Обзор обстановки за февраль 2009 года от компании «Доктор Веб»

05 марта 2009

5 марта 2009 года

Компания «Доктор Веб» представляет обзор вирусной активности в феврале 2009 года. После традиционных январских «каникул» кибер-преступники вновь принялись за дело. За последний месяц значительно выросло число вредоносных программ, с помощью которых пополняется число компьютеров, из которых состоят бот-сети. Кроме того, злоумышленники все чаще используют в Интернете схемы, близкие к «финансовым пирамидам».

Бот-сети

По-прежнему, большое количество вредоносных программ распространяется с целью увеличения числа так называемых зомби-компьютеров, из которых строятся гигантские бот-сети, охватывающие практически весь Интернет.. Такие сети называются бот-сетями. В качестве примера активно развивающихся в настоящее время бот-сетей можно привести такие как Tdss и Virut .

Рассмотрим подробно один из методов заражения, которые используют владельцы бот-сети Tdss . Через съёмные носители и в виде фальшивых кодеков для проигрывания видео-файлов на компьютер пользователя поступает и запускается вредоносный файл, который определяется Dr.Web как Win32.HLLW.Autoruner.4612 . После запуска вирус заражает все доступные жёсткие и съёмные диски, а затем создаёт свой второй компонент - вредоносный файл, который так же определяется как Win32.HLLW.Autoruner.4612 .

Для запуска данного компонента вирус создаёт модифицированную копию одной из системных библиотек, определяемая Dr.Web как Trojan.Starter.896 , а также осуществляется перезапуск одной из системных служб для того, чтобы система начала использовать модифицированную библиотеку.

Win32.HLLW.Autoruner.4612 является бэкдором, т.к. выполняет действия по команде злоумышленника незаметно от пользователя. К счастью, набор возможных действий данного бэкдора ограничен загрузкой и исполнением файлов, загружаемых с заранее подготовленного сервера. Передача файлов инициируется Win32.HLLW.Autoruner.4612 самостоятельно. В ответ на этот запрос сервер бот-сети Tdss передаёт зашифрованные данные, представляющие из себя исполняемые файлы и инструкции, необходимые для установки загружаемых вредоносных программ и их запуска.

Одной из загружаемых Win32.HLLW.Autoruner.4612 программ с сервера бот-сети Tdss является троянец Trojan.DnsChange.1008 . Данная вредоносная программа изменяет DNS-сервера на компьютере пользователя, что может привести как к перехвату пользовательского интернет-трафика, так и в целом к блокировке доступа в Интернет.

Владельцы бот-сети Virut для заражения компьютеров используют полиморфный файловый вирус Win32.Virut , который заражает исполняемые файлы Windows, а также записывает в конец HTML-документов специальный тег, с помощью которого при открытии такого документа активируется загрузка вредоносных программ с серверов бот-сети. Таким механизмом работы Win32.Virut объясняется его значительное присутствие в почтовом трафике – пользователи часто прикладывают HTML-документы к своим письмам, многие из которых оказываются заражёнными Win32.Virut , что выводит этот вирус на первые места в статистике вредоносного почтового трафика в условиях отсутствия крупномасштабных массовых рассылок писем с вредоносными вложениями.

Актуальная версия вредоносной программы Win32.Virut.56 использует несколько способов заражения исполняемых файлов в зависимости от их структуры, но в любом случае основное тело вируса всегда дописывается в конец файла, код вируса шифруется. При этом код расшифровщика вставляется в неиспользуемые участки заражённого файла и является полиморфным, т.е. отличается в различных заражённых файлах. Также в полиморфном коде вируса может прятаться код, заимствованный из заражённого файла, если вирусу это необходимо для осуществления процедуры заражения.

Win32.Virut.56 содержит в себе собственную реализацию IRC-клиента, с помощью которого данная вредоносная программа может получать команды по скачиванию и запуску других вредоносных программ на заражённом компьютере.

Вредоносные программы

В течение первой половины февраля 2009 года в почтовом трафике значительное количество вредоносных почтовых сообщений содержали ссылки на вредоносные сайты с якобы открытками, приуроченными ко дню Святого Валентина. На самом деле вместо открытки по ссылке пользователь скачивал одну из множества модификаций Trojan.Spambot – вредоносной программы, которая занимается несанкционированной рассылкой спама с заражённых компьютеров.



Авторы вредоносных программ в погоне за прибылью не всегда хорошо тестируют свои творения, в результате чего вирусописатель не получает деньги, на которые рассчитывает, но пользователь при этом всё равно теряет доступ к документам. Так Trojan.Encoder.36 записывает свой код к пользовательским документам, что приводит к невозможности их открыть. Но из-за ошибки, допущенной автором данной вредоносной программы, после порчи документов не выводится сообщение с контактными данными злоумышленника и параметрами электронного счёта, на который по задумке пользователи должны были отправлять денежные средства за расшифровку документов. Для восстановления файлов, испорченных Trojan.Encoder.36 достаточно просканировать их антивирусом Dr.Web.

