Вирусная обстановка
Статистика, собранная в течение августа с использованием лечащей утилиты Dr.Web CureIt!, свидетельствует о том, что за минувший месяц ситуация с распространением вредоносного ПО ничуть не изменилась: первые строчки рейтинга по-прежнему занимают плагины для браузеров, созданные злоумышленниками с целью демонстрации пользователям навязчивой рекламы. В числе таковых по-прежнему лидируют троянцы Trojan.BPlug.123, Trojan.BPlug.100, Trojan.BPlug.48, а также установщик рекламных приложений Trojan.Packed.24524.
Не слишком отличается от июльских показателей и перечень обнаруженных на компьютерах пользователей угроз по данным сервера статистики Dr.Web. Как и месяцем ранее, на первом месте в августовской сводке значится установщик нежелательных приложений Trojan.Packed.24524, примерно с тем же показателем в 0,59% от общего числа выявленных троянцев (в июле это значение составляло 0,56%). В числе лидеров также присутствуют программы семейства Trojan.InstallMonster, представляющие собой установщики нежелательных приложений, распространяемые одноименной партнерской программой, и различные троянцы семейства Trojan.MulDrop.
В почтовом трафике в течение прошедшего месяца, как и в июле, наиболее часто встречалась программа Trojan.Redirect.197, перенаправляющая жертву на различные вредоносные сайты. Распространявшийся с использованием массовых рассылок троянец-загрузчик BackDoor.Tishop.122 переместился на второе место, при этом число его обнаружений сократилось за месяц с 1,6% до 1,15%. Также злоумышленники активно рассылают по электронной почте различные модификации загрузчиков семейства Trojan.DownLoad и опасных банковских троянцев семейства Trojan.PWS.Panda.
Численность и поведение отслеживаемых специалистами компании «Доктор Веб» ботнетов в течение августа также существенно не изменилась. Так, среднесуточная активность одной из двух активных подсетей Win.Rmnet.12 составляет в среднем 270 000 обращений к управляющему серверу, что чуть больше июльских показателей. В бот-сети, организованной злоумышленниками с использованием файлового вируса Win32.Sector, среднесуточное количество активных ботов по-прежнему составляет 65 000–67 000. А вот численность ботнета, состоящего из работающих под управлением операционной системы Mac OS X компьютеров, зараженных троянской программой BackDoor.Flashback.39, понемногу снижается: в конце августа она составила порядка 13 000 инфицированных машин, что на 1000 меньше июльских показателей.
Рекламные троянцы
Троянские программы, демонстрирующие в окнах браузеров всплывающие окна с назойливой рекламой или встраивающие ее в просматриваемые пользователям веб-страницы, получили в последнее время чрезвычайно широкое распространение наравне с энкодерами, шифрующими хранящиеся на дисках компьютеров пользовательские файлы. Именно рекламные троянцы на протяжении вот уже нескольких месяцев являются безусловными лидерами в статистике обнаруженных Антивирусом Dr.Web угроз.
Основной источник распространения троянцев данного типа — это различные партнерские программы, ориентированные на монетизацию файлового трафика. Рекламные троянцы могут скрытно устанавливаться вместе с другим программным обеспечением, а нередко и вовсе маскируются под полезные приложения, помимо основных заявленных разработчиками функций реализуя и свой вредоносный потенциал. Также злоумышленники не гнушаются использовать откровенно мошеннические способы распространения таких вредоносных программ: например, для этого создаются фальшивые сайты файлового обмена и торрент-трекеры, куда потенциальных жертв завлекают со страниц поддельных форумов или ресурсов из категории «вопрос-ответ», оптимизированных под определенные поисковые запросы.
Подобные вредоносные программы можно условно разделить на два типа: первые, подобные представителям семейства Trojan.BPlug, а также троянцам Trojan.Admess, Trojan.Triosir и Trojan.Zadved реализованы в виде надстроек к популярным браузерам, подменяющих рекламные модули на различных веб-сайтах или демонстрирующих всплывающие окна с баннерами, при этом пользователь зачастую даже не подозревает о том, что его компьютер инфицирован.
