Перейти к содержанию
AM_Bot

«Хит-парад» вредоносных программ 2010 года

Recommended Posts

AM_Bot

30 декабря 2010 года

Уходящий год можно назвать годом расцвета интернет-мошенничества. Редкий интернет-пользователь сегодня не слышал об этом явлении. В то время как для противодействия интернет-мошенникам разработчики защитного ПО постоянно совершенствуют свои продукты, правоохранительные органы также всерьез взялись за эту разновидность киберпреступности. Тем не менее, интернет-мошенничество продолжает развиваться, принимает новые воплощения, использует разные схемы получения нелегального дохода. И выход видится только в комплексном противодействии злоумышленникам — и со стороны антивирусных компаний, и со стороны тех финансовых институтов, через которые деньги поступают от пользователей-жертв к злоумышленникам, и со стороны правоохранительных органов, и даже со стороны самих пострадавших пользователей. По факту заражения компьютера и вымогания денежных средств они могут обратиться в милицию, а также предоставить новую важную информацию в антивирусные компании. Эта информация может существенно усилить противодействие интернет-мошенничеству.

Десятка мошеннических инструментов — 2010

Для наглядности подводимых итогов 2010 года представим информацию по вредоносным программам, которые в уходящем году использовали интернет-мошенники. При этом начнем, как это часто принято в таких случаях, с последнего места. Рядом с названием типа вредоносной программы или схемы приводятся названия детектов соответствующих вредоносных программ по классификации Dr.Web.

<h4 style="font-style:italic;">10. Псевдоуслуги</h4>

Довольно часто злоумышленники предлагают пользователям за небольшую сумму интересную и при этом часто незаконную информацию. Расплата за такую «информацию» — обычно СМС-сообщение стоимостью несколько сотен рублей. При этом в качестве «товара» могут предлагаться самые фантастические вещи — от приватной информации о пользователях социальных сетей до содержимого секретных архивов спецслужб. Качество таких услуг зачастую оказывается сомнительным. Более того, нередко обещанное является банальным блефом — злоумышленники просто ничего не дают взамен отправленных денег. Ссылки на сайты, на которых используется такая схема мошенничества, обычно распространяются посредством рекламных баннерных сетей через сайты с бесплатным контентом.

<h4 style="font-style:italic;">9. Ложные архивы. Trojan.SMSSend</h4>

Злоумышленники создают поддельные торрент-трекеры или фальшивые файловые хранилища, с которых якобы можно скачать популярный контент (музыку, фильмы, электронные книги). Как следствие, данные ресурсы появляются в первых строчках популярных запросов в поисковых системах. Воспользовавшись таким ресурсом, жертва мошенничества думает, что скачивает архив с интересной ему информацией. На деле «архив» оказывается исполняемым файлом, внешне очень похожим на самораспаковывающийся архив. Отличие такого архива от настоящего заключается в том, что в процессе «распаковки» в определенный момент пользователю выводится информация о том, что для окончания распаковки необходимо выплатить некоторую сумму денег. Фактически пользователь обманывается дважды — отправляет деньги злоумышленникам и не получает никакой полезной для себя информации. Архивы не содержат в себе ничего, кроме графической оболочки и мусора, а их размер (видимо, для усыпления бдительности пользователей) может достигать 70 МБ и более.

<h4 style="font-style:italic;">8. Загрузочные блокировщики. Trojan.MBRlock</h4>

В ноябре 2010 года зафиксировано распространение блокировщика, который при заражении прописывается в загрузочную область жесткого диска, тем самым блокируя загрузку используемой операционной системе. При включении компьютера на экран пользователя выводится информация с требованиями злоумышленников.

