Кроме того, в июне служба вирусного мониторинга компании «Доктор Веб» отметила резкое увеличение фишинг-рассылок, направленных на пользователей онлайновых банковских систем и систем электронных платежей. Злоумышленники проявляют интерес и к одновременной атаке сразу нескольких программных платформ. Словом, «Доктор Веб» представляет обзор вирусной активности в июне 2009 г.

 

Они напомнили о себе с первых чисел июня. По распространению почтовых рассылок, содержащих вредоносное ПО или ссылки на зараженные сайты, июнь можно без преувеличения назвать лидером года. В течение месяца использовались разные схемы усыпления бдительности пользователей и привлечения их внимания к письмам.
 

Почтовые сообщения состояли в основном из простого текста, реже можно было встретить оформление, присущее письмам, отправляемым якобы известными организациями, например, Microsoft.
 

Вредоносные файлы передавались либо как приложения к письмам, либо как ссылки на вредоносные файлы – в этом случае открывался браузер, и сразу начиналась загрузка вируса.
 

Немногие вирусописатели в июне тратили силы на дизайн вредоносных сайтов. Тематика таких почтовых сообщений отличалась некоторым разнообразием. Больше всего вредных файлов распространялось под видом электронных открыток – на сегодня это самая популярная маскировка. Немного реже использовалось распространение троянцев в качестве якобы обновлений для почтовых клиентов (Microsoft Outlook, Ritlabs The Bat!) и кодеков для порнороликов. Отдельные сообщения были посвящены якобы оплаченным пользователем заказам в интернет-магазине, другие – якобы внесённым изменениям в параметрах счёта пользователя (без указания конкретной банковской или другой онлайн-системы).
 

В июне посредством электронной почты распространялись самые разные вредоносные программы. Лидером рассылок стал троянец Trojan.PWS.Panda.122, скрытый с помощью различных упаковщиков. Также рассылались Trojan.Siggen.2447, Trojan.DownLoad.29459, Trojan.DownLoad.38602, лже-антивирус Trojan.Fakealert.4471 и другие.
 

Особо интересной была русскоязычная рассылка писем с пустым телом сообщения, темой «Главному бухгалтеру!!!» и приложенным файлом «Сверка за 1-й квартал.scr» размером около 1,2 Мб, что по современным меркам многовато. Данный файл оказался самораспаковывающимся архивом, внутри которого находился исполняемый файл, который устанавливался в систему автоматически, сразу после запуска scr-файла и определялся Dr.Web как Trojan.Packed.2524. После запуска вредная программа устанавливает в систему ещё 2 файла – один из них (по шкале Dr.Web) Trojan.KeyLogger.3534. Данная программа собирает информацию о названиях открытых пользователем окон и о введённой через клавиатуру информации, а затем отправляет ее злоумышленникам. Другим устанавливаемым компонентом является легальная программа TeamViewer, которая по замыслу авторов служит для удалённого управления компьютерами с разрешения пользователя (например, для помощи по работе в системе), но в контексте данной вредной программы этот компонент позволяет следить за действиями пользователя и управлять его компьютером через Интернет с меркантильными целями.
 

В конце июня были замечены рассылки писем, в которых содержались ссылки на сайты, рекламирующие медицинские препараты. Разнообразие функционала рассылаемых вредоносных программ и информации посредством схожих по внешнему виду рассылок может говорить о том, что в настоящее время созданием и рассылкой вредоносных программ занимаются различные группы киберпреступников.

 

 

Вирусописатели продолжают проявлять интерес к вредоносным программам и методам их распространения, позволяющим одновременно атаковать несколько разных программных платформ, будь то браузеры или операционные системы. И если раньше подобные задумки реализовывались не так часто (можно отметить только несколько попыток создания вирусов, работающих одновременно в ОС Windows и Linux), то сегодня подобные идеи реализуются всё чаще.
 

В мае «Доктор Веб» сообщил о Trojan.BrowseBan, который может устанавливаться как плагин к браузерам Mozilla Firefox и Opera. В июне же под прицел злоумышленников попали пользователи системы микроблогинга Twitter. Она имеет многомиллионную аудиторию по всему миру, а микроблоги пользователей связаны между собой. Поэтому, написав сообщение со ссылкой на вредоносный файл в одном из популярных микроблогов в Twitter, злоумышленники могут распространить сообщение между многими тысячами других владельцев блогов.
 

Пользователи Twitter используют разные операционные системы, и вирусописатели воспользовались этим. Июньская атака, о которой «Доктор Веб» рассказывал в новостях, была направлена против пользователей Windows и Mac OS X. При этом при переходе на вредоносный сайт операционная система пользователя определялась автоматически. В зависимости от этого начиналась загрузка соответствующего вредоносного файла.
 

Поскольку сообщения в системе Twitter имеют жёсткие ограничения по количеству знаков, злоумышленники часто пользуются сервисами, позволяющими публиковать короткие адреса, с которых при посещении идёт перенаправление на вредоносный сайт, адрес которого может быть довольно длинным (http://tinyurl.com, http://bit.ly). Кроме сокращения длины такие адреса отличаются обезличенностью: пользователи с большей вероятностью переходят по таким ссылкам, что значительно повышает эффективность атак. И хотя некоторые из этих сервисов отслеживают их применение для перенаправления на вредоносные сайты, они всё же являются хорошим подспорьем для злоумышленников.

