Сильный всплеск энергичности троянцев-шифровальщиков

a6a76eb6 intoks-edu.ru

Врач Web «Врач Web» продемонстрировал итоги вредной энергичности ноября.

В 1-й половине ноября 2012 года был замечен сильный всплеск энергичности троянцев-шифровальщиков, рассказала организация «Врач Web». Также в данном месяце обозначилась активизация почтовых рассылок, имеющих вредные вложения — по каналам электронной почты активно разносился Trojan.Necurs.97, а в самом начале месяца мошенники устроили групповую вредную рассылку с применением Skype.

Среди опасностей, детектированных в начале октября, лидером стал Trojan.Mayachok разных версий, при этом на дисках в большинстве случаев замечаются документы троянца BackDoor.IRC.NgrBot.42, которые он сообщает. На 2-ом месте по частоте обнаружений числятся документы, имеющие слабость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на 3-ем разместился Trojan.Mayachok.17994, а лидер летней вирусной статистики, Trojan.Mayachok.1, сместился на 4-ю позицию. Кроме остального, среди довольно часто встречающихся на ПК клиентов опасностей нужно отметить многие версии троянцев рода Trojan.SMSSend, и вредные платформы Win32.HLLP.Neshta, Trojan.Mayachok.17986, полиморфический файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201.

Знаменитый ботнет Backdoor.Flashback.39, который составляют зараженные ПК под регулированием ОС Mac OS X, на протяжении месяца снизился немного: по сведениям на 30 ноября популяция данного троянца составляет 105 730 зараженных «маков», тогда как на 30 октября количество инфицированных «макинтошей» не превосходило 109 372.

Как и ожидалось раньше, в октябре бот-сеть Win32.Rmnet.12 прошла по количеству инфицированных ПК пятимиллионную планку, а к концу месяца добилась 5-и с половиной млн зараженных рабочих станций, побив по ритмам прироста сентябрьский рекорд.

Файловый вирус Win32.Rmnet.12 наиболее обширно распространен в государствах Юго-Восточной Азии, но установлены ситуации инфицирования и на территории РФ — всего в России насчитывается 132 445 автомашин, зараженных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от совместной численности ботнета. При этом предельное число единиц Win32.Rmnet.12 по статистике выяснилось в городе Москва (18,9% от совместного числа заражений по РФ), на 2-ом месте — Хабаровск с признаком 13,2%, 3-е место занимает Санкт-Петербург (8,9%), дальше следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).

Начало месяца отметилось общественным распространением известий с применением платформы Skype. Письма имели маленькую сноску, сделанную при помощи обслуживания goo.gl. При ее изобретении на персональный компьютер жертвы начиналась закачка zip-архива, сохраняющего небезопасную троянскую платформу BackDoor.IRC.NgrBot.146. Рассылку известий в Skype проводила вредная платформа, прибавленная в базы Dr.Web под названием Trojan.Spamlink.1.

Во 2-й половине ноября активировались мошенники, применяющие в собственных задачах электронную почту. Поступавшие пользователям послания рассылались от имени онлайн-магазина Amazon.com, компании Майкрософт, почтовой службы FedEx, тоже были отмечены многочисленные рассылки будто бы от имени платежной системы PayPal с известием о передвижении средств, и нескольких авиационных компаний с предложением доказать бронирование авиационного билета.

С позиции опасностей для Андроид ноябрь прошел сравнительно легко. На протяжении месяца вирусные базы D.Web дополнились записями для нескольких вредных программ рода Андроид.SmsSend. Эти троянцы небезопасны тем, что в ходе собственной работы осуществляют отправку дорогих SMS-сообщений и подписывают обладателей мобильных телефонов на разные контент-услуги, за использование которыми взимается некоторая финансовая совокупность.

Также в базы была добавлена запись для троянца Андроид.FakeLookout.1.origin, распространявшегося в ассортименте Гугл Плей маскируясь под некоего компьютерного обновления. Данная вредная платформа могла воровать пользовательские SMS-сообщения, и разные документы, располагающиеся на карте памяти, и посылать их на сервер. Невзирая на возможную опасность обнаружения личной информации, троянец не считается солидной проблемой для клиентов Андроид, в связи с тем что на день снятия из каталога его смогли установить менее 50 человек.

Одной из самых любопытных вредных программ, выявленных в начале октября работниками «Врач Web», представлена Trojan.GBPBoot.1. С позиции реализуемых этой платформой функций, ее является достаточно простым: он способен грузить с выключенных компьютеров и запускать на инфицированном ПК разные выполняемые документы. Этим его деструктивный перечень возможностей истощается. Но занимательна данная вредная платформа в первую очередь тем, что может основательно мешать попыткам ее снятия. В ходе инфицирования ПК один из модулей троянца видоизменяет основную нагрузочную запись (MBR) на твердом диске ПК, затем вписывает в конец нужного раздела (за пределами файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с документом эксплорер.exe и раздел с конфигурационными данными. Сама вредная платформа выполнена в качестве библиотеки, которая фиксируется на инфицированном ПК в роли системной службы. Если по каким-нибудь основаниям происходит удаление документа вредной службы (к примеру, в итоге распознавания диска противовирусной платформой), действует механизм самовосстановления. С применением измененной троянцем нагрузочной записи в момент старта ПК начнется операция проверки нахождения на диске документа вредной системной службы, при этом удерживаются файловые системы стереотипов NTFS и FAT32. В случае его неимения Trojan.GBPBoot.1 перезаписывает обычный документ эксплорер.exe своим, сохраняющим «аппарат самовосстановления», затем он пускается синхронно с загрузкой ОС Виндоус. Получив регулирование, вредный образец эксплорер.exe вторично активизирует процедуру инфицирования, затем возобновляет и пускает уникальный эксплорер.exe.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *