5 августа 2010 г.
Dr.Web констатирует изменение вирусной конъюнктуры
ID--26938
~ID--26938
TIMESTAMP_X--26.10.2013 23:10:52
~TIMESTAMP_X--26.10.2013 23:10:52
TIMESTAMP_X_UNIX--1382814652
~TIMESTAMP_X_UNIX--1382814652
MODIFIED_BY--1
~MODIFIED_BY--1
DATE_CREATE--26.10.2013 23:10:52
~DATE_CREATE--26.10.2013 23:10:52
DATE_CREATE_UNIX--1382814652
~DATE_CREATE_UNIX--1382814652
CREATED_BY--196
~CREATED_BY--196
IBLOCK_ID--81
~IBLOCK_ID--81
IBLOCK_SECTION_ID--
~IBLOCK_SECTION_ID--
ACTIVE--Y
~ACTIVE--Y
ACTIVE_FROM--05.08.2010
~ACTIVE_FROM--05.08.2010
ACTIVE_TO--
~ACTIVE_TO--
DATE_ACTIVE_FROM--05.08.2010
~DATE_ACTIVE_FROM--05.08.2010
DATE_ACTIVE_TO--
~DATE_ACTIVE_TO--
SORT--500
~SORT--500
NAME--Dr.Web констатирует изменение вирусной конъюнктуры
~NAME--Dr.Web констатирует изменение вирусной конъюнктуры
PREVIEW_PICTURE--
~PREVIEW_PICTURE--
PREVIEW_TEXT--Очередная аналитическая записка компании Dr.Web отмечает новых лидеров среди вредоносных программ. Июль 2010 года ознаменовался появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный …
~PREVIEW_TEXT--Очередная аналитическая записка компании Dr.Web отмечает новых лидеров среди вредоносных программ. Июль 2010 года ознаменовался появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный …
PREVIEW_TEXT_TYPE--text
~PREVIEW_TEXT_TYPE--text
DETAIL_PICTURE--
~DETAIL_PICTURE--
DETAIL_TEXT--
Очередная аналитическая записка компании Dr.Web отмечает новых лидеров среди вредоносных программ. Июль 2010 года ознаменовался появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.
Июльской «новинкой» летнего сезона стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости и уже 2 августа 2010 года выпустила критический патч для всех подверженных уязвимости версий Windows.
У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exploit.Cpllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.
В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем.
Массовое использование приобрели буткиты - программы, модифицирующие загрузочный сектор диска. Одним из буткитов, беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Explorer, в которых отображалась реклама. Причем данные окна открывались даже в том случае, если использовался один из альтернативных браузеров. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.
В то же время в июле пошла на спад эпидемия блокировщиков— сервер статистики Dr.Web зафиксировал 280 тыс. детектов против 420 тыс. в июне. Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов, — социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows. В дальнейшем можно ожидать постепенного снижения распространения блокировщиков. Это связано и со значительно более низкой эффективностью схем оплаты без использования СМС, и с повышенным вниманием к проблеме со стороны правоохранительных органов. Уверенно растет и число пользователей, владеющих информацией об альтернативных методах разблокировки компьютеров, не подразумевающих передачу денег злоумышленникам.
Среди других вредоносных программ июля можно отметить массированное распространение через электронную почту различных модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения перенаправляют пользователей на страницы с рекламой и вредоносные сайты. Отмечена повышенная активность полиморфных файловых вирусов семейства Win32.Sector. Европейских пользователей по-прежнему продолжают беспокоить банковские троянцы, вынуждающие вводить разовые TAN-коды, а также новые варианты лжеантивирусов в старом визуальном обличье.
По материалам пресс-релиза компании Dr.Web
~DETAIL_TEXT--
Очередная аналитическая записка компании Dr.Web отмечает новых лидеров среди вредоносных программ. Июль 2010 года ознаменовался появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.
Июльской «новинкой» летнего сезона стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости и уже 2 августа 2010 года выпустила критический патч для всех подверженных уязвимости версий Windows.
У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exploit.Cpllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.
В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем.
Массовое использование приобрели буткиты - программы, модифицирующие загрузочный сектор диска. Одним из буткитов, беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Explorer, в которых отображалась реклама. Причем данные окна открывались даже в том случае, если использовался один из альтернативных браузеров. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.
В то же время в июле пошла на спад эпидемия блокировщиков— сервер статистики Dr.Web зафиксировал 280 тыс. детектов против 420 тыс. в июне. Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов, — социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows. В дальнейшем можно ожидать постепенного снижения распространения блокировщиков. Это связано и со значительно более низкой эффективностью схем оплаты без использования СМС, и с повышенным вниманием к проблеме со стороны правоохранительных органов. Уверенно растет и число пользователей, владеющих информацией об альтернативных методах разблокировки компьютеров, не подразумевающих передачу денег злоумышленникам.
Среди других вредоносных программ июля можно отметить массированное распространение через электронную почту различных модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения перенаправляют пользователей на страницы с рекламой и вредоносные сайты. Отмечена повышенная активность полиморфных файловых вирусов семейства Win32.Sector. Европейских пользователей по-прежнему продолжают беспокоить банковские троянцы, вынуждающие вводить разовые TAN-коды, а также новые варианты лжеантивирусов в старом визуальном обличье.
По материалам пресс-релиза компании Dr.Web
DETAIL_TEXT_TYPE--html
~DETAIL_TEXT_TYPE--html
SEARCHABLE_CONTENT--DR.WEB КОНСТАТИРУЕТ ИЗМЕНЕНИЕ ВИРУСНОЙ КОНЪЮНКТУРЫ
ОЧЕРЕДНАЯ АНАЛИТИЧЕСКАЯ ЗАПИСКА КОМПАНИИ DR.WEB ОТМЕЧАЕТ НОВЫХ ЛИДЕРОВ СРЕДИ ВРЕДОНОСНЫХ ПРОГРАММ. ИЮЛЬ 2010 ГОДА ОЗНАМЕНОВАЛСЯ ПОЯВЛЕНИЕМ И ШИРОКИМ РАСПРОСТРАНЕНИЕМ ТРОЯНЦЕВ TROJAN.STUXNET. ЭТИ ВРЕДОНОСНЫЕ ПРОГРАММЫ ИСПОЛЬЗУЮТ АЛЬТЕРНАТИВНЫЙ …
ОЧЕРЕДНАЯ АНАЛИТИЧЕСКАЯ ЗАПИСКА КОМПАНИИ DR.WEB ОТМЕЧАЕТ НОВЫХ ЛИДЕРОВ
СРЕДИ ВРЕДОНОСНЫХ ПРОГРАММ. ИЮЛЬ 2010 ГОДА ОЗНАМЕНОВАЛСЯ ПОЯВЛЕНИЕМ И ШИРОКИМ
РАСПРОСТРАНЕНИЕМ ТРОЯНЦЕВ TROJAN.STUXNET. ЭТИ ВРЕДОНОСНЫЕ ПРОГРАММЫ ИСПОЛЬЗУЮТ
АЛЬТЕРНАТИВНЫЙ СПОСОБ ЗАПУСКА СО СЪЕМНЫХ НОСИТЕЛЕЙ, А ТАКЖЕ ПРИМЕНЯЮТ УКРАДЕННЫЕ
ЦИФРОВЫЕ ПОДПИСИ ИЗВЕСТНЫХ ПРОИЗВОДИТЕЛЕЙ ПО. ИСПОЛЬЗОВАНИЕ БУТКИТ-ТЕХНОЛОГИЙ
СТАНОВИТСЯ НОРМОЙ ДЛЯ ВРЕДОНОСНЫХ ПРОГРАММ. В ТО ЖЕ ВРЕМЯ БЛОКИРОВЩИКИ WINDOWS,
СТОЛКНУВШИСЬ С ПРОТИВОДЕЙСТВИЕМ, СОКРАТИЛИ ТЕМПЫ СВОЕГО РАСПРОСТРАНЕНИЯ,
И СЕГОДНЯ ИНТЕРНЕТ-МОШЕННИКИ ПЫТАЮТСЯ НАЙТИ АЛЬТЕРНАТИВУ ПЛАТНЫМ СМС-СООБЩЕНИЯМ.
ИЮЛЬСКОЙ «НОВИНКОЙ» ЛЕТНЕГО СЕЗОНА СТАЛА ВРЕДОНОСНАЯ ПРОГРАММА
НОВОГО ТИПА, КОТОРАЯ ПО КЛАССИФИКАЦИИ DR.WEB ПОЛУЧИЛА НАИМЕНОВАНИЕ TROJAN.STUXNET.1.
ЕЕ РАСПРОСТРАНЕНИЕ ОКАЗАЛОСЬ НАПРЯМУЮ СВЯЗАНО С РАНЕЕ НЕИЗВЕСТНОЙ УЯЗВИМОСТЬЮ
ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS: ВРЕДОНОСНАЯ ПРОГРАММА ИСПОЛЬЗУЕТ «СЛАБОЕ
ЗВЕНО» В АЛГОРИТМЕ ОБРАБОТКИ СОДЕРЖИМОГО ЯРЛЫКОВ. СЛЕДУЕТ ОТМЕТИТЬ,
ЧТО КОРПОРАЦИЯ MICROSOFT ОПЕРАТИВНО ОТРЕАГИРОВАЛА НА ОБНАРУЖЕНИЕ ЭТОЙ УЯЗВИМОСТИ
И УЖЕ 2 АВГУСТА 2010 ГОДА ВЫПУСТИЛА КРИТИЧЕСКИЙ ПАТЧ ДЛЯ ВСЕХ ПОДВЕРЖЕННЫХ
УЯЗВИМОСТИ ВЕРСИЙ WINDOWS.
У TROJAN.STUXNET.1 ДОВОЛЬНО БЫСТРО ПОЯВИЛИСЬ МНОГОЧИСЛЕННЫЕ ПОСЛЕДОВАТЕЛИ,
ИСПОЛЬЗУЮЩИЕ УКАЗАННУЮ УЯЗВИМОСТЬ WINDOWS. ВСЕ ПОДОБНЫЕ ЯРЛЫКИ ОПРЕДЕЛЯЮТСЯ
DR.WEB КАК EXPLOIT.CPLLNK. ВСЕГО ЗА НЕСКОЛЬКО ДНЕЙ ВРЕДОНОСНЫЕ ПРОГРАММЫ,
ИСПОЛЬЗУЮЩИЕ ДЛЯ СВОЕГО ЗАПУСКА ТАКИЕ ЯРЛЫКИ, ВОЗГЛАВИЛИ ТОП-20 ВИРУСНЫХ
ПРОГРАММ, ОБНАРУЖЕННЫХ В ИЮЛЕ НА КОМПЬЮТЕРАХ ПОЛЬЗОВАТЕЛЕЙ, А TROJAN.STUXNET.1
УСПЕЛ ОКАЗАТЬСЯ НА ШЕСТОМ МЕСТЕ ЭТОГО СПИСКА.
В НАСТОЯЩЕЕ ВРЕМЯ ИДЕТ МАССИРОВАННОЕ РАСПРОСТРАНЕНИЕ ВРЕДОНОСНЫХ ПРОГРАММ,
ЭКСПЛУАТИРУЮЩИХ ОБНАРУЖЕННУЮ УЯЗВИМОСТЬ. ВЕРОЯТНО, ОНО ПРОДЛИТСЯ ЕЩЁ НЕКОТОРОЕ
ВРЕМЯ ДО УСТАНОВКИ ТОЛЬКО ЧТО ВЫПУЩЕННОГО MICROSOFT ПАТЧА НА БОЛЬШИНСТВО
СИСТЕМ.
МАССОВОЕ ИСПОЛЬЗОВАНИЕ ПРИОБРЕЛИ БУТКИТЫ - ПРОГРАММЫ, МОДИФИЦИРУЮЩИЕ ЗАГРУЗОЧНЫЙ
СЕКТОР ДИСКА. ОДНИМ ИЗ БУТКИТОВ, БЕСПОКОИВШИМ ПОЛЬЗОВАТЕЛЕЙ В ИЮЛЕ, СТАЛ
УЖЕ ИЗВЕСТНЫЙ TROJAN.HASHISH. ПРОБЛЕМА ЗАРАЖЕНИЯ ИМ В ПРОШЛОМ МЕСЯЦЕ БЫЛА
АКТУАЛЬНА В ЕВРОПЕ. ДЕЙСТВИЯ ВРЕДОНОСНОЙ ПРОГРАММЫ ПРИВОДИЛИ К САМОПРОИЗВОЛЬНОМУ
ОТКРЫТИЮ ОКОН INTERNET EXPLORER, В КОТОРЫХ ОТОБРАЖАЛАСЬ РЕКЛАМА. ПРИЧЕМ
ДАННЫЕ ОКНА ОТКРЫВАЛИСЬ ДАЖЕ В ТОМ СЛУЧАЕ, ЕСЛИ ИСПОЛЬЗОВАЛСЯ ОДИН ИЗ АЛЬТЕРНАТИВНЫХ
БРАУЗЕРОВ. ДРУГИМ РЕЗУЛЬТАТОМ РАБОТЫ TROJAN.HASHISH СТАЛО ПЕРИОДИЧЕСКОЕ
ВОСПРОИЗВЕДЕНИЕ СТАНДАРТНОГО СИСТЕМНОГО ЗВУКА, СООТВЕТСТВУЮЩЕГО ЗАПУСКУ
ПРОГРАММЫ, ЕСЛИ ТАКОВОЙ НАСТРОЕН В WINDOWS.
