Перейти к содержанию
AM_Bot

«Хит-парад» вредоносных программ 2010 года

Recommended Posts

AM_Bot

30 декабря 2010 года

Уходящий год можно назвать годом расцвета интернет-мошенничества. Редкий интернет-пользователь сегодня не слышал об этом явлении. В то время как для противодействия интернет-мошенникам разработчики защитного ПО постоянно совершенствуют свои продукты, правоохранительные органы также всерьез взялись за эту разновидность киберпреступности. Тем не менее, интернет-мошенничество продолжает развиваться, принимает новые воплощения, использует разные схемы получения нелегального дохода. И выход видится только в комплексном противодействии злоумышленникам — и со стороны антивирусных компаний, и со стороны тех финансовых институтов, через которые деньги поступают от пользователей-жертв к злоумышленникам, и со стороны правоохранительных органов, и даже со стороны самих пострадавших пользователей. По факту заражения компьютера и вымогания денежных средств они могут обратиться в милицию, а также предоставить новую важную информацию в антивирусные компании. Эта информация может существенно усилить противодействие интернет-мошенничеству.

Десятка мошеннических инструментов — 2010

Для наглядности подводимых итогов 2010 года представим информацию по вредоносным программам, которые в уходящем году использовали интернет-мошенники. При этом начнем, как это часто принято в таких случаях, с последнего места. Рядом с названием типа вредоносной программы или схемы приводятся названия детектов соответствующих вредоносных программ по классификации Dr.Web.

<h4 style="font-style:italic;">10. Псевдоуслуги</h4>

Довольно часто злоумышленники предлагают пользователям за небольшую сумму интересную и при этом часто незаконную информацию. Расплата за такую «информацию» — обычно СМС-сообщение стоимостью несколько сотен рублей. При этом в качестве «товара» могут предлагаться самые фантастические вещи — от приватной информации о пользователях социальных сетей до содержимого секретных архивов спецслужб. Качество таких услуг зачастую оказывается сомнительным. Более того, нередко обещанное является банальным блефом — злоумышленники просто ничего не дают взамен отправленных денег. Ссылки на сайты, на которых используется такая схема мошенничества, обычно распространяются посредством рекламных баннерных сетей через сайты с бесплатным контентом.

<h4 style="font-style:italic;">9. Ложные архивы. Trojan.SMSSend</h4>

Злоумышленники создают поддельные торрент-трекеры или фальшивые файловые хранилища, с которых якобы можно скачать популярный контент (музыку, фильмы, электронные книги). Как следствие, данные ресурсы появляются в первых строчках популярных запросов в поисковых системах. Воспользовавшись таким ресурсом, жертва мошенничества думает, что скачивает архив с интересной ему информацией. На деле «архив» оказывается исполняемым файлом, внешне очень похожим на самораспаковывающийся архив. Отличие такого архива от настоящего заключается в том, что в процессе «распаковки» в определенный момент пользователю выводится информация о том, что для окончания распаковки необходимо выплатить некоторую сумму денег. Фактически пользователь обманывается дважды — отправляет деньги злоумышленникам и не получает никакой полезной для себя информации. Архивы не содержат в себе ничего, кроме графической оболочки и мусора, а их размер (видимо, для усыпления бдительности пользователей) может достигать 70 МБ и более.

<h4 style="font-style:italic;">8. Загрузочные блокировщики. Trojan.MBRlock</h4>

В ноябре 2010 года зафиксировано распространение блокировщика, который при заражении прописывается в загрузочную область жесткого диска, тем самым блокируя загрузку используемой операционной системе. При включении компьютера на экран пользователя выводится информация с требованиями злоумышленников.

