В феврале 2011 года сохранили свою актуальность основные тенденции прошлых месяцев.
Значительную долю вирусного трафика составляют блокировщики Windows и троянцы, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания.
Причем последние работают в тандеме с фальшивыми антивирусами.
Блокировщики Windows
Концепция троянцев-вымогателей, блокирующих работу компьютера, оказалась весьма живучей. В ходе развития данной идеи вирусописатели перепробовали несколько способов перечисления денег и ряд технологических решений, иногда довольно неожиданных, вплоть до блокировки ОС из загрузочной записи.
В феврале 2011 года появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Кроме того, блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы — программы для шифрования и «запутывания» готовых исполняемых файлов. Один из таких крипторов, популярных среди разработчиков Trojan.Winlock, размещает в исполняемом файле характерную иконку, позволяющую отличить такой файл визуально:
Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества.
Шифровальщики
Другая разновидность так называемых ransomware (программ-вымогателей) — шифровальщики — также напомнила о себе в феврале. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне. Коллектив «Доктор Веб» обеспечивает своевременную разработку и поддержку утилит — расшифровщиков данных, зашифрованных троянцами семейства Trojan.Encoder.
Воровство банковских аккаунтов
В десятке вредоносных лидеров февраля 2011 года оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных нашумевшему троянцу Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле троянца зашит внушительный список URL систем дистанционного банковского обслуживания. Среди них — русские, итальянские, американские, немецкие:
- libertyreserve.com
- perfectmoney.com
- laiki.com
- bankofcyprus.com
- commbank.com.au
- suncorpbank.com.au
- stgeorge.com.au
- online.westpac.com.au
- anz.com
- sparkasse.de
- commerzbanking.de
- finanzportal.fiducia.de
- deutsche-bank.de
- targobank.de
- csebo.it
- poste.it
- gruppocarige.it
- cedacri.it
- payment.ru
- ibank.alfabank.ru
- chase.com
- capitalone.com
Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» троянцы имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).
Мобильные платформы
В сравнении с январем значительно увеличилось количество троянцев для платформы Android. Android.SmsSend написаны на Java, их единственной функцией является отправка платных СМС-сообщений на короткие номера, например 6008.
В январе был обнаружен один образец такого вредоносного ПО, в феврале — уже шесть, что позволяет говорить о тенденции, и появление более сложных и опасных троянских программ под эту платформу — дело ближайшего будущего.
Прочие угрозы
Среди прочих угроз можно отметить новые модификации Win32.Virut и традиционно высокие показатели трафика различных модификаций почтовых червей Win32.HLLM.NetSky и Win32.HLLM.MyDoom.
Разработчики ботнета Trojan.WinSpy в течение февраля дважды обновляли компоненты своих ботов. В основном это коснулось алгоритмов шифрования и структуры файла sfcfiles.dll.
Отмечен спад активности червей, распространяющихся через сменные носители (Win32.HLLW.Autorunner).
Вредоносные файлы, обнаруженные в феврале в почтовом трафике
|
31.01.2011 00:00 - 28.02.2011 17:00 |
||
|
1 |
Trojan.DownLoad2.20306 |
1059280 (9.63%) |
|
2 |
Trojan.DownLoader2.265 |
1016989 (9.24%) |
|
3 |
Win32.HLLM.MyDoom.33808 |
953395 (8.66%) |
|
4 |
Win32.HLLM.Netsky.18401 |
678289 (6.16%) |
|
5 |
Trojan.DownLoader2.1901 |
644263 (5.85%) |
|
6 |
Trojan.DownLoader2.2035 |
573250 (5.21%) |
|
7 |
Trojan.DownLoad1.58681 |
525054 (4.77%) |
|
8 |
Trojan.DownLoader2.2977 |
494250 (4.49%) |
|
9 |
Trojan.Packed.20878 |
378395 (3.44%) |
|
10 |
Win32.HLLW.Texmer.51 |
362861 (3.30%) |
|
11 |
Trojan.MulDrop.64589 |
339687 (3.09%) |
|
12 |
Trojan.DownLoad.41551 |
314629 (2.86%) |
|
13 |
Win32.HLLM.Netsky.35328 |
298101 (2.71%) |
|
14 |
Trojan.Oficla.zip |
278088 (2.53%) |
|
15 |
Trojan.DownLoader2.10188 |
232049 (2.11%) |
|
16 |
Trojan.Packed.20312 |
231918 (2.11%) |
|
17 |
Trojan.DownLoader2.4077 |
159628 (1.45%) |
|
18 |
Trojan.PWS.Siggen.12160 |
146696 (1.33%) |
|
19 |
Trojan.Oficla.38 |
131266 (1.19%) |
|
20 |
Win32.HLLM.Beagle |
127493 (1.16%) |
|
Всего проверено: |
59,150,116,249 |
|
Инфицировано: |
11,084,834 (0.02%) |
Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей
|
31.01.2011 00:00 - 28.02.2011 17:00 |
||
|
1 |
Win32.HLLP.Whboy.45 |
12975162 (27.37%) |
|
2 |
Win32.HLLP.Neshta |
10063066 (21.23%) |
|
3 |
Win32.HLLP.Novosel |
6035651 (12.73%) |
|
4 |
Trojan.Click.64310 |
5389563 (11.37%) |
|
5 |
Win32.Siggen.8 |
1751123 (3.69%) |
|
6 |
HTTP.Content.Malformed |
1123179 (2.37%) |
|
7 |
Win32.HLLP.Rox |
1084446 (2.29%) |
|
8 |
Win32.HLLP.Liagand.1 |
722176 (1.52%) |
|
9 |
Win32.HLLP.Whboy |
608324 (1.28%) |
|
10 |
Win32.Sector.22 |
584357 (1.23%) |
|
11 |
Win32.Virut |
574516 (1.21%) |
|
12 |
Trojan.MulDrop1.48542 |
533769 (1.13%) |
|
13 |
Win32.Sector.20480 |
380038 (0.80%) |
|
14 |
Win32.HLLW.Shadow.based |
261680 (0.55%) |
|
15 |
Win32.Antidot.1 |
246844 (0.52%) |
|
16 |
Exploit.Cpllnk |
233278 (0.49%) |
|
17 |
Win32.Virut.56 |
214383 (0.45%) |
|
18 |
Win32.HLLW.Autoruner.18959 |
151085 (0.32%) |
|
19 |
Trojan.DownLoad.32973 |
144293 (0.30%) |
|
20 |
Win32.HLLW.Autoruner.11962 |
132218 (0.28%) |
|
Всего проверено: |
128,616,744,271 |
|
Инфицировано: |
47,509,667 (0.04%) |
Источник: Пресс-центр компании "Доктор Веб"
Дополнительная информация о продуктах компании Dr.Web