<h4 style="font-style:italic;">7. Блокировщики запуска IM-клиентов. Trojan.IMLock</h4>

На протяжении нескольких месяцев в 2010 году злоумышленники распространяли вредоносную программу, которая блокировала запись популярных клиентов мгновенного обмена сообщениями. Под ударом оказались пользователи ICQ, QIP и Skype. Вместо заблокированного IM-клиента на экран выводилось окно, похожее на интерфейс заблокированного ПО, в котором сообщалось, что за восстановление доступа к соответствующему сервису необходимо отправить платное СМС-сообщение.

<h4 style="font-style:italic;">6. Лжеантивирусы. Trojan.Fakealert</h4>

Лжеантивирусы внешне похожи на популярное антивирусное ПО, и часто их дизайн напоминает сразу несколько антивирусных продуктов. Но ничего общего с антивирусами эти вредоносные программы не имеют. Будучи установленными в систему, такие «антивирусы» сразу же сообщают о том, что система якобы заражена (отчасти это соответствует истине), и для лечения системы якобы необходимо приобрести платную версию антивирусной программы.

<h4 style="font-style:italic;">5. Редиректоры на вредоносные сайты. Trojan.Hosts.</h4>

Данные вредоносные программы создаются злоумышленниками для изменения системного файла hosts таким образом, чтобы при попытке зайти на популярный сайт (например, одной из популярных социальных сетей) в интернет-браузере отображался фальшивый сайт с дизайном, похожим на оригинальный. При этом с пользователя за полноценный доступ будут требоваться деньги, которые могут уйти злоумышленникам.

<h4 style="font-style:italic;">4. Редиректоры на локальный веб-сервер. Trojan.HttpBlock</h4>

В отличие от Trojan.Hosts, данные вредоносные программы после заражения системы перенаправляют пользователя на страницы, которые генерирует локально устанавливаемый на компьютере веб-сервер. В этом случае злоумышленники облегчают себе задачу нахождения хостера, который не удалит вредоносный сайт со своих адресов до заражения компьютера пользователя-жертвы.

<h4 style="font-style:italic;">3. Шифровальщики данных. Trojan.Encoder</h4>

В 2010 году появилось множество новых модификаций троянцев-шифровальщиков, целью которых являются документы пользователей. После того как троянец зашифровывает документы, выводится информация о том, что за расшифровку необходимо отправить деньги злоумышленникам. В подавляющем большинстве случаев специалисты компании «Доктор Веб» оперативно разрабатывают утилиты, с помощью которых можно расшифровать пользовательские данные, но, поскольку это возможно не всегда и злоумышленники требуют за расшифровку значительные суммы денег, Trojan.Encoder занимает третью строчку нашей десятки.

<h4 style="font-style:italic;">2. Блокировщики Windows. Trojan.Winlock</h4>

Второе место по праву занимают классические блокировщики Windows, которые держат в напряжении пользователей и специалистов антивирусных компаний с осени 2009 года. К блокировщикам Windows относят вредоносные программы, которые выводят окно (блокирующее другие окна) с требованиями злоумышленников. Таким образом, пользователь лишается возможности работать за компьютером, пока не заплатит за разблокировку. В течение уходящего года специалисты компании «Доктор Веб» фиксировали несколько пиков распространения «винлоков», но активное распространение новых модификаций таких вредоносных программ продолжается и сейчас.

<h4 style="font-style:italic;">1. Банковские троянцы. Trojan.PWS.Ibank, Trojan.PWS.Banker, Trojan.PWS.Multi</h4>

Первое место «хит-парада» компании «Доктор Веб», состоящего из средств вооружения кибермошенников, присуждается банковским троянцам. К данной категории вредоносных программ относятся те из них, которые ориентированы на получение неавторизованного доступа злоумышленников к счетам физических и юридических лиц посредством систем дистанционного банковского обслуживания. Последние сейчас стремительно набирают популярность, и преступники стремятся этой популярностью воспользоваться. Вероятно, в 2011 году мы станем свидетелями смещения сферы интересов интернет-мошенников с частных пользователей на юридических лиц, на счетах которых сосредоточены куда более значительные суммы денег.

