Вирусные уловки апреля в отчете Dr.Web
По данным компании «Доктор Веб», в апреле злоумышленники сосредоточили внимание на новых схемах SMS-мошенничества. В зону их интересов теперь попали торрент-трекеры и файлообменники, которые они пытались заменить поддельными сайтами. В апреле также были обнаружены образцы нового вредоносного ПО для смартфонов.
Специалисты «Доктор Веб» выявили сеть поддельных торрент-трекеров и файлообменников, размещенных в различных странах мира, но предназначенных в основном для русскоязычных пользователей. Пользуясь популярностью подобных ресурсов и беспечностью многих интернет-пользователей, злоумышленники намеренно размещают на данных сайтах ссылки на музыкальные композиции, фильмы, книги и т.п.
При этом поддельные торрент-трекеры и файлообменники занимают первые места в ответах поисковых систем на запросы пользователей. По всей видимости, для этого злоумышленники проводят поисковую оптимизацию и другие предварительные работы.
Когда пользователь попадает на поддельный сайт и проходит по ссылке на якобы архив с нужной информацией, на самом деле скачивается исполняемый файл размером 16 Мбайт, который определяется антивирусными продуктами Dr.Web как Tool.SMSSend.2. При запуске файла пользователю предлагается отправить несколько платных SMS-сообщений для получения пароля доступа к загруженному архиву. На самом деле в таких вредоносных файлах не содержится ничего полезного.
В апреле также было зафиксировано широкое распространение программы Trojan.Fakealert.14886 (по классификации «Доктор Веб»), которая при заражении системы выводит сообщение о том, что на компьютере пользователя обнаружены нелегальные торрент-файлы и что это преследуется законом.
Распространяется Trojan.Fakealert.14886 под видом инсталлятора ПО. Если пользователь перезагрузил компьютер, не удалив данную программу штатными средствами, она, подобно троянцам семейства Trojan.Winlock, блокирует доступ в систему. Наибольшее распространение этой вредоносной программы было зафиксировано в Европе.
Лжеантивирусы продолжили массированное распространение по англоязычным странам. Появляются новые вариации уже известных ранее интерфейсов, а также свежие образцы дизайна лжеантивирусов. Схемы распространения троянцев семейства Trojan.Fakealert не изменились, в то время как количество их детектов сервером статистики Dr.Web снизилось и составило в апреле около 750 тыс. в сутки против примерно 1 млн в марте.
Темпы распространения блокировщиков Windows на территории России (Trojan.Winlock по классификации «Доктор Веб») в апреле также снижались и составили около 720 детектов в сутки (против около 1300 в сутки в марте). Однако количество новых разновидностей Trojan.Winlock в этом месяце по-прежнему росло.
В апреле было зафиксировано распространение вредоносной программы WinCE.Dialer.1, которая, будучи установлена на КПК под управлением ОС Windows Mobile, начинала самостоятельно звонить на платные телефонные номера, расположенные в различных странах. При этом, естественно, обнулялся счет владельца телефона.
Активная фаза деятельности троянца начинается через двое суток после успешного заражения системы. WinCE.Dialer.1 распространяется под видом игры для КПК.