Российские «винлоки», европейские «банкиры» и другие угрозы июня 2010 года

06 июля 2010

06.07.10, Москва

Блокировщики Windows продолжают оставаться одной из основных вирусных угроз 2010 года в России. Причем до 30% трафика блокировщиков в июне составили те разновидности, которые требуют пополнить счёт мобильного телефона злоумышленника через терминал. Завсегдатаи социальных сетей также находятся под ударом – при попытке зайти на свои любимые сайты они могут получить сообщение о блокировке аккаунта с требованием отправить платное SMS-сообщение. Тем временем в Европе в течение первого летнего месяца распространялись банковские троянцы, вынуждавшие клиентов банков отправлять злоумышленникам TAN-коды. Эти коды используются некоторыми банками для однократной авторизации транзакций – но даже такие меры предосторожности со стороны банков не всегда спасают доверчивых пользователей от ущерба, наносимого злоумышленниками.

Социальные сети – лакомый кусочек для злоумышленников

Многие пользователи сообщают о том, что не могут зайти на сайты социальных сетей и бесплатных служб электронной почты – при попытке захода выводится сообщение о том, что аккаунт заблокирован, например, за рассылку спама, и для восстановления доступа требуется отправить SMS-сообщение. Вредоносные программы, ответственные за такие сообщения, определяются Dr.Web как Trojan.Hosts.

В конце июня пользователи сообщали о том, что стали появляться и такие модификации Trojan.Hosts, которые, как и многие новые блокировщики Windows, требуют отправить деньги злоумышленникам посредством терминалов.

Пользователи интернет-банкинга под угрозой

Из Европы в июне поступали сообщения о широком распространении вредоносных программ, нацеленных на клиентов банков, которые используют системы интернет-банкинга. В частности, пострадали пользователи австрийского банка Volksbank и немецкого Postbank.

Для повышения безопасности интернет-операций со счетами данные банки используют систему TAN-кодов, уникальных для каждой транзакции. Таким образом, в руки злоумышленникам не может попасть единый PIN-код, соответствующий банковской карточке. Но киберпреступники имеют в своём арсенале способ обойти и эту защиту. Так, пользователи, чьи компьютеры заражены такими банковскими троянцами (по классификации Dr.Web это Trojan.PWS.Banker и Trojan.PWS.Bancos), при попытке воспользоваться системами интернет-банкинга получали сообщения о необходимости ввести TAN-коды, которые и попадали в руки злоумышленников.

При посещении сайтов интернет-банкинга, на которые ориентирован данный троянец, программа определяла, какой из браузеров используется, и активизировалась только в случае если это был Internet Explorer. Это лишний раз свидетельствует о том, что пользователи альтернативных браузеров на сегодняшний день могут обеспечить себе более высокий уровень безопасности в Сети.

Среди общих тенденций июня также можно отметить сохраняющуюся активность бот-сети Oficla – в июньской двадцатке наиболее часто встречающихся в почтовом трафике вредоносных программ различные модификации Trojan.Oficla занимают сразу 4 позиции. Также стоит упомянуть заметное количество скриптов, определяемых Dr.Web как JS.Redirector.based.3. Эти скрипты определялись в многочисленных HTML-документах, приложенных к спам-сообщениям. При открытии такого вложения пользователь перенаправлялся либо на ресурсы, распространяющие вредоносные программы, либо на сайты с рекламой, как правило – медицинских препаратов.

Вредоносные файлы, обнаруженные в июне в почтовом трафике

01.06.2010 00:00 - 01.07.2010 00:00

1

Trojan.DownLoad1.58681

94881 (10.75%)

2

Trojan.Oficla.38

90647 (10.27%)

3

Trojan.Winlock.1651

73241 (8.30%)

4

Trojan.Oficla.zip

53192 (6.03%)

5

JS.Redirector.based.3

49394 (5.60%)

6

Trojan.Oficla.45

36125 (4.09%)

7

Trojan.Inject.8798

32974 (3.74%)

8

Win32.HLLW.Shadow.based

31944 (3.62%)

9

Trojan.Botnetlog.zip

28964 (3.28%)

10

Trojan.Packed.20425

22365 (2.53%)

11

Trojan.DownLoad1.62000

22311 (2.53%)

12

Trojan.Click1.10425

22229 (2.52%)

13

Win32.HLLW.Kati

16839 (1.91%)

14

Trojan.Inject.8874

12293 (1.39%)

15

Trojan.DownLoader.origin

10000 (1.13%)

16

Trojan.Siggen1.41503

9198 (1.04%)

17

Trojan.Oficla.33

7436 (0.84%)

18

Trojan.Packed.436

6902 (0.78%)

19

Win32.HLLW.Shadow.6

6765 (0.77%)

20

Win32.HLLW.Autoruner.4360

5299 (0.60%)

Всего проверено:13,188,581,400
Инфицировано:847,004 (0.0642%)
7
;