Эпидемия Trojan.Winlock и ее реальный масштаб

[Сергей Ильин 1538]

Не удержался от того, чтобы не поднять снова эту тему в свете последних новостей. Вышла статистика вредоносного ПО в феврале от ESET (Александр Матросов уже в деле ):

*******************************

В февральском рейтинге мировых угроз снова лидирует червь Win32/Conficker с общим процентом заражения 9,62%. Наибольшее распространение данное злонамеренное ПО получает по-прежнему на Украине (23,06%). Кроме того, Conficker занял высокие позиции в ЮАР (11,91%), Египте (11,65%), Великобритании (8,17%), Финляндии (7,60%), Германии (6,84%) и других странах.

Вторая строчка мирового рейтинга снова принадлежит семейству вредоносных программ INF/Autorun (7,24%), которое распространяется с помощью сменных носителей. Что касается регионального проникновения, то высокие показатели заражения данным ПО были зафиксированы в Израиле (6,11%), Испании (9,55%), Франции (7,85%), Португалии (5,30%), Литве (4,66%) и Норвегии (4,37%).

Замыкают тройку лидеров трояны-кейлогеры Win32/PSW.OnLineGames, используемые хакерами для кражи учетных данных и доступа к аккаунтам игроков многопользовательских ролевых online-игр. Наибольшее распространение это злонамеренное ПО получило в Польше (15,39%), Турции (10,66%) и Словакии (8,90%). В российском регионе PSW.OnLineGames мало распространен, поэтому в локальный рейтинг вредоносных программ не вошел.

Российский рейтинг угроз возглавил червь Conficker. Общий процент заражения в регионе составил 15,31%, первую же позицию занимает разновидность этой вредоносной программы - Win32/Conficker.AA - с показателем заражения 6,70%. На втором месте в очередной раз оказалась троянская программа, предназначенная для кражи личных данных пользователя, Win32/Agent с рейтингом 5,51%. Далее места распределились между Win32/Spy.Ursnif.A (5,50), Win32/Conficker.AE (4,47%), INF/Autorun (3,77%) и другими.

«Серьезных изменений в нашей статистической картине вирусных угроз в этом месяце не произошло, – комментирует Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET. – По-прежнему лидирует по числу инцидентов червь Win32/Conficker.AA, и, думаю, он еще не скоро исчезнет из нашего поля зрения. Также большой процент обнаруженных угроз составляют черви, распространяемые через различные USB-носители информации. Такой способ заражения в своем арсенале имеют довольно многие вредоносные программы».

Двадцать самых распространенных угроз в России в феврале 2010

1. Win32/Conficker.AA 6,70%

2. Win32/Agent 5,51%

3. Win32/Spy.Ursnif.A 5,50%

4. Win32/Conficker.AE 4,47%

5. INF/Autorun 3,77%

6. INF/Autorun.gen 2,59%

7. INF/Conficker 2,31%

8. Win32/Packed.Autoit.Gen 1,54%

9. Win32/Conficker.X 1,44%

10. Win32/Sality~alg 1,18%

11. Win32/AutoRun.KS 1,18%

12. Win32/Conficker.Gen 1,07%

13. Win32/Tifaut.C 0,97%

14. Win32/Toolbar.AskSBar 0,87%

15. Win32/Conficker.AB 0,86%

16. Win32/Polip 0,86%

17. Win32/Conficker.Gen~alg 0,82%

18. Win32/Conficker.AL 0,77%

19. Win32/Qhost 0,76%

20. Win32/Peerfrag.GA 0,70%

Десять самых распространенных угроз в мире в феврале 2010

1. Win32/Conficker 9,62%

2. INF/Autorun 7,24%

3. Win32/PSW.OnLineGames 6,20%

4. Win32/Agent 3,57%

5. INF/Conficker 1,71%

6. Win32/Pacex 1,15%

7. Win32/Packed.Autoit 0,89%

8. Win32/Qhost 0,85%

9. Win32/Spy.Ursnif.A 0,63%

10. WMA/TrojanDownloader.GetCodec 0,58%

Статистика угроз получена с помощью ThreatSense.Net – глобального сервиса, обеспечивающего автоматическую передачу новых образцов подозрительных или вредоносных программ экспертам вирусной лаборатории ESET для анализа и принятия оперативного решения.

*****************************

Вопрос все тот же: где деньги Winlock? Его слишком мало было или Eset его не знает?

[sww 486]

По-моему, всем уже все понятно про "миллионы" ДрВеб Чего уж допинывать то.

