Новости

5 февраля 2013 г

«Доктор Веб»: обзор вирусной активности в январе 2013 года

Первый месяц 2013 г. не преподнес сюрпризов — видимо, сказались долгие новогодние каникулы, на время которых вирусописатели перебрались в теплые края. Основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok, а также появление новых угроз как для операционной системы Windows, так и для мобильной платформы Android.

Вирусная обстановка

В январе 2013 г. в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Напомним, что Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 г., стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. Иными словами, этот троянец заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows. Основное функциональное назначение этой вредоносной программы — блокировка доступа в Интернет и демонстрация в окне браузера предложения скачать «обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном СМС код. Таким образом пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.

Поскольку вредоносный объект, подменяющий просматриваемые пользователем веб-страницы, находится в оперативной памяти компьютера, переустановка браузеров, пользование служебной программой «Восстановление системы» и даже запуск Windows в режиме защиты от сбоев не позволяют избавиться от троянца. Наиболее эффективным методом лечения заражения является только сканирование инфицированного компьютера с помощью лечащих утилит Dr.Web CureIt! и Dr.Web LiveCD. Подробный технический анализ данной угрозы приведен в опубликованной нами статье: [news.drweb.com/show/?i=1772&c=23].

Соответственно, среди обнаруженных утилитой Dr.Web CureIt! угроз велико количество детектов троянца Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 тыс. случаев), также в январе на компьютерах пользователей часто выявлялся троянец Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend, велико число заражений троянской программой BackDoor.IRC.NgrBot.42. Сводные данные о 20 наиболее распространенных угрозах, обнаруженных в январе 2013 г. на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, представлены ниже:

Trojan.MayachokMEM.4 – 4,85%

Trojan.Mayachok.2 – 2,39%

Trojan.SMSSend.2363 – 2,26%

Trojan.Mayachok.18550 – 1,50%

BackDoor.IRC.NgrBot.42 – 0,94%

Trojan.BhoSiggen.6713 – 0,87%

Trojan.StartPage.48148 – 0,85%

Trojan.DownLoader7.16737 – 0,75%

Win32.HLLP.Neshta – 0,71%

Trojan.Hosts.5268 – 0,66%

Win32.HLLW.Phorpiex.54 – 0,64%

Trojan.Mayachok.18024 – 0,60%

Trojan.Mayachok.18397 – 0,59%

Win32.Sector.22 – 0,54%

Trojan.Mayachok.17994 – 0,53%

Trojan.Mayachok.1 – 0,47%

Win32.HLLW.Gavir.ini – 0,46%

Trojan.Click2.47013 – 0,46%

BackDoor.Butirat.245 – 0,45%

Trojan.Mayachok.18566 – 0,45%

Ботнет BlackEnergy возрождается

В январе 2013 г. специалистами из компании «Доктор Веб» было зафиксировано появление новой модификации вредоносной программы BlackEnergy, получившей наименование BackDoor.BlackEnergy.36. О ликвидации BlackEnergy — крупнейшего ботнета, предназначенного для рассылки спама, — летом 2012 г. сообщили многие мировые СМИ. В период своей максимальной активности BlackEnergy рассылала более 18 млрд писем в день, однако благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.

Однако уже в январе 2013 г. злоумышленники предприняли попытку создать новую бот-сеть с использованием вредоносной программы BackDoor.BlackEnergy.36. Основных отличий этой модификации троянца от его предыдущих редакций два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая в свою очередь содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром. В первое время злоумышленники не отдавали ботам каких-либо команд, вероятно, ожидая, пока растущий ботнет достигнет определенных размеров, однако вскоре с использованием бот-сети была предпринята попытка DDoS-атаки на один из популярнейших в российском Интернете развлекательных ресурсов. Троянец был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda. Более подробную информацию об этой угрозе можно почерпнуть из опубликованного на сайте drweb.com новостного материала: [news.drweb.com/?i=3228&c=9&lng=ru&p=0].

Угрозы для Android

Большая популярность мобильных устройств под управлением ОС Android привела к закономерному увеличению интереса злоумышленников к персональной информации, хранимой на таких устройствах. Наметившаяся в 2012 г. тенденция к увеличению числа вредоносных и потенциально опасных приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом 2013 г.

Так, в начале января был обнаружен очередной Android-троянец, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств. Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе троянца. Примечательно, что злоумышленники попытались разнообразить «каталог», предлагая к загрузке сразу несколько различных «приложений», однако во всех случаях это была одна и та же вредоносная программа. В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме: после запуска он уведомлял пользователя о выполнении предварительной настройки, однако через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троянец скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер. Полученные сведения в дальнейшем могут быть использованы злоумышленниками для организации новых спам-кампаний или для продажи на черном рынке.

Также в январе специалистами из компании «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Напомним, что коммерческие шпионские программы позволяют контролировать самые разнообразные функции мобильных устройств: отслеживать СМС-переписку, входящие и исходящие телефонные звонки, получать GPS-координаты пользователя и пр. Помимо легального применения, очень часто такое программное обеспечение может быть использовано без ведома владельца устройства, поэтому его конфиденциальная информация может подвергаться существенному риску. Большое число новых семейств коммерческих шпионских приложений, обнаруженных в январе, говорит о том, что на подобные услуги имеется достаточный спрос, и число таких программ в ближайшее время будет стабильно увеличиваться.

