Привычные и непривычные формы обмана: вирусный октябрь 2010 года

Октябрь в очередной раз показал многообразие способов интернет-мошенничества, при этом злоумышленники использовали новые варианты известных ранее схем перенаправления пользователей интернет-браузеров со страниц популярных веб-сайтов на вредоносные страницы. Также вирусописатели использовали высокую популярность некоторых «нашумевших» вредоносных программ для распространения других вирусов под видом вакцины от них. Тем временем противостояние вредоносных и антивирусных программ постепенно выходит на новое поле 64-битных платформ.

64-битный антируткит

26 октября 2010 года компания «Доктор Веб» выпустила бета-версию бесплатной лечащей утилиты Dr.Web CureIt!, сканер которой содержит 2 версии антируткит-модуля Dr.Web Shield, предназначенных для работы в 32- и 64-битных версиях операционных систем семейства Microsoft Windows. Обновленный Dr.Web CureIt! способен обнаружить 64-битную модификацию руткита BackDoor.Tdss и провести лечение системы.

Отличительной чертой этой вредоносной программы является наличие так называемой буткит-составляющей, которая позволяет бэкдору загружаться до старта операционной системы. Такая схема позволяет вредоносной программе взять ход загрузки системы под контроль и обойти все методы защиты системы от установки неподписанного вредоносного драйвера, после чего скрытно производить злонамеренные действия в системе.

После завершения тестирования сканер из бета-версии Dr.Web CureIt! будет включен во все продукты Dr.Web, предназначенные для работы в ОС Windows.

Обратная сторона известности вирусов

В то время как антивирусные компании изучают новые вредоносные программы и публикуют результаты своих исследований в СМИ, повышая уровень знаний пользователей, злоумышленники тоже пользуются этими знаниями, распространяя одни вредоносные программы под видом утилит для лечения других, более известных.

В октябре специалисты компании «Доктор Веб» выявили сразу несколько подобных случаев. Наиболее известным из них стала рассылка злоумышленниками утилиты, которая якобы противодействуют знаменитому (с сентября 2010 года) Trojan.Stuxnet, от имени известных производителей антивирусов. Ложная утилита определяется Dr.Web как Trojan.KillAll.94. Сообщения о распространения данного троянца поступали от пользователей из европейских стран.

Распространители ложных самораспаковывающихся архивов (Trojan.SMSSend) воспользовались тем, что некоторые виды их «продукции» (например, WinRARC) стали достаточно популярны, и некоторые пользователи не обращают внимание на то, что данные «архивы» не содержат никакой полезной информации. И тогда киберпреступники пошли еще дальше: начали распространять другие ложные архивы — якобы утилиты для распаковки файлов, созданных в «архиваторе» WinRARC. Конечно, для использования этой «утилиты» потребуется снова отправить деньги злоумышленникам.

В последних числах октября начала распространяться новая модификация Trojan.Hosts, ориентированная на русскоязычных пользователей. В ней сообщается о том, что компьютер заражен одной из модификаций троянца Zbot (Trojan.PWS.Panda по классификации Dr.Web), а для лечения системы предлагается отправить платное СМС-сообщение.

Интернет-мошенничество в октябре

В целом число обращений в бесплатную техподдержку компании «Доктор Веб» в связи со случаями интернет-мошенничества за октябрь осталось практически на сентябрьском уровне, составив 118 обращений в сутки против 124 в прошлом месяце.

Основная часть запросов была создана в первой половине месяца, когда активно распространялся троянец Trojan.HttpBlock. В пиковые дни фиксировалось до нескольких сотен обращений в техподдержку по этому поводу (до 80% всех обращений).

Данная вредоносная программа перенаправляет интернет-браузер на страницы, передаваемые веб-сервером, который Trojan.HttpBlock устанавливает локально на компьютер жертвы. После этого злоумышленники требуют выкуп за восстановление нормальной работы интернет-браузера.

После публикации компанией «Доктор Веб» 14 октября 2010 года новости о широком распространении Trojan.HttpBlock агрегаторы коротких номеров сообщений оперативно отреагировали на ситуацию, заблокировав аккаунты злоумышленников. После этих событий количество обращений в техподдержку в связи со случаями интернет-мошенничеств сократилось до привычных 50–70 в сутки.

Вместе со спадом волны Trojan.HttpBlock наиболее распространенными вредоносными программами, как и прежде, стали блокировщики Windows (Trojan.Winlock), требующие отправить деньги на счет мобильного телефона с помощью терминала, и троянцы, модифицирующие системный файл hosts для перенаправления пользователей на вредоносные сайты при попытке посетить сайты социальных сетей, либо другие популярные интернет-ресурсы (Trojan.Hosts).

