Subscribe feed

Доктар Вэб: Вірусныя пагрозы ў лютым 2011 гады

4 сакавіка 2011

У лютым 2011 гады захавалі сваю актуальнасць асноўныя тэндэнцыі мінулых месяцаў. Значную дзель вирусноготрафика складаюць блакавальнікі Windows і траяны, ажыццяўляльныя крадзеж пароляў да ўліковых запісаў сістэм дыстанцыйнага банкаўскага абслугоўвання.Прычым апошнія працуюць у тандэме з фальшывымі антывірусамі.

Блакавальнікі Windows

Канцэпцыя траянцаў-вымагальнікаў, блакавальных працу кампутара, апынулася вельмі жывучай. Падчас развіццяў дадзенай ідэі вірусастваральнікі перакаштавалі некалькі спосабаў пераліку грошай і шэраг тэхналагічных рашэнняў, часам даволі нечаканых, аж да блакавання АС з загрузнага запісу.

У лютым 2011 гады з'явілася некалькі новых разнавіднасцяў Trojan.Winlock, адрозных вонкавым выглядам блакавальнага акна. Акрамя таго, блакавальнікі сталі выкарыстаць новыя прыёмы, якія абцяжарваюць аналіз, а таксама досыць складаныя крипторы — праграмы для шыфравання і «заблытванні» гатовых выкананых файлаў. Адзін з такіх крипторов, папулярных сярод распрацоўнікаў Trojan.Winlock, размяшчае ў выкананым файле характэрны абразок, якая дазваляе адрозніць такі файл візуальна:

Прастата рэалізацыі і эфектыўнасць гэтай схемы вымагальніцтва дазваляюць з упэўненасцю сцвярджаць, што распаўсюджванне блакавальнікаў у аглядным будучыні не спыніцца. Наадварот, верагодна з'яўленне ўсё больш выдасканаленых варыянтаў дадзенага выгляду махлярства.

Шыфравальшчыкі

Іншая разнавіднасць так званых ransomware (праграм-вымагальнікаў) — шыфравальшчыкі — таксама нагадала аб сабе ў лютым. Аўтар Trojan.Encoder некалькі разоў мянял алгарытм шыфравання, але ў цэлым колькасныя паказчыкі дадзенага выгляду шкоднасных праграм засталіся на ранейшым узроўні. Калектыў «Доктар Вэб» забяспечвае своечасовую распрацоўку і падтрымку ўтыліт — расшифровщиков дадзеных, зашыфраваных траянцамі сямейства Trojan.Encoder.

Крадзеж банкаўскіх акаўнтаў

У дзясятку шкоднасных лідэраў лютага 2011 гады апынулася адразу некалькі праграм для крадзяжу грашовых сродкаў з банкаўскіх рахункаў, аналагічных нашумеламу траянцу Trojan.PWS.Panda, вядомаму таксама як Zeus. Усе яны з'яўляюцца мадыфікацыямі аднаго і таго жа віруснага прататыпа. У целе траянца зашыты вялікі спіс URL сістэм дыстанцыйнага банкаўскага абслугоўвання. Сярод іх — рускія, італьянскія, амерыканскія, нямецкія:

* libertyreserve.com

* perfectmoney.com

* laiki.com

* bankofcyprus.com

* commbank.com.au

* suncorpbank.com.au

* stgeorge.com.au

* online.westpac.com.au

* anz.com

* sparkasse.de

* commerzbanking.de

* finanzportal.fiducia.de

* deutsche-bank.de

* targobank.de

* postbank.de

* csebo.it

* poste.it

* gruppocarige.it

* cedacri.it

* payment.ru

* ibank.alfabank.ru

* chase.com

* capitalone.com

Некаторыя з траянцаў гэтага сямейства вызначаюцца антывірусам Dr.Web як Trojan.DownLoader2. У якасці дадатковай «нагрузкі» траянцы маюць функцыі «лоадеров» і запампоўваюць падробленыя антывірусы (Trojan.FakeAlert), а таксама праграмы ўтоенага выдаленага адміністравання (BackDoor).

Мабільныя платформы

У параўнанні з студзенем значна павялічылася колькасць траянцаў для платформы Android. Android.SmsSend напісаныя на Java, іх адзінай функцыяй з'яўляецца адпраўка платных СМС-паведамленняў на кароткія нумары, напрыклад 6008.

У студзені быў выяўлены адзін узор такога шкоднаснага ПА, у лютым — ужо шэсць, што дазваляе казаць аб тэндэнцыі, і з'яўленне больш складаных і небяспечных траянскіх праграм пад гэтую платформу — справа найблізкага будучыні.

Іншыя пагрозы

Сярод іншых пагроз можна адзначыць новыя мадыфікацыі Win32.Virut і традыцыйна высокія паказчыкі трафіку розных мадыфікацый паштовых чарвякоў Win32.HLLM.NetSky і Win32.HLLM.MyDoom.

Распрацоўнікі ботнета Trojan.WinSpy на працягу лютага двойчы абнаўлялі кампаненты сваіх ботаў. У асноўным гэта кранула алгарытмаў шыфравання і структуры файла sfcfiles.dll.

Адзначаны спад актыўнасці чарвякоў, якія распаўсюджваюцца праз зменныя носьбіты (Win32.HLLW.Autorunner).


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100