Сродкі масавай інфармацыі ў верасні былі перапоўненыя паведамленнямі аб распачатай кібервайне, звязанай з распаўсюджваннем шкоднаснай праграмы Trojan.Stuxnet, і здагадкамі аб мэтах стваральнікаў дадзенага траянца. Тым часам інтэрнэт-ашуканцы тэставалі нестандартныя прыёмы вымагання грошай, уладальнікі бот-сетак выкарысталі бестурботнасць сеткавых сістэмных адміністратараў, а аўтары шкоднасных праграм для Android наносілі «кропкавыя ўдары».

У верасні СМІ стракацелі навінамі аб траянцу Trojan.Stuxnet, з'яўленне якога атрымала шырокую агалоску ў сувязі з геаграфіяй распаўсюджвання. Публікацыі гэтыя часцяком насілі палітычны характар: распаўсюджванне Trojan.Stuxnet звязвалася з сабатажам запуску іранскай атамнай электрастанцыі, на фоне чаго тэхнічныя навінкі вірусастваральнікаў, ужытыя пры стварэнні траянца, адпраў на другі план. У апошніх ліках верасня з'явілася інфармацыя аб тым, што дадзены траянец атрымаў шырокае распаўсюджванне ў Кітаі і накіраваны супраць кітайскіх прадпрыемстваў. Некаторыя эксперты спрабуюць выявіць мэты аўтараў праграмы з дапамогай лінгвістычнага аналізу надпісаў, выяўленых у кодзе траянца.

Trojan.Stuxnet сапраўды з'яўляецца досыць тэхналагічнай сучаснай шкоднаснай праграмай. Для яе распаўсюджвання выкарыстоўвалася некалькі невядомых раней уразлівасцяў Windows.

У верасні павялічылася колькасць запытаў у тэхпадтрымку кампаніі «Доктар Вэб» па пытаннях разблакоўкі кампутара, а таксама доступу да сайтаў і папулярнаму ПА. Калі ў жніўні такіх зваротаў было ў сярэднім 107 у суткі, то ў верасні гэтая планка паднялася да 124 зваротаў.

У той жа час блакавальнікі Windows працягваюць выцясняцца іншым ашуканскім ПА. У прыватнасці, у верасні з'явілася некалькі траянцаў, выкарыстоўвалых новыя метады перанакіравання старонак у браўзэрах. З'явіліся траянцы, блакавальныя магчымасць працы ў інтэрнэт-мессенджерах.

З каналаў манетызацыі злачынных прыбыткаў інтэрнэт-ашуканцаў пераважала адпраўка грошай на рахунак мабільнага тэлефона зламысніка (каля 25%) і адпраўка платных СМС-паведамленняў (каля 70%), з якіх прыкладна ў 80% выпадкаў патрабавалася адпраўка платнага СМС-паведамленні на нумар 6681.

За які прайшоў месяц зламыснікі ўжылі адразу два новых метаду, што дазваляюць падмяняць старонкі ў інтэрнэт-браўзэрах карыстачоў. Як і заўсёды ў такіх выпадках, не абыйшлося без занясення дадатковых запісаў у сістэмны файл hosts, але пры гэтым былі выкарыстаныя новыя тэхналогіі.

Trojan.Hosts.1581 падмяняў старонкі сайтаў некалькіх расійскіх банкаў такім чынам, што ўводзімыя на шкоднасных сайтах параметры выдаленага доступу да банкаўскіх рахункаў адпраўляліся зламыснікам. Было выяўлена, што дадзеная мадыфікацыя Trojan.Hosts валодае руткит-складніку, якая дазваляе траянцу фільтраваць файлавыя аперацыі і аперацыі з сістэмным рэестрам.

Траянцы сямейства Trojan.HttpBlock ужылі іншую тактыку. На заражаемом кампутары гэтая шкоднасная праграма ўсталёўвае ўласны вэб-сервер, менавіта на яго і адбываецца перанакіраванне з папулярных сайтаў, у прыватнасці з пошукавых сістэм. Мэтай зламыснікаў было вымаганне грошай за разблакоўку доступу да іх.

Таксама ў канцы верасня пачалося распаўсюджванне траянца Trojan.IMLock, які пасля заражэння сістэмы блакуе запуск папулярных інтэрнэт-мессенджеров ICQ, QIP і Skype, выводзячы пры гэтым паведамленне, аформленае ў стылі заблакаванага ПА. У гэтым паведамленні гаворыцца аб тым, што для доступу да свайго акаўнта карыстач павінен адправіць платнае СМС-паведамленне на нумар 6681.

У верасні з'явілася новая шкоднасная праграма для Android (Android.SmsSend.2), якая па функцыянале мала адрознівалася ад вядомых раней — рассылала платныя СМС-паведамленні з заражаных мабільных прылад. Але пры гэтым важнай асаблівасцю Android.SmsSend.2 з'явіўся той факт, што гэтая праграма пачынала загружацца з шкоднаснага сайта толькі тады, калі карыстач захадзіў туды з мабільнай прылады пад кіраваннем Android. Мабыць, гэта, па задумцы зламыснікаў, павінна перашкодзіць маніторынгу шкоднасных сайтаў, з якіх рассылаюцца падобныя траянцы.
Новыя тэндэнцыі ў бот-сетках

У канцы верасня адмыслоўцы кампаніі «Доктар Вэб» выявілі бот-сетка, якая складаецца з кампутараў, на якіх усталяваная і працуе серверная частка ПА Radmin. Гэта ПА шырока выкарыстоўваецца для выдаленага кіравання кампутарамі. Шкоднасная праграма, якая заражае кампутары і падлучае іх да бота-сеткі, па класіфікацыі Dr.Web атрымала найменне Win32.HLLW.RAhack. Заражэнне адбывалася толькі на тых кампутарах, на якіх адміністрацыйны пароль для доступу да Radmin апыняўся ў спісе вядомых чарвяку пароляў. Апынулася, што простыя паролі выкарыстаюць шматлікія адміністратары.

Калі казаць аб магчымых тэндэнцыях кастрычніка 2010 гады, то ў гэтым месяцы суцэль можна чакаць новыя тыпы шкоднасных праграм, якія падмяняюць старонкі пры праглядзе некаторых сайтаў у браўзэры, а таксама дазваляюць ажыццяўляць новыя схемы інтэрнэт-махлярствы. Гэта дзве найболей прыбытковыя артыкулы незаконнага заробку кіберзлачынцаў у апошні час. Уладальнікі бот-сетак, якія часта з'яўляюцца транспартам для распаўсюджвання шкоднасных праграм, будуць і далей спрабаваць стварыць іх на аснове нестандартных праграмных альбо апаратных рашэнняў, т.к. у гэтым выпадку дасягаецца галоўная мэта – карыстач часта не падазрае аб тым, што кампутар заражаны.

рэкамендуем прачытаць таксама

• Траян Trojan.Hosts.75 атакуе карыстачоў сеткі Вконтакте
• У кантакце з траянцам
• Выяўлены траян, які вымагае грошы ў карыстачоў сеткі «Вконтакте»
• Траянец вымагае грошы ў карыстачоў «Вконтакте»
• Разам з Fusion Media Player распаўсюджваюцца блакавальнікі сайтаў

Каментаванне не дазволенае.