[wert 60]

По-моему, всем уже все понятно про "миллионы" ДрВеб Чего уж допинывать то.

По-моему, всем давно ясно, что почти все антивирусные вендоры продефекировали эпидемию винлоков в рунете.

И статистика здесь не может никак быть показателем из-за специфичности винлоков.

И добивать антивирусную индустрию уже не хочется.

А докторам, спасибо за то, что подняли шум, который явно поспособствовал пользователям и общей чистоте.

[Сергей Ильин 1538]

И статистика здесь не может никак быть показателем из-за специфичности винлоков.

В чем же его специфичность с точки зрения ведения статистики?

[sww 486]

По-моему, всем давно ясно, что почти все антивирусные вендоры продефекировали эпидемию винлоков в рунете.

Ага, точно, вирлабов то у нас нет и аналитики просто все слепые. И статистика у всех вендоров дефективная, неправильная.

Табличка: "САРКАЗМ".

[wert 60]

В чем же его специфичность с точки зрения ведения статистики?

Ага, точно, вирлабов то у нас нет и аналитики просто все слепые. И статистика у всех вендоров дефективная, неправильная.

Все очень просто и я уже здесь говорил об этом и непонятно как два эгсперта этого не понимают.

Похоже, К. Прутков был сильный чувак.

Еще раз почти подробно объясняю.

Винлоки быстро перепаковываются и меняются, изменяются и они разные.

Они стремятся обойти распространенные в рунете антивирусы.

Свежие они не детектируются ни сигнатурно, ни поведенчески.

Теперь подумайте.

У пользователя распространенный в рунете антивирус с отправкой инфы о заражениях домой.

пользователь ловит недетектируемый винлок.

его винда заблокирована

ему нужно что-то делать.

Это не спам- или ддос-бот, который тихо сидит и работает и рано или поздно может быть обнаружен.

У юзера не работает САМА ВИНДА.

Что он делает?

Он отсылает СМС или переустанавливает винду. Самые умные через пару дней заюзают LiveCD.

ГДЕ ЗДЕСЬ ДЕТЕКТ И/ИЛИ ОТПРАВКА ИНФОРМАЦИИ О ЗАРАЖЕНИИ В АНТИВИРУСНУЮ КОМПАНИЮ?

Где здесь место для статистики?

На эту же статистическую тему можно подумать и в сторону самоудаляющихся PSW-троянов.

Надеюсь, эту длинную речь остронаправленный эгспетр свв догонит.

[Mr. Justice 771]

Предупреждение за нарушение п. 11.13

[Valery Ledovskoy 1082]

По-моему, всем уже все понятно про "миллионы" ДрВеб smile.gif Чего уж допинывать то.

На вот это ответа не последовало:

http://www.anti-malware.ru/forum/index.php...ost&p=98464

А общие слова, призванные задеть, уже надоели, чесслово. Не задевают в виду количества попыток. Иммунитет вырабатывается

Где здесь место для статистики?

Статистика позволяет определить масштаб проблемы. Если много винлоков не детектировалось, то наша оценка получается заниженной.

Кстати, wert, у Вас очень интересные рассуждения. И они применимы практически к любому семейству вредоносных программ и статистики по нему, не только к Винлокам.

Это к слову вообще о кажущейся "некривизне" статистики некоторых вендоров.

[Deja_Vu 366]

2 раз открываю эту закладку и только сейчас понял почему, я ничего не понимаю, что тут происходит.

Ребят - вы вообще название темы смотрели?

[Сергей Ильин 1538]

2 раз открываю эту закладку и только сейчас понял почему, я ничего не понимаю, что тут происходит.

Ребят - вы вообще название темы смотрели? smile.gif

Точно. У меня впечатление, что общий уровень культуры падает. Какое-то сплошное неуважение, не читают название темы, лень посмотреть рядом, создать тему и т.п.

Сообщения про лечение и DrWeb Live CD перенесены сюда http://www.anti-malware.ru/forum/index.php?showtopic=11834 - эта тема специально для обсуждения лечения Trojan.Winlock! Здесь обсуждается факт эпидемии или ее отсутствия!

[Сергей Ильин 1538]

Доктор Веб выпустил очередной пресс-релиз на тему Trojan.Winlock. об обострении ситуации с этим трояном:

Компания «Доктор Веб» обращает внимание интернет-пользователей на резкий рост распространения новых модификаций уже известных троянцев семейства Trojan.Winlock, блокирующих Windows и требующих отправить злоумышленникам платное SMS-сообщение для получения кода разблокировки. Новая волна Trojan.Winlock началась 18 мая – в этот день число детектов троянца сервером статистики «Доктор Веб» выросло в 110 раз по сравнению со среднесуточными показателями месячной давности.

