Обзор вирусной обстановки за март 2009 года от компании «Доктор Веб»

Discussion in 'Мировые новости. Обсуждения.' started by Campery, 4 Apr 2009.

  1. Campery

    Campery Member

    Joined:
    30 Nov 2008
    Messages:
    38
    Likes Received:
    51
    Reputations:
    0
    [​IMG]

    Компания «Доктор Веб» представляет обзор вирусной активности в марте 2009 года. В прошедшем месяце было отмечено большое количество новых случаев мошенничества с использованием вредоносных программ. Бот-сети продолжили своё качественное развитие, их авторы стали применять более агрессивные методы их распространения и эксплуатации, а количество заражённых компьютеров-ботов продолжает стремительно увеличиваться. В тематике спама преобладает реклама самих массовых рассылок писем.

    Бот-сети

    В марте 2009 года наибольшее внимание привлекли бот-сети Tdss и Shadow. Они начали использовать новые методы для увеличения эффективности своей деятельности, а также продолжили применять уже хорошо зарекомендовавшие себя способы распространения – через съёмные диски, через общие сетевые ресурсы, с использованием известных уязвимостей. Это, к сожалению, говорит о том, что далеко не все пользователи следуют рекомендациям антивирусных компаний по соблюдению элементарных правил информационной безопасности.

    С другой стороны, компания «Доктор Веб» не последнюю роль в своих новостях и при организации обучения специалистов предприятий уделяет информированию о новых информационных угрозах. Также регулярно сообщается об элементарных методах противодействия им. Владельцы бот-сетей тоже знают, что наличие возможного заражения компьютера с целью вовлечения в бот-сеть можно легко определить по наличию некоторых незакрытых уязвимостей в системе. И знают, что многие администраторы сетей по всему миру используют этот метод в своей работе. Следствием этого явилась новая функциональность последней модификации Win32.HLLW.Shadow.based, в функционал которой входит закрытие использованных ранее для заражения компьютеров уязвимостей. Таким образом, по наличию уязвимостей факт заражения определить сложнее, а компьютеры-боты также, как и ранее, продолжают получать инструкции от злоумышленников.

    Последняя модификация Win32.HLLW.Shadow.based также использует генератор адресов, который создаёт, руководствуясь определённым алгоритмом, 50 000 адресов серверов в сутки, из них отбирает 500 адресов, с которых осуществляются попытки получить инструкции и загружаются обновлённые вредоносные модули. Этот новый алгоритм работы существенно усложняет работу по противодействию работе данной бот-сети, т.к. невозможно вычислить все адреса серверов, участвующих в работе бот-сети и прекратить их работу на законных основаниях.

    BackDoor.Tdss, использующийся злоумышленниками для расширения бот-сети Tdss, использует несколько другие методы – от версии к версии дорабатываются используемые руткит-методы скрытия в системе для того чтобы более эффективно противодействовать работе антивирусных программ. Так, современные версии BackDoor.Tdss научились довольно эффективно препятствовать работе файловых мониторов антивирусов. Также кроме довольно популярного и не принимаемого до сих пор серьёзно факта использования уязвимостей ОС семейства Windows, данный бэкдор использует и такой старый и известный большинству пользователей метод распространения вредоносных программ – в виде кодеков для проигрывания видеороликов. Несмотря на общеизвестность, данный метод до сих пор вполне успешно работает.

    Мошенничество

    За последний месяц в очередной раз наблюдался значительный рост новых схем мошенничества с помощью вредоносных программ.

    Клиентов банков, использующих банковские пластиковые карточки, в прошлом месяце взволновала новость об обнаруженных в системах некоторых банкоматов, принадлежащих российским банкам, вредоносных программ. Данные программы собирали для злоумышленников информацию, хранящуюся на банковских карточках, а также балансы счетов, которые передаются в банкомат из банков по запросу пользователя. Данная вредоносная программа по классификации Dr.Web была названа Trojan.Skimer. В настоящее время в вирусной базе Dr.Web содержится около десятка различных модификации этой вредоносной программы. Стоит заметить, что до обнаружения образцов данного троянца антивирусными лабораториями, компания-производитель подверженных уязвимости банкоматов разослала инструкции по устранению уязвимости банкам. Подробное описание функциональности Trojan.Skimer доступно в вирусной библиотеке компании «Доктор Веб».

    Несмотря на широко распространяемую антивирусными вендорами подробную информацию о лже-антивирусах, злоумышленники до сих пор активно используют схемы мошенничества с помощью антивирусов-подделок для получения от пользователей денег за программу-пустышку. Со временем вредоносные сайты, распространяющие лже-антивирусы, становятся всё более убедительными, используются профессиональные приёмы дизайна. Такие наименования лже-антивирусов как Antivirus XP 2008 стали уже притчей во языцех.

    [​IMG]

    Неугасающая популярность социальных сетей не перестаёт предоставлять новые возможности кибер-мошенникам для импровизаций. Так, троянец Trojan.PWS.Vkontakte.6 распространяется в виде программы для быстрого поднятия рейтинга популярной в России социальной сети Vkontakte.ru.

    [​IMG]

    Спам

    Основной поток спама в марте был посвящён, собственно, рекламе самих спам-рассылок. Видимо, на данный момент на рынке спам-услуг, предложение намного превышает спрос. Из наиболее популярных тем в спаме можно отметить рекламу пиратских DVD-дисков с сериалами, медицинских препаратов, предложения приобрести дорогие модели мобильных телефонов с большими скидками, а также реплики (внешне идентичные копии) дорогих наручных часов. Также следует отметить высокий уровень сообщений, приглашающих посетить различного рода конференции и другие мероприятия, связанные с обучением.

    Что касается распространения вредоносных программ в спаме, а также ссылок на вредоносные сайты в спам-сообщениях, то в последние месяцы их количество значительно уменьшилось. Из-за отсутствия длительных по времени и массовых рассылок, связанных с распространением вредоносных файлов возникают различные фоновые эффекты. Так, часто в статистике на первое место выходят вредоносные программы, для которых нетипично распространение посредством почтового трафика, например, различные файловые вирусы. Связано это может быть с тем, что пользователи заражённых компьютеров перед передачей файлов создают архивы с данными, которые необходимо передать, и в такие архивы заодно попадают и вредоносные программы.

    Из массовых рассылок, связанных с распространением вредоносных вложений в марте можно выделить весьма кратковременную (несколько часов), но массивную рассылку Win32.HLLW.Brutus.3 и немного более продолжительную, но менее массовую рассылку Trojan.PWS.Panda.114. Последний троянец распространялся под видом сообщения якобы от курьерской службы DHL, в котором говорилось о том, что отправку доставить невозможно по причине ошибки в указанном адресе. В письме предлагается распечатать прилагаемую счёт-фактуру и зайти с ней в офис DHL. На деле в приложенном архиве находился вредоносный файл.

    [​IMG]

    В марте также продолжились спам-рассылки, предлагающие пользователей поучаствовать в схемах, похожих на финансовые пирамиды. Количество данных схем увеличивается.

    [​IMG]

    [​IMG]

    Несмотря на некоторое уменьшение в марте случаев использования фишинга, были заметны фишинг-рассылки, ориентированные на участников популярного интернет-аукциона eBay.

    [​IMG]

    [​IMG]

    Вредоносные файлы, обнаруженные в марте в почтовом трафике

    [​IMG]

    Всего проверено: 407,512,378
    Инфицировано: 32,867 (0.0081%)

    Вредоносные файлы, обнаруженные в марте на компьютерах пользователей

    [​IMG]

    Всего проверено: 83,190,605,938
    Инфицировано: 11,144,291 (0.0134%)

    Источник: drweb.com
     
  2. jekwww

    jekwww Member

    Joined:
    12 Mar 2009
    Messages:
    6
    Likes Received:
    46
    Reputations:
    7
    Люблю вирусы! С ними жить интересней! И мне плевать на то, что они плохие:)
     
  3. BLC

    BLC Member

    Joined:
    28 Feb 2009
    Messages:
    11
    Likes Received:
    5
    Reputations:
    0
    Кто плохие? они хорошие))
    Причем когда это твой вирь - особо хорошие, а когда чужой - лишнее мясо для разбора=)
     
  4. F1shka

    F1shka Elder - Старейшина

    Joined:
    10 Apr 2008
    Messages:
    173
    Likes Received:
    305
    Reputations:
    3
    С чужого виря (трой даже ) можно МНОГА полезнога вытинуть.