Лжеантивирус под «мак», новые 64-битные руткиты и другие майские «сюрпризы»
Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender, сообщает компания «Доктор Веб».
Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender. Если лжеантивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы — все еще в новинку, тем более в масштабе эпидемий. А вот появление руткитов, атакующих
От чего «защищает» MacDefender?
В мае
После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений — Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить».
Для приобретения «лицензионной версии» MacDefender злоумышленники предлагают воспользоваться кредитной картой (причем передача данных происходит на незащищенной странице). После оплаты программа перестает
MacDefender представляет угрозу для пользователей операционных систем Mac OS X
Apple, хотя и с некоторой задержкой, признала существование этой проблемы: на сайте компании была размещена инструкция по удалению MacDefender, а также рекомендации относительно того, как избежать его попадания на компьютер, и обещание в ближайшее время выпустить обновление операционной системы, «которое будет автоматически находить и удалять вредоносное ПО MacDefender и его известные разновидности». На сегодняшний день вирусная база Dr.Web насчитывает шесть модификаций этой вредоносной программы, включая самую последнюю, снабженную «прединсталлятором», а в Dr.Web для Mac OS X уже реализовано лечение от них.
В прошедшем месяце в вирусные базы Dr.Web были добавлены очередные модификации руткитов, «заточенных» под
Новая версия бэкдора семейства Maxplus — BackDoor.Maxplus.13 — также умеет действовать в
Смерть террориста №1 как повод для вредоносного спама
Сообщение о ликвидации 2 мая 2011 года Усамы бен Ладена, разумеется, не осталось без внимания киберпреступников. Мошенники попытались воспользоваться повышенным интересом к этому событию, действуя проверенным методом: через спам-рассылки, в расчете на неосторожный «клик».
В частности, было отмечено массовое распространение через почту вредоносного файла Laden’s Death.doc, использовавшего уязвимость в обработке
Кроме того, в мае специалисты «Доктор Веб» отмечали массовую рассылку писем, содержавших файл Fotos_Osama_Bin_Laden.exe, который на деле оказывался вовсе не шокирующими кадрами с участием террориста №1, а банальным «бразильским банкером» Trojan.PWS.Banker.55330, написанным на Delphi. Напомним, что вредоносные программы этого семейства специализируются на краже данных, связанных с банковскими счетами, электронными картами и системами электронных платежей.
Trojan.SMSSend можно «подхватить» не только на файлообменниках
Продолжают изощряться распространители
На сегодняшний день этот и ему подобные сайты блокируются Dr.Web как источники распространения вирусов.
Trojan.MBRlock приходит на смену «винлокам»?
В мае служба технической поддержки «Доктор Веб» зафиксировала очередной всплеск запросов, связанных с блокировкой операционных систем. Причем на этот раз речь идет отнюдь не о пресловутом Trojan.Winlock, а о более опасной вредоносной программе — Trojan.MBRlock, изменяющей главную загрузочную запись (Master Boot Record, MBR).
В отличие от «винлоков» эта вредоносная программа блокирует не вход в операционную систему, а сам ее запуск. Если на компьютере установлено несколько операционных систем, то Trojan.MBRlock препятствует запуску каждой из них. Попытки восстановить стандартную MBR специализированными средствами могут привести к потере пользовательских данных — таблица разделов диска может не восстановиться.
В MBR вредоносная программа записывает код, который загружает с соседних секторов основное тело Trojan.MBRlock. После чего пользователь видит требования злоумышленников, которые необходимо выполнить для восстановления загрузочной области диска и загрузки операционной системы.
Из 39 известных модификаций этой вредоносной программы 27 было добавлено в вирусные базы Dr.Web в мае. Пользователям, чьи компьютеры заблокированы Trojan.MBRlock, помогут средства аварийного восстановления системы Dr.Web LiveCD или Dr.Web LiveUSB.
Новые угрозы для Android: смешные и не очень
В мае была обнаружена и добавлена в «мобильную» вирусную базу вредоносная программа Android.NoWay.1, которая, активизировавшись на мобильном устройстве, проверяла дату, и, если это происходило 21 мая, рассылала по списку контактов СМС с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалиптических теорий должен был наступить конец света.
Также в прошедшем месяце были обнаружены очередные шпионские программы, распространяющиеся вполне легально, однако в силу своего функционала представляющие опасность для пользователей Android — в случае если «шпион» установлен на мобильное устройство без их ведома. Речь идет о ПО Cell Phone Recon, по классификации Dr.Web получившем наименование Android.Recon, и о SpyDroid, занесенном в вирусную базу как Android.SpyDroid. Более подробно о подобных программах можно прочитать в обзоре киберугроз для платформы Android.
Кроме того, был выявлен ряд вредоносных программ, маскировавшихся под приложение Jimm, предназначенное для обмена сообщениями в сети ICQ при помощи мобильных устройств. На самом же деле эти программы занимались рассылкой
Вредоносные файлы, обнаруженные в мае в почтовом трафике
01.05.2011 00:00 — 01.06.2011 00:00
1. Exploit.Cpllnk — 60240 (10.82%)
2. Win32.HLLM.MyDoom.54464 — 27801 (5.00%)
3. Trojan.Tenagour.3 — 21796 (3.92%)
4. Trojan.DownLoader2.43734 — 18466 (3.32%)
5. Win32.HLLM.MyDoom.33808 — 17618 (3.17%)
6. Win32.Sector.22 — 16930 (3.04%)
7. Win32.Sector.21 — 16755 (3.01%)
8. Trojan.DownLoader2.50384 — 7402 (1.33%)
9. Win32.HLLM.Netsky.18401 — 7283 (1.31%)
10. Win32.HLLM.Netsky — 6880 (1.24%)
11. Win32.HLLM.MyDoom.based — 5444 (0.98%)
12. Win32.HLLM.Netsky.35328 — 4486 (0.81%)
13. Trojan.Potao.1 — 4139 (0.74%)
14. Trojan.DownLoader2.48993 — 3897 (0.70%)
15. Trojan.DownLoad2.24758 — 3763 (0.68%)
16. Trojan.MulDrop1.54160 — 3555 (0.64%)
17. Win32.HLLM.MyDoom.33 — 2819 (0.51%)
18. Win32.HLLM.Beagle — 2632 (0.47%)
19. Trojan.AVKill.2 — 2035 (0.37%)
20. Win32.HLLM.Perf — 1869 (0.34%)
Всего проверено: 114,479,837
Инфицировано: 556,572 (0.49%)
Вредоносные файлы, обнаруженные в мае на компьютерах пользователей
01.05.2011 00:00 — 01.06.2011 00:00
1. JS.Click.218 — 64754459 (46.25%)
2. JS.IFrame.95 — 33983619 (24.27%)
3. Win32.Siggen.8 — 15917025 (11.37%)
4. Win32.HLLP.Neshta — 6986794 (4.99%)
5. Win32.HLLP.Whboy.45 — 2475841 (1.77%)
6. Win32.HLLP.Whboy — 1708126 (1.22%)
7. Win32.HLLP.Whboy.101 — 1562995 (1.12%)
8. Win32.HLLP.Rox — 1554052 (1.11%)
9. Trojan.DownLoader.42350 — 1060230 (0.76%)
10. Exploit.Cpllnk — 981675 (0.70%)
11. Win32.HLLP.Whboy.105 — 928664 (0.66%)
12. Win32.HLLP.Liagand.1 — 840445 (0.60%)
13. Win32.Gael.3666 — 599620 (0.43%)
14. HTTP.Content.Malformed — 566908 (0.40%)
15. Win32.Virut — 472244 (0.34%)
16. Trojan.MulDrop1.48542 — 268265 (0.19%)
17. Win32.HLLW.Autoruner.2341 — 222144 (0.16%)
18. ACAD.Pasdoc — 207316 (0.15%)
19. Win32.HLLW.Shadow — 201444 (0.14%)
20. Win32.HLLP.Novosel — 193022 (0.14%)
Всего проверено: 139,130,820,803
Инфицировано: 140,003,128 (0.10%)
Комментарии