Обзор вирусной активности в мае

Май 2012 года оказался довольно спокойным месяцем с точки зрения информационной безопасности: за минувшие тридцать дней не было зафиксировано серьезных вирусных эпидемий. Тем не менее, по-прежнему высоким остается число пострадавших от действий троянцев-шифровальщиков, все увереннее осваивающих западный рынок, появляются новые угрозы для мобильной операционной системы Android. Угрозой месяца стал Trojan. Matsnu.1, который шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована. От действий этой троянской программы пострадало большое количество пользователей по всему миру.

Вирусная обстановка

По данным статистики лечащей утилиты Dr. Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз занимает троянец Trojan. Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к Интернету: он был обнаружен на 3,73% проверенных данной утилитой компьютеров. Причины столь высокой популярности этой угрозы вполне объяснимы: распространяясь с поддельных файлообменников под видом драйверов и полезных программ, а также в спам-рассылках, Trojan. Mayachok.1 приносит своим создателям неплохую прибыль, требуя у пользователей «активировать» доступ к тому или иному сайту, указав в соответствующем поле номер мобильного телефона и пришедший в ответном СМС-сообщении код. Таким образом жертва оказывается подписанной на псевдоуслугу, за оказание которой с ее счета мобильного оператора будет ежемесячно списывается абонентская плата. Вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, vk.com, odnoklassniki.ru, my.mail.ru.

Не отстают от него и банковские троянцы семейства Trojan. Carberp (1,3% случаев). Достаточно часто на инфицированных ПК удается обнаружить различные троянцы-даунлоадеры, вредоносные программы семейства Trojan. SMSSend (порядка 1,5%), Trojan. Hosts (около 0,5%) и всевозможные модификации IRC-ботов.

Если сравнить эту статистику с данными за предыдущий месяц, то можно увидеть, что число заражений троянцем Trojan. Mayachok.1 выросло на 1,36%: в мае количество обнаружений данной вредоносной программы увеличилось на 10,5 тысяч. А вот число обнаружений Trojan. Carberp наоборот сократилось практически на четверть. Несколько возросло количество случаев заражения троянцами семейства Trojan. Hosts, подменяющими содержимое файла Windows/System32/Drivers/etc/hosts, который отвечает за трансляцию сетевых адресов сайтов в их DNS-имена. Одной из весьма популярных модификаций данной вредоносной программы оказался Trojan. Hosts.5858, о массовом распространении которого среди зарубежных пользователей мы уже писали в одной из недавних новостей.

Распространение этого троянца осуществляется с использованием ресурсов бот-сети BackDoor. Andromeda. В случае заражения при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в Интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты.

Численность выявленных угроз других типов за истекший месяц фактически осталась на прежнем уровне.

Спам

Среди угроз, обнаруженных в мае в почтовых сообщениях, лидирует вредоносная программа Trojan. SMSSend.2856, представляющая собой вредоносный скрипт, который перенаправляет браузер пользователя на мошеннические сайты. В числе лидеров вредоносных рассылок также замечены Trojan. Mayachok.1 и Trojan. Carberp. Нередко в почтовых сообщениях обнаруживается червь Win32.HLLW.Shadow, известный также под именем «Kido», — эта программа способна загружать с удаленных серверов, устанавливать и запускать на компьютере жертвы различные приложения. Также в качестве вложений в сообщения e-mail нередко встречаются различные программы-загрузчики и троянец-руткит Trojan. NtRootKit.6725. Следует отметить, что по сравнению с апрелем 2012 года объем вредоносных вложений в почтовых сообщениях немного сократился, в то время как качественный их состав практически не претерпел изменений.

В конце мая был зафиксирован всплеск активности спамеров, рассылающих письма от имени Сбербанка России. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружается троянец-энкодер: при попытке распаковать скачанный архив хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными.

Пользователям рекомендуется проявлять внимательность и не загружать файлы с использованием ссылок, полученных в сомнительных почтовых сообщениях.

Ботнеты

Обнаруженная в начале апреля специалистами компании «Доктор Веб» бот-сеть BackDoor. Flashback.39, поразившая более 800 000 Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X, продолжает свое существование, хотя общая численность инфицированных машин заметно сократилась и продолжает уменьшаться с течением времени. На начало мая число ботов в сети снизилось до 529 355. По данным на 24 мая, в сети действовало 331 992 зараженных «мака», при этом среднесуточное количество присоединяющихся к сети новых ботов составляет 110 машин. В течение месяца это число также плавно сокращалось. На представленном ниже графике показана динамика изменения общей численности бот-сети BackDoor. Flashback.39 в мае 2012 года:

А вот так выглядит график регистрации новых ботов в сети BackDoor. Flashback.39:

В апреле компания «Доктор Веб» сообщила о перехвате крупного ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12: уже тогда его численность составляла более миллиона инфицированных компьютеров, расположенных преимущественно в странах ближнего востока и Азии. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он обладает функционалом бэкдора, позволяет выполнять поступающие от удаленного управляющего центра команды, а также «умеет» красть пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

