Послепраздничное затишье: вирусные угрозы января 2011 года
16.02.11, Москва
Новый, 2011 год на вирусном фронте начался с относительного затишья, почти никаких «праздничных» сюрпризов не наблюдалось. В январе, как и ранее, доминировали вредоносные программы, направленные на прямое получение прибыли посредством вымогательства и кражи паролей к учетным записям систем дистанционного банковского обслуживания и электронных денежных систем.
Троянцы-шифровальщики
В начале года появились новые модификации троянцев, которые при заражении системы шифруют документы пользователей и предлагают расшифровать их при помощи специальной утилиты — разумеется, небесплатной.
В частности, в январе в вирусную базу Dr.Web были добавлены модификации Trojan.Encoder.94 и Trojan.Encoder.96.
Напоминаем, что неквалифицированные действия пользователей в случае шифрования файлов могут нанести данным непоправимый вред. Категорически не рекомендуется производить процедуры, связанные с восстановлением системы, удалять временные системные файлы или очищать кэш интернет-браузера, так как это может привести к невозможности восстановления файлов.
Кроме того, для расшифровки не рекомендуется использовать первую попавшуюся утилиту — высок риск испортить файлы окончательно. Вместо этого имеет смысл обратиться в вирусную лабораторию «Доктор Веб» с запросом помощи в лечении, выбрав в категории запроса «Запрос на лечение» и приложив несколько пар документов — в зашифрованном и незашифрованном виде.
Блокировщики Windows
В январе блокировщики Windows продолжили свое распространение, причем эти вредоносные программы стали более разнообразными. Вместе с новыми типами блокировщиков продолжили распространение и те, что были на слуху в предыдущие месяцы.
Если в последние несколько месяцев злоумышленники требовали за разблокировку системы в среднем 300–400 рублей, то в конце января получил распространение новый тип блокировщиков, требующих перечислить на счет мобильного телефона злоумышленников от 600 до 800 рублей.
Также в конце января было зафиксировано распространение блокировщиков Windows через блог-платформу LiveJournal (широко известную в России как ЖЖ). Получив комментарий в блоге и щелкнув по ссылке в нем, пользователь попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом. Там жертве мошенничества предлагается загрузить EXE-файл, за которым скрывается Trojan.Winlock. Ниже представлена галерея изображений наиболее распространенных в январе блокировщиков Windows.
Общая статистика интернет мошенничества в январе
За прошедший месяц в среднем в сутки по случаям интернет-мошенничества в бесплатную техническую поддержку компании «Доктор Веб» обращалось 178 пользователей, что на 8% больше, чем в декабре 2010 года.
Количество обращений, связанных с вредоносными программами, требующими положить деньги на счет мобильного телефона злоумышленника, увеличилось до 80% (в ноябре количество таких обращений составило 60%, а в декабре — 70% от всех обращений).
При этом количество обращений по троянцам, требующим пополнить счет мобильного телефона с использованием соответствующих СМС-сервисов сотовых операторов, а не терминалов оплаты, увеличилось с 23% в декабре до 43% в январе.
Количество обращений по вредоносным программам, требующим отправить платное СМС-сообщение, продолжает снижаться и в январе 2011 года составило лишь 15% всех обращений.
Банковские бот-сети
Продолжают свое распространение клиенты бот-сетей, направленных на российских пользователей систем дистанционного банковского обслуживания и электронных денежных систем. Как правило, каждая модификация такого клиента направлена одновременно на множество целей, одна из которых может оказаться на зараженном компьютере.
Специалисты фиксируют активность нескольких подобных бот-сетей, в частности WinSpy и IBank. Зараженные компьютеры по команде злоумышленников время от времени обновляют компоненты, которые составляют так называемую «полезную нагрузку» бот-сети. Обновление этих компонентов объясняется тем, что мошенники вынуждены противодействовать антивирусам, которые установлены на компьютерах пользователей, а также обусловлено меняющимися конкретными целями злоумышленников.
