Интернет-угрозы февраля: версия Доктор Веб
Доктор Веб обнародовала собственную версию статистики по наиболее распространенным интернет-угрозам февраля нынешнего года. Как следует из представленных данных, наибольшее внимание экспертов компании в феврале привлекали лжеантивирусы – причем как действующие в онлайн-режиме (относительная новинка), так и классические (которые пользователь по глупости сам устанавливает на собственный ПК). Также в феврале появились новые схемы вымогательств с использованием мобильных устройств. А вот масштабы эпидемии блокировщиков Windows сократились, достигнув уровня ноября 2009-го.
Это довольно показательный факт: в феврале количество пострадавших от блокировщиков Windows (Trojan.Winlock по классификации Dr.Web) существенно сократилось, приблизившись к уровню начала эпидемии (ноябрь 2009 года). Если в январе в отдельные дни количество выявлений Trojan.Winlock превышало 100 тыс. (по данным сервера статистики Доктор Веб), то в феврале – лишь несколько тысяч определений в сутки. То есть эпидемия резко пошла на спад. Однако про ее полное окончание говорить пока рано. В Доктор Веб отмечают, что хотя масштабы эпидемии Trojan.Winlock в феврале сократились, а количество активно используемых коротких номеров не превышает 10, каждый день от данной угрозы по-прежнему страдают десятки тысяч интернет-пользователей России и Украины.
Кроме того, эпидемия отчасти видоизменилась. Во второй половине февраля стала популярной схема блокировки, направленная на интернет-браузеры. Заражение проявляется следующим образом: при посещении страницы с вредоносным кодом отображается диалоговое окно, которое невозможно закрыть, не введя код активации. Ну а для его получения, понятное дело, просят отправить платное SMS-сообщение. Конечно, избавиться от данной проблемы достаточно просто – снять в диспетчере задач используемой ОС процесс, относящийся к браузеру, или принудительно перезагрузить компьютер. Однако неквалифицированные пользователи (каковых сейчас большинство) не знают даже этого, так что количество жертв подобного рода схем вымогательства растет. При этом страдают пользователи как Windows, так и альтернативных операционных систем, таких как Mac OS.
Вообще, в отчете Доктор Веб вопросам интернет-вымогательства уделена львиная доля внимания. В частности, сказано о том, что в феврале на территории России и стран СНГ киберзлоумышленники начали более активно, чем прежде, применять схемы вымогательства, связанные с вредоносными сайтами, на страницах которых размещаются так называемые онлайн-лжеантивирусы. Ссылки на такого рода сайты распространяются в основном через электронную почту, взломанные аккаунты систем мгновенного обмена сообщениями (ICQ), а также через контекстную рекламу популярных поисковых систем и социальные сети.
Параллельно с воздействием лжеантивирусов, русскоязычные интернет-пользователи также часто оказываются под ударом классического Trojan.Fakealert. В этом случае создатели вредоносного сайта убеждают пользователя в необходимости загрузки и установки ложной антивирусной программы, которая после имитации сканирования ПК также предлагает отправить платное SMS-сообщение.
Еще одна схема, которая быстро набирает популярность среди кибермошенников, связана с отправкой пользователем номера своего мобильного телефона при подписке на ту или иную услугу. В ответ он получает SMS-сообщение с кодом активации (содержание которого обычно вовсе не соответствует тематике сайта). Вводя код, пользователь тем самым подписывается на некую услугу, для оплаты которой безо всяких предупреждений каждый день со счёта его мобильного телефона списывается некоторая сумма денег. Так как сумма списывается небольшая, пользователь может сразу и не заметить проблему. Кроме того, часто в подобных случаях возникают трудности с отменой подписки на данную услугу: для этого злоумышленники могут также требовать отправку платного SMS-сообщения. Конечно, это в чистом виде социальная инженерия, без каких-либо хакерских ухищрений. Но опасность, тем не менее, вполне реальна.