В последние месяцы количество спам-рассылок с вредоносными вложениями значительно сократилось. Но и в настоящее время встречаются единичные рассылки подобного типа. В одной из спам-рассылок конца февраля сообщалось о том, что одна из фотографий пользователя была размещена в Интернете. Эта фотография якобы прикрепрелена к письму в виде zip-архива. В архиве расположен файл Foto_Jenna.Jpg[множество символов подчёркивания].exe, который определяется антивирусом Dr.Web как Trojan.DownLoad.9125 .

Спам

Авторы спам-рассылок всё чаще пользуются повышенным интересом населения к теме нестабильной финансовой обстановки. Всё чаще приходят сообщения, в которых предлагается поучаствовать в финансовых схемах, похожих на «финансовые пирамиды», либо предлагаются другие способы «быстро заработать в Интернете».

Многие предприятия в последние месяцы испытывают проблемы, связанные с недостаточностью заказов на выпускаемую продукцию или оказываемые услуги, поэтому всё чаще происходят рассылки, в которых предлагается «реклама в Интернете», которая на самом деле ограничивается рассылкой обычных спам-писем, содержащих рекламу. Именно благодаря подобным рекламным рассылкам во второй половине февраля 2009 года значительно увеличился общий поток спама, который при сохранении данной тенденции может уже в следующем месяце превысить уровень первой половины декабря прошлого года, до закрытия нескольких крупных спам-хостеров.

Что касается фишинга и других методов мошенничества, то в последнее время сократилось число подобных рассылок на английском языке. При этом увеличилось число локализованных сообщений. В частности, в феврале были замечены фишинг-рассылки, нацеленные на клиентов Правэкс-банка (Украина) и клиентов Raiffeisen Bank, находящихся в Румынии.



Вредоносные файлы, обнаруженные в феврале в почтовом трафике
01.02.2009 00:00 - 01.03.2009 00:00
1 Win32.Virut 13836 (18.60%)
2 Win32.HLLM.MyDoom.based 12512 (16.82%)
3 Trojan.MulDrop.18280 5777 (7.77%)
4 Trojan.MulDrop.13408 4829 (6.49%)
5 W97M.Thus 4276 (5.75%)
6 Trojan.MulDrop.16727 3896 (5.24%)
7 Win32.HLLM.Alaxala 3608 (4.85%)
8 Win32.HLLM.Netsky 2222 (2.99%)
9 Win32.HLLM.Beagle 2130 (2.86%)
10 Trojan.MulDrop.19648 1254 (1.69%)
11 Win32.HLLM.Netsky.35328 1142 (1.54%)
12 Win32.HLLM.Mailbot 1101 (1.48%)
13 Trojan.MulDrop.30412 1046 (1.41%)
14 Win32.HLLM.MyDoom.33 1020 (1.37%)
15 JS.Nimda 901 (1.21%)
16 BackDoor.Poison.78 821 (1.10%)
17 Trojan.MulDrop.17431 811 (1.09%)
18 Win32.Virut.5 804 (1.08%)
19 Win32.HLLW.Shadow.3 783 (1.05%)
20 Win32.HLLM.Netsky.based 651 (0.88%)

Всего проверено: 315,981,994
Инфицировано: 74,379 (0.02%)
Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей
01.02.2009 00:00 - 01.03.2009 00:00
1 Win32.HLLW.Gavir.ini 1556095 (15.68%)
2 Win32.HLLW.Shadow.based 560465 (5.65%)
3 VBS.Redlof 407678 (4.11%)
4 Win32.Alman 386225 (3.89%)
5 Exploit.PDF.56 353381 (3.56%)
6 Win32.HLLW.Autoruner.5555 341004 (3.44%)
7 Trojan.MulDrop.30306 281284 (2.83%)
8 Win32.Virut.5 268992 (2.71%)
9 Win32.HLLW.Recycler.3 251237 (2.53%)
10 Trojan.Packed.2352 247824 (2.50%)
11 Win32.Sector.17 214765 (2.16%)
12 Trojan.Starter.881 207379 (2.09%)
13 Win32.HLLM.Lovgate.2 142409 (1.43%)
14 Win32.HLLW.Autoruner.6126 138424 (1.39%)
15 Win32.HLLP.Jeefo.36352 125123 (1.26%)
16 Trojan.PWS.Wsgame.4983 114527 (1.15%)
17 Trojan.DownLoader.42350 113574 (1.14%)
18 Trojan.Siggen.2002 112159 (1.13%)
19 Win32.HLLP.Neshta 111203 (1.12%)
20 DDoS.Kardraw 109968 (1.11%)

Всего проверено: 68,834,531,277
Инфицировано: 9,924,181 (0.01%)
9
;