Статистическая информация по обращениям пользователей

Приведем несколько графиков, показывающих динамику обращений пользователей по проблемам интернет-мошенничества в 2010 году.

На первом графике показано среднесуточное количество обращений пользователей в бесплатную техподдержку компании «Доктор Веб» по случаям интернет-мошенничества. Из него видно, что в июне, когда была открыта бесплатная поддержка по интернет-мошенничеству, ежедневно к ней обращались около 400 пользователей. К августу активность распространения новых типов вредоносных программ, используемых для мошенничества, несколько снизилась. Но ближе к концу года количество запросов снова стало расти, что было связано с переходом мошенников на новые схемы монетизации доходов, которым противодействовать сложнее.

На втором графике отображено процентное соотношение количества обращений пользователей по поводу мошеннических вредоносных программ, в которых используются различные схемы монетизации дохода. Синей линией показаны обращения по программам, требующим отправить платное СМС-сообщение, а красной — положить деньги на счет мобильного телефона, принадлежащего злоумышленникам. Из графика видно, что в ноябре 2010 года произошел переломный момент, начиная с которого злоумышленники чаще используют вторую схему.

Третий график более детально показывает процентное соотношение общего числа обращений и количества случаев, при которых злоумышленники требовали положить деньги на счет мобильного телефона посредством терминала оплаты. Синяя и красная линии соответствуют двум популярным сотовым операторам. К декабрю уходящего года злоумышленники переключились на новый вариант той же схемы передачи денег на счета мобильных телеофнов злоумышленников — зеленой линией показана схема, зафиксированная в ноябре 2010 года и активно применяющаяся в декабре. Согласно ей пользователю-жертве предлагается отправить деньги на счет мобильного телефона посредством СМС-сообщения. По удобству такая схема ничем не уступает классической схеме с отправкой СМС-сообщений, но при этом злоумышленникам не нужно заключать договоры с агрегаторами коротких номеров сообщений и становиться их субпартнерами.

Другие заметные события 2010 года

Среди других заметных событий 2010 года можно отметить появление первого 64-битного руткита семейства BackDoor.Tdss, который заражал 64-битные ОС Windows посредством буткит-составляющей. Использование буткитов в многокомпонентных вредоносных программах принимает все более масштабные формы.

Также можно отметить возросшее число вредоносных программ для Android и других мобильных систем. Компания «Доктор Веб» отвечает на эту ситуацию оперативным выпуском новых антивирусных продуктов для наиболее популярных мобильных систем.

Пользователям по-прежнему рекомендуется соблюдать элементарные правила информационной безопасности, а именно обновлять в автоматическом режиме используемую операционную систему и другое постоянно используемое ПО, установить и в автоматическом режиме обновлять антивирусную программу, использовать альтернативные интернет-браузеры, не работать в системе, особенно подключенной к Интернету, с правами администратора.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

:D Супер откопипастили! Почти не отличить от оригинала :P Может проще было просто указать источник после первого же предложения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Может проще было просто указать источник после первого же предложения?

Обычно так примерно и делается...

Но в "Горячей ленте угроз" обычно публикуется текстовая версия.

Будьте снисходительны, Бот старался, тем более "ленты" уже давно не было. :)

Супер откопипастили!

Не всё скопировано - нет графиков, а без этого ценность изложенного несколько принижается.

Интересно было бы сравнить этот «хит-парад» с «хит-парадом» от ЛК и других вендоров. :)

Чуть раньше был «хит-парад» от Panda и миниобзор от McAfee.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Интересно было бы сравнить этот «хит-парад» с «хит-парадом» от ЛК и других вендоров. :)

Ну так кое-что давно уже опубликовано:

http://www.securelist.com/en/analysis/2047...ctions_for_2011

более полный годовой отчет с развернутыми данными и статистикой - выйдет в конце января

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
давно уже опубликовано... более полный годовой отчет с развернутыми данными и статистикой - выйдет в конце января

ОК. Спасибо. Мы подождём.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×