Рейтинг вредоносных программ за август 2010: червь Conficker начал сдавать позиции

Рейтинг вредоносных программ за август 2010: червь Conficker начал сдавать позиции

Компания Eset опубликовала рейтинг самых распространенных интернет-угроз, выявленных специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net в августе 2010 г.



По данным Eset, статистические данные вредоносного ПО в прошедшем месяце претерпели значительные изменения. Резкое падение активности червя Conficker привело к тому, что угрозой номер один в мире стало уже давно известное семейство злонамеренных программ INF\Autorun. Данный класс ПО использует для проникновения на компьютер пользователя функцию автозапуска Windows Autorun и распространяется на сменных носителях. Доля заражений INF\Autorun составила 7,76% по миру, что на 1,86% больше показателей августа. Наиболее подверженными этой инфекции стали ЮАР (10,48% от общего количества угроз), Израиль (5,66%), Австрия (3,58%) и Словакия (3,45%).

На втором месте рейтинга мировых угроз расположился червь Conficker. К концу лета его активность начала снижаться, и в августе доля распространения достигла абсолютного минимума за все время его присутствия в десятке – 4,89%, что на 7,58% меньше, чем месяц ранее. Основные очаги инфекций сохранились на Украине (6,98%), в ОАЭ (3,83%) и Польше (2,48%).

Замыкают тройку лидеров кейлогеры Win32/PSW.OnLineGames, используемые хакерами для кражи аккаунтов игроков многопользовательских онлайн-игр. Уровень распространения этой угрозы составил 3,82%, что на 0,17% выше показателей прошлого месяца. В числе пострадавших от заражения – пользователи из Словакии (3,36%) и Турции (4,09%).

В целом августовская десятка самых распространенных угроз в мире выглядит следующим образом:
INF/Autorun 7,76%
Win32/Conficker 4,89%
Win32/PSW.OnLineGames 3,82%
Win32/Tifaut 2,56%
INF/Conficker 1,61%
Win32/Agent 1,25%
JS/TrojanClicker.Agent.NAZ 1,20%
HTML/ScrIngect.B 1,12%
Win32/Autorun.IRCBot.CX 0,87%
Win32/TrojanDownloader.Bredolab 0,75%

Изменилась картина угроз и в российской двадцатке самого распространенного вредоносного ПО. Лидер июля, семейство троянских программ, предназначенных для кражи личных данных пользователя, Win32/Agent, с показателем в 2,15% переместился на четвертое место, снизив долю присутствия в регионе на 3,38%. Однако увеличилось количество срабатываний эвристических технологий антивирусных продуктов Eset на вредоносные программы со схожим злонамеренным кодом, что отражено в статистике с 14 по 16 место.

Главной угрозой августа вновь стала троянская программа Win32/Spy.Ursnif.A, которая крадет персональную информацию и учетные записи с зараженного компьютера и отправляет их на удаленный сервер. Кроме того, троян может распространяться в составе другого вредоносного ПО. Процент проникновения Spy.Ursnif в России составил 4,38%.

Семейство INF\Autorun также угрожает безопасности компьютеров и российских пользователей. Несмотря на незначительное падение доли его распространенности в регионе, на 0,43%, данная вредоносная программа прочно занимает лидирующие позиции в рейтинге. В августе доля присутствия INF\Autorun составила 4,31%. А общий процент проникновения всех модификаций этой угрозы – 5,50%. При этом значительно сдал позиции Conficker. Самой распространенной модификацией червя в России стал Win32/Conficker.AA с показателем 2,26%. Общая доля распространенности угрозы на локальном уровне упала в два раза и составила 5,25%.

В августе аналитики Eset также наблюдали рост заражения программами класса Win32/Hoax.ArchSMS, который переместился на 6 место российского рейтинга. Доля злонамеренного ПО составила 1,83%, что выше на 0,61% показателей прошлого месяца. Цели злоумышленников, которые распространяют данное вредоносное ПО, заключаются в вымогательстве денег за установку скачанного пользователем приложения, пояснили в Eset. При этом появляется окно с просьбой отправить SMS на короткий номер. Распространяется данная угроза под видом различного популярного ПО.

