Блокировщики Windows и другие вирусные угрозы декабря 2009 года

04.01.2010
В декабре 2009 года логическое продолжение получили тенденции предыдущих месяцев. Основную часть вирусного трафика составили вредоносные программы, вымогающие у пользователей деньги. Для этого злоумышленниками создавалось различное троянское ПО и вредоносные сайты. В спаме все чаще использовались аудио-файлы с низким качеством.

Блокировщики Windows

В декабре появилось множество новых модификаций троянцев-блокировщиков Windows, которые обладают новыми методами защиты от исследования. По класси фикации Dr.Web подобные программы классифицируются как Trojan.Winlock. В последние месяцы подобный способ получения денег от пользователей-жертв стал одним из наиболее популярных на территории России и Украины.

Данный тип вредоносных программ в активном состоянии препятствует запуску утилит, с помощью которых можно её исследовать, а также имеет возможность форсированно завершать работу компьютера. Для усложнения удаления из системы вручную такие троянцы создают множество копий своих файлов в системных папках Windows. Такж е используется приём, при котором название запущенного процесса вредоносной программы не совпадает с названием её исполняемого файла.

Ложные онлайн-антивирусы

За последний месяц появилось множество русскоязычных сайтов, на которых пользователю предлагается проверить свою систему на наличие вредоносных программ, либо наличие уязвимостей. Заодно может предлагаться изменение конфигурации э истемы для ускорения её работы.

Чтобы привлечь внимание пользователя во время бесплатного «сканирования» выводится информация об IP-адресе, версии операционной системы, используемом браузере и его версии.

Для того, чтобы решить найденные в системе «проблемы» с безопасностью, пользователю предполагается отправить SMS-сообщение, стоимость которого принижается - счёт на самом деле идёт не об одной сотне рублей за каждое отправленное сообщение.

Все предлагаемые «программные продукты» являются бутафорие й, служащей для вымогательства у интернет-пользователей денежных средств.

Почтовые троянцы

Спам по-прежнему является одним из основных каналов распространения вредоносных программ.

В течение декабря 2009 года различные модификации Trojan.PWS.Panda распространялись под видом отч ёта по операциям, совершённым с банковских карточек Visa, а также под видом нового пароля для пользователей социальной сети Facebook.

Под «компрометирующими фотографиями», на которых якобы запечатлён пользователь, распространялись такие вредоносные программы как Trojan.NtRootKit.3226, а также различные модификации Trojan.Packed. От имени курьерской службы DHL распространялся троянец Trojan.Botnetlog.

Аудио-файлы в спаме

За последний месяц началось распространение сразу нескольких типов спам-рассылок с приложенными к письмам аудиофайлами. Как правило, это файлы в формате mp3 с низким битрейтом (16 Кбит/с).

Таким образом распространялась реклама интернет-магазинов медицинских препаратов - в аудио-файле был записан адрес рекламируемых сайтов. В рассылках, целью которых являлось привлечение новэ х пользователей к участию в финансовых пирамидах, распространялись mp3-файлы размером более 6МБ, в которых были записаны лекции продолжительностью около часа.

Тенденции 2009-2010

Вирусописателей в прошедшем году все больше привлекали деньги пользователей - легкая добыча в условиях, когда множество людей переходит по ссылкам, присланным якобы от известных организаций и друзей, загружает программы, якобы необходимые для решения тех или иных задач. Требования о переводе денег злоумышленникам выводились как в окнах р азличных интернет-браузеров, так и на рабочем столе или поверх всех окон в системе. В качестве транспорта для распространения вирусов использовались как классические каналы - электронная почта, системы мгновенного обмена сообщениями, так и новые - социальные сети и блоги.