Среди других угроз января можно отметить продолжение распространения в Западной Европе лжеантивирусов. На этот раз в «топе» таких ложных антивирусных программ находились System Tool 2011 и Antivirus Scan. Англоязычные пользователи Facebook также находятся под ударом — через спам-сообщения в этой социальной сети во второй половине прошедшего месяца зафиксировано распространение троянца Trojan.MulDrop1.62295 под видом «сюрприза» от другого пользователя соцсети.
Вредоносные файлы, обнаруженные в январе в почтовом трафике
01.01.2011 00:00 - 01.02.2011 00:00 | ||
1 | Trojan.DownLoad1.58681 | 592254 (9.31%) |
2 | Trojan.Packed.20878 | 426750 (6.71%)) |
3 | Trojan.Oficla.zip | 313652 (4.93%) |
4 | Trojan.MulDrop.64589 | 311774 (4.90%) |
5 | Trojan.DownLoad.41551 | 271184 (4.26%) |
6 | Trojan.Packed.20312 | 261419 (4.11%) |
7 | Trojan.Oficla.38 | 148062 (2.33%) |
8 | Win32.HLLM.Beagle | 52785 (1.85%) |
9 | Trojan.AVKill.2788 | 39496 (1.78%) |
10 | Trojan.PWS.Panda.114 | 95805 (1.51%)) |
11 | Trojan.PWS.SpySweep.17 | 92209 (1.45%) |
12 | W97M.Killer | 87092 (1.37%) |
13 | Trojan.MulDrop1.54160 | 73523 (1.16%) |
14 | Trojan.DownLoader1.17157 | 69678 (1.10%) |
15 | Win32.HLLW.Autoruner.35407 | 60963 (0.96%) |
16 | Trojan.PWS.Panda.387 | 52532 (0.83%) |
17 | Trojan.Oficla.48 | 52257 (0.82%) |
18 | Trojan.Oficla.73 | 52254 (0.82%) |
19 | Trojan.AVKill.3097 | 46052 (0.72%) |
20 | Win32.HLLM.MyDoom.54464 | 45653 (0.72%) |
Всего проверено: | 56,551,758,514 |
Инфицировано: | 6,363,080 |
Вредоносные файлы, обнаруженные в январе на компьютерах пользователей
01.01.2011 00:00 - 01.02.2011 00:00 | ||
1 | Win32.HLLP.Whboy.45 | 27057874 (43.80%) |
2 | Win32.HLLP.Neshta | 13487529 (21.83%) |
3 | Win32.HLLP.Whboy.105 | 4525965 (7.33%) |
4 | Win32.HLLP.Rox | 2224917 (3.60%) |
5 | Win32.Siggen.8 | 1583325 (2.56%) |
6 | Win32.HLLP.Novosel | 1582034 (2.56%) |
7 | Win32.Antidot.1 | 1003419 (1.62%) |
8 | Trojan.Packed.21230 | 558842 (0.90%) |
9 | Win32.HLLP.Whboy | 396674 (0.64%) |
10 | Win32.Sector.22 | 338383 (0.55%) |
11 | Trojan.MulDrop.54146 | 285091 (0.46%) |
12 | JS.Nimda | 279705 (0.45%) |
13 | Win32.Virut.56 | 274936 (0.45%) |
14 | Win32.Virut.5 | 271705 (0.44%) |
15 | ACAD.Pasdoc | 260004 (0.42%) |
16 | Win32.HLLW.Shadow.based | 259855 (0.42%) |
17 | Trojan.DownLoad.32973 | 246686 (0.40%) |
18 | Trojan.MulDrop1.48542 | 243739 (0.39%) |
19 | Win32.Sector.21 | 208654 (0.34%) |
20 | Win32.Gael.3666 | 178199 (0.29%) |
Всего проверено: | 127,566,192,623 |
Инфицировано: | 61,779,350 |
Источник: ООО «Доктор Веб»