Среди новых модификаций Trojan.Winlock, которые и явились катализатором этого роста, выделяется Trojan.Winlock.1678, а также те виды, которые уже не требуют отправки платных SMS, а вынуждают своих жертв для перевода средств пользоваться различными платежными системами.

Даже график есть роста кол-ва обнаруженных Trojan.Winlock

http://www.anti-malware.ru/forum/index.php...mp;#entry105557

[Андрей-001 1099]

Новая волна действительно пошла. Например, только сегодня на номер 5121 (Контент-Провайдер Первый Альтернативный ЗАО, название услуги: SMS-викторина Фруктовый сад, тариф без ндс - 254,24 руб.) было два разных "попадания":

1) с текстом 1011266 (помог только деблокер ЛК) - разлокировка по двойному sms - сначала 193766431, потом 286737021.

2) с текстом 3378074 (точный код "назвали" деблокеры и Dr.Web, и ЛК) - 6789246356.

И снова за эти дни мая пошли частые жалобы на блокировку браузера от вконтактников.

[wert 60]

Столь внушительный скачок популярности сервиса разблокировки объясняется увеличением количества программ-блокеров. Как видно на графике, крупные эпидемии наблюдались в январе-феврале 2010 года. Тогда их вызвал первый червь-вымогатель Worm.Win32.NeKav.

http://www.kaspersky.ru/news?id=207733268

"Солгавши, кто тебе поверит?"

А сколько было срани от "ыгспэртов" портала.

Забавно и мерзко вспоминать, когда приходилось говорить очевидное, для всех, кроме связанных с KL.

[A. 875]

Забавно и мерзко вспоминать, когда приходилось говорить очевидное, для всех, кроме связанных с KL.

Говорите же еще!

Напоминаю текст

- "Миллионы! МИЛЛИОНЫ!! МИЛЛИОНННЫ!!11 ЗАРАЖЕННЫХ ЖЕ В ЯНВАРЕ! пыщь пыщь11

[alexgr 556]

http://www.kaspersky.ru/news?id=207733268

"Солгавши, кто тебе поверит?"

А сколько было срани от "ыгспэртов" портала.

то есть у вас есть реальное подтверждение миллионов? В феврале? Факт в студию! А то как то на анонима, лающего просто из под лавки похоже

[truth 20]

то есть у вас есть реальное подтверждение миллионов? В феврале? Факт в студию!

Из СМИ:

http://lenta.ru/news/2010/06/15/sms1/

"В начале 2010 года доля мошеннических платежей оценивалась в МТС в 10-15 процентов всего объема микроплатежей. Другие участники рынка называли цифры в 40 и 50 процентов."

"В первом квартале 2010 года объем российского рынка мобильного контента снизился на два процента до 10 миллиардов рублей"

10 000 000 000 / 3 = 3 333 333 333 в месяц.

Допустим, мошеннические SMS составляют 15% от доходов от контент-услуг

3 333 333 333 * 0,15 = 500 000 000 в месяц.

Допустим, винлоки - 10% от всех мошеннических SMS

500 000 000 * 0,1 = 50 000 000 в месяц.

Допустим, средняя SMS за винлоки 300 рублей.

50 000 000 / 300 = 166 666 SMS-ок

Допустим, отправляют SMS-ки не менее 20% заражающихся пользователей (на самом деле меньше)

166 666 / 0,2 = 833 330 заражений в месяц

Это минимум.

Если предложить по-хорошему, что не 15% доходов от мошенников, а 30 (ближе к реальности), винлоки занимают не 10, а 20% от мошеннических SMS, а отправляют не 20% заражённых пользователей, а 10%, то последнюю цифру нужно умножить на коэффициент

2 * 2 * 2 = 8

833 330 * 8 = 6 666 640 заражений в среднем в месяц в первом квартале 2010 года.

[Сергей Ильин 1538]

truth, интересный расчет. Единственное, что сомнительно выглядит предположение о 10% винлока от всего потока мошеннических смс. Есть "баннеры-вымогатели", файлообменники, порно-сайты, сайты знакомств, всякие сервисы типа "читайте сообщения в соц. сетях своей подружки" и т.п.

Просто это означает, что каждое 10-е разводилово - это винлок.

[truth 20]

Единственное, что сомнительно выглядит предположение о 10% винлока от всего потока мошеннических смс.

Это компенсируется тем, что по результатам опросов значительно меньше 10% пользователей отсылают SMS. Даже "отсылали когда-либо". Насколько меньше - сейчас не совсем понятно. Вот здесь ребята пытаются что-то выяснить - нашёл ссылку на форуме ixbt.ru:

http://spreadsheets.google.com/viewanalyti...4eDFaVEJQbHc6MQ

Из 72 голосов никто на текущий момент не написал, что когда-либо отправлял SMS. Хотя чего стесняться - всё анонимно.

Удивился, что и заявления никто не пишет. А в МВД задумываются о важности проблемы по количеству заявлений обычно. Впрочем, причины этого понятны.

Да, цифры не точные, это прикидки. Но на реальных цифрах из СМИ. И показывают, что миллионы в месяц - вполне реальная цифра.

Даже если это не только винлоки - всё равно много. Очень много

Считал сегодня, и не думал, что будут такие результаты. Сам поразился, если честно.

[A. 875]

Допустим, мошеннические SMS составляют 15% от доходов от контент-услуг

Дальше читать не стал.

[truth 20]

Дальше читать не стал.

"доля мошеннических платежей оценивалась в МТС в 10-15 процентов всего объема микроплатежей. Другие участники рынка называли цифры в 40 и 50 процентов."

http://lenta.ru/news/2010/06/15/sms1/

Во сколько вы оцениваете эту долю и на основании каких общедоступных данных?

Кроме того, от "пыщ пыщ" и закрывания глаз на цифры они не исчезают...

Вот про то, что всеми средствами нужно бороться - это я поддерживаю. Но чтобы бороться с проблемой - нужно понимать, с чем сталкиваемся и какие перспективы. Очень сложно бороться с десятками миллиардов. Может быть, даже невозможно.

Смотрел запись из Урюпинска. В новостях писали, что присутствовали на конференции представители правоохранительных органов, а человек за микрофоном говорил, что в зале они не присутствуют, поэтому вам вопросы, которые можно задать органам, задавать не нужно. Грустно, и тоже можно понять, почему их не было.

[A. 875]

"доля мошеннических платежей оценивалась в МТС в 10-15 процентов всего объема микроплатежей. Другие участники рынка называли цифры в 40 и 50 процентов."

как бы вам помягче обьяснить.

журналисты - это такие люди, которые из собственного текста готовы сделать кашу.

ну вот например там же есть ссылка на прошлую новость по теме:

http://lenta.ru/news/2010/01/29/sms/

и знаете что там написано ?

По оценкам Ройтберга, доля мошеннических платежей составляет 10-15 процентов от всего объема микроплатежей. По оценкам других участников рынка, объем мошеннических платежей достигает 40-50 миллионов долларов.

Вот и думайте теперь - 40/50% или 40/50$kk.

а я не буду.

[truth 20]

По оценкам Ройтберга, доля мошеннических платежей составляет 10-15 процентов от всего объема микроплатежей.

Т.е. 10-15% таки есть, чтобы не думать? А собственной оценки нет?

Цифра в 25 млн. за 3 месяца откуда-то же получилась.

[alexgr 556]

я просил факт - то есть подтвержденный, а не расчеты. Расчеты здесь уже были. Задам тупой вопрос - все мошеннические схемы из этих новостей связаны с Винлоками однозначно? Или есть еще масса схем изъятия средств? Например, для простого доступа к порносайтам?

[truth 20]

я просил факт - то есть подтвержденный, а не расчеты.

Я тоже хочу, знаете ли. Но любая цифра как-то считается. Даже выборы президентов проходят обычно с различными нарушениями при подсчётах. Хотя чего уж проще - пересчитать бюллетени.

Начать можно с того, что таких фактов ни у кого нет, ибо в январе 2010 года никому было не интересно, сколько пользователей пострадали от блокировщиков. И хотеть того, чего нет, можно. А можно считать и делиться рассчётами. Потом их предоставлять кому следует в надежде, что займутся-таки проблемой.

До Солнца тоже никто пока что не летал, но его массу, объём, скорость вращения вокруг собственной оси, интенсивность вспышек и влияние на население считать научились. И мало кто подвергает эти цифры сомнению. Или вы подвергаете?

Если мы хотим приблизиться к какой-то правде, то необходимо производить расчёты. А тот расчёт, что предложил я, ранее нигде в интернетах не видел.

