ДокторВеб: В Сети резко возросло число новых модификаций Trojan.Winlock

image

Теги: Доктор Веб, троян, SMS

Трояны семейства Trojan.Winlock, блокируют Windows и требуют отправить злоумышленникам платное SMS-сообщение для получения кода разблокировки.

Компания "Доктор Веб" предупреждае пользователей о резком росте распространения новых модификаций уже известных троянов семейства Trojan.Winlock, блокирующих Windows и требующих отправить злоумышленникам платное SMS-сообщение для получения кода разблокировки. Новая волна Trojan.Winlock началась 18 мая – в этот день число детектов трояна сервером статистики "Доктор Веб" выросло в 110 раз по сравнению со среднесуточными показателями месячной давности.

Среди новых модификаций Trojan.Winlock, которые и явились катализатором этого роста, выделяется Trojan.Winlock.1678, а также те виды, которые уже не требуют отправки платных SMS, а вынуждают своих жертв для перевода средств пользоваться различными платежными системами.

Распространяются они самыми разными способами - используют уязвимости в Windows и браузерах, вредоносные сайты, эксплойты iframe, а также ботнеты.

Напомним, что первые модификации Trojan.Winlock появились около 3 лет назад и не представляли на тот момент особой опасности. С ноября 2009 года число новых троянцев этого семейства начало расти. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможной нормальную работу на компьютере, вирусописатели стали требовать все больше денег – от 300 до 600 рублей. При этом новые Trojan.Winlock уже не удалялись автоматически из системы и препятствовали работе множества других программ на зараженном компьютере. Пик распространения Trojan.Winlock, по данным "Доктор Веб", пришелся на январь 2010 года. Тогда число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей.

Совсем недавно могло показаться, что распространению троянцев, блокирующих Windows, скоро придет конец. В марте и апреле 2010 года наблюдалось снижение уровня распространения Trojan.Winlock, который за этот период упал примерно вдвое. Однако май внес свои коррективы.

Специалисты "Доктор Веб" настоятельно рекомендуют пользователям не поддаваться на требования злоумышленников и не отправлять им свои деньги.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
21-05-2010 13:20:20
Эникейщиков ожидает дополнительный доход, отлично.
0 |
c0unt_zer0
21-05-2010 13:30:52
скорее дополнительный гемор, ибо зарплату по этому поводу никто не повысит
0 |
21-05-2010 13:33:08
Я имел ввиду частные вызовы.
0 |
Эникейщик
01-06-2010 11:10:41
Доход уже пошел. DR. WEB LiveCD спасает только так.
0 |
el toro
21-05-2010 13:37:51
Ха!-Ха!-Ха!Я даже знаю,почему их стало так много=)Потому что кулхацкеры после прочтения журнала "Хакер" майский выпуск начали создавать троянов по образцу заданному в вышеназванном журнале
0 |
...
21-05-2010 14:13:35
А вот смс отправляется куда, в небытие или в карман злоумышленников, разве нельзя вычислить преступников? Ответьте, пожалуйста.
0 |
14826
21-05-2010 15:40:39
Ну или на бомжа какого номер арендуют, или регистрируют для оказания платных услуг, типа анекдотов и прочей пурги(все легально, с объявлениями в какой-нибудь газетенке), а потом говорят, что в жизни компьютера не видели и про вирусы ничего не знают, а анектоды совершенно добросовестно присылают.
0 |
22-05-2010 11:21:04
Но ведь денежный поток отследить на раз плюнуть. Денюжку то никак не бомж снимать будет. Просто не выгодно это никому. Сотовая компания с этого свой кусок пирога имеет, биллинговая компания тоже нехилый процент с этого получает, так зачем же искать распространителей??? Это как с "аудионаркотиками" - шумиху вокруг них устраивают, чтобы подогреть угасающий интерес юзеров, а ловить никто никого никогда и не собирался. А вообще все эти Trojan.Winlock убиваются за 1 минуту без всяких антивирей, если знать как. А предотвратить заражение и того проще - достаточно заблокировать добавление новых исполняемых файлов в ключевые папки винды и проблема заражения решена.
0 |
49990
22-05-2010 11:50:22
если знать как В том то и проблема, что пользователи вин (подавляющее большинство) не хотят ничего знать, они хотят чтоб все делалось само (нажатием одной главной кнопки)
0 |
Игорь Кисловодск
22-05-2010 17:44:58
Думаешь все так просто Деньги отмыть не такая и большая проблема. Берут кучу партнерок, и используют ихнии префиксы. Пока партнерка отследит, что по ихним префиксам идет спам, уже удается вывести кучу денег. Префекс блокируют, берут другую партнерку. Деньги выводят на электронные кошельки. С них тоже есть методы отмывания денег. На счет заражения. Если у тебя не пропатчина система и браузер... То здесь тебе мало, что поможет. Достаточно отследить новую уязвимость, найти эксплоит и на основе его написать вторжение в систему. И эпидемия пошла. Если бы пользователи соблюдали элементарные правила безопасности, то этого говна было бы намного меньше.
0 |
йцукенг
23-05-2010 01:08:29
90% вирусов, включая и Trojan.Winlock ищут не только дыры в системе, но и место, куда он запишется и откуда будет запускаться. Это обычно корневая папка C:, D:, папки Documents and Settings, Program Files, Windows. И если банально перекрыть добавление новых исполняемых файлов в эти ключевые папки, то вирус даже найдя дыру в системе просто не сможет записаться в них. А если еще и заблокировать добавление новых программ в автозапуск юзеров и самой машины, и самопроизвольное изменение настроек браузеров, плюс возможность запуска исполняемых файлов из темп папок, то риск заражения будет сведен практически к нулю. Причем без всяких антивирей. Да и дыры такого уж большого значения для вирусов при таком раскладе не имеют. Дыры будут только сильно влиять на попытки взлома и проникновения с целью умыкнуть инфу, но никак не на вирусы.
0 |
90009
24-05-2010 10:04:10
Это вы из теории или на практике уже реализовано? "И если банально перекрыть добавление новых исполняемых файлов в эти ключевые папки" "А если еще и заблокировать добавление новых программ в автозапуск" "...плюс возможность запуска исполняемых файлов из темп папок" Непонятное впечатление, то ли автор не видел этот вирус, то ли речь не о win32. Вы уважаемый какими средствами планируете ограничить запуск ИСПОЛНЯЕМЫХ файлов? А рабочий стол - туда то можно записать? А в мои документы, можно? А что создание папки уже не возможно? И ваш фильтр сработает и на вложенные вновь созданные ресурсы тоже? А банально подумать, что какое-нить обновление притащит себе исполняемые файлы, и как вы их будете сеить? Что все уже внедрили механизм подписи, у всех вот так вот все шикарно работает? Было же уже в новостях, умники блокировали исполняемые файлы, получали известный screen и кольцевые перезагрузки. Или может это вы и были вдохновителем подобных затей?
0 |
йцукенг
24-05-2010 15:39:44
Реализовано, причем не только в домашних условиях, но и в корпоративных условиях. Дало очень хорошие результаты - в виндах лет 7 уже заражений не наблюдаю. А вот в логах постоянно проскальзывает "ошибка добавления файла *.ехе в папку Windows или Program Files". Но Вы угадали - единственная проблема с апдейтами. Все их пришлось перевести на ручной режим, но система защиты включается и выключается за 15 секунд, поэтому обычные действия - отключение, закрузка и установка апдейтов, а затем опять активация защиты. А надеятся на электронную подпись производителя сейчас не всегда можно. уже сталкивался с вирусами, подписанными подписью майкрософта.
0 |
йцукенг
24-05-2010 15:49:51
Действующие на данный момент запреты: Добавление новых исполняемых файлов в папки Documents and Settings, Program Files, Windows и корневые. Добавление новых программ и сервисов в автозапуск. Запуск программ и скриптов из временных папок, включая временные папки браузеров. Изменение настоек браузеров. Добавление в реестр новых CLSID, APPID, TYPELIB Запрет запуска svchostом сторонних (не майкрософтских) программ, библиотек и скриптов. Есть еще кое-что, но перечислять долго - главное работает и проблем нет уже довольно долгое время.
