Год быка для ПК: обзор вирусных событий 2009 года
Компания «Доктор Веб» представила обзор основных вирусных событий 2009 года.
Компания «Доктор Веб» представляет обзор основных вирусных событий 2009 года. По восточному календарю завершившийся год считался годом быка. Для киберпреступников «красной тряпкой» стали деньги пользователей — легкая добыча в условиях, когда человек доверчиво кликает по ссылкам, присланным якобы от друзей, и скачивает программы, «необходимые» для решения тех или иных задач. Создание разрушительных вредоносных программ при этом осталось в прошлом. Требования о переводе денег злоумышленникам выводились как в окнах различных интернет-браузеров, так и на рабочем столе или поверх всех окон в системе. В качестве транспорта для распространения вирусов использовались как классические каналы — электронная почта, системы мгновенного обмена сообщениями, так и новые — социальные сети и блоги. Рассмотрим наиболее заметные типы вредоносных программ, которые составляли основную часть вредоносного трафика 2009 года, а также намечающиеся тенденции будущих лет.
Руткиты
Больше всего загадок разработчикам антивирусных технологий Dr.Web в 2009 году задали авторы новых руткитов. Эти вредоносные программы скрывают свое присутствие в системе, а также позволяют работать в скрытом от глаз пользователя и большинства антивирусов режиме другим вредоносным программам, которые они загружают с вредоносных интернет-сайтов. Нередки случаи, когда компоненты руткита уже добавлены в вирусную базу какого-либо антивируса, но он, тем не менее, не замечает присутствия вредоносного объекта в системе.
Наиболее заметными вредоносными программами данного класса стало семейство BackDoor.Tdss (название приводится по классификации Dr.Web). За 2009 год компания «Доктор Веб» оперативно выпустила несколько горячих дополнений сканера с графическим интерфейсом, включающего в себя обновленный антируткит-модуль Dr.Web Shield для противодействия новым руткит-технологиям.
В марте прошедшего года мы сообщали о том, что очередная модификация BackDoor.Tdss препятствует работе файловых мониторов, входящих в состав некоторых антивирусов, а также обходит антируткиты. В то время распространенность BackDoor.Tdss была относительно невысокой.
В ноябре 2009 года новые модификации BackDoor.Tdss распространились значительно шире. Сервер статистики компании «Доктор Веб» в прошедшем месяце зафиксировал около 400 000 определений данной вредоносной программы на компьютерах пользователей. До этого момента данная цифра редко поднималась выше 1000 определений в месяц.
Интересно, что новые модификации BackDoor.Tdss злоумышленники стали оснащать инструментами сокрытия в системе. К примеру, специально создаваемый зашифрованный виртуальный диск и механизм обхода некоторых типов поведенческих анализаторов. Несмотря на это специалисты «Доктор Веб» в короткие сроки решили данную задачу, обеспечив продукты компании возможностями корректного лечения BackDoor.Tdss.
Лжеантивирусы
В последние месяцы уходящего года существенно увеличилась активность распространения лжеантивирусов, которые по классификации Dr.Web называются Trojan.Fakealert. Эти программы при запуске внешне похожи на настоящие антивирусные программы, но не являются таковыми. Цель создателей лжеантивирусов — завлечь пользователя на специально подготовленный вредоносный сайт, на котором он должен приобрести якобы полную версию продукта.
Как правило, лжеантивирусы распространяются в виде приложений к спам-письмам или через специально подготовленные вредоносные сайты. При этом чаще всего таким образом передается загрузчик лжеантивируса, который при запуске загружает с сервера злоумышленников компоненты, составляющие основной функционал. Упор во вредоносном ПО этого типа делается на визуальную часть — программа отображает системные окна Windows, которые сообщают о том, что данный антивирус якобы интегрирован в систему. Основное окно программы показывает процесс сканирования компьютера и имитирует обнаружение вирусов.
После того, как пользователь заплатит деньги за якобы полную версию такого антивируса, его беды отнюдь не заканчиваются — он остается «на крючке», и в систему могут быть загружены какие-либо другие вредоносные объекты.
