интерес злоумышленники начали проявлять к платформе Mac OS. Наблюдается некоторая универсализация способов заражения, когда определяется тип операционной системы и далее вредоносная активность осуществляется именно для нее.

Зарубежные социальные сети вызывают все больший интерес у злоумышленников. В начале лета произошел взрывной рост вирусного семейства Win32.HLLW.Facebook. Отдельно стоит отметить возросший интерес киберпреступников к социальной сети Twitter.

Увеличение числа различных программ-вымогателей говорит о стремлении злоумышленников к быстрым преступным заработкам.

Особый тренд первой половины 2009 года — появление первой вредоносной программы для банкоматов.

Вредоносные файлы, обнаруженные в I полугодии 2009 г. в почтовом трафике

01.01.2009 00:00 — 01.07.2009 00:00 

Win32.HLLM.Netsky.35328 — 27763294 (34.82%)
Win32.HLLM.MyDoom.33808 — 7635271 (9.58%)
Win32.HLLM.Beagle — 7400948 (9.28%)
Trojan.DownLoad.36339 — 5816485 (7.29%)
Win32.HLLM.MyDoom.44 — 3053357 (3.83%)
Win32.HLLM.MyDoom.based — 2738829 (3.43%)
Win32.HLLM.Netsky.based — 2557757 (3.21%)
Win32.HLLM.Netsky.28672 — 2484754 (3.12%)
Win32.HLLM.Netsky — 2252999 (2.83%)
Win32.HLLM.Perf — 2012539 (2.52%)
Trojan.Botnetlog.9 — 1988614 (2.49%)
Trojan.MulDrop.19648 — 1705059 (2.14%)
Win32.HLLM.Beagle.32768 — 1500116 (1.88%)
Trojan.MulDrop.13408 — 1470765 (1.84%)
Win32.HLLM.MyDoom.49 — 1101971 (1.38%)
Trojan.PWS.Panda.114 — 1024091 (1.28%)
Win32.HLLM.Beagle.27136 — 999536 (1.25%)
Exploit.IFrame.43 — 917203 (1.15%)
Win32.HLLM.Beagle.pswzip — 629979 (0.79%)
Exploit.IframeBO — 573008 (0.72%)

Всего проверено: 353,878,451,872
Инфицировано: 79,738,624 (0.0225%)

Вредоносные файлы, обнаруженные в I полугодии 2009 г. на компьютерах пользователей

01.01.2009 00:00 — 01.07.2009 00:00 

Win32.HLLW.Gavir.ini — 7954841 (7.76%)
Win32.HLLW.Shadow.based — 4996557 (4.88%)
Trojan.DownLoad.36339 — 4610048 (4.50%)
DDoS.Kardraw — 3730909 (3.64%)
Win32.HLLM.Beagle — 3497040 (3.41%)
JS.Nimda — 3026751 (2.95%)
Trojan.Botnetlog.9 — 2836732 (2.77%)
Win32.Virut.5 — 2811911 (2.74%)
Trojan.Starter.516 — 2510767 (2.45%)
W97M.Thus — 2336936 (2.28%)
Win32.Virut.14 — 2162374 (2.11%)
Win32.HLLM.Netsky.35328 — 2141902 (2.09%)
Trojan.PWS.Panda.114 — 1988995 (1.94%)
Win32.Alman — 1895646 (1.85%)
Trojan.DownLoader.42350 — 1876554 (1.83%)
Win32.HLLW.Autoruner.5555 — 1802659 (1.76%)
Trojan.MulDrop.16727 — 1635885 (1.60%)
Trojan.Blackmailer.1094 — 1594609 (1.56%)
VBS.Generic.548 — 1540792 (1.50%)
Win32.Sector.17 — 1200103 (1.17%)

Всего проверено: 730,787,813,411
Инфицировано: 102,456,427 (0.0140%)

Комментарии