Другие угрозы января

В начале января 2013 г. специалистами из компании «Доктор Веб» была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троянец встраивается в процессы наиболее популярных браузеров (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant), после чего перехватывает обращения пользователей к сайтам различных поисковых систем (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, wiki.com, alexa.com или yandex.com) и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки. Подробнее об этой вредоносной программе можно прочитать в опубликованной на нашем сайте статье: [news.drweb.com/?i=3218&c=9&lng=ru&p=0].

Также в январе был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.Butirat — BackDoor.Butirat.245. Данный троянец способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов. Дополнительные сведения о данной угрозе можно получить в размещенном на сайте drweb.com новостном материале: [news.drweb.com/?i=3247&c=9&lng=ru&p=0].

Вредоносные файлы, обнаруженные в почтовом трафике в январе с 01.01.2013 (00.00) по 31.01.2013 (23.00).

1. JS.Redirector.162 – 1,11%.

2. Trojan.PWS.Stealer.1932 – 0,73%.

3. Win32.HLLM.MyDoom.54464 – 0,64%.

4. Trojan.Oficla.zip – 0,58%.

5. BackDoor.Andromeda.22 – 0,54%.

6. Trojan.PWS.Panda.547 – 0,47%.

7. Trojan.PWS.Panda.655 – 0,47%.

8. Win32.HLLM.MyDoom.33808 – 0,45%.

9. Trojan.Winlock.7048 – 0,45%.

10. Trojan.Packed.23728 – 0,41%.

11. Win32.HLLM.Beagle – 0,36%.

12. Trojan.Inject.64560 – 0,36%.

13. Win32.HLLM.Netsky.35328 – 0,26%.

14. VBS.Rmnet.2 – 0,26%.

15. Trojan.PWS.Stealer.715 – 0,26%.

16. Win32.HLLM.Graz – 0,26%.

17. Trojan.PWS.Panda.2401 – 0,26%.

18. BackDoor.Bebloh.21 – 0,24%.

19. Trojan.PWS.Panda.786 – 0,24%.

20. Win32.HLLM.Netsky.18401 – 0,24%.

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей с 01.01.2013 (00.00) по 31.01.2013 (23.00):

1. JS.IFrame.363 – 0,75%.

2. Tool.Unwanted.JS.SMSFraud.26 – 0,73%.

3. SCRIPT.Virus – 0,56%.

4. Adware.Downware.774 – 0,47%.

5. Tool.Unwanted.JS.SMSFraud.10 – 0,42%.

6. Adware.Downware.179 – 0,41%.

7. JS.IFrame.387 – 0,40%.

8. Tool.Unwanted.JS.SMSFraud.30 – 0,38%.

9. Adware.InstallCore.53 – 0,34%.

10. Trojan.Fraudster.394 – 0,34%.

11. Adware.Webalta.11 – 0,33%.

12. Tool.Skymonk.11 – 0,32%.

13. Trojan.SMSSend.2363 – 0,30%.

14. JS.Redirector.175 – 0,29%.

15. Trojan.Hosts.6613 – 0,28%.

16. Win32.HLLW.Shadow – 0,28%.

17. Win32.HLLW.Autoruner.59834 – 0,27%.

18. Adware.Downware.804 – 0,26%.

19. Trojan.Fraudster.245 – 0,25%.

20. JS.IFrame.356 – 0,25%.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

18 октября 2013 г

 • Fujifilm XQ1: компактная камера Х-серии
 • Обновление Kaspersky Security для SharePoint Server
 • Fujifilm X-E2: эволюция легендарной X-E1
 • UserGate Web Filter с глубоким анализом контента

17 октября 2013 г

 • Обрано оператора домену .УКР
 • Android-троянец скрывается от антивирусов, используя очередную уязвимость
 • Розетка, которая всегда под рукой
 • "Яндекс" выяснил, что украинцы ищут о свадьбе
 • Седьмая версия продуктов ESET NOD32 Antivirus и ESET Smart Security
 • МТС снижает стоимость мобильного Интернета в роуминге
 • Ультратонкий внешний накопитель ADATA Dash Drive Elite SE720
 • Объективы Sony с байонетом E для полнокадровой матрицы

16 октября 2013 г

 • Philips открывает путь к хирургии для Google Glass
 • Нові зміни в складі членів ІнАУ
 • Киевстар приглашает студентов на стажировку
 • «Лаборатория Касперского» совершенствует защиту для мобильных устройств
 • Autodesk приобретает технологии Graitec по проектированию конструкций

15 октября 2013 г

 • Mio Technology заключила договор с компанией «Навигатор»
 • Horizon – платформа браузерных расширений для операторов мобильной связи
 • В Харькове открылся крупнейший датацентр в Восточной Украине «Onehostpower»