В ТО ЖЕ ВРЕМЯ В ИЮЛЕ ПОШЛА НА СПАД ЭПИДЕМИЯ БЛОКИРОВЩИКОВ— СЕРВЕР
СТАТИСТИКИ DR.WEB ЗАФИКСИРОВАЛ 280 ТЫС. ДЕТЕКТОВ ПРОТИВ 420 ТЫС. В ИЮНЕ.
СРЕДИ ВСЕХ ОБРАЩЕНИЙ ПО ПОВОДУ БЛОКИРОВЩИКОВ СУЩЕСТВЕННО ВОЗРОСЛА ДОЛЯ ЗАПРОСОВ,
СВЯЗАННЫХ С БЛОКИРОВКОЙ ПОПУЛЯРНЫХ САЙТОВ, — СОЦИАЛЬНЫХ СЕТЕЙ, БЕСПЛАТНЫХ
ПОЧТОВЫХ СЕРВИСОВ, ПОИСКОВЫХ СИСТЕМ. К КОНЦУ ИЮЛЯ КОЛИЧЕСТВО ОБРАЩЕНИЙ ПО
ПОВОДУ ТАКИХ БЛОКИРОВЩИКОВ ПРЕВЫСИЛО ОБРАЩЕНИЯ О БЛОКИРОВКЕ РАБОЧЕГО СТОЛА
WINDOWS. В ДАЛЬНЕЙШЕМ МОЖНО ОЖИДАТЬ ПОСТЕПЕННОГО СНИЖЕНИЯ РАСПРОСТРАНЕНИЯ
БЛОКИРОВЩИКОВ. ЭТО СВЯЗАНО И СО ЗНАЧИТЕЛЬНО БОЛЕЕ НИЗКОЙ ЭФФЕКТИВНОСТЬЮ
СХЕМ ОПЛАТЫ БЕЗ ИСПОЛЬЗОВАНИЯ СМС, И С ПОВЫШЕННЫМ ВНИМАНИЕМ К ПРОБЛЕМЕ СО
СТОРОНЫ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ. УВЕРЕННО РАСТЕТ И ЧИСЛО ПОЛЬЗОВАТЕЛЕЙ,
ВЛАДЕЮЩИХ ИНФОРМАЦИЕЙ ОБ АЛЬТЕРНАТИВНЫХ МЕТОДАХ РАЗБЛОКИРОВКИ КОМПЬЮТЕРОВ,
НЕ ПОДРАЗУМЕВАЮЩИХ ПЕРЕДАЧУ ДЕНЕГ ЗЛОУМЫШЛЕННИКАМ.
СРЕДИ ДРУГИХ ВРЕДОНОСНЫХ ПРОГРАММ ИЮЛЯ МОЖНО ОТМЕТИТЬ МАССИРОВАННОЕ РАСПРОСТРАНЕНИЕ
ЧЕРЕЗ ЭЛЕКТРОННУЮ ПОЧТУ РАЗЛИЧНЫХ МОДИФИКАЦИЙ TROJAN.OFICLA. ТАКЖЕ В ПОЧТОВОМ
ТРАФИКЕ ПО-ПРЕЖНЕМУ ЗАМЕТНЫ СООБЩЕНИЯ С ПРИКРЕПЛЕННЫМИ К НИМ HTML-ФАЙЛАМИ
(JS.REDIRECTOR). ЭТИ СООБЩЕНИЯ ПЕРЕНАПРАВЛЯЮТ ПОЛЬЗОВАТЕЛЕЙ НА СТРАНИЦЫ
С РЕКЛАМОЙ И ВРЕДОНОСНЫЕ САЙТЫ. ОТМЕЧЕНА ПОВЫШЕННАЯ АКТИВНОСТЬ ПОЛИМОРФНЫХ
ФАЙЛОВЫХ ВИРУСОВ СЕМЕЙСТВА WIN32.SECTOR. ЕВРОПЕЙСКИХ ПОЛЬЗОВАТЕЛЕЙ ПО-ПРЕЖНЕМУ
ПРОДОЛЖАЮТ БЕСПОКОИТЬ БАНКОВСКИЕ ТРОЯНЦЫ, ВЫНУЖДАЮЩИЕ ВВОДИТЬ РАЗОВЫЕ TAN-КОДЫ,
А ТАКЖЕ НОВЫЕ ВАРИАНТЫ ЛЖЕАНТИВИРУСОВ В СТАРОМ ВИЗУАЛЬНОМ ОБЛИЧЬЕ.
ПО МАТЕРИАЛАМ ПРЕСС-РЕЛИЗА КОМПАНИИ DR.WEB
~SEARCHABLE_CONTENT--DR.WEB КОНСТАТИРУЕТ ИЗМЕНЕНИЕ ВИРУСНОЙ КОНЪЮНКТУРЫ
ОЧЕРЕДНАЯ АНАЛИТИЧЕСКАЯ ЗАПИСКА КОМПАНИИ DR.WEB ОТМЕЧАЕТ НОВЫХ ЛИДЕРОВ СРЕДИ ВРЕДОНОСНЫХ ПРОГРАММ. ИЮЛЬ 2010 ГОДА ОЗНАМЕНОВАЛСЯ ПОЯВЛЕНИЕМ И ШИРОКИМ РАСПРОСТРАНЕНИЕМ ТРОЯНЦЕВ TROJAN.STUXNET. ЭТИ ВРЕДОНОСНЫЕ ПРОГРАММЫ ИСПОЛЬЗУЮТ АЛЬТЕРНАТИВНЫЙ …
ОЧЕРЕДНАЯ АНАЛИТИЧЕСКАЯ ЗАПИСКА КОМПАНИИ DR.WEB ОТМЕЧАЕТ НОВЫХ ЛИДЕРОВ
СРЕДИ ВРЕДОНОСНЫХ ПРОГРАММ. ИЮЛЬ 2010 ГОДА ОЗНАМЕНОВАЛСЯ ПОЯВЛЕНИЕМ И ШИРОКИМ
РАСПРОСТРАНЕНИЕМ ТРОЯНЦЕВ TROJAN.STUXNET. ЭТИ ВРЕДОНОСНЫЕ ПРОГРАММЫ ИСПОЛЬЗУЮТ
АЛЬТЕРНАТИВНЫЙ СПОСОБ ЗАПУСКА СО СЪЕМНЫХ НОСИТЕЛЕЙ, А ТАКЖЕ ПРИМЕНЯЮТ УКРАДЕННЫЕ
ЦИФРОВЫЕ ПОДПИСИ ИЗВЕСТНЫХ ПРОИЗВОДИТЕЛЕЙ ПО. ИСПОЛЬЗОВАНИЕ БУТКИТ-ТЕХНОЛОГИЙ
СТАНОВИТСЯ НОРМОЙ ДЛЯ ВРЕДОНОСНЫХ ПРОГРАММ. В ТО ЖЕ ВРЕМЯ БЛОКИРОВЩИКИ WINDOWS,
СТОЛКНУВШИСЬ С ПРОТИВОДЕЙСТВИЕМ, СОКРАТИЛИ ТЕМПЫ СВОЕГО РАСПРОСТРАНЕНИЯ,
И СЕГОДНЯ ИНТЕРНЕТ-МОШЕННИКИ ПЫТАЮТСЯ НАЙТИ АЛЬТЕРНАТИВУ ПЛАТНЫМ СМС-СООБЩЕНИЯМ.
ИЮЛЬСКОЙ «НОВИНКОЙ» ЛЕТНЕГО СЕЗОНА СТАЛА ВРЕДОНОСНАЯ ПРОГРАММА
НОВОГО ТИПА, КОТОРАЯ ПО КЛАССИФИКАЦИИ DR.WEB ПОЛУЧИЛА НАИМЕНОВАНИЕ TROJAN.STUXNET.1.
ЕЕ РАСПРОСТРАНЕНИЕ ОКАЗАЛОСЬ НАПРЯМУЮ СВЯЗАНО С РАНЕЕ НЕИЗВЕСТНОЙ УЯЗВИМОСТЬЮ
ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS: ВРЕДОНОСНАЯ ПРОГРАММА ИСПОЛЬЗУЕТ «СЛАБОЕ
ЗВЕНО» В АЛГОРИТМЕ ОБРАБОТКИ СОДЕРЖИМОГО ЯРЛЫКОВ. СЛЕДУЕТ ОТМЕТИТЬ,
ЧТО КОРПОРАЦИЯ MICROSOFT ОПЕРАТИВНО ОТРЕАГИРОВАЛА НА ОБНАРУЖЕНИЕ ЭТОЙ УЯЗВИМОСТИ
И УЖЕ 2 АВГУСТА 2010 ГОДА ВЫПУСТИЛА КРИТИЧЕСКИЙ ПАТЧ ДЛЯ ВСЕХ ПОДВЕРЖЕННЫХ
УЯЗВИМОСТИ ВЕРСИЙ WINDOWS.
У TROJAN.STUXNET.1 ДОВОЛЬНО БЫСТРО ПОЯВИЛИСЬ МНОГОЧИСЛЕННЫЕ ПОСЛЕДОВАТЕЛИ,
ИСПОЛЬЗУЮЩИЕ УКАЗАННУЮ УЯЗВИМОСТЬ WINDOWS. ВСЕ ПОДОБНЫЕ ЯРЛЫКИ ОПРЕДЕЛЯЮТСЯ
DR.WEB КАК EXPLOIT.CPLLNK. ВСЕГО ЗА НЕСКОЛЬКО ДНЕЙ ВРЕДОНОСНЫЕ ПРОГРАММЫ,
ИСПОЛЬЗУЮЩИЕ ДЛЯ СВОЕГО ЗАПУСКА ТАКИЕ ЯРЛЫКИ, ВОЗГЛАВИЛИ ТОП-20 ВИРУСНЫХ
ПРОГРАММ, ОБНАРУЖЕННЫХ В ИЮЛЕ НА КОМПЬЮТЕРАХ ПОЛЬЗОВАТЕЛЕЙ, А TROJAN.STUXNET.1
УСПЕЛ ОКАЗАТЬСЯ НА ШЕСТОМ МЕСТЕ ЭТОГО СПИСКА.
В НАСТОЯЩЕЕ ВРЕМЯ ИДЕТ МАССИРОВАННОЕ РАСПРОСТРАНЕНИЕ ВРЕДОНОСНЫХ ПРОГРАММ,
ЭКСПЛУАТИРУЮЩИХ ОБНАРУЖЕННУЮ УЯЗВИМОСТЬ. ВЕРОЯТНО, ОНО ПРОДЛИТСЯ ЕЩЁ НЕКОТОРОЕ
ВРЕМЯ ДО УСТАНОВКИ ТОЛЬКО ЧТО ВЫПУЩЕННОГО MICROSOFT ПАТЧА НА БОЛЬШИНСТВО
СИСТЕМ.
МАССОВОЕ ИСПОЛЬЗОВАНИЕ ПРИОБРЕЛИ БУТКИТЫ - ПРОГРАММЫ, МОДИФИЦИРУЮЩИЕ ЗАГРУЗОЧНЫЙ
СЕКТОР ДИСКА. ОДНИМ ИЗ БУТКИТОВ, БЕСПОКОИВШИМ ПОЛЬЗОВАТЕЛЕЙ В ИЮЛЕ, СТАЛ
УЖЕ ИЗВЕСТНЫЙ TROJAN.HASHISH. ПРОБЛЕМА ЗАРАЖЕНИЯ ИМ В ПРОШЛОМ МЕСЯЦЕ БЫЛА
АКТУАЛЬНА В ЕВРОПЕ. ДЕЙСТВИЯ ВРЕДОНОСНОЙ ПРОГРАММЫ ПРИВОДИЛИ К САМОПРОИЗВОЛЬНОМУ
ОТКРЫТИЮ ОКОН INTERNET EXPLORER, В КОТОРЫХ ОТОБРАЖАЛАСЬ РЕКЛАМА. ПРИЧЕМ
ДАННЫЕ ОКНА ОТКРЫВАЛИСЬ ДАЖЕ В ТОМ СЛУЧАЕ, ЕСЛИ ИСПОЛЬЗОВАЛСЯ ОДИН ИЗ АЛЬТЕРНАТИВНЫХ
БРАУЗЕРОВ. ДРУГИМ РЕЗУЛЬТАТОМ РАБОТЫ TROJAN.HASHISH СТАЛО ПЕРИОДИЧЕСКОЕ
ВОСПРОИЗВЕДЕНИЕ СТАНДАРТНОГО СИСТЕМНОГО ЗВУКА, СООТВЕТСТВУЮЩЕГО ЗАПУСКУ
ПРОГРАММЫ, ЕСЛИ ТАКОВОЙ НАСТРОЕН В WINDOWS.
