Обзор вирусной обстановки за июль 2008 года от компании «Доктор Веб»

Давно минули времена громких вирусных эпидемий. Сегодня борьба идет на «тихом» фронте – неслышно и незаметно для неискушенных пользователей. Июль стал подтверждением этого правила наших дней и этот обзор следовало бы назвать "обзором троянской активности", так как центральное место в нем занимают именно троянские программы разных мастей.

О троянских программах
Среди троянских программ, наиболее интересных с точки зрения анализа и разработки алгоритма лечения, можно назвать троянцев семейства Virtumod (в классификации других антивирусных вендоров Virtumonde/Vundo/Monder). Правда, пока их еще нельзя увидеть в победной десятке самых распространенных вредоносных программ, но в «дикой природе» они уже встречаются. Очень немногие антивирусы могут детектировать этих троянцев, и тем более эффективно лечить. Причина – в применяемых автором этого семейства троянцев алгоритмах "работы". Вирусописатель активно и планомерно разрабатывает 3-4 направления развития полиморфного упаковщика, при этом за последние месяцы было выпущено более 10 модификаций, и каждое направление насчитывает около десятка тысяч образцов. Эти данные подтверждаются не только коллекцией Dr.Web, но и коллекциями других компаний, а также постоянным потоком образцов с сервера online-проверки на вирусы.

Virtumod - далеко не единственный активный представитель «off-line полиморфизма», и можно уверенно сказать, что без целенаправленного технологического развития противодействия данному направлению, без разработки универсальной технологии, которая позволила бы быстро добавлять детектирование полиморфных упаковщиков в антивирусное ядро, довольно скоро ситуация может превратиться в патовую.

В последнее время активно распространяется еще один троянец – Trojan.Clb. Он содержит в себе руткит и прячет методом сплайсинга файлы на диске и определенные ветки реестра. Также стоит отметить Trojan.DnsChange.967, подменяющий DNS сервера на роутерах, предоставляющих возможность конфигурирования через web-интерфейс. Это особенно опасно для пользователей беспроводных сетей, роутеры которых часто конфигурируются через веб-интерфейс. Пользователи такого беспроводного сервиса, например, работающие через точку доступа Wi-Fi, вполне могут оказаться жертвами подмены DNS, в результате чего их конфиденциальные данные утекут совершенно в неизвестном для них направлении.

Достаточно неприятным сюрпризом может стать попадание на ПК пользователей представителя семейства Trojan.Okuks. Детектирование его не представляет проблем для большинства антивирусов, чего нельзя сказать о лечении. Если используемая антивирусная программа некорректно вылечит инфицированную троянцем систем – удалит файл, но не вылечит при этом реестр, – после перезагрузки пользователя ожидает вечный BSOD.

О лидерах
Вернее, об одном «лидере», который с переменным успехом путешествует по первой «вирусной десятке» и не собирает сдавать свои позиции. Речь о червях семейства Autoruner, в избытке присылаемых в компанию «Доктор Веб» для проверки онлайн-сканером.

Транспортом для распространения этих червей стали привычные в быту и в офисах флэш-накопители. Их применение сейчас стало поистине повсеместным, сотрудники ездят с ними в командировки и работают дома. Но кроме удобств и повышения производительности, они несут и большую опасность, т.к. вирусы всё чаще атакуют и распространяются именно с помощью этих устройств. Самое любопытное заключается в том, что объектами атаки этого червя становятся не только традиционные устройства "флэш-памяти", но и любые другие устройства, которые можно подключить к компьютеру через порт USB - фотоаппараты, видеокамеры, мобильные телефоны, цифровые фоторамки. На сервере статистики компании "Доктор Веб", отражающем глобальную вирусную обстановку на защищаемых антивирусами Dr.Web серверах, червь семейства Autoruner занимает в июле лидирующую позицию.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru