Эпидемия Trojan.Winlock и ее реальный масштаб

[Umnik 997]

На западе он не распространен, так как это исключительно русскоязычное поделие.

Не имеет значения, т.к. Симантек в России представлен и не самый последний здесь. Так что наверняка у них статистика есть.

[Danilka 678]

Umnik

Тогда ждем, что скажут их представители.

Андрей-001

Название Packed.Win32.Krap. Вам ни о чем не говорит? Дело не в рансомах. Дело откуда они появляются. Это я так, обобщенно.

[Андрей-001 1099]

Дело не в рансомах. Дело откуда они появляются.

Это понятно,

Но Win32.HLLW.Autohit.3438 (Dr.Web) - это всё-таки Worm.Win32.AutoIt.jp (ЛК) и это W32.Harakit (Symantec).

[Valery Ledovskoy 1082]

Его версия Packed.Win32.Krap.w

Угу, есть такое дело. Только так (именно так, Packed.Win32.Krap.w) у ЛК детектятся не только блокировщики Windows, но и многие другие вредоносные программы, которые детектятся по пакеру. Например, многочисленные модификации Trojan.PWS.Panda.хххх по нашей терминологии. Поэтому статистики по блокировщикам общей мы не добьёмся. Её просто невозможно (или очень сложно) получить. Получить бы хотя бы сумму детектов, которые Ransom (сумму детектов по всем модификациям). Этого было бы достаточно, чтобы увидеть порядок. Хотя я не знаю, какой процент блокировщиков детектится как Packed.Win32.Krap.

У нас тоже некоторые Trojan.Winlock детектятся по пакеру (Trojan.Packed), некоторые как Trojan.MulDrop. Насколько их меньше, чем Trojan.Winlock, думаю вряд ли кому известно. Оценка масштабов эпидемии делалась только по детекту Trojan.Winlock.

А ведь есть ещё браузерные варианты (Trojan.Browseban + Trojan.Blackmailer). Тоже очень близко к блокировщикам, и сейчас распространяются... достаточно широко.

Количество детектов. Ноябрь: 8,707. Декабрь. 70,432. Январь. 178,157. Причём эти штуки обычно детектятся единожды на каждом компьютере.

Удаляются проще, но люди всё равно ведутся многие.

Я не могу сказать ничего про него, не сталкивался, но Dr.Web его детектит как Win32.HLLW.Autohit.343

Это просто ЛК одним названием детекта по пакеру ловит всё подряд. Возможно, это и не плохо, но не только Win32.HLLW.Autohit.343 соответствует Packed.Win32.Krap.w.

А Казахстан? Мне знакомые из Астаны тоже жаловались. smile.gif

Среди пострадавших есть многие русскоязычные пользователи из разных стран. Вот заплатить могут SMS-кой не все. В частности, казахские пользователи часто не могут, потому что короткие номера, указанные в блокировщике, могут не работать в Казахстане. И основное количество пострадавших - именно Россия и Украина. В других странах меньше. По крайней мере, сейчас меньше. Для англоязычных пользователей (я уже говорил на АМ по этому поводу) почему-то чаще применяется вариант с лже-антивирусом (Trojan.Fakealert) с оплатой через банковскую карточку.

[Valery Ledovskoy 1082]

Кстати, статистика по детектам Trojan.Fakealert - вообще срыв башки. Не знаю даже, писать ли По сравнению с ней эпидемия Trojan.Winlock - это действительно достаточно локальная штука. Правда, про Trojan.Fakealert англоязычные источники давно писали, что там бешеные доходы злоумышленников. Но это было давно (с год назад), когда писали про десятки миллионов евро в месяц. По тому, что видно сейчас, там доход идёт гораздо больше в настоящее время. И противодействовать сложнее, чем SMS-вымогателям. Ибо, видимо, только блокирование банковских счетов злоумышленников может помочь... Возможно, поэтому карточки и используют.

[Андрей-001 1099]

Trojan.Fakealert - вообще срыв башки. Не знаю даже, публиковать ли

Да. Для держании головы есть не только шея, но ещё и руки.

[Winny 10]

Winny

Оставьте эти ссылки для себя- это все не показатель.

Абсолютно согласен.

Можно писать что угодно и где угодно- но это не отражает реальное положение дел.

И здесь с Вами полностью согласен - можете отрицать эпидемию как угодно и где угодно, но это не отражает реальное положение дел.

[Valery Ledovskoy 1082]

Trojan.Fakealert

Апрель-2008: 2,136

И первую половину 2008г. так и держалось примерно.

Август-2008: 46,614

И так вот, по нескольку десятков тысяч до августа-2009, с несколькими провалами до нескольких тысяч.

Июль-2009: 67,534

Август-2009: 27,435

Сентябрь: 10,477,945

Октябрь: 30,064,625

Ноябрь: 26,853,179

Декабрь: 24,534,159

Январь-2010: 28,359,421

За февраль уже: 4,869,489

Впечатляет, да?

Кстати, в октябрьском обзоре (http://news.drweb.com/show/?i=669&c=5) мы писали буквально следующее:

Достаточно взглянуть на двадцатку самых распространённых вредоносных программ октября - около половины составляют различные модификации Trojan.Fakealert. Это указывает на то, что лжеантивирусы стали основным источником дохода вирусописателей.

В течение первых двух недель октября количество детектов лжеантивирусов согласно серверу статистики компании "Доктор Веб" держалось на уровне более 2,5 млн. в сутки. К настоящему времени количество детектов упало до 1 млн. в сутки, но и эта цифра выглядит внушительно.

И ситуация никуда не делась, просто нам роднее, конечно, Trojan.Winlock, нежели англоязычный Trojan.Fakealert. И почему-то тогда никто не стал говорить, что эпидемии нет, или что кто-то кого-то пугает

[Danilka 678]

Valery Ledovskoy

Статистика по Fakealert - это только заграничные пользователи Dr.Web или общая?

[Valery Ledovskoy 1082]

Статистика по Fakealert - это только заграничные пользователи Dr.Web или общая?

Общая.

[Danilka 678]

Valery Ledovskoy

А источник можно? Просто лично для себя хочу понять- каким образом она собирается.

P.S. Про Fakealert согласен- деньги гребут немалые на этом.

[Winny 10]

И ситуация никуда не делась, просто нам роднее, конечно, Trojan.Winlock, нежели англоязычный Trojan.Fakealert. И почему-то тогда никто не стал говорить, что эпидемии нет, или что кто-то кого-то пугает

Дык ведь всё просто:

Если на эпидемию первым отреагировал DrWeb и ещё умудрился на этом пропиариться - эпидемии нет.

А вот, если бы первым тревогу бы подняла ЛК и пропиарилась на этом, то эпидемия бы была.

[Danilka 678]

Winny

Вы сюда че пришли? Потроллить? Идите в другое место. Ваше писанина нам тут не интересна....

[Valery Ledovskoy 1082]

Вы сюда че пришли? Потроллить? Идите в другое место. Ваше писанина нам тут не интересна....

Человек пишет простыми словами, что и я. Подтверждает их своим практическим опытом. Да, это несколько раздражает. Меня тоже несколько раздражают некоторые оппоненты. Я с этим мирюсь

А источник можно? Просто лично для себя хочу понять- каким образом она собирается.

ES и AV-Desk-сервера, которые отправляют информацию на наш сервер статистики. Та статистика, что я привёл, недоступна снаружи. И я не думаю, что будет доступна.

Но она такая, можете поверить. Смысла что-то скрывать особо не вижу, ибо А. или sww, или alexgr будут раздражаться сильнее Вас

[VladiKPSS 0]

Складывается ощущение, что в очередной раз пиарщики дрВеба отработали на 200% - никто угрозу не видел в глаза, в смысле, о нескольких миллионах ПК говорить не готов, но все сообщество кивает, указывая на адскую опасность зловреда. Товарищи дорогие, а где замечательная родовая сигнатура для вирья, известного более 3 лет? Где забота о юзере, которая выражается в оперативности информирования его дорогого в том числе? Или снова говнопиар рулит?

Люд ! Новый свинной грип грядет ! Передается контактным путём через комп !

[Valery Ledovskoy 1082]

Люд ! Новый свинной грип грядет ! Передается контактным путём через комп ! blink.gif

Сразу в бан за оффтопик с первого сообщения?

[VladiKPSS 0]

Сразу в бан за оффтопик с первого сообщения?

Но ведь svh прав , а доля юмора думаю не повредит никому

[Valery Ledovskoy 1082]

Но ведь svh прав , а доля юмора думаю не повредит никому smile.gif

Это Ваше частное мнение. Я вот и многие другие участники с этим не согласны. И пытаемся аргументировать своё мнение. Может быть, и Вы попытаетесь аргументировать не только красивой яркой анимацией?

[Winny 10]

Winny

Вы сюда че пришли? Потроллить? Идите в другое место. Ваше писанина нам тут не интересна....

Знаете, мне Ваша писанина тоже неинтересна, ибо Ваша тенденциозность и зашоренность вызывают у меня отторжение.

Я ежедневно сталкиваюсь с этой эпидемией, я её вижу по обращениям клиентов.

А Вы мне тут приводите какие-то теоретические рассуждения и собственные измышления...

Знаете, Вы не Кашпировский или Чумак, а я достаточно устойчив психологически.

Можете сотню раз повторять, что эпидемии нет, мне это неинтересно - я верю своим глазам, а не Вашим заклинаниям.

[VladiKPSS 0]

Это Ваше частное мнение. Я вот и многие другие участники с этим не согласны. И пытаемся аргументировать своё мнение. Может быть, и Вы попытаетесь аргументировать не только красивой яркой анимацией?

Насчет анимации это уже переход на личности . А обоснования.. ведь не в первый раз в нете предупреждения от солидных компаний происходят чуть ли не раньше чем сама укроза превращается в пандемию .

[A. 875]

Декабрь: 24,534,159

Январь-2010: 28,359,421

За февраль уже: 4,869,489

Впечатляет, да?

Кстати, в октябрьском обзоре (http://news.drweb.com/show/?i=669&c=5) мы писали буквально следующее:

И ситуация никуда не делась, просто нам роднее, конечно, Trojan.Winlock, нежели англоязычный Trojan.Fakealert. И почему-то тогда никто не стал говорить, что эпидемии нет, или что кто-то кого-то пугает

Да, Валера, да !! Вот это именно то, о чем я говорю вам тут который день -

- есть гораздо-гораздо более крупные и опасные эпидемии, на порядки круче вашего винлока.

Я спрашиваю вас - ГДЕ ? Где пресс-релизы и десятки новостей на тему FakeAlert ? Одна строчка в отчете - это " никто не стал говорить, что эпидемии нет" ?

И вы даже про них знаете, НО ! Но предпочитаете заниматься гавнопиаром про "обнаружен поддельный сайт ВКонтакте", "ВКонтакте - порносайт", "Атака на пользователей Вебмани" и прочей галиматьей, от которой уже отказалась даже Панда - тоже в прошлом любитель "обнаружить ужасного троянца Пинч". Вы устраиваете истерические кампании про миллионы винлоков - не потому что это "главная проблема и эпидемия" - а только потому, что вам надо как-то показать видимость своей работы для свежеокученного опсоса и потроллить остальных - вдруг тоже поведутся ?!

Просто нам роднее, конечно, Trojan.Winlock ...

Конечно, вы вправе. Только не надо называть это ВСЕ антивирусной аналитикой и исследованиями - у вас просто нет адекватной статистики, а та что есть - кривая, косая и ни о чем. Вы хоть иногда включайте голову, когда начинаете на нее ссылаться - у вас же там сплошные Майдумы и Нетскаи.

Какие Майдумы, Валерий ? 2010 год на дворе !

И про вашу "борьбу и помощь"... Думаю, что вы не в курсе (т.к. обо всем узнаете из новостей), той операции, которую провело ЛК в ноябре-декабре против смс-лохотронов. Да, мы не писали новости и победные пресс-релизы на эту тему - но если вы спросите любого владельца любой гавно-партнерки - кто порушил им весь бизнес в эти месяцы и убил до 70% трафика - вы услышите правду.

И в ней не будет слова "DrWeb".

