Полугодовой обзор вирусной обстановки от «Доктор Веб»
В обзоре вирусной обстановки за первое полугодие 2009 г., специалисты компании «Доктор Веб», ведущие мониторинг вирусной активности, за прошедшие полгода отмечают сразу несколько важных тенденций.
Прежде всего к лету 2009 г. значительно снизились темпы вовлечения новых компьютеров в бот-сеть Shadow (Conficker, Downdup), и распространение Win32.HLLW.Shadow пошло на убыль.
Из других заметных бот-сетей следует обратить внимание на Virut, где для заражения компьютеров использовался сложный полиморфный вирус. Выделялась также бот-сеть Tdss: при заражении попадавших в нее компьютеров использовались руткит-технологии скрытия вредоносных программ в системе. Одной из последних по времени, но не по значению, проявила себя бот-сеть, формируемая за счет активности вирусного семейства буткитов BackDoor.MaosBoot. Стоит отметить, что это один из самых сложных для лечения руткитов.
Если раньше крупнейшие бот-сети состояли в основном из зараженных рабочих станций, то сейчас JS.Gumblar несколько изменил ситуацию. Дело в том, что из-за активности вредоносных объектов данного семейства была образована бот-сеть из более чем 60 тыс. зараженных Web-страниц. При этом количество их посетителей может исчисляться сотнями тысяч.
С начала 2009 г. наблюдается растущий интерес злоумышленников к платформе Mac OS X. Он начал проявляться с появлением троянца Mac.Iservice, который включал зараженные компьютеры в бот-сеть. К концу весны последовала еще одна волна распространения вредоносных программ для Mac: на сей раз это были троянцы семейства Mac.DnsChange, которые распространялись в виде ссылок на вредоносный видеоролик (в частности, как один из каналов использовался Twitter).
Продолжают пользоваться популярностью у злоумышленников зарубежные социальные сети. С конца мая в два раза увеличились темпы распространения вирусов семейства Win32.HLLW.Facebook.
Среди значительного потока вредоносных программ специалисты «Доктор Веб» особо выделяют вредоносное ПО в банкоматах и волну программ-вымогателей. В марте 2009 г. стало известно, что в банкоматах некоторых российских банков была обнаружена вредоносная программа Trojan.Skimer. Она имеет возможность сохранять информацию о балансе счета, связанного с банковской картой, если пользователь запрашивает ее через банкомат. Злоумышленники же впоследствии, изготовив поддельные карты, могут опустошать эти счета. В настоящее время уязвимость ПО банкоматов, которую использовал Trojan.Skimer, закрыта; известный производитель банкоматов разослал по банкам соответствующие инструкции для ее устранения.
Все более популярным становится SMS-мошенничество, суть которого в том, что пользователь вынужден отправлять платные SMS-сообщения злоумышленникам. Для достижения этой цели вирусописатели создают, например, программы-вымогатели, блокирующие доступ к Windows (Trojan.Winlock), порнобаннеры для браузеров Trojan.Blackmailer и т.д. Просьба отправить SMS может приходить и в ICQ, и в социальных сетях, и в почтовых спам-сообщениях. Относительная простота вывода денег, полученных таким путем, и безнаказанность арендаторов «коротких номеров», на которые отправляются сообщения, дает практически неограниченные возможности злоумышленникам.