По данным Доктор Веб, уровень содержания вредоносных программ за февраль в почтовом трафике относительно января нынешнего года вырос в четыре раза. В основном, это связано с более активным распространением лжеантивирусов через электронную почту, а также их загрузчиков. В целом двадцатка вредоносных файлов, наиболее распространенных в почтовом трафике, выглядит следующим образом:
1. Trojan.DownLoad.37236 13268129 (12, 99%)
2. Trojan.DownLoad.47256 9134010 (10, 07%)
3. Trojan.DownLoad.41551 8884635 (9, 80%)
4. Trojan.MulDrop.40896 6453617 (7, 12%)
5. Trojan.Fakealert.5115 6387160 (7, 04%)
6. Trojan.Botnetlog.zip 5901875 (6, 51%)
7. Trojan.Packed.683 5227906 (5, 76%)
8. Trojan.Fakealert.5238 4784832 (5, 28%)
9. Trojan.DownLoad.50246 3684616 (4, 06%)
10. Trojan.Fakealert.5825 3130816 (3, 45%)
11. Trojan.Fakealert.5437 2289040 (2, 52%)
12. Trojan.Fakealert.5356 2074904 (2, 29%)
13. Trojan.Fakealert.5784 1794312 (1, 98%)
14. Trojan.PWS.Panda.122 1683685 (1, 86%)
15. Trojan.Fakealert.5229 1668784 (1, 84%)
16. Trojan.Fakealert.5457 1462032 (1, 61%)
17. Trojan.Siggen.18256 1388200 (1, 53%)
18. Trojan.MulDrop.46275 1329338 (1, 47%)
19. Win32.HLLM.MyDoom.54464 1180755 (1, 30%)
20. Trojan.Proxy.7778 915616 (1, 01%)
Между тем, количество вредоносных файлов среди всех проверяемых файлов на компьютерах пользователей увеличилось в феврале на 24%, то есть практически вернулось к уровню декабря 2009 года. Февральская двадцатка самых распространенных вредоносных файлов, выявленных на ПК пользователей, включает:
1. VBS.Redlof 4183128 (21, 44%)
2. Trojan.DownLoader.based 3130742 (16, 05%)
3. Trojan.AuxSpy.111 1182739 (6, 06%)
4. Win32.HLLW.Gavir.ini 949089 (4, 86%)
5. Win32.Dref 790282 (4, 05%)
6. Trojan.WinSpy.440 633507 (3, 25%)
7. Trojan.AuxSpy.137 560187 (2, 87%)
8. Win32.HLLW.Shadow.based 349694 (1, 79%)
9. VBS.Generic.548 347960 (1, 78%)
10. VBS.Sifil 259869 (1, 33%)
11. Trojan.DownLoad.32973 251364 (1, 29%)
12. Win32.Alman.1 240227 (1, 23%)
13. Win32.HLLW.Shadow 240103 (1, 23%)
14. Trojan.Packed.666 187657 (0, 96%)
15. JS.Redirector.based.1 182715 (0, 94%)
16. Trojan.Packed.19647 166247 (0, 85%)
17. Win32.HLLW.Autoruner.2536 160988 (0, 83%)
18. Win32.HLLW.Autoruner.5555 145973 (0, 75%)
19. BackDoor.IRC.Sdbot.4590 114824 (0, 59%)
20. Trojan.Fraudster.48 101890 (0, 52%)
Антон Платов
Это довольно показательный факт: в феврале количество пострадавших от блокировщиков Windows (Trojan.Winlock по классификации Dr.Web) существенно сократилось, приблизившись к уровню начала эпидемии (ноябрь 2009 года). Если в январе в отдельные дни количество выявлений Trojan.Winlock превышало 100 тыс. (по данным сервера статистики Доктор Веб), то в феврале – лишь несколько тысяч определений в сутки. То есть эпидемия резко пошла на спад. Однако про ее полное окончание говорить пока рано. В Доктор Веб отмечают, что хотя масштабы эпидемии Trojan.Winlock в феврале сократились, а количество активно используемых коротких номеров не превышает 10, каждый день от данной угрозы по-прежнему страдают десятки тысяч интернет-пользователей России и Украины.
Кроме того, эпидемия отчасти видоизменилась. Во второй половине февраля стала популярной схема блокировки, направленная на интернет-браузеры. Заражение проявляется следующим образом: при посещении страницы с вредоносным кодом отображается диалоговое окно, которое невозможно закрыть, не введя код активации. Ну а для его получения, понятное дело, просят отправить платное SMS-сообщение. Конечно, избавиться от данной проблемы достаточно просто – снять в диспетчере задач используемой ОС процесс, относящийся к браузеру, или принудительно перезагрузить компьютер. Однако неквалифицированные пользователи (каковых сейчас большинство) не знают даже этого, так что количество жертв подобного рода схем вымогательства растет. При этом страдают пользователи как Windows, так и альтернативных операционных систем, таких как Mac OS.
Вообще, в отчете Доктор Веб вопросам интернет-вымогательства уделена львиная доля внимания. В частности, сказано о том, что в феврале на территории России и стран СНГ киберзлоумышленники начали более активно, чем прежде, применять схемы вымогательства, связанные с вредоносными сайтами, на страницах которых размещаются так называемые онлайн-лжеантивирусы. Ссылки на такого рода сайты распространяются в основном через электронную почту, взломанные аккаунты систем мгновенного обмена сообщениями (ICQ), а также через контекстную рекламу популярных поисковых систем и социальные сети.