Интересным фактом является наличие срабатываний продуктов Eset на эксплойт HTML/Exploit.CVE-2010-1885 (1,22%), который атакует компьютер через уязвимость в механизме проверки обращений к Microsoft Windows Help Centre, отметили в компании. Несмотря на то, что данная уязвимость уже давно закрыта, распространение этой вредоносной программы по-прежнему велико.

В целом же двадцатка наиболее распространенных в России вредоносных программ за август 2010. включает:
Win32/Spy.Ursnif.A 4,38 %
INF/Autorun 4,31%
Win32/Conficker.AA 2,26%
Win32/Agent 2,15%
Win32/Tifaut.C 1,93%
Win32/Hoax.ArchSMS.NAB 1,83%
HTML/Scrlnject.B.Gen 1,66%
INF/Conficker 1,65%
Win32/Conficker.X 1,56%
Win32/Spy.Delf.OKR 1,28%
INF/Autorun.Gen 1,19%
Win32/Toolbar.AskSBar. 0,96%
Win32/Packed.Themida 0,92%
Win32/Agent.IYWNKWQ 0,86%
Win32/Agent.JZTPTU 0,86%
Win32/Agent/MNCSFF 0,86%
HTML/Exploit.CVE-2010-1885 0,78%
Win32/Adware.ADON 0,77%
Win32/Packed.VMProtect.AAA 0,75%
Win32/Conficker.Gen 0,73%

Согласно отчету Eset, доля России от общего обнаружения мировых угроз в августе составила 7,80%. При этом процент уникальных угроз от мирового рейтинга составил 2,80%.

«Возросшую в мировом рейтинге активность семейства Win32/PSW.OnLineGames можно связать с выходом громких релизов онлайн-игр, – считает Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства Eset. – В России в этом месяце мы наблюдаем значительный рост количества вредоносных программ семейства Win32/Hoax.ArchSMS, которое характерно только для нашего региона. Возможно, киберпреступники ищут новые схемы монетизации, и эта схема мошенничества стала заменой для программ-блокираторов».

Источник

Хакеры угоняют WhatsApp руководителей и требуют перевести деньги

Мошенничество с письмом от директора вышло на новый уровень. Теперь злоумышленники не просто подделывают имя руководителя в письме, они перехватывают его WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) и рассылают сообщения от лица настоящего владельца аккаунта.

Новую схему, получившую название Boss Scam, описали специалисты, расследующие киберинциденты. Она сочетает социальную инженерию, технику сторонней загрузки DLL и кражу сессий WhatsApp Web.

Всё начинается с сообщения, якобы отправленного от имени регулятора или госоргана. Жертве предлагают срочно ознакомиться с документами или выполнить требования, прикладывая ZIP-архив. Внутри — исполняемый файл и DLL-библиотека. После запуска Windows автоматически подгружает вредоносную DLL, позволяя малвари закрепиться в системе.

 

Дальше цель меняется. Вместо шифрования файлов или уничтожения данных злоумышленников интересует активная сессия WhatsApp Web. Если она найдена, атакующие получают возможность читать переписку и отправлять сообщения от имени руководителя, не обходя двухфакторную аутентификацию на смартфоне.

Именно здесь начинается самое опасное. Финансовый отдел получает вполне привычное сообщение от генерального директора с просьбой срочно перевести деньги или изменить банковские реквизиты. Поскольку сообщение приходит с настоящего аккаунта, доверие к нему значительно выше, чем к обычному фишинговому письму.

В некоторых вариантах атаки вредонос также изменяет локальные контакты на заражённом компьютере, подменяя номер злоумышленника именем руководителя. Это помогает сохранить иллюзию подлинности даже после завершения угнанной веб-сессии.

Эксперты предупреждают, что атака нацелена не столько на ИТ-инфраструктуру, сколько на бизнес-процессы компаний. Поэтому защититься одним антивирусом не получится.

Специалисты рекомендуют подтверждать любые срочные платежные поручения через независимый канал связи (например, по телефону или лично), не запускать неизвестные EXE-файлы из мессенджеров, контролировать подключенные устройства в WhatsApp Web, а также отслеживать подозрительную загрузку DLL и попытки кражи пользовательских токенов.

RSS: Новости на портале Anti-Malware.ru