Доктор Веб: Вирусные угрозы в феврале 2011 года

Доктор Веб: Вирусные угрозы в феврале 2011 года

В феврале 2011 года сохранили свою актуальность основные тенденции прошлых месяцев. Значительную долю вирусного трафика составляют блокировщики Windows и трояны, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания.

В феврале 2011 года сохранили свою актуальность основные тенденции прошлых месяцев. Значительную долю вирусного трафика составляют блокировщики Windows и трояны, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания.Причем последние работают в тандеме с фальшивыми антивирусами.

Блокировщики Windows

Концепция троянцев-вымогателей, блокирующих работу компьютера, оказалась весьма живучей. В ходе развития данной идеи вирусописатели перепробовали несколько способов перечисления денег и ряд технологических решений, иногда довольно неожиданных, вплоть до блокировки ОС из загрузочной записи.

В феврале 2011 года появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Кроме того, блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы — программы для шифрования и «запутывания» готовых исполняемых файлов. Один из таких крипторов, популярных среди разработчиков Trojan.Winlock, размещает в исполняемом файле характерную иконку, позволяющую отличить такой файл визуально:

Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества.

Шифровальщики

Другая разновидность так называемых ransomware (программ-вымогателей) — шифровальщики — также напомнила о себе в феврале. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне. Коллектив «Доктор Веб» обеспечивает своевременную разработку и поддержку утилит — расшифровщиков данных, зашифрованных троянцами семейства Trojan.Encoder.

Воровство банковских аккаунтов

В десятке вредоносных лидеров февраля 2011 года оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных нашумевшему троянцу Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле троянца зашит внушительный список URL систем дистанционного банковского обслуживания. Среди них — русские, итальянские, американские, немецкие:

* libertyreserve.com

* perfectmoney.com

* laiki.com

* bankofcyprus.com

* commbank.com.au

* suncorpbank.com.au

* stgeorge.com.au

* online.westpac.com.au

* anz.com

* sparkasse.de

* commerzbanking.de

* finanzportal.fiducia.de

* deutsche-bank.de

* targobank.de

* postbank.de

* csebo.it

* poste.it

* gruppocarige.it

* cedacri.it

* payment.ru

* ibank.alfabank.ru

* chase.com

* capitalone.com

Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» троянцы имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).

Мобильные платформы

В сравнении с январем значительно увеличилось количество троянцев для платформы Android. Android.SmsSend написаны на Java, их единственной функцией является отправка платных СМС-сообщений на короткие номера, например 6008.

В январе был обнаружен один образец такого вредоносного ПО, в феврале — уже шесть, что позволяет говорить о тенденции, и появление более сложных и опасных троянских программ под эту платформу — дело ближайшего будущего.

Прочие угрозы

Среди прочих угроз можно отметить новые модификации Win32.Virut и традиционно высокие показатели трафика различных модификаций почтовых червей Win32.HLLM.NetSky и Win32.HLLM.MyDoom.

Разработчики ботнета Trojan.WinSpy в течение февраля дважды обновляли компоненты своих ботов. В основном это коснулось алгоритмов шифрования и структуры файла sfcfiles.dll.

Отмечен спад активности червей, распространяющихся через сменные носители (Win32.HLLW.Autorunner).


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!