С сентября 2009 года наблюдается всплеск активности данных угроз — в октябре и ноябре было зафиксировано по несколько десятков миллионов определений программ данного типа. До сентября общее количество обнаруживаемых в месяц лжеантивирусов на компьютерах пользователей было аж на 4 порядка меньше.
Блокировщики Windows
Много бед в 2009 году принесли пользователям и блокировщики Windows — вредоносные программы, которые по классификации Dr.Web называются Trojan.Winlock. Эти вредоносные программы при старте Windows выводят поверх всех окон сообщение о том, что доступ в систему заблокирован, и для того, чтобы данное окно исчезло, необходимо отправить платное
В качестве причины блокировки программа могла информировать о том, что на компьютере установлена якобы нелицензионная операционная система или другое программное обеспечение (реже используются другие «поводы»). Известны случаи распространения конструкторов данных вредоносных программ за определенную сумму — приобрести их мог любой желающий.
Несколько лет назад вредоносные программы семейства Trojan.Winlock были гораздо безобиднее: в отличие от современных экземпляров они автоматически удалялись с компьютера через несколько часов после установки, если пользователь не совершал никаких действий; не запускались в Безопасном режиме Windows; система действительно разблокировалась в случае ввода правильной строки, а стоимость
Последние модификации Trojan.Winlock стали более агрессивными.
В случае заражения системы очередной модификацией Trojan.Winlock не следует передавать деньги злоумышленникам. Вместо этого необходимо обратиться в техподдержку используемого антивируса или на форум компании «Доктор Веб».
Браузерные баннеры
Еще одной модификацией троянцев-вымогателей является семейство вредоносных программ, устанавливаемых в качестве дополнения к используемому интернет-браузеру. В результате установки появляется окно, которое может занимать до половины полезной площади окна браузера. Для удаления этого окна требуется отправить
По классификации Dr.Web основная часть таких вредоносных программ определяется как одна из модификаций Trojan.Blackmailer или Trojan.BrowseBan. Если Trojan.Blackmailer устанавливается обычно только в браузер Internet Explorer, то Trojan.BrowseBan может устанавливаться в несколько различных популярных браузеров — Internet Explorer, Mozilla Firefox и Opera. Для этого на вредоносных сайтах, с которых распространяется данная вредоносная программа, злоумышленники создают скрипт, который позволяет определять используемый браузер и после этого загружать предназначенную для него модификацию вредоносной программы.
В марте 2009 года был замечен всплеск активности распространения вредоносных программ данного типа. Тогда было зафиксировано около 3 млн. определений Trojan.Blackmailer на компьютерах пользователей. В среднем же в течение года количество определений вредоносных браузерных баннеров держалось на уровне
Шифровальщики документов
Очередной проблемой, с которой столкнулись многие пользователи в 2009 году, стали шифровальщики документов — вредоносные программы, которые определяются антивирусом Dr.Web как различные модификации Trojan.Encoder. Данная вредоносная программа, проникая в систему, шифрует с помощью определенного алгоритма документы пользователей, не затрагивая файлы, относящиеся к операционной системе. После этого на рабочий стол выводится уведомление о том, что данные пользователя зашифрованы, а для восстановления необходимо перечислить злоумышленникам определенную сумму денег.
Компания «Доктор Веб» столкнулась с фактами использования своей корпоративной атрибутики в материалах одного из авторов Trojan.Encoder. Также были зафиксированы случаи распространения спам-сообщений от имени сотрудников компании «Доктор Веб», а некоторые модификации Trojan.Encoder использовали дополнительное расширение drweb для зашифрованных файлов. Такое поведение автора Trojan.Encoder, видимо, вызвано тем, что специалисты компании «Доктор Веб» успешно оказывают помощь пострадавшим пользователям. Конечно, наша компания не имеет отношения к подобным инцидентам.
