Центр исследования компьютерной преступности

home контакты

Угрозы из сети

Дата: 17.04.2013
Источник: Spbit.su
Автор: Тимофей Белосельцев


cybercrime/88.jpg По данным разработчиков и производителей решений в области информационной безопасности, в марте наблюдается традиционно высокая активность злоумышленников в Сети. В частности, по наблюдениям аналитиков компании «Доктор Веб», одна из наиболее отчетливых тенденций марта - новый виток роста темпов массового распространения среди пользователей Интернета вредоносных программ семейства Trojan.Hosts. Также март был отмечен ростом числа заражений троянцами-энкодерами в Европе и появлением рекламных троянцев для операционной системы Mac OS X. В компании ESET также отмечают, что как и в прошлые месяцы, рейтинг угроз по России возглавляет троянская программа Win32/Qhost. В свою очередь, о двух набирающих обороты вредоносных кампаниях в Skype говорят эксперты «Лаборатории Касперского».

По данным аналитиков компании «Доктор Веб» в марте 2013 года наиболее распространенной угрозой стали вредоносные программы семейства Trojan.Hosts. В течение месяца было зафиксировано 186 496 случаев изменения данными троянцами системного файла hosts, ответственного за трансляцию сетевых адресов в их DNS-имена, что составляет более 10% от общего числа выявленных угроз. Одним из наиболее популярных способов распространения этих троянцев является взлом веб-сайтов с целью размещения специального командного интерпретатора, с помощью которого злоумышленники модифицировали файл .htaccess и помещали на сайт специальный вредоносный скрипт-обработчик. При обращении к такому интернет-ресурсу скрипт-обработчик выдает пользователю веб-страницу, содержащую ссылки на различные вредоносные приложения. Альтернативный способ распространения угроз семейства Trojan.Hosts — использование бэкдоров и троянцев-загрузчиков. При этом наиболее популярной модификацией данной вредоносной программы согласно статистике является Trojan.Hosts.6815.

В начале 2013 года распространение угроз семейства Trojan.Hosts приняло масштабы эпидемии. Ежедневно антивирусное ПО Dr.Web фиксировало более 9,5 тысяч случаев заражения. Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, в начале марта эта волна понемногу пошла на спад, а во второй половине месяца количество случаев инфицирования вновь начало расти.

Среди других наиболее распространенных угроз, обнаруженных на компьютерах пользователей в марте 2013 года, аналитики «Доктор Веб» отмечают сетевого червя Win32.HLLW.Phorpiex.54. Эта вредоносная программа, распространяясь с использованием рассылок по каналам электронной почты, а также путем самокопирования на съемные носители, способна предоставлять злоумышленникам несанкционированный доступ к инфицированному компьютеру. Далее в статистике заражений расположился один из платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend.2363, за ним следуют троянцы BackDoor.IRC.NgrBot.42 и Win32.HLLP.Neshta.

«Угрозой месяца» эксперты «Доктор Веб» называют распространение троянцев-шифровальщиков, среди которых особо отмечен Trojan.ArchiveLock.20 — вредоносная программа, упаковывающая пользовательские файлы в защищенный паролем архив WinRAR. Если до недавнего времени этот троянец был знаком только нашим соотечественникам, то в марте были зафиксированы многочисленные случаи заражения компьютеров пользователей европейских стран, в том числе Испании и Франции.

Еще одной «новинкой» эксперты «Доктор Веб» называют появление троянских программами, предназначенных для демонстрации рекламы на компьютерах под управлением Mac OS X. Одним из таких троянцев является Trojan.Yontoo.1. Распространяясь под видом кодеков для просмотра видео, а также иных программ, таких как медиаплееры, программы для улучшения качества просмотра видео, «ускорители» загрузки файлов из Интернета и так далее, Trojan.Yontoo.1 устанавливает на инфицированный «мак» плагины для браузеров Safari, Google Chrome и Mozilla Firefox. Этот плагин получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ, а также передает на удаленный сервер данные о том, какие веб-страницы открывает пользователь в своем браузере.

В свою очередь, в компании Eset также отмечают, что как и в прошлые месяцы, рейтинг угроз по России возглавляет троянская программа Win32/Qhost, причем с большим отрывом от остальных угроз «десятки». Эта вредоносная программа осуществляет модификацию файла hosts для перенаправления пользователя на фишинговые ресурсы. В то же время по данным Eset активность Win32/Qhost продолжает снижаться уже третий месяц, с 15,91% в январе до 11,98% в марте 2013 года.

В целом по версии Eset в марте текущего года угрозы по России показывают различную динамику. Тенденцию к росту продемонстрировали троянские программы Win32/StartPage (1,12%), Win32/Bicololo (2,84%), червь Win32/Dorkbot (2,04%), а также вредоносные объекты веб-страниц HTML/ScrInject (3,90%) и JS/Iframe (3,16%). В свою очередь, кроме Win32/Qhost, тенденцию к спаду активности продемонстрировали Win32/Conficker (1,20%), HTML/IFrame (1,95%), INF/Autorun (1,95%) и Win32/Spy.Ursnif (2,71%). В марте общая доля России в мировом объеме вредоносного ПО составила 8,14%.

Файловые инфекторы по-прежнему находятся в десятке глобальных угроз; как и в прошлый месяц, их представляют Win32/Sality (2,84%), Win32/Ramnit (1,68%), Win32/Virut (1,08%). В марте каждый из них продемонстрировал незначительный спад.

Отмечая угрозы, связанные с мошенничеством в Интернете, о двух набирающих обороты вредоносных кампаниях в Skype говорят эксперты «Лаборатории Касперского». В обоих случаях злоумышленники заманивают пользователей перейти по вредоносной ссылке методами социальной инженерии, обещая интересный фото- или видеоконтент. Для распространения вредоносных ссылок используются похищенные или специально созданные Skype-аккаунты, а конечной целью одной из кампаний предположительно является мошенническая генерация виртуальной валюты Bitcoin.

Первая из обнаруженных атак стартовала еще 1 марта, однако рекордных масштабов достигла только в начале апреля. Количество переходов по вредоносной ссылке составляло в среднем 2,7 раза в секунду. Чаще всего по ссылке переходили пользователи из России, Украины, Болгарии, Китая, Тайваня и Италии. В ходе анализа кода программы, которая загружалась на ПК пользователя в случае перехода по ссылке, эксперты обнаружили, что в одной из строк содержалось упоминание Bitcoin wallet – кошелька в системе виртуальной валюты Bitcoin.

В четверг, 4 апреля стало известно об еще одной похожей атаке. Пользователи получали сообщение с призывом перейти по ссылке, однако, как выяснили специалисты «Лаборатории Касперского», на этот раз вместе с вредоносной программой на компьютер пользователя устанавливалась специальная программа для генерации виртуальной валюты Bitcoin. Эта валюта позволяет зарабатывать деньги за счет предоставления вычислительных ресурсов компьютера, на котором установлено специализированное приложение. Участник системы предоставляет свой компьютер для проведения вычислений, а взамен получает монеты Bitcoin, которые впоследствии можно конвертировать в другую валюту или использовать для оплаты товаров и услуг в некоторых интернет-магазинах. Только в течение первых суток с момента старта кампании по вредоносной ссылке ежечасно переходили около 2 тысяч пользователей. Судя по географии распространения, пользователи, которые могут стать жертвами второй кампании, находятся в Италии, России, Польше, Коста-Рике, Испании, Германии и Украине.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2018 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.