Пресс-центр

11 августа 2009 Анализ антивирусной активности за первое полугодие 2009 В результате анализа антивирусной активности за первое полугодие 2009 года, проведенного специалистами компании «Антивирусная Лаборатория «ЦЕБИТ», было отмечено появление вредоносного ПО в банкоматах, волну программ-вымогателей, изменения в тенденциях появления и роста бот-сетей, а также  появление новых угроз для операционной системы Mac OS X и возросшее внимание злоумышленников к социальным сетям. Вредоносное ПО в банкоматах В марте 2009 года многих взволновала новость о том, что в банкоматах некоторых российских банков была обнаружена вредоносная программа Trojan. Skimer. Trojan. Skimer сохраняет информацию, расположенную на банковских карточках, а также имеет возможность сохранять информацию о балансе счёта, связанного с банковской карточкой, если пользователь запрашивает её с помощью банкомата. Злоумышленники же впоследствии, путем изготовления поддельных карт, могут полностью опустошать счета своих жертв. В настоящее время данная уязвимость закрыта. Известный производитель банкоматов разослал по банкам соответствующие инструкции для её устранения. Mac OS X С ростом популярности Mac OS X возрастает и интерес к ней со стороны киберпреступников. Пока, естественно, объемы появления новых угроз под Windows и Mac OS X несопоставимы, однако в будущем ситуация может измениться. С начала 2009 года наблюдается возрастающий интерес злоумышленников к платформе Mac OS X. Он начал проявляться с появлением троянца Mac. Iservice, который включал зараженные компьютеры в бот-сеть. Это был первый случай объединения компьютеров под управлением Mac OS X в бот-сети (ее назвали iBotnet). К концу весны 2009 года последовала другая волна распространения вредоносных программ для Mac. На этот раз это были троянцы семейства Mac. DnsChange, которые распространялись в виде ссылок на вредоносный видеоролик. В частности, как один из каналов здесь использовался Twitter. Интересно то, что при активации вредоносного видео определялся тип операционной системы по данным User- Agent пользователя. После определения типа ОС отдавался соответствующий тип вредоносной программы: либо для Windows, либо для Mac OS X. Бот-сети Значительное внимание привлекли к себе бот-сети Shadow и Tdss. В марте появилась последняя модификация Win32. HLLW. Shadow. based, использующая генератор адресов, который создаёт, руководствуясь определённым алгоритмом, 50 000 адресов серверов в сутки, из них отбирает 500 адресов, с которых осуществляются попытки получить инструкции и загружаются обновлённые вредоносные модули. Этот новый алгоритм работы существенно усложняет противодействие работе данной бот-сети, т.к. невозможно вычислить все адреса серверов, участвующих в работе бот-сети и прекратить их работу на законных основаниях. В данный момент наблюдается тенденция к снижению темпов роста данной бот-сети. Backdoor. Tdss, использующийся злоумышленниками для расширения бот-сети Tdss, использует несколько другие методы – от версии к версии дорабатываются используемые руткит-методы скрытия в системе, для того чтобы более эффективно противодействовать работе антивирусных программ. Так, современные версии BackDoor. Tdss научились довольно эффективно препятствовать работе файловых мониторов антивирусов. Также кроме довольно популярного и не принимаемого до сих пор всерьёз факта использования уязвимостей ОС семейства Windows, данный бэкдор использует и такой старый и известный большинству пользователей метод распространения вредоносных программ – в виде кодеков для проигрывания видеороликов. Несмотря на общеизвестность данный метод до сих пор вполне успешно работает. Социальные сети Весной 2009 года повысилась вредоносная активность в зарубежных социальных сетях. К середине лета сильно возросла активность семейства Win32. HLLW. Facebook (известного также как Koobface). Только за летние месяцы численность заражений увеличилась вдвое. О системе микроблоггинга Twitter необходимо рассказать более подробно. Киберпреступники уже серьезно взялись за использование её в качестве канала для распространения вредоносных программ. Так, в ней выросло общее количество спам-сообщений, содержащих ссылки на вредоносные веб-ресурсы. Особое внимание следует уделить тому, что ссылки при этом благодаря сервису их сокращения обезличены. Пользователь не может самостоятельно догадаться, что скрывается за ними. В конце мая было положено начало вирусному семейству JS. Twitter. На данный момент это семейство вредоносных программ олицетворяют XSS-черви, которые активно распространялись в конце весны внутри этой социальной сети. Что же касается активности вредоносного ПО, имеющего отношение к российским социальным сетям, можно выделить семейство программ-вымогателей Trojan. Hosts. Данная вредоносная программа принадлежит к семейству Trojan. Hosts и вымогает деньги у зараженных пользователей популярной социальной сети «ВКонтакте». На сегодняшний день насчитывается около сотни различных модификаций этой угрозы. Trojan. Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Спам По данным компании «Антивирусная Лаборатория «ЦЕБИТ» доля спама в почтовом трафике за первое полугодие 2009 года в среднем составила 85.42%. Самый низкий показатель отмечен в апреле — 82,7%, больше всего спама зафиксировано в июне — 88,9%. Основными тематиками нежелательных рассылок стали:    1. Медикаменты; товары/услуги для здоровья;    2. Спам "для взрослых";    3. Реклама спамерских услуг;    4. Образование;    5. Реплики элитных товаров; В приведенном выше перечне следует выделить возросшую по сравнению с началом года долю рекламы спамерских услуг. Вероятно, в условиях экономического кризиса некоторые заказчики спама разорились или отказались от рассылок. Это вынуждает спамеров активнее рекламировать собственные услуги, чтобы добиться притока новых клиентов. Скорее всего, такими клиентами могут стать компании, которые ранее считали невозможным использовать спам-рекламу, но в условиях кризиса и сокращения рекламных бюджетов могут решить воспользоваться услугами спамеров. Для того чтобы завлечь пользователя на страницы с вредоносными объектами, чаще всего использовались темы дешевых медикаментов и различных способов выхода из сложной финансовой ситуации. Поводом для распространения вредоносного ПО также стала печальная новость о смерти Майкла Джексона, облетевшая мир 26 июня. Злоумышленники, рассчитывая на широкую аудиторию поклонников короля поп-музыки, осуществили рассылки с обещаниями пролить свет на его загадочную смерть. Заинтересовавшегося предлагаемой информацией ждало разочарование, а его компьютер подвергался опасности заражения. Ссылка, указанная в письме, вела на страницу, которая отсылала пользователя к исполняемому файлу - троянской программе семейства Trojan- Spy. Win32. Zbot, ориентированной на кражу данных пользователя. В заключение можно сказать, что спамеры делают ставку на количество в ущерб качеству. Пытаясь разослать как можно больше спама, они меньше внимания обращают на оформление писем и новые приемы для обхода спам-фильтров. Доля заказной рекламы сократилась, а это говорит о том, что в условиях кризиса заказчиков спама стало существенно меньше. Пресс-релиз наверх