Несмотря на относительно малую распространенность вредоносных программ данного типа, при попадании в систему они наносят весьма ощутимый урон — ведь документы часто имеют высокую ценность для пользователей. Пострадавшие от Trojan.Encoder всегда могут обратиться в вирусную лабораторию компании «Доктор Веб» — в подавляющем большинстве случаев специалисты помогут в восстановлении зашифрованных документов, причем бесплатно.
Сетевые черви
Сетевые черви в 2009 году заставили многих администраторов локальных сетей предприятий вспомнить об элементарных правилах информационной безопасности. Наиболее ярким представителем этих вредоносных программ стал сетевой червь Win32.HLLW.Shadow.based.
Как видно из графика, активное распространение Win32.HLLW.Shadow.based продолжается и сейчас. Данный сетевой червь продолжает свое своеобразное, но весьма эффективное обучение сетевых администраторов.
Многообразие программных сред
Как мы упоминали, некоторые вредоносные объекты сегодня уже способны определять используемую операционную систему, браузер, версии другого популярного ПО для того, чтобы более эффективным образом поразить систему. Но для того, чтобы данная схема начала работать, злоумышленникам нужно научиться создавать вредоносные программы, которые смогут работать на большинстве популярных операционных систем. Как обстоят дела на этом фронте?
Если мы обратимся к статистике распространения вредоносных программ по различным платформам за 2009 год, то сможем сделать следующие выводы. Интерес к альтернативным платформам постоянно растет. Судя по статистике, для таких платформ как Mac OS, Linux, Windows CE тенденция не так очевидна, хотя в новостях часто можно услышать про вредоносные программы под эти системы. А вот к таким мобильным платформам как программная среда Java (которую поддерживают множество мобильных устройств) и Symbian интерес увеличивается с каждым месяцем. Даже несмотря на то, что доля определений вредоносных программ в общем вредоносном трафике
Разработчики компании «Доктор Веб» постоянно следят за развитием ситуации. В частности, в настоящее время в бета-тестировании находится антивирус Dr.Web для Symbian OS, который в скором времени будет доступен всем пользователям смартфонов, работающих под управлением этой ОС.
Прогнозируемые тенденции 2010 года
В 2010 году можно ожидать продолжение тенденции к одномоментному охвату злоумышленниками пользователей как можно большего числа операционных систем и браузеров. Можно предположить, что увеличится количество вредоносных сайтов, на которых будут работать скрипты, способные определять используемую программную среду и в зависимости от этого производить загрузку соответствующей вредоносной программы. Рынок операционных систем постепенно расслаивается — появляются новые ОС, новые мобильные устройства, все больше пользователей интересуются свободным или альтернативным программным обеспечением, и вирусописатели будут реагировать на эти тенденции, чтобы не упустить свою выгоду.
Следует ожидать, что в последующие годы злоумышленники будут больше времени уделять обходу не только классических сигнатурных и эвристических технологий, но и противодействию различным поведенческим анализаторам, примеры чему мы видим уже сегодня.
Наверняка будет продолжаться разработка новых руткит-технологий, и борьба с ними будет такой же острой, как и в последние годы. Вероятно, уже в 2010 году будут осуществлены первые попытки создать руткит для
Количеством будут брать и создатели вредоносных сайтов. Уже сегодня антифишинговые технологии, используемые в любом современном браузере и призванные уберечь пользователей от посещения вредоносных сайтов, частенько не справляются с поставленной задачей. Злоумышленники быстро создают слишком много копий одного и того же сайта, и антифишинговые системы просто не успевают сработать на каждый из них.
В заключение приведем несколько рекомендаций, которые помогут существенно снизить риск заражения системы. Для уменьшения вероятности заражения компания «Доктор Веб» рекомендует пользователям организовывать информационную защиту своих компьютеров сразу на нескольких уровнях.
Для корпоративных пользователей кроме рекомендации использовать в условиях предприятия корпоративные антивирусные продукты мы советуем также принять политику информационной безопасности, а также посвящать хотя бы минимальное рабочее время сотрудников обучению в области элементарных правил ИБ.
Комментарии