Dr.Web - бібліотека безкоштовних утиліт

1. Нова хвиля блокувальників
2. Блокувальники без SMS
3. Галерея Trojan.Winlock
4. Фальшивий антивірус пішли на спад
5. Галерея Trojan.Fakealert
6. Шкідливі файли, виявлені в травні в поштовому трафіку
7. Шкідливі файли, виявлені в травні на комп'ютерах користувачів

2 червня 2010 року

Травень 2010 запам'ятався новим спалахом блокувальників Windows (Trojan.Winlock, Trojan.AdultBan), значну частку яких склали модифікації, які не потребують відправляти SMS-повідомлення. «Порадували» безтурботних користувачів і нові види шифрувальників призначених для користувача документів (Trojan.Encoder). Протягом місяця були помічені нові буткіти, для яких «Доктор Веб» оперативно розробив відповідну процедуру лікування. Фальшивий антивірус (Trojan.Fakealert), в свою чергу, стали займати менш значне місце в статистиці.

Нова хвиля блокувальників

Починаючи з 14 травня сервер статистики «Доктор Веб» став фіксувати перевищення середнього щодобового кількості детектів блокувальників Windows. У перші дні воно перевищувало щодобовий норму за останні місяці в кілька разів, а вже 18 травня було зафіксовано 215 000 детектив (Trojan.Winlock і Trojan.AdultBan) при нормі в 1 500 детектів на добу. Підвищена активність розповсюдження блокувальників збереглася до кінця травня.

Незважаючи на те, що нова хвиля поширення Trojan.Winlock припала на другу половину травня, всього за звітний місяць було зафіксовано понад 920 000 детектів блокувальників Windows, і ця цифра вперше перевищила минулий щомісячний максимум поширення даних шкідливих програм, який припав на січень 2010 року. Всі ці події добре видно на місячному графіку детектив.

Блокувальники без SMS

Починаючи з 7 травня користувачі почали звертатися в службу технічної підтримки з приводу блокувальників, які замість відправки платного SMS-повідомлення вимагали перевести гроші за допомогою платіжних терміналів. Протягом травня зловмисники в якості транзиту до отримання готівки випробували безліч електронних грошових систем, серед яких були присутні більш-менш популярні - WebMoney, RBKMoney, "Єдиний гаманець" ( "Wallet One"). Такі блокувальники, як і їх класичні модифікації, визначаються антивірусними продуктами Dr.Web як Trojan.Winlock.

Проте, до кінця місяця користувачам найчастіше пропонувалося перевести гроші на рахунок мобільного телефону, зареєстрованого зловмисниками у одного з російських стільникових операторів. Тут важливо зазначити, що зловмисники постійно змінюють номери таких телефонів, ускладнюючи протидію своїм протиправним діянням і знижуючи ймовірність виявлення правоохоронними органами.

У повідомленнях нових видів Trojan.Winlock, йдеться про те, що код розблокування буде перебувати на чеку, який видає термінал після перерахування необхідної суми. Однак варто враховувати той факт, що аж ніяк не кожен термінал може обробляти подібні запити і відображати на чеку дану інформацію. Деякі зловмисники можуть і зовсім не передбачати можливість роздруківки кодів розблокування на таких чеках - якщо гроші від користувача-жертви отримані, то мета вже досягнута. Крім того, на жаль, не всі термінали вчасно оснащуються чековими стрічками.

Суми, які кіберзлочинці вимагають відправити через термінали в разі зараження такими «вінлокамі», коливаються в діапазоні від 250 до 500 рублів, тобто приблизно відповідають запитам «класичних» блокувальників.

Поява подібних шкідливих програм стало каталізатором нової хвилі загального поширення блокувальників, так як нові їх типи додалися до класичних модифікаціям, розповсюдження яких не припинилося. Також перехід на альтернативні схеми монетизації злочинних доходів дозволяє обійти ті перепони для реалізації шахрайських схем, які створюють SMS-шахраям спільні зусилля стільникових операторів, агрегаторів, правоохоронних органів і антивірусних компаній. При використанні злочинцями різних електронних платіжних систем боротися з ними стане істотно складніше.

Ми нагадуємо, що «Доктор Веб» регулярно публікує на сайті Dr.Web Unlocker коди розблокування і для нових типів блокувальників. Також на цьому сайті можна знайти паролі для розшифровки файлів, зашифрованих деякими модифікаціями Trojan.Encoder.

Вашій увазі пропонується галерея найбільш помітних типів блокувальників Windows, які зустрічалися на комп'ютерах інтернет-користувачів в травні.

Галерея Trojan.Winlock

нові буткіти

У травні розробники «Доктор Веб» виявили такі нові буткіти (тип руткита, який прописується в завантажувальної області диска і стартує до запуску системи) як Trojan.Alipop і Trojan.Hashish. Перший орієнтований на китайських користувачів і служить для штучної накрутки лічильника відвідувань деяких сайтів. Другий бут-вірус призначений для запуску будь-яких "корисних" для зловмисників модулів, які він приносить в систему разом з собою. В даний час Trojan.Hashish в своєму складі містить шкідливі об'єкти сімейства Win32.HLLC.Asdas, що відображають банери в браузерах. Також до складу даної програми входить функціонал, що дозволяє заражати виконувані файли.

Фахівці компанії «Доктор Веб» оперативно реалізували в сканері Dr.Web з графічним інтерфейсом для Windows лікування від нових типів буткіти. В даний час лише деякі антивірусні компанії займаються розробкою процедур лікування систем від подібних шкідливих програм, ще рідше можна побачити оперативність у вирішенні подібних завдань. Багато антивірусні продукти, представлені на ринку, не мають можливості лікування від буткіта безпосередньо з зараженої системи, а альтернативні способи можуть бути недоступні для виконання звичайному користувачеві. Більш того, ряд антивірусів просто не в змозі визначити наявність буткіта в системі.

Фальшивий антивірус пішли на спад

Незважаючи на те, що в травні чітко простежується тенденція до істотного скорочення поширення Trojan.Fakealert, зловмисники, мабуть, вирішили брати якістю. На європейських інтернет-ресурсах, присвячених боротьбі з шкідливими програмами, публікуються все більш складні інструкції по лікуванню систем від нових фальшивий антивірус. Але зловмисникам теж стає доступний цей досвід, і чергові модифікації ставлять перед користувачами все нові завдання. Ця «гонка озброєнь» дуже схожа на боротьбу з блокувальниками Windows, які поширюються серед російськомовних інтернет-користувачів.

Вашій увазі пропонується галерея скріншотів фальшивий антивірус, які були популярні в минулому місяці.

Галерея Trojan.Fakealert

шифрувальники

У травні з'явилося кілька нових модифікацій шифрувальників призначених для користувача файлів Trojan.Encoder. Крім того, стало відомо про поширення конструкторів таких шкідливих програм. З 15 по 17 травня був помічений сплеск поширення шифрувальників, які, базуючись на одному "движку", пропонували або зв'язатися користувачам-жертвам зі злочинцями через різні ICQ-акаунти, або відправити платне SMS-повідомлення. Щодобове кількість детектів в ці дні становило 1 300 - 1 900 примірників при середньому рівні до 500 детектив.

Також були помічені нові модифікації Trojan.Encoder, які ставлять собі за мету дискредитацію компанії «Доктор Веб». У цих випадках зашифровані файли мають символіку Dr.Web, таку ж назву шкідливій програмі дають вирусописатели в своїх текстах, звернених до користувачів.

«Доктор Веб» рекомендує користувачам не піддаватися на подібні провокації, а в разі виникнення проблем з троянцями-шифрувальники звертатися в вірусну лабораторію «Доктор Веб». Ці дії зловмисників є наслідком активного протистояння їм з боку співробітників компанії.

Відсоток вмісту шкідливих програм серед всіх перевірених за допомогою антивірусних продуктів Dr.Web об'єктів в травні 2010 р істотно знизився як в поштовому трафіку, так і серед файлів на комп'ютерах користувачів. Це може бути наслідком значного скорочення поширення фальшивий антивірус (вони повністю зникли з TOP-20 шкідливих об'єктів, виявлених під шкідливий трафік), так і зниженням активності найбільших бот-мереж.

Шкідливі файли, виявлені в травні в поштовому трафіку

8,016,805,833 інфікованих: 503,569 (0.00628%)

Шкідливі файли, виявлені в травні на комп'ютерах користувачів

855,347,743,950 інфікованих: 23,604,815 (0.00276%)