Этой угрозе подвержены не только владельцы компьютеров, работающих под управлением ОС Windows, но даже пользователи операционной системы Mac OS X, специально для которых злоумышленники распространяют троянцев семейства Trojan.Downlite, встраивающихся в виде вредоносных плагинов в браузеры Safari и Google Chrome.
Рекламные троянцы, относящиеся к другой категории, встречаются значительно реже и действуют автономно, как обычная вредоносная программа. Для подмены содержимого веб-страниц они используют так называемую технологию веб-инжектов, которой активно пользуются, например, банковские троянцы: после загрузки веб-страницы с удаленного сервера вредоносная программа модифицирует ее содержимое, встраивая в нее полученный от управляющего центра код на языке HTML или JavaScript, и только после этого передает полученный результат браузеру. Таков, например, Trojan.Mayachok.18831, о распространении которого компания «Доктор Веб» сообщала в минувшем месяце на своем сайте.
Помимо назойливой рекламы эта вредоносная программа может модифицировать страницу профиля своей жертвы в социальных сетях, размещая там фотографии и тексты непристойного содержания и предлагая оформить платную подписку при попытке изменить содержание анкеты. Также Trojan.Mayachok.18831, обладает и целым рядом других опасных функциональных возможностей, о которых вы можете узнать, ознакомившись с подробным техническим описанием данной угрозы.
Чтобы не стать случайной жертвой рекламных троянцев, соблюдайте элементарные правила безопасности: не загружайте и не устанавливайте программы из подозрительных источников, не запускайте исполняемые файлы, распространяемые в виде вложений в сообщениях электронной почты, и, конечно же, всегда используйте на своих компьютерах актуальное антивирусное ПО.
Угрозы августа
В течение августа произошло множество различных событий, связанных с распространением вредоносных программ. Так, в начале месяца в службу технической поддержки компании «Доктор Веб» обратилось несколько пользователей, пожаловавшихся на действие очередного троянца-шифровальщика. Этот инцидент не был бы из ряда вон выходящим, если бы не один нюанс: во всех случаях файлы оказались зашифрованы на сетевых хранилищах NAS производства компании Synology. Виновником этого происшествия оказался троянец Trojan.Encoder.737, воспользовавшийся брешью в устаревшей прошивке нескольких моделей NAS, — уязвимость скрывалась в ОС DSM (DSM 4.3-3810 и более ранних версиях).
Также в начале августа был обнаружен троянец-кликер, предназначенный для накрутки посещаемости веб-сайтов или количества щелчков мышью по различным рекламным баннерам. Троянец распространялся в рамках партнерской программы Installmonster, специализирующейся на раздаче доверчивым пользователям различных вредоносных программ, в частности — рекламных троянцев. Описанию этой угрозы была посвящена выпущенная компанией «Доктор Веб» новостная статья.
Не дремлют и китайские вирусописатели, отметившиеся в первой половине лета распространением огромного количества троянцев для Linux, созданных с целью организации массированных DDoS-атак. На сей раз они решили модифицировать свои вредоносные поделки таким образом, чтобы те могли работать и на компьютерах под управлением операционных систем семейства Microsoft Windows.
Ну и, конечно же, нельзя не упомянуть о рекламном троянце Trojan.Triosir.9, распространявшемся под видом программы VK User Spy, якобы предназначенной для просмотра адресованных пользователю социальной сети «ВКонтакте» личных сообщений таким образом, чтобы они не отмечались в качестве прочитанных.
События августа
Множество жителей США стали жертвами вредоносной программы Android.Locker.29.origin, способной блокировать смартфон и требовать за разблокировку выкуп: в течение августа, согласно данным из открытых источников, было заражено порядка 900 000 Android-устройств. Троянец маскируется под антивирусное ПО и другие легитимные приложения. Первоначально Android.Locker.29.origin заражал устройства европейских пользователей. К настоящему времени вирусописатели разработали его версию, целевой аудиторией которой стали жители США. Вероятно, с этим и связан резкий рост числа зараженных смартфонов.
Помимо этого ожидается всплеск заражений Android-устройств, связанный с тем, что в середине августа в открытый доступ попал исходный код троянца Android.Dendroid.1.origin, способного похищать конфиденциальную информацию, без ведома пользователя звонить на определенные номера и открывать сайты, а также выполняющего другие вредоносные функции.
В конце августа началась спам-рассылка, в которой злоумышленники используют интерес потенциальных жертв к конфликту на востоке Украины. В спам-сообщении опубликована ссылка на программу, якобы предназначенную для атак на веб-ресурсы украинского правительства. В реальности на компьютер жертвы скачивается вредоносное приложение BackDoor.Slym.3781, подключающее зараженное устройство к бот-сети Kelihos и способное контролировать трафик и похищать конфиденциальную информацию жертвы. Командные серверы, с которыми связываются зараженные устройства, расположены на Украине, в Польше и Республике Молдова.
Угрозы для Android
Как и предыдущие месяцы, прошедший август не был безоблачным для пользователей ОС Android из разных стран: киберпреступники вновь пытались заразить их мобильные устройства различными вредоносными приложениями, при этом вирусная база компании «Доктор Веб» пополнилась записями для целого ряда новых Android-троянцев.
Например, китайские пользователи столкнулись с комплексной угрозой в лице троянца Android.SmsSend.1404.origin, который предназначался для кражи конфиденциальной информации, а также для установки на мобильные устройства другой вредоносной программы. Одной из особенностей этого СМС-троянца является способность к саморепликации посредством рассылки коротких сообщений, содержащих ссылку на загрузку его копии, что можно охарактеризовать как функционал классического СМС-червя. Устанавливаемая же им вредоносная программа, внесенная в вирусную базу под именем Android.SmsBot.146.origin, могла получать команды киберпреступников и предназначалась для отправки и перехвата СМС-сообщений.
Не обошлось и без появления очередных троянцев-вымогателей, блокирующих работу мобильных Android-устройств. Одна из таких вредоносных программ, получившая имя Android.Locker.27.origin, отличалась от большинства аналогичных угроз тем, что позволяла пользователям совершенно бесплатно разблокировать зараженное мобильное устройство, если требуемый ею код оплаты состоял из 14 цифр и не содержал определенные числовые комбинации. В этом случае троянец снимал блокировку и автоматически запускал процесс своего удаления.
Вновь под угрозой оказались и южнокорейские пользователи: в течение августа специалисты компании «Доктор Веб» зафиксировали более 100 спам-кампаний, направленных на распространение Android-троянцев при помощи СМС-сообщений. Наиболее часто южнокорейские владельцы Android-устройств рисковали установить на свои мобильные устройства такие вредоносные программы как Android.Banker.28.origin, Android.SmsBot.121.origin, Android.SmsSpy.78.origin и Android.MulDrop.14.origin.
Помимо активного использования СМС-рассылок, не забывают киберпреступники и о других методах массового распространения Android-угроз. Так, в прошедшем месяце специалистами по информационной безопасности была выявлена спам-рассылка сообщений электронной почты, в которых содержалась ссылка на загрузку опасного мобильного бэкдора Android.Backdoor.96.origin, распространявшегося под видом антивирусной программы и способного выполнять на зараженном Android-устройстве целый ряд опасных действий. В частности, троянец мог украсть такие конфиденциальные сведения как СМС-сообщения, историю звонков и посещенных веб-страниц, контакты из телефонной книги, GPS-координаты и т. п. Кроме того, вредоносная программа была способна демонстрировать на экране различные сообщения, выполнять USSD-запросы, активировать встроенный микрофон, записывать совершаемые телефонные звонки в аудиофайлы, которые вместе с прочими данными, хранящимися на мобильном устройстве, загружались на сервер злоумышленников.