[VladiKPSS 0]

Кстати информация на : http://www.gsmforum.ru/showthread.php?t=59500

Проверьте у кого сидит этот вирус. У меня на работе стоит windows xp sp2 от Питерпена. Когда появляется окно отправки СМС и все стоит уже, надо нажать ctrl+alt+del появляется System Internals (продвинутый диспетчер задач). Надо выделит CTFMON.EXE ну тот что с ключиком,и нажать Del на вопрос уничножить ли процесс отвечаем ДА, потом в вкладке ФАЙЛ жмем на выполнить, пишем C:// и потом увидим что активна кнопка ОБЗОР, жмем эту кнопку,открывается окно,уже с помощью мышки, в диске С:/ или где у вас Windows (так наверное)в Документс и сеттингс находим User или папку пользователя которым вошли, потом папка Главное меню (наверное), потом программы, потом стандартные, потом жмем Проводник. Закрывается диалоговое окно. А в диалоговом окне "Выполнить" жмем ОК. ВСЕ. Действует до Перезагрузки. Если к вас не Питерпен то наверное диспетчер задач появится полюбому. Читайте дальше там как удалить этот вирус.. Потом редактор реестра и

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;

– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;

По моему стоит внимания

[Valery Ledovskoy 1082]

А обоснования.. ведь не в первый раз в нете предупреждения от солидных компаний происходят чуть ли не раньше чем сама укроза превращается в пандемию .

Хорошее обоснование, надёжное. "Кругом заговор" типа

Я спрашиваю вас - ГДЕ ? Где пресс-релизы и десятки новостей на тему FakeAlert ?

А вот нет на них спроса - ни среди наших пользователей, ни среди журналистов. Вы тоже пишете на своём сайте, что эпидемий нет. Хотя бы не для пиара, а для информирования своих пользователей. Главное эпидемий нет, а под этим красная кнопка со ссылкой на информацию по блокировщикам

А мы вынесли всё же лже-антивирусы в заголовок обзора за октябрь. Как раз, когда началась более масштабная, чем ранее, эпидемия. Все придали ноль внимания.

Думаю, что вы не в курсе (т.к. обо всем узнаете из новостей), той операции, которую провело ЛК в ноябре-декабре против смс-лохотронов.

В результате операции в январе количество детектов увеличилось ещё вдвое

И я не узнаю обо всём из новостей. Предпочитаю если что-то и писать, то на основе нашей информации.

Кстати, а зачем проводить какую-то операцию, если масштабной эпидемии нет? Почему к нам обращаются агрегаторы номеров (сейчас!) с просьбами помочь отделить нормальных клиентов от злоумышленников? Это тоже результат секретной операции?

Но предпочитаете заниматься гавнопиаром про "обнаружен поддельный сайт ВКонтакте", "ВКонтакте - порносайт", "Атака на пользователей Вебмани" и прочей галиматьей, от которой уже отказалась даже Панда - тоже в прошлом любитель "обнаружить ужасного троянца Пинч".

Не путайте *%($*& с половником.

Про все перечисленные Вами вредоносные сайты мы не пишем на главной странице и в основных новостях.

А "Гоячая лента угроз" - это очень неплохая штука, и идёт много приятного фидбэка по ней:

http://news.drweb.com/list/?c=23

При этом на этой ленте мы особо не пиаримся. Относительно тихо сообщаем пользователям о том, что происходит вокруг. Пользователи благодарны за это.

Александр, я знаю, Вы должны знать. Назовите общее количество заражённых Ransom компьютеров за январь (по вашей статистике).

[alexgr 556]

Ибо, видимо, только блокирование банковских счетов злоумышленников может помочь... Возможно, поэтому карточки и используют.

Это совсем не так просто, как может показаться. И индустрия платежных карт в ход пошла. Не стоит ее трогать. Честно - после Скиммера, когда понаписали и наговорили столько "страшилок", хотелось бы посоветовать не трогать тем, где нет у вас совсем специалистов. Ответа на вопрос - где те полученные вашим вирлабом (со слов id) 10 модификаций Скимера в природе, в дикой природе? - я так и не получил.

Банковские технологии - штука тонкая, смею вас уверить. И индустрия платежных карт - тоже. Пугать там умеют и без Скиммера.

ЗЫ. Цифры несколько больше, чем у локеров, правда? Величина на порядок большая?

[Valery Ledovskoy 1082]

ЗЫ. Цифры несколько больше, чем у локеров, правда? biggrin.gif Величина на порядок большая?

Да, большая. Но я думаю, что отправляют деньги меньшее количество народа (в процентном отношении относительно заражённых). Именно потому что не так просто. Это нужно ещё карточку иметь. И с телефона родителей ребёнок, к примеру, не отправит здесь SMS-ку.

Про Скимер - не пришей кобыле хвост. Очень специфично. Если Вы обращаетесь к комментариям ИД, то лучше ему и вопросы задавать. Статистики по Скимеру у меня нет, комментировать не могу.