Методы обнаружения вирусов

1 августа 2012 года

В июле 2012 года повысилось число заражений пользовательских компьютеров троянцами-блокировщиками, одновременно было отмечено значительное снижение спам-трафика в результате прекращения деятельности одного из крупнейших ботнетов BackDoor.Blackenergy. В конце месяца специалистами компании «Доктор Веб» был обнаружен кросс-платформенный троянец BackDoor.DaVinci.1, способный работать как в ОС Microsoft Windows, так и в Mac OS X. Примечательно, что эта вредоносная программа использует руткит-технологии для скрытия своих процессов и файлов в Mac OS X, что само по себе можно назвать уникальным явлением.

Вирусная обстановка

По данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой, встречающейся на компьютерах пользователей в июле, как и прежде, является Trojan.Mayachok.1. По сравнению с предыдущим месяцем число детектов этого троянца выросло на 18,5%. Напомним, что основное предназначение данной вредоносной программы — блокирование на инфицированном компьютере доступа к некоторым сайтам с целью вынудить пользователя оформить услугу подписки с использованием мобильного телефона. По всей видимости, данная схема монетизации приносит злоумышленникам хороший доход, поскольку популярность этого троянца среди распространителей вредоносного ПО не снижается.

На втором месте по количеству обнаружений располагаются троянские программы семейства Trojan.SMSSend — их процент в сводной статистике также заметно вырос. А вот число детектов банковских троянцев Trojan.Carberp различных версий, наоборот, снизилось на 36%. По-прежнему велико число обнаруживаемых на компьютерах пользователей программ-загрузчиков и вредоносных приложений семейства Trojan.Hosts. В представленной ниже таблице демонстрируется список угроз, наиболее часто выявляемых лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в июле 2012 года.

# Имя угрозы Класс угрозы Кол-во обнаружений %%
1 Trojan.Mayachok.1 Virus 69869 7,52%
2 Trojan.SMSSend.2905 Virus 7808 0,84%
3 Trojan.Fraudster.292 Virus 6017 0,65%
4 Trojan.Hosts.5940 Virus 4883 0,53%
5 Trojan.Carberp.30 Virus 4721 0,51%
6 BackDoor.Butirat.91 Virus 4048 0,44%
7 Trojan.SMSSend.2363 Virus 3235 0,35%
8 Win32.HLLW.Gavir.ini Virus 3148 0,34%
9 BackDoor.Ddoser.131 Virus 3076 0,33%
10 BackDoor.Butirat.60 Virus 2812 0,30%

После наблюдавшегося в конце июня — начале июля снижения числа запросов от пользователей, пострадавших от действия троянцев-блокировщиков, во второй половине июля наметился некоторый рост случаев заражения винлоками. На графике ниже представлена динамика изменения числа подобных запросов в службу технической поддержки компании «Доктор Веб» за истекший месяц.

img

Вредоносный спам

В связи с прекращением деятельности одного из крупнейших ботнетов, ориентированных на рассылку спама — BackDoor.Blackenergy, объем спам-трафика в июле действительно сократился. Среди угроз, выявленных антивирусным программным обеспечением Dr.Web в почтовых сообщениях, лидирует BackDoor.Andromeda.22, на втором месте в данном списке следует Trojan.Necurs.21, на третьем — Trojan.Oficla.zip. Довольно часто в почтовом трафике встречаются троянцы-загрузчики, а также вредоносные программы семейств Trojan.Winlock (примерно 0,7% от объема всего вредоносного почтового трафика). Следует отметить, что по качественному составу угроз картина за последний месяц не слишком изменилась: число выявленных экземпляров троянца BackDoor.Andromeda.22 несколько возросло, в то время как распространение почтового червя семейства Win32.HLLM.MyDoom — наоборот, пошло на спад. Кроме того, в июле из статистики по почтовым серверам практически исчезли троянцы семейства Trojan.AVKill, которые еще месяц назад распространялись очень активно.

