22 января 2014 года
Компания «Доктор Веб» — российский производитель антивирусных
средств защиты информации — представляет обзор вирусной активности по
итогам минувшего года. 2013 год можно назвать весьма непростым с точки
зрения угроз информационной безопасности. Как и в 2012 году, одной из
основных тенденций в сфере вирусной активности стало массовое
распространение троянцев-шифровальщиков, от действия которых пострадали
пользователи во многих странах мира. Заметно выросло число вредоносных
программ, предназначенных для демонстрации на компьютерах жертв
назойливой рекламы, также в четвертом квартале увеличилось количество
троянцев, ориентированных на добычу электронных криптовалют, таких как
Bitcoin и Litecoin. Значительно расширился и ассортимент вредоносных
программ, угрожающих пользователям мобильной платформы Google Android.
Вирусная обстановка
Согласно статистическим данным, собранным в течение года сиспользованием лечащей утилиты Dr.Web CureIt!, наиболее часто
встречающимися угрозами на компьютерах пользователей стали троянцы
семейства Trojan.Hosts. Так, самой распространенной вредоносной
программой в период с 1 января по 31 декабря 2013 года оказался
Trojan.Hosts.6815 — троянец, модифицирующий на инфицированном компьютере
системный файл hosts, который отвечает за трансляцию DNS-имен сайтов в
их сетевые адреса. В результате при попытке перейти на один из указанных
в данном файле сайтов браузер автоматически перенаправляется на
специально созданную злоумышленниками веб-страницу. Второе место в
годовом рейтинге угроз занимает рекламный троянец Trojan.LoadMoney.1 —
это приложение-загрузчик, распространяемый серверами партнерской
программы LoadMoney. Данная программа загружает и устанавливает на
компьютер жертвы различное нежелательное ПО. На третьем месте по числу
выявленных в течение года экземпляров расположился бэкдор
BackDoor.IRC.NgrBot.42 — вредоносная программа, хорошо известная
специалистам по информационной безопасности еще с 2011 года. Троянцы
этого семейства поддерживают связь с удаленным управляющим сервером по
протоколу IRC (Internet Relay Chat) и способны выполнять широчайший
спектр команд злоумышленников. Деструктивный функционал
BackDoor.IRC.NgrBot.42 позволяет уничтожить на инфицированном компьютере
загрузочную запись в случае нарушения целостности троянца, также эта
вредоносная программа способна блокировать доступ к сайтам антивирусных
компаний, перехватывать логины и пароли, используемые для авторизации на
различных веб-сайтах. BackDoor.IRC.NgrBot.42 инфицирует все
подключенные к компьютеру съемные носители, после этого троянец скрывает
папки на зараженном устройстве и создает вместо них ярлыки с
соответствующими именами, ссылающиеся на собственный исполняемый файл.
Таким образом, при попытке открытия любой директории на зараженном
устройстве пользователь запускает вредоносное приложение.
Двадцатка угроз, наиболее часто встречавшихся на компьютерах
пользователей по итогам 2013 года (согласно статистическим данным
лучащей утилиты Dr.Web CureIt!), показана в представленной ниже таблице.
| № | Название | % |
|---|---|---|
| 1 | Trojan.Hosts.6815 | 1.74 |
| 2 | Trojan.LoadMoney.1 | 1.38 |
| 3 | BackDoor.IRC.NgrBot.42 | 1.14 |
| 4 | Trojan.Mods.2 | 0.94 |
| 5 | Trojan.MayachokMEM.4 | 0.72 |
| 6 | Trojan.Hosts.6838 | 0.71 |
| 7 | Win32.HLLP.Neshta | 0.70 |
| 8 | Trojan.SMSSend.2363 | 0.69 |
| 9 | Trojan.Packed.24524 | 0.64 |
| 10 | Trojan.Redirect.140 | 0.64 |
| 11 | Trojan.Mods.1 | 0.57 |
| 12 | Trojan.Packed.24079 | 0.56 |
| 13 | Trojan.DownLoader9.19157 | 0.52 |
| 14 | Trojan.MayachokMEM.7 | 0.52 |
| 15 | Trojan.InstallMonster.38 | 0.50 |
| 16 | Win32.HLLW.Gavir.ini | 0.47 |
| 17 | Win32.Sector.22 | 0.46 |
| 18 | Trojan.StartPage.48148 | 0.44 |
| 19 | Trojan.Zekos | 0.43 |
| 20 | BackDoor.Maxplus.24 | 0.40 |
Ботнеты
В течение года специалисты компании «Доктор Веб» отслеживалиактивность нескольких бот-сетей, организованных злоумышленниками с
использованием троянских программ и файловых вирусов. Одна из них во
втором полугодии практически прекратила свое существование. В то же
самое время отдельные ботнеты все еще не только продолжают действовать,
но и активно наращивают свою численность.
Так, вирусные аналитики «Доктор Веб» еще с сентября 2011 года
наблюдают за активностью двух бот-сетей, организованных злоумышленниками
с использованием многокомпонентного файлового вируса Win32.Rmnet.12.
Данный вирус обладает возможностью саморазмножения без участия
пользователя. Попав на инфицированный компьютер, он заражает исполняемые
файлы, кроме того, он обладает возможностью выполнять поступающие с
удаленного сервера команды (в том числе на уничтожение операционной
системы), а также осуществлять кражу паролей от популярных FTP-клиентов.
Помимо прочего, Win32.Rmnet.12 позволяет злоумышленникам осуществлять
так называемые веб-инжекты — встраивать в просматриваемые веб-страницы
посторонний контент, перенаправлять пользователя на указанные
злоумышленниками сайты, а также передавать на удаленные узлы содержимое
заполняемых жертвой форм.
К концу апреля 2013 года общее количество компьютеров, на которых
было когда-либо зафиксировано присутствие файлового вируса
Win32.Rmnet.12, составило 9 232 024, увеличившись за первые три месяца
на 2,5 млн. Безусловно, определенное число ПК постепенно «излечивалось»
от угрозы, однако к ботнету непрерывно присоединялись все новые и новые
инфицированные машины. В мае среднее число активно действующих ботов в
обеих подсетях Win32.Rmnet.12 составляло 1 078 870 единиц, при этом к
ботнету присоединялось в совокупности порядка 25 000 зараженных
компьютеров ежесуточно. Динамика прироста численности двух отслеживаемых
специалистами «Доктор Веб» подсетей Win32.Rmnet.12 показана на
представленных ниже диаграммах.
Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 1-я подсеть
Читать далее >>>>
Твиты пользователя @13mefisto13
Комментариев нет:
Отправить комментарий