Новые угрозы и вредоносное ПО в ноябре

--> Дата: Дек 15, 2010 79

Согласно последнему отчету компаиии Dr. Web, в ноябре наблюдалось повышение изобретательности интернет-мошенников: антивирусные компании и пользователи столкнулись с новыми методами, которые используют технологии буткитов. Появились новые варианты троянцев-шифровальщиков, на этот раз ориентированные на европейских пользователей. Злоумышленники также продолжают атаковать системы дистанционного банковского обслуживания клиентов банков.

В ноябре получила распространение вредоносная программа Trojan.MBRlock.1, которая по своему функционалу существенно отличается от всех известных до этого мошеннических вредоносных программ. При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы 100 долл.

В сообщении в числе прочего говорится о том, что содержимое всех дисков компьютера якобы зашифровано. Это не соответствует действительности. В любом случае после факта заражения лечение из самой системы становится невозможным, так как она даже не начинает загружаться. При вводе верного пароля восстанавливается исходное состояние агрузочной области диска, и загрузка ОС происходит в обычном режиме. Для лечения системы необходимо ввести известные коды разблокировки: ekol или jail.

В прошедшем месяце вновь напомнили о себе троянцы-шифровальщики. На этот раз их авторы нацелились на европейских пользователей. Trojan.Encoder.88 шифрует пользовательские документы многих популярных форматов по алгоритму AES-256, что существенно затрудняет расшифровку.

В ноябре в бесплатную техническую поддержку Dr. Web для пользователей — жертв интернет-мошенничества поступило около 4700 запросов, что составило около 42% всех обращений. Среднесуточное количество обращений составило 146, что приблизительно на треть превышает аналогичный показатель в октябре. Основным типом мошеннических программ в ноябре снова стало семейство Trojan.Winlock (73% обращений). Также заметным было количество обращений по троянцам семейства Trojan.Hosts, блокирующим доступ к популярным интернет-ресурсам.

В схемах монетизации незаконных доходов интернет-мошенников также происходят изменения. Доля вредоносных программ, требующих от пользователей отправить СМС-сообщения, продолжает снижаться, а в ноябре количество обращений по подобным программам составило 31% всех запросов.

С другой стороны, злоумышленников все больше привлекает схема передачи денег от пострадавших пользователей путем отправки наличных денег через терминалы на счета мобильных телефонов (60% всех обращений). При этом если ранее злоумышленники использовали мобильные номера, принадлежащие только одному популярному российскому сотовому оператору, то в течение ноября на постоянной основе стали использоваться номера телефонов, относящиеся к другому, также российскому сотовому оператору (49% и 11% всех обращений соответственно).

В ноябре продолжали появляться новые троянцы, нацеленные на пользователей систем дистанционного банковского обслуживания (ДБО). По-прежнему под прицелом находятся как частные клиенты, так и юридические лица.

В частности, в течение ноября в вирусную базу антивируса Dr.Web были добавлены несколько модификаций Trojan.PWS.Ibank.213. Данный троянец является своеобразным контейнером для различного вредоносного наполнения. В качестве основного вредоносного функционала он умеет отключать компоненты защитного ПО, имеет возможность обнаруживать факт запуска в виртуальных средах, которые могут помочь изучить функционал программы, а также может отключать системный механизм создания точек восстановления.

Для сбора информации, необходимой для доступа к аккаунтам систем ДБО, троянец перехватывает некоторые системные функции и функции систем ДБО, сохраняет информацию, вводимую пользователем с клавиатуры. Тот факт, что Trojan.PWS.Ibank.213 имеет возможность связываться с сервером, расположенным в Интернете, а после этого загружать и запускать исполняемые файлы, говорит о том, что зараженные данной программой компьютеры являются частью бот-сети. Ноябрь 2010 г. показал, что различные цели злоумышленников и различные типы вредоносных программ, которые они используют в своей незаконной деятельности, могут использоваться в самых причудливых комбинациях. И по-прежнему слабым звеном в защите системы и информации, расположенной на дисках, является сам пользователь компьютера.