«Доктор Веб»: Обзор вирусной активности в 2008 году

Компания «Доктор Веб» подвела итоги анализа вирусной активности в Интернете в уходящем году.

Согласно представленным данным, число вредоносных программ в общем объеме просканированных файлов на компьютерах интернет-пользователей за год выросло в два раза. В то же время объем вредоносных писем в общем почтовом трафике к концу года существенно уменьшился в связи с активным противодействием спам-хостерам. Основным инструментом для передачи вирусов были почтовые сообщения, специально созданные сайты, а также съёмные диски. В 2008 году также участились случаи фишинга и SMS-мошенничества.

Статистика распространения различных вредоносных программ в 2008 году

С начала 2008 года процент вредоносных программ в общем количестве просканированных объектов постоянно возрастал и достиг в апреле отметки, превышающей в 4 раза уровень начала года. Такая ситуация сохранилась до июля, после чего доля вредоносных файлов сократилась вдвое и составила к августу около 0,01% от числа проверенных объектов. До конца года данное процентное соотношение практически не менялось. Таким образом, на данный момент каждый 10 000-ый просканированный файл является инфицированным.

В течение 2008 года содержание вредоносных программ среди всех проверяемых почтовых сообщений находилось на уровне 0,2-0,25 % (каждое 500-ое письмо содержало в себе вредоносное вложение или вредоносный скрипт). К концу года в связи с жесткими мерами, применяемыми в отношении спам-хостеров, уровень содержания вредоносных сообщений в почтовом трафике снизился до 0,02% (т.е. в настоящий момент каждое 5 000-ое сканируемое письмо содержит в себе вредоносный код).

«Громкие» вирусы

В уходящем году наиболее заметными вредоносными программами были BackDoor.MaosBoot, Win32.Ntldrbot (Rustock.C) и разные модификации Trojan.Encoder.

BackDoor.MaosBoot запомнился тем, что прописывает себя в загрузочный сектор жёсткого диска и использует руткит-технологии для своего сокрытия в инфицированной системе. С января по март 2008 года были обнаружены несколько различных модификаций данного вируса.

Win32.Ntldrbot отличился тем, что использует одновременно множество методов своего сокрытия в системе, что позволяло оставаться ему незамеченным на протяжении нескольких месяцев. В частности, некоторые антивирусные изготовители считали этот вирус выдуманным и несуществующим.

Win32.Ntldrbot имеет мощный полиморфный протектор, реализованный в виде драйвера уровня ядра, а также функцию самозащиты. Кроме того, он противодействует отладке собственного кода, функционирует как файловый вирус, фильтрует обращения к заражённому файлу, внедряется в системные процессы, после чего начинает рассылку спама.

Разработчики компании «Доктор Веб» оперативно дорабатывали необходимые компоненты для эффективного противодействия BackDoor.MaosBoot и Win32.Ntldrbot, в результате чего Dr.Web оказался первым антивирусом, способным справляться с этими вредоносными программами штатными средствами без использования дополнительных утилит.

Известность в текущем году приобрел и троянец, получивший по классификации Dr.Web название Trojan.Encoder. При попадании в систему он шифрует документы пользователя, после чего предлагает заплатить автору вируса за утилиту дешифровки. В 2008 году распространялись сразу несколько модификаций данного троянца, отличающихся требуемыми суммами денег (в одном случае требовалось заплатить 10$, в другом — 89$), визуальными проявлениями в системе, а также длиной ключа, который применялся для шифрования файлов. Вирусные аналитики компании «Доктор Веб» оперативно добавляли новые модификации этого троянца в вирусную базу, а также разработали бесплатную утилиту, позволяющую расшифровать зашифрованные файлы. Данная утилита доступна для даунлоада на официальном сайте компании «Доктор Веб».

Вредоносные почтовые рассылки

Наиболее заметными почтовыми рассылками 2008-го года, связанными с распространением вредоносных программ, стали рассылки различных модификаций Trojan.DownLoad.4419 и Trojan.PWS.GoldSpy.

Для распространения Trojan.DownLoad.4419 использовались письма со ссылками на якобы порно-ролики. При открытии по ссылке страницы браузера, предлагалось скачать и установить «кодек» для просмотра ролика. В этом «кодеке» и содержался вредоносный код. Авторы Trojan.DownLoad.4419 практически при каждой распространении модифицировали исполняемый файл. Не существенно реже менялся упаковщик, который применялся к исполняемому файлу, что усложняло определение данного троянца антивирусными программами. Вирусные аналитики компании «Доктор Веб» оперативно добавляли записи Trojan.Packed, позволявшие определять множество различных модификаций Trojan.DownLoad.4419, в том числе неизвестные на момент обнаружения.

Для распространения различных модификаций Trojan.PWS.GoldSpy использовались более разнообразные методы – данный троянец распространялся как в виде электронных открыток, так и в виде писем, направленных на устрашение получателей. В частности, в них говорилось о блокировании интернет-аккаунта из-за нелегальных действий пользователя в Интернете. Благодаря широкому распространению Trojan.PWS.GoldSpy в течение последних месяцев, в почтовом трафике существенно возрос процент троянцев, в функционал которых входит воровство пользовательских паролей.

Социальные сети

Популярность российских социальных сетей за 2008 год резко возросла, что привлекло внимание вирусописателей. В личных сообщениях и страницах профилей выдуманных пользователей содержались ссылки на сайты с разнообразными вредоносными программами.

Также были замечены рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Ссылки, указанные в них, вели обычно на подставные сайты, распространяющие вредоносный код.

Для снижения риска заражения, владельцы социальных сетей в последнее время применяют разные инструменты борьбы с подобными угрозами. В некоторых социальных сетях ссылки, публикуемые, в личных сообщениях, отображаются простым текстом. В результате этого перейти по ссылки можно только в случае ручного копирования адреса в соответствующую строку браузера. Другой вариант - при щелчке по внешней ссылке, присутствующей в сообщении, осуществляется переход на страницу, которая объясняет опасность, которую может таить подобная ссылка.

Впрочем, эти меры пока не могут полностью локализовать проблему распространения вредоносных программ сквозь социальные сети. Компания «Доктор Веб» рекомендует многочисленным пользователям социальных сетей применять лицензионные антивирусные продукты, либо бесплатную утилиту Dr.Web LinkChecker, позволяющую проверить содержимое ссылки до её открытия. ICQ как инструмент рассылки вредоносных сообщений

В течение 2008 года возросло число вредоносных рассылок, осуществляющихся посредством ICQ – программы для мгновенного обмена сообщениями.

Для распространения спам-сообщений и ссылок на вредоносные программы использовались как специально заведённые аккаунты, так и аккаунты, которым доверяет пользователь. Последнее возможно, когда компьютер пользователя, использующего ICQ-клиент, заражается вирусом, способным распространять сообщения по его контактному листу. В этом случае пользователь может узнать о том, что его ICQ-клиент рассылает спам, от другого пользователя, который получил это спам-сообщение.

Съёмные диски

Наряду с почтовыми рассылками, широкое рассылка съёмных устройств привело к тому, что именно они стали одним из основных инструментов распространения вредоносных программ, в частности и для корпоративных пользователей. В базу Dr.Web они, как правило, заносятся под названием Win32.HLLW.Autoruner, т.к. для запуска вредоносных файлов используется механизм автозапуска программ, расположенных на съёмных устройствах, встроенный в операционные системы семейства Windows.

Широкое рассылка вирусов, которые переносятся на съёмных устройствах, вынуждает руководство многих предприятий и госучреждений применять радикальные меры противодействия им – от использования специализированного ПО, призванного разграничивать доступ к съёмным устройствам различных групп сотрудников, до введения полного запрета на использование съёмных устройств.

Win32.Sector

Данный файловый вирус выделен в отдельный раздел, потому как за 2008 год он причинил пользователям Интернета множество хлопот. В арсенал Win32.Sector входит заражение большинства исполняемых файлов, внедрение в системные процессы, скачивание и установка других вредоносных программ из Интернета, отключение компонента UAC, входящего в состав Windows Vista.

SMS-мошенничество

В связи с тем, что распространять вредоносные программы становится сложнее, интернет-мошенники всё чаще применяют более простые и, одновременно, более эффективные методы получения прибыли. Один из них — распространение сообщений с предложением отправить платное SMS. Для того, в надежде убедить пользователя сделать это, в ход идут всякие приёмы — от уговоров от якобы его друзей до сообщений о бесплатных или очень выгодных услугах и рекламных акциях известных компаний.

Рассылки подобных сообщений осуществляются посредством ICQ, социальных сетей, электронной почты, а также с помощью установки плагина в интернет-бразуере, для удаления которого предлагается отправить всё то же SMS. Для данного типа плагинов вирусные аналитики компании «Доктор Веб» разработали специальную запись Trojan.Blackmailer.origin, которая позволяет обнаруживать даже их неизвестные варианты.

Стоимость каждой такой SMS ки зачастую достигает нескольких сотен рублей, хотя в исходном сообщении речь может идти о гораздо меньшей сумме.

Фишинг

В последние месяцы также активизировались фишинг-мошенники. Они рассылают сообщения от имени известных финансовых структур (в частности банков) и, с помощью различных ухищрений, завлекают пользователей перейти по ссылке, указанной в письме. Она в свою очередь приводит их на подставной интернет-ресурс, похожий на официальный сайт компании, клиентом которой они являются.

На подставном сайте пользователям под различным предлогом предлагается ввести свои приватные данные – параметры доступа к банковскому счёту, параметры аккаунта платного интернет-сервиса и пр. В последнее время фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.

В 2009 году можно ожидать продолжение роста распространения вредоносных программ сквозь каналы, альтернативные почтовым рассылкам — системы мгновенного обмена сообщениями, съёмные устройства, социальные сети и пр.

Авторы вредоносных программ будут совершенствовать свои методики, в частности вероятно появление всё более сложных полиморфных упаковщиков и других способов затруднения анализа вредоносных файлов. Как и прежде, злоумышленники будут эксплуатировать уязвимости операционных систем и другого популярного ПО. Также прогнозируется постепенное увеличение содержания вредоносных программ, равно как и спама, в почтовом трафике в течение первых нескольких месяцев 2009 года.

В связи с тем, что антивирусные компании также постоянно совершенствуют технологии обнаружения и устранения последствий заражений вредоносными программами, некоторые кибер-преступники вынуждены менять свой род деятельности. К примеру, те, кто ранее ограничивался распространением писем с содержащимися в них ссылками на сайты (в частности с Trojan.DownLoad.4419), переходят на рассылку писем со ссылками на рекламные сайты.

www.securitylab.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: