Вирусные угрозы февраля в отчете Dr.Web

В феврале 2011 г. сохранили свою актуальность основные тенденции прошлых месяцев. Значительную долю вирусного трафика составляют блокировщики Windows и троянцы, предназначенные для кражи паролей к учетным записям систем дистанционного банковского обслуживания (последние работают в тандеме с фальшивыми антивирусами).

В феврале появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы — программы для шифрования и «запутывания» готовых исполняемых файлов.

Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, появляются все более изощренные и неожиданные варианты, например, технологическое решение с блокировкой ОС из загрузочной записи.

У другой разновидности ransomware (программ-вымогателей), шифровальщиков, в феврале количественные показатели в целом остались на прежнем уровне. Можно отметить, что автор Trojan.Encoder несколько раз менял алгоритм шифрования.

В десятке лидеров оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных троянцу Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле троянца зашит внушительный список URL систем дистанционного банковского обслуживания: русских, итальянских, американских, немецких.

Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. Дополнительно троянцы имеют функции загрузчика и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).

В сравнении с январем значительно выросло количество троянцев для платформы Android. Android.SmsSend написаны на Java, их единственной функцией является отправка платных СМС-сообщений на короткие номера, например 6008. В январе был обнаружен один образец такого вредоносного ПО, в феврале — уже шесть, что позволяет говорить о тенденции.

Среди прочих угроз можно отметить новые модификации Win32.Virut и традиционно высокие показатели трафика различных модификаций почтовых червей Win32.HLLM.NetSky и Win32.HLLM.MyDoom. Разработчики ботнета Trojan.WinSpy в течение февраля дважды обновляли компоненты своих ботов. В основном это коснулось алгоритмов шифрования и структуры файла sfcfiles.dll. Отмечен спад активности червей, распространяющихся через сменные носители (Win32.HLLW.Autorunner).