<h4 style="font-style:italic;">7. Блокировщики запуска IM-клиентов. Trojan.IMLock</h4>

На протяжении нескольких месяцев в 2010 году злоумышленники распространяли вредоносную программу, которая блокировала запись популярных клиентов мгновенного обмена сообщениями. Под ударом оказались пользователи ICQ, QIP и Skype. Вместо заблокированного IM-клиента на экран выводилось окно, похожее на интерфейс заблокированного ПО, в котором сообщалось, что за восстановление доступа к соответствующему сервису необходимо отправить платное СМС-сообщение.

<h4 style="font-style:italic;">6. Лжеантивирусы. Trojan.Fakealert</h4>

Лжеантивирусы внешне похожи на популярное антивирусное ПО, и часто их дизайн напоминает сразу несколько антивирусных продуктов. Но ничего общего с антивирусами эти вредоносные программы не имеют. Будучи установленными в систему, такие «антивирусы» сразу же сообщают о том, что система якобы заражена (отчасти это соответствует истине), и для лечения системы якобы необходимо приобрести платную версию антивирусной программы.

<h4 style="font-style:italic;">5. Редиректоры на вредоносные сайты. Trojan.Hosts.</h4>

Данные вредоносные программы создаются злоумышленниками для изменения системного файла hosts таким образом, чтобы при попытке зайти на популярный сайт (например, одной из популярных социальных сетей) в интернет-браузере отображался фальшивый сайт с дизайном, похожим на оригинальный. При этом с пользователя за полноценный доступ будут требоваться деньги, которые могут уйти злоумышленникам.

<h4 style="font-style:italic;">4. Редиректоры на локальный веб-сервер. Trojan.HttpBlock</h4>

В отличие от Trojan.Hosts, данные вредоносные программы после заражения системы перенаправляют пользователя на страницы, которые генерирует локально устанавливаемый на компьютере веб-сервер. В этом случае злоумышленники облегчают себе задачу нахождения хостера, который не удалит вредоносный сайт со своих адресов до заражения компьютера пользователя-жертвы.

<h4 style="font-style:italic;">3. Шифровальщики данных. Trojan.Encoder</h4>

В 2010 году появилось множество новых модификаций троянцев-шифровальщиков, целью которых являются документы пользователей. После того как троянец зашифровывает документы, выводится информация о том, что за расшифровку необходимо отправить деньги злоумышленникам. В подавляющем большинстве случаев специалисты компании «Доктор Веб» оперативно разрабатывают утилиты, с помощью которых можно расшифровать пользовательские данные, но, поскольку это возможно не всегда и злоумышленники требуют за расшифровку значительные суммы денег, Trojan.Encoder занимает третью строчку нашей десятки.

<h4 style="font-style:italic;">2. Блокировщики Windows. Trojan.Winlock</h4>

Второе место по праву занимают классические блокировщики Windows, которые держат в напряжении пользователей и специалистов антивирусных компаний с осени 2009 года. К блокировщикам Windows относят вредоносные программы, которые выводят окно (блокирующее другие окна) с требованиями злоумышленников. Таким образом, пользователь лишается возможности работать за компьютером, пока не заплатит за разблокировку. В течение уходящего года специалисты компании «Доктор Веб» фиксировали несколько пиков распространения «винлоков», но активное распространение новых модификаций таких вредоносных программ продолжается и сейчас.

<h4 style="font-style:italic;">1. Банковские троянцы. Trojan.PWS.Ibank, Trojan.PWS.Banker, Trojan.PWS.Multi</h4>

Первое место «хит-парада» компании «Доктор Веб», состоящего из средств вооружения кибермошенников, присуждается банковским троянцам. К данной категории вредоносных программ относятся те из них, которые ориентированы на получение неавторизованного доступа злоумышленников к счетам физических и юридических лиц посредством систем дистанционного банковского обслуживания. Последние сейчас стремительно набирают популярность, и преступники стремятся этой популярностью воспользоваться. Вероятно, в 2011 году мы станем свидетелями смещения сферы интересов интернет-мошенников с частных пользователей на юридических лиц, на счетах которых сосредоточены куда более значительные суммы денег.

