Программы-похитители персональных данных по-прежнему во главе российской вирусной двадцатки

Программы-похитители персональных данных по-прежнему во главе российской вирусной двадцатки

Компания Eset, публиковала рейтинг самых распространенных интернет-угроз, выявленных специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net в июне 2011 г.



По данным Eset, тройка лидеров рейтинга угроз в России в прошедшем месяце по сравнению с маем текущего года изменилась несущественно. Самой распространенной угрозой в России на протяжении последних месяцев продолжает оставаться класс вредоносных программ Win32/Spy.Ursnif.A, которые крадут персональную информацию и учетные записи с зараженного компьютера, а затем отправляют их на удаленный сервер (4,12% распространения в регионе). Также остается довольно опасным семейство злонамеренного ПО INF/Autorun (3,38%), основанное на механизмах эвристического обнаружения вредоносных программ, которое распространяется через заражение сменных носителей.

Программы, которые перенаправляют пользователей на вредоносные веб-ресурсы, стали заметно активнее в российском регионе за последнее время. Как правило, это вредоносные веб-сценарии, реализованные на языке JavaScript, отметили в Eset. На третьем и четвертом местах российской двадцатки расположилось злонамеренное ПО HTML/Iframe.B.Gen (2,89%) и HTML/Iframe.B.Gen (2,16%), перенаправляющее пользователя на ресурс, который содержит определенный набор эксплойтов. Также в этом месяце увеличился процент проникновения троянов Win32/Qhost (0,93%), которые модифицируют системный файл hosts, перенаправляя пользователей на фишинговые сайты.

В целом российский рейтинг самых распространенных угроз в июне 2011 г. выглядит следующим образом:
Win32/Spy.Ursnif.A 4,12%
INF/Autorun 3,38%
HTML/Iframe.B.Gen 2,89%
HTML/ScrInject.B.Gen 2,16%
Win32/Packed.ZipMonster.A 1,41%
INF/Autorun.Gen 1,27%
Win32/Conficker.AA 1,33%
Win32/Conficker.AA 1,11%
INF/Autorun.Sz 1,06%
Win32/Conficker.X 0,95%
Win32/Tifaut.C 0,94%
JS/Exploit.Pdfka.OXB.Gen 0,94%
Win32/Qhost 0,93%
Win32/Hoax.ArchSMS.JE 0,84%
Win32/HackKMS.A 0,83%
JS/Kryptik.AX 0,74%
Win32/Toolbar.AskSBar 0,73%
JS/Agent.NCX 0,68%
Win32/Toolbar.Rubar 0,60%
Win32/AutoRun.KS 0,54%

«Помимо вредоносных программ, не вошедших в нашу статистику, стоит отметить факт роста распространения вредоносных программ для 64-битных операционных систем Microsoft Windows, — сообщил Александр Матросов, директор Центра вирусных исследований и аналитики компании Eset. — Ранее технологии внедрения и обход механизмов проверки цифровой подписи для модулей ядра системы до сих пор активно использовались только в Win64/Olmarik (TDL4). Однако сейчас мы имеем уже несколько активных семейств, в частности, Win64/Rovnix, Win64/TrojanDownloader.Necurs, Win64/Spy.Banker, которые активно используют схожие буткит-технологии для обхода защитных механизмов операционной системы».

Доля России в мировом рейтинге стран по объему обнаруженных интернет-угроз в июне составила 8,93%. При этом процент уникальных угроз, которые приходятся на регион, также уменьшился по сравнению с маем на 0,05% и составил 3,01%.

Что касается мирового рейтинга самых распространенных угроз, то наиболее активным вредоносным ПО в июне по-прежнему остается семейство INF/Autorun (6,58%). Второе место сохраняет за собой червь Win32/Conficker с долей распространенности в 3,61%. Замыкают тройку лидеров трояны-кейлоггеры Win32/PSW.OnLineGames. Их показатель проникновения составил 1,92%.

В целом мировой рейтинг самых распространенных угроз июня включает в себя:
INF/Autorun 6,58%
Win32/Conficker 3,61%
Win32/PSW.OnLineGames 1,92%
Win32/Sality 1,88%
HTML/StartPage.NAE 1,78%
JS/Redirector 1,59%
HTML/Iframe.B 1,56%
Win32/Autoit 1,28%
Win32/Bflient.K 1,22%
Win32/Autorun 0,89%

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru