Новости компании "Доктор Веб" - RSS канал

Trojan.Stuxnet затмил блокировщиков. Жаркий вирусный июль 2010 года

Tue, 03 Aug 2010 00:00:00 GMT

3 августа 2010 года

Июль 2010 года ознаменовался не только экстремальной жарой, но и появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.

Trojan.Stuxnet нашел «дыру» в Windows и проникает через ярлыки

Июльской «новинкой» летнего сезона, заставившей антивирусную индустрию в который раз серьезно мобилизовать свои ресурсы, стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stuxnet.1 стал промышленный шпионаж.

Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.

Авторы нового троянца преподнесли пользователям сразу несколько неприятных сюрпризов. Во-первых, уже упомянутая эксплуатация уязвимости Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости. По информации, опубликованной разработчиком ОС Windows, ей подвержены как 32-битные, так и 64-битные версии, начиная с Windows XP и заканчивая Windows 7 и Windows Server 2008 R2. Злоумышленники могут использовать эту «брешь» и для удаленного запуска вредоносных программ. Кроме того, опасный код может интегрироваться в документы некоторых типов, предполагающих наличие в них встроенных ярлыков, и распространяться посредством эксплуатации обнаруженной уязвимости.

2 августа 2010 года компания Microsoft выпустила критический патч для всех подверженных уязвимости версий Windows. Для тех систем, в которых настроено автоматическое обновление, патч установится автоматически, и для его применения потребуется перезагрузка компьютера.

«Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют подпись для «тихой» установки в целевую систему.

Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.

У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exploit.Cpllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.

В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем. Отреагировали на появление новой угрозы и специалисты компании «Доктор Веб» — в вирусную базу были оперативно добавлены процедуры лечения зараженных троянцем систем.

Массовое использование буткитов

Буткиты — программы, модифицирующие загрузочный сектор диска — постепенно становятся привычным компонентом вредоносного ПО. Применение буткитов приводит к тому, что обычные средства анализа системы на наличие вредоносного кода не в состоянии детектировать объект комплексно. Не имея возможности отследить модификацию загрузочного сектора, они могут определить лишь те компоненты вредоносных программ, которые расположены на диске в виде обычных файлов. Таким образом, даже после лечения вирус снова окажется в системе, и так продолжится до тех пор, пока загрузочный сектор диска не будет возвращен к исходному состоянию.

Лишь немногие комплексные антивирусные средства способны выявить модификацию загрузочного сектора и полностью вылечить систему от буткита. В большинстве случаев разработчики антивирусов предлагают избавляться от этой проблемы с помощью специальных утилит. И здесь возникает сложность, которой и пользуются злоумышленники: пользователь далеко не всегда своевременно начинает искать альтернативные пути решения проблемы, поскольку не в состоянии понять, что его антивирус просто «не видит» факта модификации загрузочного сектора системного диска.

Одним из буктитов, беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Explorer, в которых отображалась реклама. Причем данные окна открывались даже в том случае, если использовался один из альтернативных браузеров. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.

Блокировщики отступают

В июле эпидемия блокировщиков пошла на спад — сервер статистики Dr.Web зафиксировал 280 000 детектов против 420 000 в июне. Во многом это связано с успешными действиями, которые совместно с пользователями предпринимают и антивирусные компании, в частности «Доктор Веб». Так, из-за усиленного противодействия СМС-мошенникам авторы блокировщиков вынуждены в очередной раз задействовать другие схемы монетизации доходов. Они используют новые электронные платежные системы и даже начинают предлагать пользователям несколько вариантов передачи денег за разблокировку на выбор.

Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов, — социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows.

В дальнейшем можно ожидать постепенного снижения распространения блокировщиков. Это связано и со значительно более низкой эффективностью схем оплаты без использования СМС, и с повышенным вниманием к проблеме со стороны правоохранительных органов. Уверенно растет и число пользователей, владеющих информацией об альтернативных методах разблокировки компьютеров, не подразумевающих передачу денег злоумышленникам.

Другие вредоносные программы июля

Продолжилось массированное распространение через электронную почту различных модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения перенаправляют пользователей на страницы с рекламой и вредоносные сайты. Отмечена повышенная активность полиморфных файловых вирусов семейства Win32.Sector. Dr.Web давно ориентирован на лечение систем от сложных полиморфных вирусов, в июле разработчики оптимизировали алгоритм детекта вредоносных программ этого типа. Европейских пользователей по-прежнему продолжают беспокоить банковские троянцы, вынуждающие вводить разовые TAN-коды (подробно мы рассказывали о них в июньском обзоре), а также новые варианты лжеантивирусов в старом визуальном обличье.