Статистическая информация по обращениям пользователей

Приведем несколько графиков, показывающих динамику обращений пользователей по проблемам интернет-мошенничества в 2010 году.

На первом графике показано среднесуточное количество обращений пользователей в бесплатную техподдержку компании «Доктор Веб» по случаям интернет-мошенничества. Из него видно, что в июне, когда была открыта бесплатная поддержка по интернет-мошенничеству, ежедневно к ней обращались около 400 пользователей. К августу активность распространения новых типов вредоносных программ, используемых для мошенничества, несколько снизилась. Но ближе к концу года количество запросов снова стало расти, что было связано с переходом мошенников на новые схемы монетизации доходов, которым противодействовать сложнее.

На втором графике отображено процентное соотношение количества обращений пользователей по поводу мошеннических вредоносных программ, в которых используются различные схемы монетизации дохода. Синей линией показаны обращения по программам, требующим отправить платное СМС-сообщение, а красной — положить деньги на счет мобильного телефона, принадлежащего злоумышленникам. Из графика видно, что в ноябре 2010 года произошел переломный момент, начиная с которого злоумышленники чаще используют вторую схему.

Третий график более детально показывает процентное соотношение общего числа обращений и количества случаев, при которых злоумышленники требовали положить деньги на счет мобильного телефона посредством терминала оплаты. Синяя и красная линии соответствуют двум популярным сотовым операторам. К декабрю уходящего года злоумышленники переключились на новый вариант той же схемы передачи денег на счета мобильных телеофнов злоумышленников — зеленой линией показана схема, зафиксированная в ноябре 2010 года и активно применяющаяся в декабре. Согласно ей пользователю-жертве предлагается отправить деньги на счет мобильного телефона посредством СМС-сообщения. По удобству такая схема ничем не уступает классической схеме с отправкой СМС-сообщений, но при этом злоумышленникам не нужно заключать договоры с агрегаторами коротких номеров сообщений и становиться их субпартнерами.

Другие заметные события 2010 года

Среди других заметных событий 2010 года можно отметить появление первого 64-битного руткита семейства BackDoor.Tdss, который заражал 64-битные ОС Windows посредством буткит-составляющей. Использование буткитов в многокомпонентных вредоносных программах принимает все более масштабные формы.

Также можно отметить возросшее число вредоносных программ для Android и других мобильных систем. Компания «Доктор Веб» отвечает на эту ситуацию оперативным выпуском новых антивирусных продуктов для наиболее популярных мобильных систем.

Пользователям по-прежнему рекомендуется соблюдать элементарные правила информационной безопасности, а именно обновлять в автоматическом режиме используемую операционную систему и другое постоянно используемое ПО, установить и в автоматическом режиме обновлять антивирусную программу, использовать альтернативные интернет-браузеры, не работать в системе, особенно подключенной к Интернету, с правами администратора.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

:D Супер откопипастили! Почти не отличить от оригинала :P Может проще было просто указать источник после первого же предложения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Может проще было просто указать источник после первого же предложения?

Обычно так примерно и делается...

Но в "Горячей ленте угроз" обычно публикуется текстовая версия.

Будьте снисходительны, Бот старался, тем более "ленты" уже давно не было. :)

Супер откопипастили!

Не всё скопировано - нет графиков, а без этого ценность изложенного несколько принижается.

Интересно было бы сравнить этот «хит-парад» с «хит-парадом» от ЛК и других вендоров. :)

Чуть раньше был «хит-парад» от Panda и миниобзор от McAfee.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Интересно было бы сравнить этот «хит-парад» с «хит-парадом» от ЛК и других вендоров. :)

Ну так кое-что давно уже опубликовано:

http://www.securelist.com/en/analysis/2047...ctions_for_2011

более полный годовой отчет с развернутыми данными и статистикой - выйдет в конце января

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
давно уже опубликовано... более полный годовой отчет с развернутыми данными и статистикой - выйдет в конце января

ОК. Спасибо. Мы подождём.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Образ:  http://rgho.st/6XQWrPGf7
    • PR55.RP55
      + Получается, что по файлу есть две записи. Полное имя                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE
      Имя файла                   NVTRAY.EXE
      Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                                  
      Сохраненная информация      на момент создания образа
      Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
      Процесс                     32-х битный
      File_Id                     506B36F01C4000
      Linker                      10.0
      Размер                      1820520 байт
      Создан                      25.01.2013 в 17:04:40
      Изменен                     03.10.2012 в 06:28:55
                                  
      TimeStamp                   02.10.2012 в 18:48:16
      EntryPoint                  +
      OS Version                  5.0
      Subsystem                   Windows graphical user interface (GUI) subsystem
      IMAGE_FILE_DLL              -
      IMAGE_FILE_EXECUTABLE_IMAGE +
      Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
      Цифр. подпись               Действительна, подписано NVIDIA Corporation
                                  
      Оригинальное имя            nvtray.exe
      Версия файла                7.17.13.0697
      Версия продукта             7.17.13.0697
      Описание                    NVIDIA Settings
      Производитель               NVIDIA Corporation
                                  
      Доп. информация             на момент обновления списка
      pid = 3020                  USER01-PC\USER01
      CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
      Процесс создан              21:14:29 [2018.10.16]
      С момента создания          01:02:58
      CPU                         0,00%
      CPU (1 core)                0,00%
      parentid = 1424             C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVXDSYNC.EXE
      UDP                         127.0.0.1:48001
      SHA1                        99F3E0CA5C45ED5061E0131ABC12758F051A795F
      MD5                         D610CDEDF1F702EB0A86B0FBD9BB49E5
                                  
      Ссылки на объект            
      Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                                  
      Образы                      EXE и DLL
      NVTRAY.EXE                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
                                  
      Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
      ADVAPI32.DLL                C:\WINDOWS\SYSTEM32
      APISETSCHEMA.DLL            C:\WINDOWS\SYSTEM32
      COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_5.82.7601.17514_NONE_EC83DFFA859149AF
      COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.7601.17514_NONE_41E6975E2BD6F2B2
      COMDLG32.DLL                C:\WINDOWS\SYSTEM32
      CRTDLL.DLL                  C:\WINDOWS\SYSTEM32
      DNSAPI.DLL                  C:\WINDOWS\SYSTEM32
      DWMAPI.DLL                  C:\WINDOWS\SYSTEM32
      EASYDAEMONAPIU.DLL          C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
      FWPUCLNT.DLL                C:\WINDOWS\SYSTEM32
      GDI32.DLL                   C:\WINDOWS\SYSTEM32
      GDIPLUS.DLL                 C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.GDIPLUS_6595B64144CCF1DF_1.1.7601.17825_NONE_72D273598668A06B
      IMM32.DLL                   C:\WINDOWS\SYSTEM32
      IPHLPAPI.DLL                C:\WINDOWS\SYSTEM32
      KERNEL32.DLL                C:\WINDOWS\SYSTEM32
      KERNELBASE.DLL              C:\WINDOWS\SYSTEM32
      LPK.DLL                     C:\WINDOWS\SYSTEM32
      MSCTF.DLL                   C:\WINDOWS\SYSTEM32
      MSIMG32.DLL                 C:\WINDOWS\SYSTEM32
      MSVCRT.DLL                  C:\WINDOWS\SYSTEM32
      MSWSOCK.DLL                 C:\WINDOWS\SYSTEM32
      NAPINSP.DLL                 C:\WINDOWS\SYSTEM32
      NLAAPI.DLL                  C:\WINDOWS\SYSTEM32
      NSI.DLL                     C:\WINDOWS\SYSTEM32
      NTDLL.DLL                   C:\WINDOWS\SYSTEM32
      NVUI.DLL                    C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
      NVUIR.DLL                   C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
      NVUPDT.DLL                  C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
      NVUPDTR.DLL                 C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
      OLE32.DLL                   C:\WINDOWS\SYSTEM32
      OLEACC.DLL                  C:\WINDOWS\SYSTEM32
      OLEAUT32.DLL                C:\WINDOWS\SYSTEM32
      PNRPNSP.DLL                 C:\WINDOWS\SYSTEM32
      PROFAPI.DLL                 C:\WINDOWS\SYSTEM32
      RASADHLP.DLL                C:\WINDOWS\SYSTEM32
      RPCRT4.DLL                  C:\WINDOWS\SYSTEM32
      SECHOST.DLL                 C:\WINDOWS\SYSTEM32
      SHELL32.DLL                 C:\WINDOWS\SYSTEM32
      SHLWAPI.DLL                 C:\WINDOWS\SYSTEM32
      TV_W32.DLL                  C:\PROGRAM FILES\TEAMVIEWER\VERSION8
      USER32.DLL                  C:\WINDOWS\SYSTEM32
      USERENV.DLL                 C:\WINDOWS\SYSTEM32
      USP10.DLL                   C:\WINDOWS\SYSTEM32
      UXTHEME.DLL                 C:\WINDOWS\SYSTEM32
      VERSION.DLL                 C:\WINDOWS\SYSTEM32
      WINMM.DLL                   C:\WINDOWS\SYSTEM32
      WINNSI.DLL                  C:\WINDOWS\SYSTEM32
      WINRNR.DLL                  C:\WINDOWS\SYSTEM32
      WINSPOOL.DRV                C:\WINDOWS\SYSTEM32
      WINSTA.DLL                  C:\WINDOWS\SYSTEM32
      WS2_32.DLL                  C:\WINDOWS\SYSTEM32
      WSHTCPIP.DLL                C:\WINDOWS\SYSTEM32
      WTSAPI32.DLL                C:\WINDOWS\SYSTEM32
                                  
      Прочие файлы                отображенные в память
      OLEACCRC.DLL                C:\WINDOWS\SYSTEM32
      LOCALE.NLS                  C:\WINDOWS\SYSTEM32
      SORTDEFAULT.NLS             C:\WINDOWS\GLOBALIZATION\SORTING
    • PR55.RP55
      Полное имя                  C:\PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
      Имя файла                   PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
      Тек. статус                 [Запускался неявно или вручную]
                                  
      Сохраненная информация      на момент создания образа
      Статус                      [Запускался неявно или вручную]
                                  
      Доп. информация             на момент обновления списка
      CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
       --------------------- Было несколько образов  с аналогичными данными. Как видно Инфо. в несколько усечённом виде. ---------------------------- " Насчет отображения всех сертификатов, что использованы в ЭЦП " И как я помню в наших любимых драйверах от NVIDIA два сертификата.          
    • Алена Орлова
      Хотите сделать татуировку? Или перекрыть старую и некачественную работу? Записывайтесь в нашу студию! Предлагаем услуги мастера художественной татуировки. Опыт работы более 12 лет. Работаем во всех стилях, все материалы одноразовые, студия в самом центре города. Разработка индивидуального эскиза по вашей идее в подарок Больше работ через личные сообщения
        Услуги сертифицированного мастера пирсера Любые виды проколов, установка любых микродермалов. Для очень нежных есть обезболивающая мазь. Все материалы стерильны, мастер принимает в оборудованной студии в центре города. Украшение для прокола можно приобрести у нас Для уточнения цен на проколы пишите в личные сообщения
      hurtland.ru
      https://vk.com/hurtlandtattoo
    • demkd
      Насчет отображения всех сертификатов, что использованы в ЭЦП я еще подумаю, ну а пока исправление редкой критической ошибки.
      ---------------------------------------------------------
       4.1.1
      ---------------------------------------------------------
       o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
         если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.  o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
         Только для новых билдов Windows 10.  
×