В ТО ЖЕ ВРЕМЯ В ИЮЛЕ ПОШЛА НА СПАД ЭПИДЕМИЯ БЛОКИРОВЩИКОВ— СЕРВЕР
СТАТИСТИКИ DR.WEB ЗАФИКСИРОВАЛ 280 ТЫС. ДЕТЕКТОВ ПРОТИВ 420 ТЫС. В ИЮНЕ.
СРЕДИ ВСЕХ ОБРАЩЕНИЙ ПО ПОВОДУ БЛОКИРОВЩИКОВ СУЩЕСТВЕННО ВОЗРОСЛА ДОЛЯ ЗАПРОСОВ,
СВЯЗАННЫХ С БЛОКИРОВКОЙ ПОПУЛЯРНЫХ САЙТОВ, — СОЦИАЛЬНЫХ СЕТЕЙ, БЕСПЛАТНЫХ
ПОЧТОВЫХ СЕРВИСОВ, ПОИСКОВЫХ СИСТЕМ. К КОНЦУ ИЮЛЯ КОЛИЧЕСТВО ОБРАЩЕНИЙ ПО
ПОВОДУ ТАКИХ БЛОКИРОВЩИКОВ ПРЕВЫСИЛО ОБРАЩЕНИЯ О БЛОКИРОВКЕ РАБОЧЕГО СТОЛА
WINDOWS. В ДАЛЬНЕЙШЕМ МОЖНО ОЖИДАТЬ ПОСТЕПЕННОГО СНИЖЕНИЯ РАСПРОСТРАНЕНИЯ
БЛОКИРОВЩИКОВ. ЭТО СВЯЗАНО И СО ЗНАЧИТЕЛЬНО БОЛЕЕ НИЗКОЙ ЭФФЕКТИВНОСТЬЮ
СХЕМ ОПЛАТЫ БЕЗ ИСПОЛЬЗОВАНИЯ СМС, И С ПОВЫШЕННЫМ ВНИМАНИЕМ К ПРОБЛЕМЕ СО
СТОРОНЫ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ. УВЕРЕННО РАСТЕТ И ЧИСЛО ПОЛЬЗОВАТЕЛЕЙ,
ВЛАДЕЮЩИХ ИНФОРМАЦИЕЙ ОБ АЛЬТЕРНАТИВНЫХ МЕТОДАХ РАЗБЛОКИРОВКИ КОМПЬЮТЕРОВ,
НЕ ПОДРАЗУМЕВАЮЩИХ ПЕРЕДАЧУ ДЕНЕГ ЗЛОУМЫШЛЕННИКАМ.
СРЕДИ ДРУГИХ ВРЕДОНОСНЫХ ПРОГРАММ ИЮЛЯ МОЖНО ОТМЕТИТЬ МАССИРОВАННОЕ РАСПРОСТРАНЕНИЕ
ЧЕРЕЗ ЭЛЕКТРОННУЮ ПОЧТУ РАЗЛИЧНЫХ МОДИФИКАЦИЙ TROJAN.OFICLA. ТАКЖЕ В ПОЧТОВОМ
ТРАФИКЕ ПО-ПРЕЖНЕМУ ЗАМЕТНЫ СООБЩЕНИЯ С ПРИКРЕПЛЕННЫМИ К НИМ HTML-ФАЙЛАМИ
(JS.REDIRECTOR). ЭТИ СООБЩЕНИЯ ПЕРЕНАПРАВЛЯЮТ ПОЛЬЗОВАТЕЛЕЙ НА СТРАНИЦЫ
С РЕКЛАМОЙ И ВРЕДОНОСНЫЕ САЙТЫ. ОТМЕЧЕНА ПОВЫШЕННАЯ АКТИВНОСТЬ ПОЛИМОРФНЫХ
ФАЙЛОВЫХ ВИРУСОВ СЕМЕЙСТВА WIN32.SECTOR. ЕВРОПЕЙСКИХ ПОЛЬЗОВАТЕЛЕЙ ПО-ПРЕЖНЕМУ
ПРОДОЛЖАЮТ БЕСПОКОИТЬ БАНКОВСКИЕ ТРОЯНЦЫ, ВЫНУЖДАЮЩИЕ ВВОДИТЬ РАЗОВЫЕ TAN-КОДЫ,
А ТАКЖЕ НОВЫЕ ВАРИАНТЫ ЛЖЕАНТИВИРУСОВ В СТАРОМ ВИЗУАЛЬНОМ ОБЛИЧЬЕ.
