Следите за новостями

Цифра дня

71,5 млрд тг заработал Kcell за полгода

Поддельные торрент-трекеры и другие вирусные уловки апреля 2010 года

Специалисты компании «Доктор Веб» выявили сеть поддельных торрент-трекеров и файлообменников, размещенных в различных странах мира.

11 мая 2010 10:54, Profit.kz

В апреле 2010 года злоумышленники сосредоточили свое внимание на новых схемах SMS-мошенничества. В зону их интересов теперь попали торрент-трекеры и файлообменники, которые они попытались заменить поддельными сайтами. Также в апреле были обнаружены образцы нового вредоносного ПО для смартфонов. В почтовом трафике по-прежнему лидируют лжеантивирусы.

Поддельные торрент-трекеры и файлообменники

Специалисты компании «Доктор Веб» выявили сеть поддельных торрент-трекеров и файлообменников, размещенных в различных странах мира, но предназначенных в основном для русскоязычных пользователей. Пользуясь популярностью подобных ресурсов и беспечностью многих интернет-пользователей, осуществляющих поиск необходимой информации посредством поисковых систем, злоумышленники намеренно размещают на данных сайтах ссылки на любые музыкальные композиции, фильмы, книги и пр.

При этом поддельные торрент-трекеры и файлообменники занимают первые места в ответах поисковых систем на запросы пользователей. По всей видимости, для этого злоумышленники проводят поисковую оптимизацию и другие предварительные работы.

Когда пользователь попадает на поддельный сайт и проходит по ссылке на якобы архив с нужной информацией, на самом деле скачивается исполняемый файл размером 16 Мб, который определяется антивирусными продуктами Dr.Web как Tool.SMSSend.2.

При запуске данного файла пользователю предлагается отправить несколько платных SMS-сообщений для получения якобы пароля доступа к загруженному архиву. На самом деле в таких вредоносных файлах не содержится ничего полезного.

В настоящее время сервер статистики «Доктор Веб» фиксирует около 6000 детектов Tool.SMSSend.2 в сутки.

Tool.SMSSend

Вирус-копирайтер

Кроме приведенных выше способов получения доходов злоумышленники активно осуществляли психологические атаки на пользователей торрент-трекеров. В апреле было зафиксировано широкое распространение вредоносной программы Trojan.Fakealert.14886 (по классификации «Доктор Веб»), которая при заражении системы выводит сообщение о том, что на компьютере пользователя обнаружены нелегальные торрент-файлы, что, в свою очередь, преследуется законом.

Вирус-копирайтер

Распространяется Trojan.Fakealert.14886 под видом инсталлятора программного обеспечения. В случае если пользователь перезагрузил компьютер, не удалив данную программу штатными средствами, она, подобно троянцам семейства Trojan.Winlock, блокирует доступ в систему. Наибольшее распространение этой вредоносной программы было зафиксировано в Европе.

Также в апреле было зафиксировано распространение новой модификации Trojan.Winlock, которая сообщает пользователю о том, что он нарушает авторское право, и предлагает для дальнейшего скачивания воспользоваться «резервными зарубежными каналами связи» в обмен на платное SMS-сообщение.

Вирус-копирайтер

Лжеантивирусы

Лжеантивирусы продолжили свое массированное распространение по англоязычным странам. Появляются новые вариации уже известных ранее интерфейсов, а также свежие образцы дизайна лжеантивирусов. Схемы распространения троянцев семейства Trojan.Fakealert не изменились, в то время как количество их детектов в сутки сервером статистики Dr.Web снизилось и составило в апреле около 750000 против около 1000000 в марте.

Галерея Trojan.Fakealert

Примеры Trojan.Fakealert

Блокировщики Windows

Темпы распространения блокировщиков Windows на территории России (Trojan.Winlock по классификации «Доктор Веб») в апреле также продолжали снижаться и составили около 720 детектов в сутки (против около 1 300 в сутки в марте). Однако количество новых разновидностей Trojan.Winlock в этом месяце по-прежнему росло. Пользователи продолжают ежедневно обращаться по данной проблеме в техподдержку компании «Доктор Веб».

