Обзор вирусной активности: рекламные троянцы и другие события августа 2014 года

Последний летний месяц 2014 года ознаменовался не только деятельностью троянцев-шифровальщиков, количество которых по-прежнему очень велико, но и распространением многочисленных вредоносных программ, с помощью которых злоумышленники извлекают прибыль путем демонстрации пользователям назойливой и иногда мошеннической рекламы.

Также в конце лета оживились китайские вирусописатели, решившие переориентировать на платформу Windows ряд вредоносных программ, изначально рассчитанных на заражение Linux. Помимо этого, в августе были обнаружены новые угрозы, нацеленные на мобильную платформу Google Android.

Статистика, собранная в течение августа с использованием лечащей утилиты Dr.Web CureIt!, свидетельствует о том, что за минувший месяц ситуация с распространением вредоносного ПО ничуть не изменилась: первые строчки рейтинга по-прежнему занимают плагины для браузеров, созданные злоумышленниками с целью демонстрации пользователям навязчивой рекламы. В числе таковых по-прежнему лидируют троянцы Trojan.BPlug.123, Trojan.BPlug.100, Trojan.BPlug.48, а также установщик рекламных приложений Trojan.Packed.24524.

В почтовом трафике в течение прошедшего месяца, как и в июле, наиболее часто встречалась программа Trojan.Redirect.197, перенаправляющая жертву на различные вредоносные сайты. Распространявшийся с использованием массовых рассылок троянец-загрузчик BackDoor.Tishop.122 переместился на второе место, при этом число его обнаружений сократилось за месяц с 1,6% до 1,15%.

Троянские программы, демонстрирующие в окнах браузеров всплывающие окна с назойливой рекламой или встраивающие ее в просматриваемые пользователям веб-страницы, получили в последнее время чрезвычайно широкое распространение наравне с энкодерами, шифрующими хранящиеся на дисках компьютеров пользовательские файлы. Именно рекламные троянцы на протяжении вот уже нескольких месяцев являются безусловными лидерами в статистике обнаруженных Антивирусом Dr.Web угроз.

Основной источник распространения троянцев данного типа — это различные партнерские программы, ориентированные на монетизацию файлового трафика. Рекламные троянцы могут скрытно устанавливаться вместе с другим программным обеспечением, а нередко и вовсе маскируются под полезные приложения, помимо основных заявленных разработчиками функций реализуя и свой вредоносный потенциал. Также злоумышленники не гнушаются использовать откровенно мошеннические способы распространения таких вредоносных программ: например, для этого создаются фальшивые сайты файлового обмена и торрент-трекеры, куда потенциальных жертв завлекают со страниц поддельных форумов или ресурсов из категории «вопрос-ответ», оптимизированных под определенные поисковые запросы.

Подобные вредоносные программы можно условно разделить на два типа: первые, подобные представителям семейства Trojan.BPlug, а также троянцам Trojan.Admess, Trojan.Triosir и Trojan.Zadved реализованы в виде надстроек к популярным браузерам, подменяющих рекламные модули на различных веб-сайтах или демонстрирующих всплывающие окна с баннерами, при этом пользователь зачастую даже не подозревает о том, что его компьютер инфицирован.

Рекламные троянцы, относящиеся к другой категории, встречаются значительно реже и действуют автономно, как обычная вредоносная программа. Для подмены содержимого веб-страниц они используют так называемую технологию веб-инжектов, которой активно пользуются, например, банковские троянцы: после загрузки веб-страницы с удаленного сервера вредоносная программа модифицирует ее содержимое, встраивая в нее полученный от управляющего центра код на языке HTML или JavaScript, и только после этого передает полученный результат браузеру.

Также в начале августа был обнаружен троянец-кликер, предназначенный для накрутки посещаемости веб-сайтов или количества щелчков мышью по различным рекламным баннерам. Троянец распространялся в рамках партнерской программы Installmonster, специализирующейся на раздаче доверчивым пользователям различных вредоносных программ, в частности — рекламных троянцев. Описанию этой угрозы была посвящена выпущенная компанией «Доктор Веб» новостная статья.

Не дремлют и китайские вирусописатели, отметившиеся в первой половине лета распространением огромного количества троянцев для Linux, созданных с целью организации массированных DDoS-атак. На сей раз они решили модифицировать свои вредоносные поделки таким образом, чтобы те могли работать и на компьютерах под управлением операционных систем семейства Microsoft Windows. Подробнее об этом можно прочитать в размещенной на нашем сайте статье.

Помимо этого ожидается всплеск заражений Android-устройств, связанный с тем, что в середине августа в открытый доступ попал исходный код троянца Android.Dendroid.1.origin, способного похищать конфиденциальную информацию, без ведома пользователя звонить на определенные номера и открывать сайты, а также выполняющего другие вредоносные функции.