ПО МАТЕРИАЛАМ ПРЕСС-РЕЛИЗА КОМПАНИИ DR.WEB
WF_STATUS_ID--1
~WF_STATUS_ID--1
WF_PARENT_ELEMENT_ID--
~WF_PARENT_ELEMENT_ID--
WF_LAST_HISTORY_ID--
~WF_LAST_HISTORY_ID--
WF_NEW--
~WF_NEW--
LOCK_STATUS--green
~LOCK_STATUS--green
WF_LOCKED_BY--
~WF_LOCKED_BY--
WF_DATE_LOCK--
~WF_DATE_LOCK--
WF_COMMENTS--
~WF_COMMENTS--
IN_SECTIONS--N
~IN_SECTIONS--N
SHOW_COUNTER--587
~SHOW_COUNTER--587
SHOW_COUNTER_START--2014-03-13 02:02:24
~SHOW_COUNTER_START--2014-03-13 02:02:24
CODE--
~CODE--
TAGS--
~TAGS--
XML_ID--26938
~XML_ID--26938
EXTERNAL_ID--26938
~EXTERNAL_ID--26938
TMP_ID--
~TMP_ID--
USER_NAME--(adminka) Владислав Вовк
~USER_NAME--(adminka) Владислав Вовк
LOCKED_USER_NAME--
~LOCKED_USER_NAME--
CREATED_USER_NAME--
~CREATED_USER_NAME--
LANG_DIR--/
~LANG_DIR--/
LID--ru
~LID--ru
IBLOCK_TYPE_ID--news
~IBLOCK_TYPE_ID--news
IBLOCK_CODE--
~IBLOCK_CODE--
IBLOCK_NAME--Архив новостей
~IBLOCK_NAME--Архив новостей
IBLOCK_EXTERNAL_ID--
~IBLOCK_EXTERNAL_ID--
DETAIL_PAGE_URL--/news/detail.php?ID=26938
~DETAIL_PAGE_URL--/news/detail.php?ID=26938
LIST_PAGE_URL--/arhive/index.php?ID=81
~LIST_PAGE_URL--/arhive/index.php?ID=81
CREATED_DATE--2013.10.26
~CREATED_DATE--2013.10.26
BP_PUBLISHED--Y
~BP_PUBLISHED--Y
Очередная аналитическая записка компании Dr.Web отмечает новых лидеров среди вредоносных программ. Июль 2010 года ознаменовался появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.
Июльской «новинкой» летнего сезона стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости и уже 2 августа 2010 года выпустила критический патч для всех подверженных уязвимости версий Windows.
У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exploit.Cpllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.
В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем.
Массовое использование приобрели буткиты - программы, модифицирующие загрузочный сектор диска. Одним из буткитов, беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Explorer, в которых отображалась реклама. Причем данные окна открывались даже в том случае, если использовался один из альтернативных браузеров. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.
В то же время в июле пошла на спад эпидемия блокировщиков— сервер статистики Dr.Web зафиксировал 280 тыс. детектов против 420 тыс. в июне. Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов, — социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows. В дальнейшем можно ожидать постепенного снижения распространения блокировщиков. Это связано и со значительно более низкой эффективностью схем оплаты без использования СМС, и с повышенным вниманием к проблеме со стороны правоохранительных органов. Уверенно растет и число пользователей, владеющих информацией об альтернативных методах разблокировки компьютеров, не подразумевающих передачу денег злоумышленникам.
Среди других вредоносных программ июля можно отметить массированное распространение через электронную почту различных модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения перенаправляют пользователей на страницы с рекламой и вредоносные сайты. Отмечена повышенная активность полиморфных файловых вирусов семейства Win32.Sector. Европейских пользователей по-прежнему продолжают беспокоить банковские троянцы, вынуждающие вводить разовые TAN-коды, а также новые варианты лжеантивирусов в старом визуальном обличье.
По материалам пресс-релиза компании Dr.Web
Другие материалы из этой рубрики