Вирусный декабрь 2010 года

17.01.2011
По словам специалистов компании Dr.Web, декабрь завершил 2010 год распространением вредоносных программ с использованием технологий, которые вирусописатели изобретали на протяжении всего года. Злоумышленники применили новые технологии, позволяющие удалять с компьютера пользователя антивирусное ПО, а западноевропейские пользователи во время празднования католического Рождества ощутили на себе эпидемию распространения вредоносной программы, подменяющей результаты запросов в поисковых системах.

Праздники как время для распространения вирусов
Сложно сказать, чем конкретно руководствуются авторы вредоносных программ в каждом конкретном случае, когда выбирают для распространения результатов своей «работы» всеобщие праздники. Может быть, тем, что в это время антивирусные компании могут не среагировать оперативно на появление новой угрозы, или тем, что пользователь не будет во время праздников заниматься проблемой с заражением системы, и тем самым злоумышленники с большей вероятностью смогут достигнуть своей цели. Но, несмотря на то, что современные антивирусные компании работают в круглосуточном режиме, злоумышленников по-прежнему притягивают праздники.

Так, западноевропейские пользователи компьютеров ощутили на себе распространение вредоносной программы Trojan.Hottrend.32. Данная вредоносная программа была добавлена в вирусную базу Dr.Web 8 декабря 2010 года, но пик ее распространения пришелся на 24–25 декабря — время, когда Западная Европа празднует католическое Рождество.

Основной сложностью, с которой столкнулись многие антивирусы при лечении компьютеров, зараженных Trojan.Hottrend.32, были связаны с тем, что лечение проводилось не полностью, и после такого «лечения» после перезагрузки компьютера система уже не загружалась корректно — пользователи наблюдали BSOD — так называемый «синий экран смерти».

Дело в том, что данный троянец — многокомпонентный. Многие антивирусы смогли определить в системе вредоносные библиотеки, расположенные в системном каталоге Windows, и удалить их. Но при этом такие антивирусы не восстанавливали системные файлы, которые заражаются при установке троянца в систему для запуска из этих системных процессов вредоносных библиотек. Пользователей Dr.Web при этом ожидал приятный сюрприз — антивирус с лечением системы справился успешно, удаляя как вредоносные dll-библиотеки, так и восстанавливая системные файлы. Зараженные системные файлы Dr.Web определяет как Win32.Dat.15.

Интересна связь последних модификаций Trojan.Hottrend с другими известными вредоносными программами. Так, установщик Trojan.Hottrend.34 использует уязвимость, которую использовал ранее BackDoor.Tdss, широко известный также как TDL4, позволяющую троянцу поднять привилегии своей работы в современных версиях Windows. При этом используется уязвимость Планировщика Windows. Соответствующий компонент определяется Dr.Web как Exploit.TaskScheduler.1. Если необходимо, Trojan.Hottrend.34 также использует уязвимость в подсистеме печати Windows. Схожий, но несколько модифицированный эксплойт был использован в одном из банковских троянцев Trojan.PWS.Ibank.279.

Антивирусы снова можно удалить
В декабре появилась информация о многокомпонентном троянце Trojan.VkBase.1, научившемся удалять современные антивирусные продукты. Для этого троянец перезагружал систему в Безопасный режим. Поскольку модуль самозащиты в антивирусе Dr.Web функционирует и в Безопасном режиме Windows, то для удаления антивируса Dr.Web злоумышленники использовали специальный загружаемый модуль, использовавший уязвимость, — Trojan.AVKill.2942. В настоящее время данная уязвимость закрыта. Таким образом, пользователи Dr.Web оказались первыми защищены от подобных атак вирусописателей.

Целью Trojan.VkBase.1 являлась банальная блокировка компьютеров с целью вымогания выкупа за разблокировку, но после разблокирования системы пользователей ждал очередной сюрприз — несмотря на то, что антивирусная программа, установленная ранее, была удалена вредоносной программой при заражении системы, пользователю предлагалась иллюзия того, что антивирусная программа продолжает работать в нормальном режиме. Для этого авторы программы использовали модуль Trojan.Fakealert.19448, который имитировал установленный ранее антивирус, хотя на самом деле это не соответствовало действительности.

Интернет-мошенничество декабря
Количество обращений пользователей, пострадавших от интернет-мошенничества, в декабре увеличилось незначительно (на 5%) и составило 164 обращения в сутки.

Количество блокировщиков Windows, требующих отправить деньги злоумышленникам на счет мобильного телефона, в декабре 2010 года снова увеличилось с 60% до 70% всех вредоносных программ, связанных с интернет-мошенничеством. Можно говорить о том, что авторы блокировщиков Windows почти отказались от схем монетизации, связанных с платными СМС-сообщениями. При этом старые схемы с СМС-сообщениями используются в других типах вредоносных программ.

В также декабре набрала обороты новая модификация схемы, при которой пользователь отправляет деньги на счет мобильного телефона мошенников. При использовании этой схемы пользователей не заставляют идти к терминалу — достаточно воспользоваться сервисом передачи денег со счета мобильного телефона пользователя-жертвы на счет мобильного телефона злоумышленника. Такую возможность сейчас поддерживают все известные сотовые операторы. Число блокировщиков, использующие такую схему, в декабре составило около четверти всех запросов пользователей, при этом в ноябре 2010 года они практически отсутствовали.

Другие угрозы декабря 2010 года
Анализируя статистику, собранную сервером статистики Dr.Web за декабрь 2010 года, можно также отметить серьезное распространение через электронную почту клиентов бот-сетей (Trojan.Oficla), а также вредоносных программ, цель которых — удаление антивирусных продуктов, установленных на компьютерах пользователей (Trojan.AVKill). Стараются не отставать от них и троянцы, ворующие пароли от интернет-аккаунтов, принадлежащих пользователям (Trojan.PWS.Panda).

Если взглянуть на статистику вредоносных программ, обнаруженных на компьютерах пользователей, можно заметить, что по-прежнему в двадцатку самых распространенных программ входят специально написанные ярлыки, которые определяются Dr.Web как Exploit.Cpllnk, при этом патч, закрывающий данную уязвимость, производитель Windows выпустил еще вначале августа 2010 года. Это говорит о том, что многие пользователи до сих пор не установили критические обновления системы за август прошлого года, т. е. не считают необходимым следовать элементарным правилам информационной безопасности и подвергают свои системы дополнительному риску заражения.


Компания UCD Micros является официальным партнером компании "Доктор Веб" и предлагает всю линейку лицензионных антивирусных программных продуктов данного разработчика – от домашних редакций «Dr.Web Security Space» до корпоративных решений«Dr.Web Enterprise Suite». По вопросам покупки продуктов и правил лицензирования этого и других вендоров программного обеспечения обращаться по тел: 281-43-57, 281-43-59 или на e-mail software @ucd.uz