Подводя итоги, можно отметить, что июль не принес неразрешимых задач ни для разработчиков антивирусного ПО, ни для рядовых пользователей. Активность использования вредоносных ярлыков, определяющихся Dr.Web как Exploit.Cpllnk, должна уменьшиться в связи с оперативным выходом патча от Microsoft. Ввиду того, что буткиты становятся рядовым компонентом вредоносных программ, антивирусным вендорам рано или поздно придется включить работу с загрузочными секторами дисков в комплексные продукты, уходя от отдельных утилит. Блокировщики и их авторы своим поведением наглядно демонстрируют, что бороться с ними отнюдь не бесполезно: комплексные меры, предпринимаемые против них, действительно приносят результаты.

Вредоносные файлы, обнаруженные в июле в почтовом трафике

01.07.2010 00:00 — 01.08.2010 00:00
1	Trojan.Oficla.38	558788 (29,38%)
2	Trojan.MulDrop1.27707	239578 (12,60%)
3	Trojan.Oficla.zip	168193 (8,84%)
4	Trojan.Oficla.33	76344 (4,01%)
5	Trojan.Siggen1.33477	65827 (3,46%)
6	Win32.HLLW.Shadow.based	57468 (3,02%)
7	Trojan.DownLoad1.58681	54228 (2,85%)
8	Trojan.Botnetlog.zip	52785 (2,78%)
9	Trojan.Oficla.45	39496 (2,08%)
10	Trojan.Winlock.1651	33622 (1,77%)
11	Trojan.Inject.8960	26565 (1,40%)
12	JS.Redirector.64	2720 (1,19%)
13	Trojan.Inject.8798	22703 (1,19%)
14	Trojan.Packed.20425	19863 (1,04%)
15	Trojan.MulDrop1.39520	16794 (0,88%)
16	Trojan.Packed.20543	16105 (0,85%)
17	BackDoor.Qbot.20	13834 (0,73%)
18	JS.Redirector.68	13829 (0,73%)
19	Win32.HLLW.Kati	13021 (0,68%)
20	JS.Redirector.based.3	9533 (0,50%)

Всего проверено:	11 135 769 221
Инфицировано:	1 901 822 (0,02%)

Вредоносные файлы, обнаруженные в июле на компьютерах пользователей

01.07.2010 00:00 — 01.08.2010 00:00
1	Exploit.Cpllnk	485069 (5,94%)
2	Trojan.Siggen.29465	453671 (5,69%)
3	Trojan.AuxSpy.229	421063 (5,29%)
4	Win32.HLLP.PissOff.36864	256127 (3,21%)
5	Win32.HLLW.Gavir.ini	246137 (3,09%)
6	Trojan.Stuxnet.1	233726 (2,93%)
7	Win32.HLLW.Shadow.based	224531 (2,82%)
8	Trojan.DownLoad.32973	180925 (2,27%)
9	Win32.HLLW.Autoruner.5555	177170 (2,22%)
10	Trojan.PWS.Siggen.2674	170996 (2,15%)
11	ACAD.Pasdoc	152498 (1,91%)
12	Trojan.Winlock.472	142707 (1,79%)
13	VBS.Sifil	133643 (1,68%)
14	Trojan.Siggen1.40023	123169 (1,55%)
15	Win32.Sector.16	99146 (1,24%)
16	Trojan.MulDrop.55658	91117 (1,14%)
17	Trojan.Packed.20343	84027 (1,05%)
18	Win32.HLLW.Autoruner.based	77867 (0,98%)
19	BackDoor.IRC.Sdbot.4590	76312 (0,96%)
20	Trojan.DownLoad2.8448	73995 (0,93%)

Всего проверено:	61 372 607 281
Инфицировано:	7 966 770 (0,01%)

Российские «винлоки», европейские «банкиры» и другие угрозы июня 2010 года

Fri, 02 Jul 2010 00:00:00 GMT

2 июля 2010 года

Блокировщики Windows продолжают оставаться одной из основных вирусных угроз 2010 года в России. Причем до 30% трафика блокировщиков в июне составили те разновидности, которые требуют пополнить счёт мобильного телефона злоумышленника через терминал. Завсегдатаи социальных сетей также находятся под ударом – при попытке зайти на свои любимые сайты они могут получить сообщение о блокировке аккаунта с требованием отправить платное SMS-сообщение. Тем временем в Европе в течение первого летнего месяца распространялись банковские троянцы, вынуждавшие клиентов банков отправлять злоумышленникам TAN-коды. Эти коды используются некоторыми банками для однократной авторизации транзакций – но даже такие меры предосторожности со стороны банков не всегда спасают доверчивых пользователей от ущерба, наносимого злоумышленниками.

