«Мартовские троянцы» и другие угрозы прошедшего месяца

По наблюдениям аналитиков компании «Доктор Веб», одна из наиболее отчетливых тенденций марта — временное снижение и новый виток роста темпов массового распространения среди пользователей Интернета вредоносных программ семейства Trojan.Hosts. Пик этой эпидемии пришелся на начало 2013 года. Также март был отмечен ростом числа заражений троянцами-энкодерами в Европе и появлением рекламных троянцев для операционной системы Mac OS X. Общий размер ботнета Win32.Rmnet.12 с начала года увеличился на 2 млн инфицированных компьютеров, достигнув в марте рекордной отметки в 8,5 млн зараженных машин.

Вирусная обстановка

По данным, полученным с использованием лечащей утилиты Dr.Web CureIt!, в марте 2013 года наиболее распространенной угрозой стали вредоносные программы семейства Trojan.Hosts. В течение месяца было зафиксировано 186 496 случаев изменения данными троянцами системного файла hosts, ответственного за трансляцию сетевых адресов в их DNS-имена, что составляет более 10% от общего числа выявленных угроз.

Причины данного явления уже подробно рассматривались в опубликованном компанией «Доктор Веб» новостном материале. Одним из наиболее популярных способов распространения этих троянцев является взлом веб-сайтов с целью размещения специального командного интерпретатора, с помощью которого злоумышленники модифицировали файл .htaccess и помещали на сайт специальный вредоносный скрипт-обработчик. При обращении к такому интернет-ресурсу скрипт-обработчик выдает пользователю веб-страницу, содержащую ссылки на различные вредоносные приложения. Альтернативный способ распространения угроз семейства Trojan.Hosts — использование бэкдоров и троянцев-загрузчиков. При этом наиболее популярной модификацией данной вредоносной программы согласно статистике является Trojan.Hosts.6815.

В начале 2013 года распространение угроз семейства Trojan.Hosts приняло масштабы эпидемии: ежедневно антивирусное ПО Dr.Web фиксировало более 9 500 случаев заражения. Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, в начале марта эта волна понемногу пошла на спад, а во второй половине месяца количество случаев инфицирования вновь начало расти.

Среди других наиболее распространенных угроз, обнаруженных на компьютерах пользователей в марте 2013 года, следует отметить сетевого червя Win32.HLLW.Phorpiex.54. Эта вредоносная программа, распространяясь с использованием рассылок по каналам электронной почты, а также путем самокопирования на съемные носители, способна предоставлять злоумышленникам несанкционированный доступ к инфицированному компьютеру.

На четвертом месте в статистике заражений расположился один из платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend.2363, за ним следуют троянцы BackDoor.IRC.NgrBot.42 и Win32.HLLP.Neshta.

Ботнеты

В конце 2012 года аналитики компании «Доктор Веб» высказывали предположение, что размер ботнета, состоящего из инфицированных файловым вирусом Win32.Rmnet.12 рабочих станций, будет расти. По данным на декабрь 2012 года, общее количество зараженных компьютеров составляло 6,5 млн, а на 27 марта 2013 года их численность составила 8 593 330, увеличившись за первые три месяца 2013 года на 2 млн. Таким образом, среднесуточный прирост ботнета Win32.Rmnet.12 в январе составил порядка 15–25 тыс. инфицированных компьютеров, а в феврале и марте — 20–22 тыс.

Файловый вирус Win32.Rmnet.12 может реализовывать функции бэкдора, выполняя поступающие от удаленного сервера команды. Также он способен красть пароли от популярных FTP-клиентов, которые могут быть использованы для организации сетевых атак или заражения сайтов. Вредоносный функционал вируса позволяет встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты), перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Как и другие файловые вирусы, Win32.Rmnet.12 обладает способностью к саморепликации и может заражать файловые объекты.

Продолжается постепенный рост бот-сети Win32.Rmnet.16 — еще одной модификации файлового вируса семейства Win32.Rmnet. В декабре численность этого ботнета составляла 259 458 инфицированных машин, а в конце марта их число достигло 262 083, увеличившись за три месяца всего на 2 625 узлов. Среднесуточный прирост ботнета составил 20–30 заражений.

К сожалению, несмотря на многочисленные публикации и предупреждения со стороны компании «Доктор Веб», фармацевтические компании по-прежнему подвержены заражению опасным троянцем BackDoor.Dande, ворующим информацию из программ электронного заказа медикаментов, таких как специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Поскольку данное вредоносное приложение способно работать только на компьютерах, где установлена одна из названных программ, можно смело говорить о том, что ботнет BackDoor.Dande состоит большей частью из рабочих станций, принадлежащих фармацевтическим компаниям и аптекам. По данным на конец 2012 года, в этой бот-сети числился 3 031 инфицированный компьютер; на 27 марта 2013 в России таких компьютеров насчитывается уже 3 066, и еще порядка 800 инфицированных узлов находятся за пределами Российской Федерации. В среднем ежесуточно к ботнету BackDoor.Dande присоединяется 1–2 зараженных узла.

В январе 2013 года компания «Доктор Веб» сообщила о распространении (преимущественно на территории США) троянца BackDoor.Finder, подменяющего поисковые запросы пользователей браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxthon, Google Chrome, Safari, Opera, Netscape или Avant. На сегодняшний день к контролируемым специалистами «Доктор Веб» управляющим серверам подключилось 5 422 бота.

Угроза месяца

В течение марта было отмечено широкое распространение троянцев-шифровальщиков, среди которых следует особо отметить Trojan.ArchiveLock.20 — вредоносную программу, упаковывающую пользовательские файлы в защищенный паролем архив WinRAR. Если до недавнего времени этот троянец был знаком только нашим соотечественникам, то в марте были зафиксированы многочисленные случаи заражения компьютеров пользователей европейских стран, в том числе Испании и Франции. Только в период с 23 по 26 марта в службу технической поддержки компании «Доктор Веб» обратилось 150 итальянских пользователей, пострадавших от данной вредоносной программы, и их количество продолжает расти.

Для распространения троянца злоумышленники пытаются получить доступ к атакуемой машине по протоколу RDP методом подбора пароля. Запустившись на инфицированном компьютере, Trojan.ArchiveLock.20 удаляет содержимое «Корзины» и хранящиеся на компьютере резервные копии данных, после чего помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы с использованием консольного приложения WinRAR. Исходные файлы при этом уничтожаются с помощью специальной утилиты, вследствие чего их восстановление становится невозможным.

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: антивирус Доктор Веб