В 2010 году можно ожидать продолжение тенденции к одномоментному охвату злоумышленниками пользователей как можно большего числа операционных систем и браузеров. Следует ожидать, что в последующие годы злоумышленники будут больше времени уделять обходу нЍ только классических сигнатурных и эвристических технологий, но и противодействию различным поведенческим анализаторам, примеры чему мы видим уже сегодня. Наверняка будет продолжаться разработка новых руткит-технологий, и борьба с ними будет такой же острой, как и в последние годы. Вероятно, уже в 2010 году будут осуществлены первые попытки создать руткит для 64-битной платформы Windows. Количеством будут брать и создатели вредоносных сайтов. Уже сегодня антифишинговые технологии, используемые в любом современном браузере и призванные у беречь пользователей от посещения вредоносных сайтов, часто не справляются с поставленной задачей.

Количество вредоносных программ в декабре во всём почтовом трафике относительно ноября 2009 года возросло в 2,8 раза. Доля вредоносных программ среди всех проверенных файлов на компьютерах пользователей возросла в 2,2 раза. Злоумышленники за восстановление системы и данных требуют всё больше денег - известны случаи, когда за расшифровку данных злоумышленники требуют выкуп в 1000 рублей.

Вредоносные файлы, обнаруженные в декабре в почтовом трафике

01.12.2009 00:00 - 01.01.2010 00:00

1

Trojan.DownLoad.37236

12417046 (14.38%)

2

Trojan.DownLoad.47256

9400042 (10.89%)

3

Trojan.MulDrop.40896

6643369 (7.69%)

4

Trojan.Fakealert.5115

6574865 (7.61%)

5

Trojan.Packed.683

5380941 (6.23%)

6

Trojan.Fakealert.5238

4924800 (5.70%)

7

Trojan.DownLoad.50246

3791901 (4.39%)

8

Win32.HLLM.MyDoom.44

3555068 (4.12%)

9

Trojan.Fakealert.5825

3221976 (3.73%)

10

Win32.HLLM.Netsky.35328

3012162 (3.49%)

11

Trojan.Fakealert.5437

2355690 (2.73%)

12

Trojan.Fakealert.5356

2135038 (2.47%)

13

Trojan.Fakealert.5784< /a>

1846800 (2.14%)

14

Trojan.Botnetlog.zip

1794382 (2.08%)

15

Trojan.PWS.Panda.122

1732410 (2.01%)

16

Trojan.Fakealert.5229

1717600 (1.99%)

17

Trojan.Fakealert.5457

1504800 (1.74%)

18

Trojan.Siggen.18256

1429018 (1.66%)

19

Trojan.MulDrop.46275

1390881 (1.61%)

20

Win32.HLLM.Beagle

1301627 (1.51%)

Всего проверено:

84,146,920,455

Инфицировано:

86,343,017 (0.103%)

Вредоносные файлы, обнаруженные в декабре на компьютерах пользователей

01.12.2009 00:00 - 01.01.2010 00:00

1

Trojan.WinSpy.440

2410816 (12.69%)

2

Trojan.WinSpy.413

1627202 (8.56%)

3

Win32.Virut.56

1297220 (6.83%)

4

Win32.HLLW.Gavir.ini

802751 (4.23%)

5

Win32.Rammstein.13346

647967 (3.41%)

6

Trojan.AuxSpy.71

585736 (3.08%)

7

Trojan.Packed.19247

525731 (2.77%)

8

Win32.HLLW.Shadow.based

466105 (2.45%)

9

Win32.HLLW.Texmer

399722 (2.10%)

10

JS.Popup.1

397594 (2.09%)

11

Trojan.AuxSpy.110

374109 (1.97%)

12

Trojan.DownLoad1.16161

368920 (1.94%)

13

Win32.HLLW.Shadow

311983 (1.64%)

14

Trojan.AppActXComp

298597 (1.57%)

15

Trojan.Siggen.29874

295692 (1.56%)

16

Trojan.AuxSpy.128

264613 (1.39%)

17

Win32.Yasv.924

230928 (1.22%)

18

VBS.Psyme.377

229697 (1.21%)

19

Win32.Alman.1

218138 (1.15%)

20

Win32.HLLW.Autoruner.5555

210376 (1.11%)

Всего проверено:

89,457,410,121

Инфицировано:

18,999,657 (0.0212%)