Галерея Trojan.Winlock

Примеры Trojan.Winlock

Дозвонщик для смартфонов

В апреле было зафиксировано распространение вредоносной программы WinCE.Dialer.1, которая, будучи установлена на КПК, работающем под управлением ОС Windows Mobile, начинала самостоятельно звонить на платные телефонные номера, расположенные в различных странах. При этом, естественно, обнулялся счет владельца телефона.

Активная фаза деятельности троянца начинается через двое суток после успешного заражения системы. WinCE.Dialer.1 распространяется под видом игры для КПК.

Процент вредоносных объектов во всем проверенном антивирусными продуктами Dr.Web почтовом трафике в апреле 2010 года вырос на 28%. Процент вредоносных файлов среди всех проверенных файлов на компьютерах пользователей вырос в 2,12 раза. Это может говорить о том, что злоумышленники меньше внимания уделяли в апреле распространению вредоносных программ посредством канала электронной почты и больше использовали другие каналы — зараженные сайты, эксплойты PDF, Flash (SWF), браузеров и проч.

Вредоносные файлы, обнаруженные в апреле в почтовом трафике

01.03.2010 00:00 — 01.04.2010 00:00 
1. Trojan.DownLoad.41551 — 11193316 (13.64%)
2. Trojan.DownLoad.37236 — 9927963 (12.10%)
3. Trojan.DownLoad.47256 — 7320678 (8.92%)
4. Trojan.Botnetlog.zip — 5865274 (7.15%)
5. Trojan.MulDrop.40896 — 5147022 (6.27%)
6. Trojan.Fakealert.5115 — 5100040 (6.22%)
7. Trojan.Packed.683 — 4148051 (5.06%)
8. Trojan.Fakealert.5238 — 3808296 (4.64%)
9. Trojan.DownLoad.50246 — 2921645 (3.56%)
10. Trojan.Fakealert.5825 — 2484216 (3.03%)
11. Trojan.Fakealert.5437 — 1834890 (2.24%)
12. Trojan.Fakealert.5356 — 1659867 (2.02%)
13. Trojan.Fakealert.5784 — 1445121 (1.76%)
14. Trojan.Fakealert.5229 — 1338146 (1.63%)
15. Trojan.PWS.Panda.122 — 1332036 (1.62%)
16. Trojan.Fakealert.11956 — 1267041 (1.54%)
17. Trojan.Fakealert.5457 — 1162458 (1.42%)
18. Trojan.Siggen.18256 — 1106066 (1.35%)
19. Trojan.Packed.19694 — 1099122 (1.34%)
20. Trojan.MulDrop.46275 — 1058813 (1.29%)

Всего проверено: 17,689,058,602
Инфицировано: 82,042,532 (0.464%)

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей
01.04.2010 00:00 — 01.05.2010 00:00 
1. Win32.HLLW.Shadow — 834227 (2.84%)
2. Trojan.AuxSpy.187 — 829685 (2.82%)
3. VBS.Sifil — 525939 (1.79%)
4. Trojan.Starter.516 — 438173 (1.49%)
5. ACAD.Pasdoc — 419684 (1.43%)
6. Win32.HLLW.Gavir.ini — 364819 (1.24%)
7. Win32.HLLW.Shadow.based — 339566 (1.16%)
8. Trojan.DownLoad.32973 — 330055 (1.12%)
9. Trojan.AuxSpy.111 — 283554 (0.97%)
10. Trojan.AntiAV.6 — 231204 (0.79%)
11. Win32.HLLW.Autoruner.9410 — 170593 (0.58%)
12. Win32.Dref — 162827 (0.55%)
13. IRC.Apulia.1215 — 155887 (0.53%)
14. BackDoor.Tdss.2459 — 153602 (0.52%)
15. Trojan.PWS.GoldSpy.3382 — 148201 (0.50%)
16. Win32.HLLW.Autoruner.5555 — 143042 (0.49%)
17. HTTP.Content.Malformed — 132141 (0.45%)
18. Win32.Alman.1 — 119085 (0.41%)
19. Win32.HLLW.Share — 102652 (0.35%)
20. Trojan.PWS.Siggen.2674 — 85937 (0.29%)

Всего проверено: 77,991,983,505
Инфицировано: 22,880,659 (0.0293%)

Комментарии