0 |
цук
24-05-2010 20:49:17
Где про это почитать можно Уж очень интересно
0 |
йцукенг
25-05-2010 15:57:36
Конкретно такой статьи не встречал. Кое-что почерпнул из теории распространения вирусов, кое-что из собственного опыта. Неплохие статьи по этому поводу есть у Макафе и Симантека по-поводу усиления корпоративных антивирусных защит от неизвестных новых вирусов. Правда они на инглише. Могбыть соберусь с мыслями, выкрою время и сам напишу статейку, тем более тут какой-то конкурс статей объявили. )
0 |
цук
25-05-2010 19:31:34
Пиши будет интересно глянуть. Особенно интересно про запрет записи новых исполняемых файлов в конкретной папке.
0 |
йцукенг
24-05-2010 15:58:05
Непонятное впечатление, то ли автор не видел этот вирус, то ли речь не о win32. А этих вирусов у меня в коллекции уже разновидностей 10, причем один с информацией о производителе Адобе, а другой Майкрософта. Все их нашел на машинах по логам после того, как они пытались прописаться в системные папки и автозапуск.
0 |
йцукенг
23-05-2010 01:08:59
А денежные потоки при желании отследить не проблема. Все равно рано или поздно реальный человек после всех точек перекачки финансов заявится в банк, а дальше распутать уже дело техники. Но вот желания-то ловить кого-то что-то у правоохранительных органов не наблюдается.
0 |
а вот вам
23-05-2010 11:02:50
обналичка денег - тоже не очень большая проблема. есть конторы (тысячи их), которые за определенный процент от суммы обналичат хоть усаму бин ладена.
0 |
123
23-05-2010 14:47:19
Вы наивны ... Про дропов слышали ? Про пластик на бомжа ? Никто в банк нынче не ходит ...
0 |
йцукенг
23-05-2010 22:49:58
Наивны Вы. Пластик на бомжа - насмешили. БОМЖ - Без Определенного Места Жительства, а еще обычно и без паспорта. И в каком банке таким пластик выдают не подскажите? А дропы - про Интерпол что-либо слышали? Ловят и разматывают ниточки вовсю. Дропы тоже товар или денюжку не на деревню дедушке отправляют. Так что если захотят найти - найдут, просто дело времени. Главное чтобы захотели найти.
0 |
24-05-2010 12:23:55
в данном контексте "бомж" - некая условность паспорт надыбать какой угодно - для серьёзных людей не проблема до хрена людей, работающих в банках, за откат счёт откроют "хоть на усаму бин ладена" более того, есть карманные банки, которые кроме такой фигни и обменников с ловкими девочками вообще больше ничем не занимаются
0 |
123
25-05-2010 01:15:35
БОМЖ это метафора. Если дроп разводной то не распутают ... И вообще при чем здесь интерпол ? Все действия могут происходить в России ...
0 |
lis
26-05-2010 02:01:50
а если бы все водители ставили оригинальные запчасти и вовремя меняли расходники - механикам было бы легче а если бы все люди не ели после 6, делали зарядку по утрам и мыли руки - то врачи были бы счастливы а если бы люди не курили в постели и не жгли костры в пожароопасные периоды - пожарным было бы хорошо а если бы...
0 |
lis
26-05-2010 01:56:12
А вообще все эти Trojan.Winlock убиваются за 1 минуту без всяких антивирей ну сделай людям радость, напиши програмулинку "антивинлок", который будет гасить все старые и новые версии)))) А то народ по форумам лазит, с бубном танцует, а ты один такой умный сидишь и никому помочь не хочешь.. стыдно!.. на форуме писать-не мешки ворочить, как говорится)
0 |
SC
21-05-2010 15:55:00
Скорее всего левые регистрационные данные у операторов. Им пофиг какие данные предоставляют, думаю глаза закрывают, даже если откровенную липу суют, главное, что бы деньги капали.
0 |
Игорь Кисловодск
22-05-2010 17:47:06
Ты ошибаешься. МТС провел крупную акцию, против этих дел Если заметил, теперь вирусы просят не только смс, но и другие методы оплаты.
0 |
21-05-2010 20:25:02
Вычислить можно, но как мне кажется, этого никто не делает, так как операторы связи в доле - выяснять куда отправляется смс просто невыгодно.
0 |
Паганель
22-05-2010 06:10:46
Помнится, когда Премьер выступил по поводу этого, рынка, запамятовал название, так рынок сразу снесли. Так и здесь, пока Президент не вызовет министра связи и не попросит разобраться, так и будут самое большее сажать за мешок картошки.
0 |
Паганель
22-05-2010 06:15:55
А вообще-то нужно штрафовать таких пользователей, у которых компьютер недостаточно оснащен для выхода в сеть. Нужно проводить техосмотры на наличие антивируса и файрволла, и выдавить страховку гражданской ответственности на случай участия компа пользователя в ДДОС атаках.
0 |
Паганель
22-05-2010 06:18:14
Fix:"и выдавАть страховку гражданской ответственности на случай участия компа пользователя в ДДОС атаках. "
0 |
lis
26-05-2010 02:08:55
и тебя, милок, за слабый иммунитет в эпидемию гриппа оштрафуем)) надо было летом витаминки кушать, а сейчас ходишь, кашляешь, всех заражаешь
0 |
gef257
02-09-2010 10:57:00
сам то хоть понял чё сказал,умник...?
0 |
83740
22-05-2010 11:51:51
Вот когда он сам лоханется, вот только тогда и "попросит разобраться".
0 |
Olega
26-05-2010 16:56:45
Удалял такую штуку недавно. Теперь просят деньги прислать на обычный мобильный телефонный номер +7 962...
0 |
Bob
21-05-2010 20:52:55
Если ты купил левую сим карту или выходишь через вай фай из сети бесплатных туалетов, то врят ли тебя кто найдет. А при регистрации на иностранных sms провайдерах, никаких паспортных данных не требуют.
0 |
tarakan
21-05-2010 21:31:18
Сегодня друг принёс ноутбук, ему достался Winlock.1686. Сервисы разблокировки о нём ещё не знают,но в базах Dr.Web и Kav уже есть.
0 |
Страницы: 1  2  3  4