Ботнеты

Численность крупнейшей бот-сети BackDoor.Flashback.39, поразившей в апреле 2012 года более 800 000 компьютеров, работающих под управлением Mac OS X, продолжает уверенно сокращаться. Если на начало июля в этой сети активно действовало (по уточненным данным) порядка 200 000 ботов, то к концу месяца общее количество инфицированных «маков» снизилось до 148 492. Тем не менее, несмотря на выпуск обновлений операционной системы, антивирусных программ для Mac OS X и множества различных утилит для удаления BackDoor.Flashback.39, разработанных различными компаниями, в бот-сети все еще появляются вновь инфицированные «маки», правда, их количество в настоящий момент не превышает 3–4 компьютеров в сутки. Динамика изменения численности ботнета BackDoor.Flashback.39 в июле 2012 года продемонстрирована на представленном ниже графике:

img

Вместе с тем продолжается рост бот-сети Win32.Rmnet.12, в июне 2012 года преодолевшей отметку в три миллиона инфицированных компьютеров, о чем мы сообщали в одном из опубликованных ранее информационных материалов. За минувший с этого момента месяц численность ботнета Win32.Rmnet.12 выросла еще на 481 779 инфицированных машин, и общее количество зараженных узлов составило 3 773 969. Напомним, что Win32.Rmnet.12 — это файловый вирус, обладающий способностью к самораспространению. Его основное функциональное назначение — выполнение веб-инжектов, то есть он способен встраивать в просматриваемые пользователем веб-страницы посторонний код. Кроме того, Win32.Rmnet.12 осуществляет перенаправления пользователей на фишинговые сайты, ворует файлы cookies, способен красть пароли от FTP-клиентов Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Помимо этого, Win32.Rmnet.12 обладает функционалом бэкдора и может выполнять различные команды, в том числе на удаление ОС. График изменения численности бот-сети Win32.Rmnet.12 в июле 2012 года показан ниже:

img

Схожая ситуация наблюдается в отношении бот-сети Win32.Rmnet.16 — ее численность также растет, правда, не столь быстрыми темпами: за минувший месяц количество инфицированных этим вирусом компьютеров увеличилось примерно на 50 000 и составило 154 818. График изменения численности данного ботнета показан на представленном ниже графике.

img

В целом рост бот-сети происходит неравномерно, ежесуточно к ней подключается от 650 до 2500 зараженных машин.

В начале месяца компания «Доктор Веб» сообщила также о росте узкопрофильной бот-сети BackDoor.Dande, ориентированной на рынок фармацевтических компаний. Троянец BackDoor.Dande предназначен для кражи информации из клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Исходя из того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов, можно предположить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых насчитывалось 2857, причем 2788 (98,5%) из них расположено на территории России, остальные располагаются в других государствах.

По данным на конец июля, численность этого ботнета практически не изменилась: динамика прироста этой сети в настоящее время колеблется в районе нулевой отметки.

Угроза месяца: BackDoor.DaVinci.1

23 июля в антивирусную лабораторию компании «Доктор Веб» поступил образец вредоносной программы, оказавшейся весьма интересным и многофункциональным бэкдором, включающим большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для скрытия работы приложения в операционной системе.

Распространение BackDoor.DaVinci.1 осуществляется с использованием JAR-файла AdobeFlashPlayer.jar, подписанного недействительным цифровым сертификатом.

img

Этот файл выполняет проверку типа операционной системы, после чего сохраняет и запускает на компьютере жертвы зараженное приложение — в настоящее время в распоряжении аналитиков компании «Доктор Веб» имеются образцы бэкдора для ОС Windows и платформы Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ.

img

Вредоносная программа имеет модульную архитектуру: помимо основного компонента, выполняющего функции бэкдора, в состав BackDoor.DaVinci.1 входит зашифрованный конфигурационный файл и несколько дополнительных модулей, в частности, драйверы, реализующие руткит-технологию. Благодаря этим драйверам вредоносное приложение способно скрывать свое присутствие в операционной системе. Конфигурационный файл одинаков для всех реализаций троянца и предназначен для настройки модулей.

img

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных файерволов, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то обстоятельство, что впервые в данной платформе используются руткит-технологии для скрытия файлов и процессов вредоносной программы.

Угрозы для Android

В течение месяца специалистами компании «Доктор Веб» было зафиксировано появление целого ряда новых вредоносных программ для мобильной платформы Android. Так, в первой половине июля специалистами компании «Доктор Веб» было выявлено несколько вредоносных приложений, распространявшихся с официального сайта Google Play. Согласно общедоступной статистике, эти программы были загружены пользователями мобильных устройств более 18 тысяч раз.

Примечательной вредоносной программой для мобильной платформы Android, добавленной в вирусные базы в июле, стал троянец Android.MMarketPay.origin. Главная цель этой вредоносной программы — бесконтрольное приобретение платных приложений в электронном магазине оператора China Mobile. Троянец выполняет все действия автоматически, перехватывая необходимые проверочные коды и подтверждая совершение покупок. Android.MMarketPay.origin распространяется в модифицированных злоумышленниками Android-программах, которые доступны для загрузки на различных китайских форумах и в каталогах приложений.