Его можно критиковать, но он имеет право на существование.

Сейчас мне очень интересно знать, сколько ж процентов пользователей на самом деле отправляют SMS-ки. Я раньше думал, что процентов 20. Но сейчас получается, что куда меньше 10%. А чем меньше пользователей при заражении системы винлоками отправляют SMS-ки, тем больше общая цифра заражений.

Вот господин Александр Гостев говорит буквально следующее:

"Интернет-мошенники, которые требуют отправить sms для получения доступа к информации, которая должна находиться в открытом доступе, могут за три месяца получать до 25 миллионов рублей, сообщил в четверг ведущий антивирусный эксперт "Лаборатории Касперского" Александр Гостев на конференции "Безопасное завтра Рунета".

http://www.rian.ru/society/20100617/247247336.html

Цифра тоже ничем не подкреплена, но прозвучала. Насколько я понимаю, здесь речь обо всех мошеннических SMS-ках. Знаете - маловато как-то. Даже если мои коэффициенты в рассчётах сильно кривые. Очень мало. На несколько порядков цифра отличается от того, что говорит Dr.Web и ещё дальше от моих цифр (не менее 50млн. руб от винлоков в месяц). А всё от того, видимо, что Александр считает, что статистика ЛК - это все пострадавшие пользователи, и рассчёты никакие не нужны. Эта ошибка за ним уже тянется давно.

(DiabloNova тоже не научился в школе считать, поэтому не может привести нормальные контраргументы).

Если Александр не предоставит свои расчёты, (а это явно не "факт"), то эту цифру можно считать пиаристой липой. Ибо журналисты любят цифры, поэтому достаточно часто ляпнуть "могут... до 25 миллионов рублей". Могут. Ну, и Dr.Web может сказать, что "несколько миллионов заражённых компьютеров". Поэтому не нужно обвинять компании в том, что они пиарятся. Фактов, которые "в студию", ни у кого нет. Есть оценки. Одной компании выгода одна оценка, другой компании выгодно занижать масштабы эпидемии, ибо уже сказали ранее, что никакой эпидемии нет.

Задам тупой вопрос - все мошеннические схемы из этих новостей связаны с Винлоками однозначно?

Нет, и расчёт это учитывает. И мне кажется, что гораздо более 10-20% от всех мошеннических SMS-ок сейчас занимают винлоки. Аргументы такие - остальные схемы не столь жёстко обходятся с пользователями (не блокируют компьютер) и встречаются по статистике реже. Невнимательно читали рассчёт.

Или есть еще масса схем изъятия средств? Например, для простого доступа к порносайтам?

Если доступ после этого на порносайт осуществляется, это уже не мошенничество, а другая статья. Незаконное распространение порнографии.

[truth 20]

Продолжаем собирать говноминусы в карму.

Самое удивительное, что минусуют снова люди, которые не могут предоставить контраргументы, и принадлежат к фанатам ЛК.

Весело за этим наблюдать и понятно, почему злятся. Ребята, я вас тоже всех люблю.

Хотите ещё интересных расчётов? Их есть у меня.

http://www.kaspersky.ru/news?id=207733268

Очень интересная статистика. Спасибо, что поделились.

5 млн. посещений сайта деблокера за 6 месяцев.

Получается, в среднем в месяц 833 333 человека заходили на этот сервис.

А теперь подсказывать не буду.

Скажите, сколько процентов пострадавших от блокировщиков пользователей зашли именно на деблокер ЛК?

Я надеюсь, что у участников данного форума не хватит смелости сказать, что все 100% пострадавших пошли туда.

От честности ответа на этот вопрос зависит общее количество пострадавших от блокировщиков на цифрах, официально представленных ЛК на своём сайте.

Снова приведу источник, что уже приводил:

http://spreadsheets.google.com/viewanalyti...4eDFaVEJQbHc6MQ

Там уже 85 человек ответило. Да, мало. Если бы пару десятков тысяч хотя бы отметились. Но это малореально.

И там сейчас видно, что 62% пострадавших пользователись _всеми_ сервисами разблокировки.

А их достаточно много: ЛК, virusinfo.info, ESET, Dr.Web, и они весьма жёстко конкурируют между собой.

Это можно проследить, как меняются первые места в гугле по запросу "Разблокировка Windows".

Ок, ладно, пусть половина пострадавших заходит на сервис ЛК. Получается в среднем в месяц 1 666 666. Снова - минимум.

И снова мало согласуется с 25 млн. рублей за три месяца от всех мошеннических SMS-ок.