Параллельно с воздействием лжеантивирусов, русскоязычные интернет-пользователи также часто оказываются под ударом классического Trojan.Fakealert. В этом случае создатели вредоносного сайта убеждают пользователя в необходимости загрузки и установки ложной антивирусной программы, которая после имитации сканирования ПК также предлагает отправить платное SMS-сообщение.
Еще одна схема, которая быстро набирает популярность среди кибермошенников, связана с отправкой пользователем номера своего мобильного телефона при подписке на ту или иную услугу. В ответ он получает SMS-сообщение с кодом активации (содержание которого обычно вовсе не соответствует тематике сайта). Вводя код, пользователь тем самым подписывается на некую услугу, для оплаты которой безо всяких предупреждений каждый день со счёта его мобильного телефона списывается некоторая сумма денег. Так как сумма списывается небольшая, пользователь может сразу и не заметить проблему. Кроме того, часто в подобных случаях возникают трудности с отменой подписки на данную услугу: для этого злоумышленники могут также требовать отправку платного SMS-сообщения. Конечно, это в чистом виде социальная инженерия, без каких-либо хакерских ухищрений. Но опасность, тем не менее, вполне реальна.
По данным Доктор Веб, уровень содержания вредоносных программ за февраль в почтовом трафике относительно января нынешнего года вырос в четыре раза. В основном, это связано с более активным распространением лжеантивирусов через электронную почту, а также их загрузчиков. В целом двадцатка вредоносных файлов, наиболее распространенных в почтовом трафике, выглядит следующим образом:
1. Trojan.DownLoad.37236 13268129 (12, 99%)
2. Trojan.DownLoad.47256 9134010 (10, 07%)
3. Trojan.DownLoad.41551 8884635 (9, 80%)
4. Trojan.MulDrop.40896 6453617 (7, 12%)
5. Trojan.Fakealert.5115 6387160 (7, 04%)
6. Trojan.Botnetlog.zip 5901875 (6, 51%)
7. Trojan.Packed.683 5227906 (5, 76%)
8. Trojan.Fakealert.5238 4784832 (5, 28%)
9. Trojan.DownLoad.50246 3684616 (4, 06%)
10. Trojan.Fakealert.5825 3130816 (3, 45%)
11. Trojan.Fakealert.5437 2289040 (2, 52%)
12. Trojan.Fakealert.5356 2074904 (2, 29%)
13. Trojan.Fakealert.5784 1794312 (1, 98%)
14. Trojan.PWS.Panda.122 1683685 (1, 86%)
15. Trojan.Fakealert.5229 1668784 (1, 84%)
16. Trojan.Fakealert.5457 1462032 (1, 61%)
17. Trojan.Siggen.18256 1388200 (1, 53%)
18. Trojan.MulDrop.46275 1329338 (1, 47%)
19. Win32.HLLM.MyDoom.54464 1180755 (1, 30%)
20. Trojan.Proxy.7778 915616 (1, 01%)
Между тем, количество вредоносных файлов среди всех проверяемых файлов на компьютерах пользователей увеличилось в феврале на 24%, то есть практически вернулось к уровню декабря 2009 года. Февральская двадцатка самых распространенных вредоносных файлов, выявленных на ПК пользователей, включает:
1. VBS.Redlof 4183128 (21, 44%)
2. Trojan.DownLoader.based 3130742 (16, 05%)
3. Trojan.AuxSpy.111 1182739 (6, 06%)
4. Win32.HLLW.Gavir.ini 949089 (4, 86%)
5. Win32.Dref 790282 (4, 05%)
6. Trojan.WinSpy.440 633507 (3, 25%)
7. Trojan.AuxSpy.137 560187 (2, 87%)
8. Win32.HLLW.Shadow.based 349694 (1, 79%)
9. VBS.Generic.548 347960 (1, 78%)
10. VBS.Sifil 259869 (1, 33%)
11. Trojan.DownLoad.32973 251364 (1, 29%)
12. Win32.Alman.1 240227 (1, 23%)
13. Win32.HLLW.Shadow 240103 (1, 23%)
14. Trojan.Packed.666 187657 (0, 96%)
15. JS.Redirector.based.1 182715 (0, 94%)
16. Trojan.Packed.19647 166247 (0, 85%)
17. Win32.HLLW.Autoruner.2536 160988 (0, 83%)
18. Win32.HLLW.Autoruner.5555 145973 (0, 75%)
19. BackDoor.IRC.Sdbot.4590 114824 (0, 59%)
20. Trojan.Fraudster.48 101890 (0, 52%)
Антон Платов