Также в базы было добавлено потенциально опасное приложение Find and Call (Program.Fidall.origin.1), распространявшееся с официального сайта Google Play (существует также реализация данной вредоносной программы для iOS (IPhoneOS.Fidall.1), которую пользователи могли загрузить с Apple Store).

Find and Call позиционируется разработчиками как эффективное средство для общения. После запуска программа предлагает пройти авторизацию, для чего пользователю необходимо ввести адрес электронной почты. Если владелец мобильного устройства соглашался это сделать, Find and Call собирает информацию о контактах из телефонной книги и загружает ее на удаленный сервер. По полученным контактам сервер осуществляет рассылку сообщений с предложением установить себе версию приложения, причем в качестве отправителя значится тот же пользователь, который изначально выполнил установку.

В последних числах месяца было зафиксировано появление троянца Android.MailSteal.1, предназначенного для кражи адресов электронной почты, находящихся в книге контактов мобильного устройства. Несмотря на то, что целью злоумышленников главным образом являются японские пользователи, нельзя исключать возможности появления в будущем подобных схем и для других стран.

Помимо этого, в июле в вирусные базы были добавлены сигнатуры нескольких новых модификаций троянцев семейства Android.Gongfu и Android.SmsSend.

Прочие угрозы июля

В начале месяца компания «Доктор Веб» опубликовала новость о распространении вредоносной программы для Mac OS X. Троянец BackDoor.Macontrol.2 обладает функционалом бэкдора и способен выполнять различные команды, поступающие от принадлежащего злоумышленникам удаленного сервера.

Обширная категория банковских троянцев пополнилась новым представителем в лице вредоносной программы BackDoor.Bebloh.17. Данное приложение распространяется в виде вложения в сообщения массовых почтовых рассылок, отправляемых в том числе якобы от имени компании DHL, и представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков. Подробнее об этой угрозе можно узнать из опубликованного компанией «Доктор Веб» материала.

В конце месяца была зафиксирована массовая спам-рассылка в социальной сети Twitter. Сообщения были написаны на русском языке и включали в себя ссылку, ведущую в зависимости от используемого браузера либо на мошеннический сайт, либо на ресурс, с которого выполняется загрузка вредоносных программ для мобильных устройств.

Помимо этого, во второй половине июля было зафиксировано распространение троянца-загрузчика Trojan.Yaryar.1, обладающего обширным функционалом по выявлению средств отладки и анализа, и, кроме того, умеющего напрямую работать со структурами файловой системы NTFS, что можно назвать нечастым явлением для вредоносных программ такого типа.

Вредоносные файлы, обнаруженные в почтовом трафике в июле

 01.07.2012 00:00 - 31.07.2012 18:00 
1BackDoor.Andromeda.221.52%
2Trojan.Oficla.zip1.35%
3Trojan.Necurs.211.32%
4Win32.HLLW.Siggen.29841.29%
5Win32.HLLW.Siggen.39561.16%
6Trojan.DownLoader6.290481.02%
7Trojan.DownLoader6.287611.02%
8Trojan.DownLoader6.258390.99%
9Exploit.CVE2010-3333.40.96%
10Trojan.Swizzor.177740.92%
11Trojan.DownLoader6.288400.86%
12Trojan.Packed.25030.79%
13Win32.HLLW.Siggen.36160.73%
14Trojan.KillProc.173450.56%
15Win32.HLLM.MyDoom.338080.56%
16Win32.HLLM.MyDoom.544640.56%
17Trojan.Winlock.64260.46%
18SCRIPT.Virus0.40%
19Win32.HLLM.Netsky.353280.36%
20Trojan.Fakealert.327470.36%

Вредоносные файлы, обнаруженные в июле на компьютерах пользователей

 01.07.2012 00:00 - 31.07.2012 18:00 
1SCRIPT.Virus0.47%
2Trojan.Fraudster.2920.40%
3Adware.Downware.1790.39%
4Trojan.Mayachok.10.38%
5Trojan.Fraudster.2560.38%
6Trojan.SMSSend.29250.37%
7Tool.Unwanted.JS.SMSFraud.100.34%
8Trojan.Fraudster.2960.33%
9Trojan.Fraudster.2610.32%
10Win32.HLLW.Shadow0.30%
11Tool.Unwanted.JS.SMSFraud.150.30%
12Win32.HLLW.Autoruner.598340.28%
13Adware.Downware.3530.27%
14Trojan.SMSSend.29050.26%
15Tool.InstallToolbar.880.26%
16Adware.Downware.3160.26%
17Adware.Downware.3420.26%
18Adware.Bandoo.10.26%
19Trojan.SMSSend.27260.25%
20Trojan.Fraudster.2520.24%
НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web