Необходимо отметить, что к концу октября чаще стали встречаться схемы, при которых злоумышленники требуют от пользователя ввести его номер телефона, после чего ответить на пришедшее бесплатное СМС-сообщение. Тем самым пользователь подписывается на некую платную услугу, за которую со счета его мобильного телефона раз в несколько дней снимаются деньги. Эта давно известная схема снова оказалась весьма популярной. Но если раньше она использовалась в основном на вредоносных сайтах, то сейчас ее нередко можно встретить при распространении таких вредоносных программ, как ложные архивы Trojan.SMSSend, а также троянцев Trojan.Hosts.

Кроме того, была выявлена незначительно измененная схема вымогательства с использованием мобильного телефона: пользователям мобильной связи предлагается вместо прогулки к банкомату отправить деньги на счет другого мобильного телефона, не вставая с места. Для этого злоумышленники предлагают либо набрать определенную команду, либо отправить специальное СМС-сообщение.

Интернет-мошенники тоже шутят

Незначительное распространение получила одна из модификаций Trojan.Winlock, в блокирующем окне которой не требовалось вводить никаких кодов разблокировки. Наоборот, текст рассказывал пользователю о вреде постоянного участия в жизни одной из популярных социальных сетей.

Из других заметных событий октября можно отметить появление новых модификаций троянца Android.SmsSend, который занимается скрытой рассылкой платных СМС-сообщений с зараженного мобильного устройства. На территории Европы продолжается распространение лжеантивирусов, вредоносных программ, содержащих буткит-составляющую, а также троянцев, ориентированных на пользователей интернет-банкинга.

Вредоносные файлы, обнаруженные в октябре в почтовом трафике
01.10.2010 00:00 — 01.11.2010 00:00

1. Trojan.DownLoad1.58681 — 599141 (14.92%)
2. Trojan.Packed.20878 — 418992 (10.43%)
3. Trojan.Oficla.zip — 305686 (7.61%)
4. Trojan.Packed.20312 — 254743 (6.34%)
5. Trojan.DownLoad.41551 — 237799 (5.92%)
6. Win32.HLLM.Netsky.18401 — 232178 (5.78%)
7. Win32.HLLM.MyDoom.33808 — 179524 (4.47%)
8. Trojan.Oficla.38 — 120247 (2.99%)
9. Win32.HLLM.Beagle — 101548 (2.53%)
10. Trojan.PWS.Panda.114 — 93394 (2.33%)
11. Win32.HLLM.Netsky.35328 — 87369 (2.18%)
12. Trojan.DownLoader1.17157 — 67928 (1.69%)
13. W97M.Killer — 61803 (1.54%)
14. Trojan.Oficla.48 — 53498 (1.33%)
15. Trojan.PWS.Panda.387 — 51020 (1.27%)
16. Trojan.Oficla.73 — 45969 (1.14%)
17. Trojan.Botnetlog.zip — 42480 (1.06%)
18. Trojan.AVKill.2788 — 35663 (0.89%)
19. Trojan.DownLoader1.23313 — 33962 (0.85%)
20. Trojan.MulDrop1.39520 — 33956 (0.85%)

Всего проверено: 33,579,363,132
Инфицировано: 4,016,939

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей
01.10.2010 00:00 — 01.11.2010 00:00 

1. Win32.HLLP.Neshta — 8277556 (25.33%)
2. Win32.HLLP.Whboy.45 — 6770512 (20.72%)
3. Trojan.DownLoader.42350 — 4116047 (12.60%)
4. ACAD.Pasdoc — 1616962 (4.95%)
5. JS.Nimda — 1334519 (4.08%)
6. Exploit.Cpllnk — 862594 (2.64%)
7. Win32.HLLM.Dref — 714726 (2.19%)
8. Win32.Virut — 596437 (1.83%)
9. Trojan.Click.64310 — 469055 (1.44%)
10. Win32.HLLP.Rox — 458892 (1.40%)
11. Win32.Antidot.1 — 450340 (1.38%)
12. Trojan.Click1.6029 — 447519 (1.37%)
13. Win32.Rmnet — 400975 (1.23%)
14. Win32.HLLW.Shadow.based — 282147 (0.86%)
15. Trojan.Smorchok.334 — 221668 (0.68%)
16. Win32.HLLP.Whboy — 220591 (0.68%)
17. Win32.HLLP.Novosel — 213851 (0.65%)
18. Trojan.DownLoader.46199 — 156212 (0.48%)
19. BackDoor.IRC.Sdbot.4590 — 154582 (0.47%)
20. Trojan.DownLoad.32973 — 136309 (0.42%)

Всего проверено: 84,690,812,733
Инфицировано: 32,677,797