На 29 мая 2012 года общая численность ботнета Win32.Rmnet.12 составляет уже 2 641 855 инфицированных машин, то есть только за последний месяц она превысила значение в два с половиной миллиона, увеличившись вдвое. География распространения вируса не претерпела существенных изменений: лидерами среди наиболее подвергшихся инфекции регионов по-прежнему остаются Индонезия, Бангладеш, Вьетнам, Индия и Египет, велико количество инфицированных ПК и в России. Динамика увеличения численности бот-сети Win32.Rmnet.12 в течение мая 2012 года представлена на следующей диаграмме:

График наглядно демонстрирует, что среднесуточное количество вновь зараженных машин, присоединившихся к бот-сети, составляет порядка 25 000, и объем ботнета продолжает расти весьма быстрыми темпами.

Примерно схожая ситуация наблюдается в отношении другой бот-сети, за которой внимательно следят специалисты компании «Доктор Веб», — Win32.Rmnet.16. В начале мая мы сообщали о том, что численность ботнета (по данным на 11.05.2012) составляла 55 310 инфицированных узлов, наибольшая доля которых была расположена на территории Великобритании. За прошедшие с этого момента 18 дней число зараженных машин достигло 84 491. График, демонстрирующий динамику регистрации в сети новых ботов, приведен ниже.

Из иллюстрации видно, что появление новых инфицированных машин в сети Win32.Rmnet.16 происходит неравномерно, но общее их количество, тем не менее, постепенно увеличивается.

Угроза месяца: Trojan. Matsnu.1

От действий этой троянской программы пострадало большое количество пользователей по всему миру: многочисленные запросы в службу технической поддержки компании «Доктор Веб» приходили из многих европейских стран, прежде всего из Германии.

Троянец написан на языке Ассемблер, распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троянец шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована либо была инфицирована троянцем-кодировщиком. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Чтобы расшифровать файлы, вирусописатели предлагают воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

Одновременно с демонстрацией данного сообщения троянец ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan. Matsnu.1 директив можно отметить следующие:

— убить систему (удалить все файлы на жестких дисках);
— загрузить с сайта злоумышленников указанную программу и запустить ее;
— загрузить и продемонстрировать другие изображения для диалогового окна;
— сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса;
— расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
— зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
— обновить список управляющих серверов;
— обновить основной модуль троянца.

Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал. От действия Trojan. Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки.

Угрозы для Android

Последний месяц весны также ознаменовался появлением новых угроз для мобильной платформы Google Android. В начале мая мы сообщали о троянцах, представляющих угрозу для мобильных телефонов с root-доступом. Данные вредоносные программы реализованы по «принципу матрешки»: модифицированное злоумышленниками приложение содержит другой зашифрованный программный apk-файл. Троянцы устанавливают в систему программу-загрузчик, способную скачивать и запускать на инфицированном устройстве другие приложения.

Помимо этого в мае было выявлено вредоносное приложение для мобильной платформы Android, добавленное в вирусные базы под именем Android. Proxy.1.origin. Распространяясь под видом системного обновления со взломанных злоумышленниками сайтов, троянец запускает на инфицированном устройстве простой прокси-сервер, благодаря которому хакеры могут получить несанкционированный доступ к частным сетям, к которым подключается устройство. Загрузка данного троянца начинается автоматически при посещении модифицированных злоумышленниками веб-сайтов, в структуру которых добавлен скрытый элемент IFRAME, однако для того чтобы мобильное устройство оказалось инфицированным, пользователь должен установить данное приложение.

Винлоки и энкодеры

Среди запросов от пользователей, поступивших в течение мая в службу технической поддержки компании «Доктор Веб», по-прежнему велико количество обращений, связанных с действием программ-блокировщиков, — 21,2% от общего количества. Это число незначительно сократилось по сравнению с апрелем, также немного снизилось количество запросов о расшифровке файлов, пострадавших в результате заражения ПК вредоносными программами семейства Trojan. Encoder, — таковых насчитывается 0,71%. По поводу прочих вирусных угроз за истекший месяц в компанию обратилось 5,3% пользователей, запросы технического характера составили 44% от общего количества обращений в техподдержку.

Короткой строкой

Среди иных угроз информационной безопасности, выявленных в мае 2012 года, необходимо отметить следующие:

— Сетевые мошенники обратили свое внимание на социальную сеть Facebook.
— Вредоносная программа Win32.HLLW.Autoruner.64548, распространяющаяся путем создания своей копии на диске и размещения в корневой папке файла autorun.inf, ищет и инфицирует RAR-архивы.
— Специалистами компании «Доктор Веб» был обнаружен IRC-бот BackDoor. IRC.Aryan.1, способный загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера.
— Другой IRC-бот, распространяющий спам в сетях мгновенного обмена сообщениями, использует в своей работе оригинальный механизм поиска запущенных процессов с помощью счетчиков производительности, размещающихся в системном реестре Windows.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей