Главная / Новости / Новости отрасли / Обзор вирусной активности в июне 2014 года

Обзор вирусной активности в июне 2014 годаОбзор вирусной активности в июне 2014 года

2 июля 2014 года

С точки зрения информационной безопасности первый месяц лета оказался весьма насыщенным различными событиями: в отпуск вирусописатели уходить явно не собираются. Одной из наиболее важных тенденций июня стало распространение большого количества троянцев-блокировщиков, а также шифровальщиков для мобильной платформы Google Android. Помимо этого, в начале месяца специалисты компании «Доктор Веб» обнаружили нового троянца для ОС Linux, а в конце июня было выявлено несколько массовых рассылок вредоносных программ от имени различных известных компаний, в том числе производителей антивирусного ПО.

Вирусная обстановка

Согласно статистическим данным, полученным с использованием лечащей утилиты Dr.Web CureIt!, в июне 2014 года чаще всего на компьютерах пользователей обнаруживался Trojan.BPlug.78 — вредоносная надстройка для браузеров, демонстрирующая назойливую рекламу при просмотре веб-страниц. На втором месте располагается установщик нежелательных приложений Trojan.Packed.24524, на третьем — еще одна разновидность рекламного плагина, Trojan.BPlug.48. Двадцатка наиболее «популярных» вредоносных программ, обнаруженных на компьютерах пользователей с помощью лечащей утилиты Dr.Web CureIt! в июне 2014 года, приведена в следующей таблице:

НазваниеКол-во%
Trojan.BPlug.78856151.90
Trojan.Packed.24524748691.66
Trojan.BPlug.48574201.27
Trojan.BPlug.47490081.09
Trojan.BPlug.79384060.85
Trojan.BPlug.28379480.84
Trojan.MulDrop5.10078363460.81
Trojan.PWS.Panda.5661335750.75
Trojan.InstallMonster.209262120.58
Trojan.BPlug.91258090.57
Trojan.Admess.4249100.55
Trojan.BPlug.46227640.51
Trojan.DownLoader11.3101224380.50
Trojan.Click3.8365223080.50
Trojan.LoadMoney.262201170.45
Trojan.InstallMonster.51174680.39
Trojan.Popupads.15167340.37
Trojan.Tofsee143100.32
Trojan.BPlug.61137580.31
Trojan.Zadved.5135750.30

Ботнеты

По-прежнему фиксируется активность ботнета, состоящего из компьютеров, инфицированных файловым вирусом Win32.Rmnet.12. Как и в прошлом месяце, ежесуточная активность одной из двух контролируемых специалистами компании «Доктор Веб» подсетей ботнета Win32.Rmnet.12 составляет в среднем 165 000 обращений зараженных компьютеров к управляющему серверу. Диаграмма активности этой подсети представлена на следующем графике:

Активность ботнета Win32.Rmnet.12 в июне 2014 года
(1-я подсеть)

graph

Во второй подсети к управляющему серверу в среднем обращалось порядка 270 000 инфицированных рабочих станций ежесуточно, что несколько выше показателей прошлого месяца.

По-прежнему активна бот-сеть, созданная злоумышленниками с использованием вредоносного модуля Trojan.Rmnet.19 — на следующей диаграмме представлено среднесуточное количество зараженных этим модулем ПК, обращавшихся в течение месяца к управляющим серверам.

Среднесуточная активность ботнета Trojan.Rmnet.19
graph

Продолжает действовать крупнейшая на сегодняшний день бот-сеть, состоящая из Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X и зараженных троянской программой BackDoor.Flashback.39. В июне среднее число инфицированных «маков» снизилось еще примерно на 1 000 и составило 14 216. График активности данного ботнета представлен на следующей диаграмме:

Среднесуточная активность ботнета BackDoor.Flashback.39
graph

Специалисты компании «Доктор Веб» продолжают следить за крупным ботнетом, созданным злоумышленниками с использованием файлового вируса Win32.Sector. Назначение этой угрозы — загрузка из P2P-сети различных вредоносных программ и их запуск на инфицированном компьютере. За минувший месяц активность данной бот-сети ничуть не снизилась, при этом распространение вируса продолжается прежними темпами. Ниже представлен график активности бот-сети Win32.Sector в июне 2014 года:

Среднесуточная активность ботнета Win32.Sector
graph

Другие угрозы июня

Количество вредоносных программ для ОС Linux, обнаруженных специалистами компании «Доктор Веб», продолжает расти. Так, в июне в вирусные базы была добавлена запись для троянца Linux.BackDoor.Gates.5, предназначенного для организации DDoS-атак и реализующего функции классического бэкдора. Троянец ориентирован на 32-разрядные дистрибутивы Linux, в процессе своей работы он собирает и передает злоумышленникам информацию об инфицированном компьютере, включая сведения о количестве ядер процессора, его скорости, параметрах использования, объеме памяти, данные о сетевых интерфейсах и MAC-адресе сетевых устройств и др. Вредоносная программа запускается на инфицированном компьютере как демон, устанавливает соединение с управляющим сервером и получает от него данные для выполнения задания. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес. Более подробно об архитектуре и принципах работы Linux.BackDoor.Gates.5 рассказано в опубликованной нами обзорной статье.

Еще одна вредоносная программа, исследованная специалистами компании «Доктор Веб» в начале июня 2014 года, получила название BackDoor.Zetbo.1, и, судя по ряду характерных признаков, ее авторами являются турецкие вирусописатели. Основное назначение этого троянца — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троянец способен передавать злоумышленникам различную информацию о зараженной машине. Примечателен способ получения бэкдором управляющей информации от командного сервера: BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок, анализируя HTML-код которых, троянец определяет необходимые для своей работы конфигурационные данные.

screen

Более детальные сведения об этой угрозе представлены в информационном материале, размещенном в новостном разделе сайта компании «Доктор Веб».

Во второй половине июня вирусные аналитики компании «Доктор Веб» завершили исследование сложного многокомпонентного троянца Trojan.Tofsee и обнаружили среди заложенных в него вирусописателями функциональных возможностей одну весьма любопытную особенность. Главная цель, с которой создавался Trojan.Tofsee, — это рассылка спама, однако помимо этого он может выполнять и иные задачи, например, защищать инфицированный компьютер от других вредоносных программ. Один из модулей троянца позволяет ему выполнять поиск файлов на диске и запущенных в Windows процессов, удаляя обнаруженные объекты по списку. Таким образом Trojan.Tofsee борется на зараженной машине с «конкурентами».

Распространяется эта вредоносная программа несколькими различными способами, например, посредством съемных носителей информации, а также через социальные сети Twitter, Facebook, «ВКонтакте» и через программу Skype. Trojan.Tofsee отсылает потенциальным жертвам сообщения о якобы опубликованном в сети компрометирующем контенте, для просмотра которого требуется установить специальный плагин — под видом этого приложения и распространяется данная угроза.

screen

Обладает Trojan.Tofsee и иными любопытными особенностями – например, формирует сообщения для последующей массовой рассылки с помощью специального макроязыка, что является весьма редким явлением в мире вредоносного ПО. Подробную информацию об архитектуре и принципах действия данной угрозы читайте в нашем информационном обзоре.

Вредоносные рассылки

Во второй половине июня заметно повысилась активность злоумышленников, осуществляющих массовые рассылки вредоносных программ по электронной почте. Так, 26 июня мы сообщали о рассылке киберпреступниками почтовых сообщений от имени нескольких производителей антивирусного ПО, в том числе и компании «Доктор Веб»: с помощью этих писем распространялся опасный троянец BAT.encoder. А уже 27 июня вирусописатели организовали новую массовую рассылку, уже от имени известной интернет-компании Amazon.

screen

К письму прилагался ZIP-архив, в котором содержался троянец-загрузчик BackDoor.Tishop.122, способный скачивать с принадлежащих злоумышленникам серверов и устанавливать на инфицированном компьютере другие вредоносные приложения. Об этом инциденте мы также рассказывали в одном из своих новостных материалов. Компания «Доктор Веб» призывает пользователей проявлять бдительность и не открывать вложения в сообщениях электронной почты, полученных от незнакомых отправителей.

Угрозы для ОС Android

Одним из главных событий последних недель в сфере безопасности мобильных устройств по праву можно считать появление разнообразных блокировщиков и троянцев-энкодеров семейства Android.Locker, работающих в среде ОС Android. Впервые подобные вредоносные приложения зафиксированы специалистами компании «Доктор Веб» еще в минувшем мае, когда были обнаружены троянцы Android.Locker.1.origin и чрезвычайно опасный Android.Locker.2.origin. Последний, запускаясь на заражаемом мобильном устройстве, зашифровывал хранящиеся на карте памяти файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, и .3gp, после чего блокировал экран сообщением с требованием оплаты их восстановления.

screen

Однако именно первый летний месяц был отмечен массовым появлением Android- блокировщиков семейства Android.Locker: в июне специалистами компании «Доктор Веб» было выявлено сразу пять вредоносных приложений, блокирующих работу мобильных устройств и во многих случаях требующих выкуп за снятие установленных ограничений. Например, ориентированные на американских пользователей вредоносные программы Android.Locker.6.origin и Android.Locker.7.origin распространялись под видом проигрывателя Adobe Flash и после запуска блокировали экран мобильного устройства якобы из-за обнаружения незаконного контента, вымогая у жертвы $200 за разблокировку.

screen screen screen

Помимо этого, они похищали данные из адресной книги пользователя (включая имена контактов, номера телефонов и адреса email), отслеживали входящие и исходящие вызовы и при необходимости их блокировали. Кроме того, в момент своей установки Android.Locker.6.origin и Android.Locker.7.origin проверяли наличие на инфицированном устройстве следующих приложений, принадлежащих различным кредитным и финансовым организациям:

  • com.usaa.mobile.android.usaa;
  • com.citi.citimobile;
  • com.americanexpress.android.acctsvcs.us;
  • com.wf.wellsfargomobile;
  • com.tablet.bofa;
  • com.infonow.bofa;
  • com.tdbank;
  • com.chase.sig.android;
  • com.bbt.androidapp.activity;
  • com.regions.mobbanking.

Вся собранная информация, в том числе о телефонных звонках и об успешно обнаруженных программах, передавалась на управляющий сервер.

screen screen
screen screen

Другой троянец, добавленный в вирусную базу под именем Android.Locker.5.origin, предназначался для китайских пользователей и после своего запуска блокировал мобильное устройство, демонстрируя на его экране сообщение о том, что данное приложение позволит заблокированному телефону «немного отдохнуть». При этом в нижней части окна располагался таймер, отсчитывающий 24 часа, — по истечении этого времени мобильное устройство должно было автоматически разблокироваться. Таким образом, в отличие от большинства известных на данный момент Android-блокировщиков, Android.Locker.5.origin не требовал какой-либо оплаты за восстановление работоспособности зараженного смартфона или планшета и был создан, судя по всему, ради шутки. Тем не менее, троянец препятствовал нормальному использованию устройства и не позволял выполнять на нем никаких действий, что в определенных случаях могло дорого стоить пострадавшим пользователям.

screen

Наблюдаемая тенденция увеличения числа разнообразных Android-блокировщиков и вымогателей, а также заметная уже сейчас широкая география их потенциального распространения позволяет сделать вывод о том, что в ближайшем будущем число таких вредоносных приложений будет только расти. При этом не использующие современное антивирусное ПО владельцы мобильных устройств рискуют столкнуться не только с относительно безобидной блокировкой, но также и с более опасной потерей важных данных и своих финансов.

Также в июне заметно усилились попытки заражения мобильных Android-устройств многофункциональным троянцем Android.SmsBot.120.origin, способным принимать от злоумышленников различные команды и выполнять разнообразные действия, такие как отправка, перехват и удаление СМС-сообщений, получение текущих координат устройства, открытие заданных веб-адресов, удаление определенных приложений и т. п. Данный троянец, распространяемый под видом легитимных программ, в течение прошедшего месяца был обнаружен на множестве мобильных устройств, что говорит о серьезной заинтересованности его авторов в распространении этой Android-угрозы.

screen screen

По-прежнему были активны киберпреступники, нацеливающие свои атаки на пользователей из Южной Кореи: в июне специалистами компании «Доктор Веб» было зафиксировано более 140 случаев рассылок нежелательных СМС-сообщений, в которых содержалась ссылка на вредоносную Android-программу. Наиболее активно злоумышленники распространяли троянцев Android.MulDrop.20.origin (33,10%), Android.MulDrop.21.origin (21,13%), Android.Spy.40.origin (11,27%), Android.Spy.64.origin (9,15%), Android.SmsSpy.78.origin (4,23%), а также Android.SmsBot.121.origin, Android.SmsSpy.71.origin, Android.Banker.27.origin и Android.MulDrop.14.origin, на долю которых пришлось по 3,52% от общего числа выявленных случаев.

graph

Вредоносные файлы, обнаруженные в почтовом трафике в июне

 01.06.2014 00:00 - 30.06.2014 23:00 
1Trojan.Swrort.11.47%
2Trojan.Hottrend.3661.09%
3Trojan.Fraudster.7781.07%
4Trojan.PWS.Panda.6550.93%
5Trojan.Hottrend0.90%
6Win32.HLLM.MyDoom.544640.62%
7Trojan.PWS.Papras.2950.62%
8BackDoor.Andromeda.220.62%
9BackDoor.Comet.9630.55%
10Trojan.PWS.Panda.47950.55%
11BackDoor.Bladabindi.8840.52%
12BackDoor.Tishop.1220.52%
13SCRIPT.Virus0.50%
14Trojan.PWS.Siggen.284210.50%
15Java.Adwind.30.47%
16Win32.HLLM.MyDoom.338080.47%
17Trojan.PWS.Multi.9110.45%
18Trojan.PWS.Panda.72780.40%
19BackDoor.Comet.8840.38%
20BackDoor.Siggen.576390.38%

Вредоносные файлы, обнаруженные в июне на компьютерах пользователей

 01.06.2014 00:00 - 30.06.2014 23:00 
1SCRIPT.Virus1.35%
2Trojan.InstallMonster.2090.67%
3Trojan.Packed.245240.53%
4Trojan.LoadMoney.2630.53%
5Trojan.MulDrop5.100780.45%
6Adware.Downware.20950.42%
7Adware.OpenCandy.40.39%
8Adware.Downware.1790.38%
9Trojan.Siggen6.197960.35%
10Trojan.LoadMoney.2620.35%
11Tool.Unwanted.JS.SMSFraud.260.35%
12BackDoor.IRC.NgrBot.420.34%
13Adware.NextLive.20.34%
14Adware.OpenCandy.30.34%
15Tool.Skymonk.140.33%
16BackDoor.Infector.1330.33%
17Adware.Toolbar.2400.32%
18Exploit.SWF.2960.30%
19Trojan.InstallMonster.1460.30%
20Exploit.SWF.2950.29%


Дата публикации: 03, Июля 2014 г.


Источник: Доктор Веб

Корзина

Количество товаров: 0
Сравнить
<%compare_list%>

Online проверка

Новости

05.10.22
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2022 года
05.10.22
Новые улучшения и исправления в продуктах Dr.Web 12.0 для Windows, Dr.Web Enterprise Security Suite 12.0 и 13.0 и в Антивирусе Dr.Web по подписке на базе Dr.Web AV-Desk 13.0
05.10.22
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2022 года
05.10.22
Рост вредоносной активности, распространение рекламных троянских программ и другие события августа 2022 года
05.10.22
Мошенники эксплуатируют тему мобилизации
05.10.22
«Доктор Веб»: обзор вирусной активности в июле 2022 года
05.10.22
Темная тема для пользователей Dr.Web Enterprise Security Suite 13.0 и Антивируса Dr.Web по подписке на базе Dr.Web AV-Desk 13.0
05.10.22
Распространение рекламных троянских приложений и другие события — в мобильном обзоре вирусной активности за август 2022 года
05.10.22
Повышена стабильность работы продуктов Dr.Web 12.0 для Windows

Все новости →

Антивирусы РУ
Rambler's Top100