В конце июня в системе Twitter прошло ещё одно массовое распространение ссылок на вредоносный сайт, якобы содержащий видеоролик. Под этим предлогом распространялся файловый вирус Win32.Virut.56.

 

Социальные сети продолжают набирать популярность, которую с энтузиазмом эксплуатируют злодеи. Наиболее популярными вредоносными программами, связанными с социальными сетями, в июне были Trojan.Hosts и Trojan.Facebook.

Trojan.Hosts после установки в систему так изменяет системный файл hosts, что пользователь, который собирается зайти на определённую страницу, перенаправляется на специально созданный сайт, требующий платно зарегистрироваться в социальной сети посредством SMS-сообщения.

В функционал Trojan.Facebook входит распространение ссылок с заражённого компьютера по контактам пользователя в социальной сети на якобы видеоролик, для просмотра которого надо установить кодек, который как раз и является вредоносной программой. После установки цикл повторяется.

Следует отметить, что методы распространения вредоносных программ через сообщения в социальных сетях и подобных каналах передачи данных (например, ICQ, электронная почта и пр.) не меняются довольно долго. Обычно для этого предлагается пройти по ссылке на вредоносный файл или запустить приложенный файл.
 

Пользователи, которые однажды столкнулись с такими методами злоумышленников, теперь с лёгкостью могут распознать их уловки невооруженным глазом. Поэтому вирусописатели рассчитывают только «на новенького» - на начинающих пользователей социальных сетей, то есть подобным атакам подвергаются только новички. Правда, каждый день к социальным сетям их подключается очень много.
 

Но, несмотря на популярность социальных сетей и множество новых пользователей, количество подобных угроз на общем фоне на данный момент ничтожно. Это лишь капля в море вредоносных программ. То, что пользователи больше знают об угрозах именно в социальных сетях, чем, например, распространяемых через съёмные USB-устройства, - следствие повышенного внимания к социальным сетям со стороны СМИ.

 

Спамеры начинают оперативно использовать горячие новости в своих спам-рассылках. Так, уже через несколько часов после известия о смерти Майкла Джексона они использовали эту новость в спам-сообщениях и в электронной почте, и в социальных сетях. До этого спамеры активно эксплуатировали иранскую тему.
 

В июне был отмечен всплеск активности фишинг-рассылок. Возросло и общее количество рассылок, и число банковских и электронных платёжных систем, на пользователей которых они были ориентированы. Рассылки были нацелены на пользователей американских (Bank of America, JPMorgan Chase Bank, Community State Bank) и австралийских (St. George Bank) банков, а также платёжной системы PayPal, интернет-аукциона eBay и интернет-магазина Amazon.

 

1. Win32.HLLM.Netsky.35328 7128037 (25,13%)

2.Trojan.DownLoad.36339 5366428 (18,92%)

3 Win32.HLLM.MyDoom.33808 2716995 (9,58%)

4 Win32.HLLM.Beagle 2205546 (7,78%)

5 Trojan.Botnetlog.9 1868590 (6,59%)

6 Win32.HLLM.MyDoom.based 1653007 (5,83%)

7 Trojan.MulDrop.19648 843626 (2,97%)

8 Win32.HLLM.Beagle.32768 708903 (2.50%)

9 Trojan.MulDrop.13408 640380 (2,26%)

10.Win32.HLLM.MyDoom.44 536518 (1,89%)

11. Win32.HLLM.MyDoom.49 458717 (1,62%)

12.Win32.HLLM.Beagle.27136 453649 (1.6%)

13 Win32.HLLM.Perf 446777 (1,58%)

14 Trojan.PWS.Panda.114 389041 (1,37%)

15 Exploit.IframeBO 341159 (1,2%)

16 Win32.HLLM.MyDoom.54464 276624 (0,98%)

17 Win32.HLLM.Netsky.based 256594 (0,9%)

18 Win32.HLLM.Beagle.pswzip 255040 (0,9%)

19 Exploit.IFrame.43 247345 (0,87%)

20.Trojan.PWS.Panda.122.243606 (0,86%)

Всего проверено: 126767994680

Инфицировано: 28362114 (0,0224%)

 

Вредоносные файлы, обнаруженные в июне на компьютерах пользователей

 

1. Trojan.DownLoad.36339 4285602 (17,7%)

2. Trojan.Botnetlog.9 2539980 (10,49%)

3. Win32.HLLM.Beagle 1746450 (7,21%)

4. Win32.HLLM.Netsky.35328 811987 (3,35%)

5. Win32.HLLW.Gavir.ini 807672 (3,34%)

6. Win32.Virut.14 803513 (3,32%)

7. Win32.HLLW.Shadow.based 641590 (2,65%)

8. Win32.HLLM.MyDoom.49614335 (2,54%)

9. DDoS.Kardraw 581880 (2,4%)

10.Trojan.MulDrop.16727 499697 (2,06%)

11. Win32.HLLM.MyDoom.33808 428111 (1,77%)

12. Trojan.WinSpy.145 424441 (1,75%)

13. Trojan.DownLoad.35128 381925 (1,58%)

14. VBS.Generic.548 366961 (1,52%)

15. Trojan.DownLoader.42350.362862 (1,5%)

16. Win32.HLLW.Autoruner.5555 279066 (1,15%)

17. W97M.Thus 253182 (1.05%)

18. Trojan.PWS.Panda.122242922 (1%)

19. Win32.Sector.17 242790 (1%)

20. Trojan.AuxSpy.13242588 (1%)

Всего проверено: 185717797971

Инфицировано: 24208981 (0,013%)