Противодействие блокировщикам Windows

Пока блокировщики Windows продолжают терроризировать пользователей, компания «Доктор Веб» большое внимание уделяет оказанию помощи пострадавшим. Изначально форма разблокировки, разработанная специалистами компании, была интегрирована в одну из новостей на эту тему, и стала первым сервисом в Интернете, помогающим жертвам блокировщиков вернуть доступ к своим компьютерам.

Следующим шагом стало создание в январе 2010 года сайта Dr.Web Unlocker. В его рамках были реализованы формы, предлагающие код разблокировки для известных комбинаций коротких номеров телефонов и текстов сообщений. Со временем появились алгоритмы, по возможности генерировавшие коды разблокировки и для отсутствующих в базе сайта комбинаций. С 31 января 2010 года этот ресурс использовался более 3 млн. раз, было зафиксировано около 1,5 млн. уникальных посетителей. В настоящее время сервис разблокировки компании «Доктор Веб» посещают до 25 000 уникальных пользователей в выходные и до 39 000 в рабочие дни. Сейчас это уже не просто выдача кода из базы, чётко связанного с парой «номер телефона – текст сообщения». Это – производственный процесс, в разработке, ежедневной модернизации и реализации которого принимают участие специалисты различных отделов компании. Его цель – повышение качества помощи пострадавшим от блокировщиков.

Несмотря на то, что компания «Доктор Веб» и раньше оказывала бесплатную помощь пострадавшим от «винлоков», 23 июня был сделан ещё один шаг для решения проблемы блокировщиков. Специалисты технической поддержки компании начали оказывать бесплатную помощь официально, для тех, кому не помог сайт Dr.Web Unlocker. Причем поддержку получают все пользователи, вне зависимости от «марки» используемого антивируса. Только в первые сутки работы нового сервиса было зафиксировано 2000 обращений. Сейчас по вопросам разблокировки в техподдержку компании обращаются от 500 до 1500 пользователей ежедневно. В пиковые часы количество обращений на эту тему составляет до 95% от числа всех запросов. На сегодняшний день либо на своих компьютерах, либо на ПК своих родственников и знакомых с блокировщиками встречались около 90% российских интернет-пользователей. Проблема стала общей для интернет-сообщества, и «Доктор Веб» в этой ситуации не может оставаться в стороне. Для борьбы с эпидемией был избран комплексный подход, включающий помощь пострадавшим, взаимодействие с правоохранительными органами, а также широкое информирование о текущей ситуации в борьбе с блокировщиками, методах предотвращения заражения системы и ее лечении в случае блокировки.

В июне сервером статистики «Доктор Веб» было зафиксировано более 420 000 детектов блокировщиков (в мае – более 940 000). Большинство этих троянцев Dr.Web определяет как Trojan.Winlock, Trojan.Adultban и Trojan.Packed.20343.

К концу июня в 30% случаев заражения блокировщиками злоумышленники требовали не отправки SMS-сообщений, а перечисления денег на счёт мобильного телефона через терминал оплаты. Изучив множество случаев заражений такими блокировщиками, специалисты компании «Доктор Веб» пришли к выводу, что в подавляющем числе случаев коды разблокировки невозможно получить после оплаты указанным способом, т.е. пользователей обманывают дважды. Это лишний раз подчёркивает один из главных тезисов: какой бы безвыходной ни казалась ситуация, не стоит отправлять злоумышленникам деньги! По поводу данного типа блокировщиков «Доктор Веб» также сотрудничает с правоохранительными органами. Параллельно идёт работа по оптимизации вывода кодов разблокировки для таких блокировщиков.

Представляем вашему вниманию галерею изображений блокировщиков, которые наиболее часто встречались в июне.

Социальные сети – лакомый кусочек для злоумышленников

Многие пользователи, обращаясь в компанию «Доктор Веб» по проблеме блокировщиков, сообщают о том, что не могут зайти на сайты социальных сетей и бесплатных служб электронной почты – при попытке захода выводится сообщение о том, что аккаунт заблокирован, например, за рассылку спама, и для восстановления доступа требуется отправить SMS-сообщение. Вредоносные программы, ответственные за такие сообщения, определяются Dr.Web как Trojan.Hosts.

В конце июня пользователи сообщали о том, что стали появляться и такие модификации Trojan.Hosts, которые, как и многие новые блокировщики Windows, требуют отправить деньги злоумышленникам посредством терминалов.

Специалисты техподдержки «Доктор Веб» помогают и тем, кто обращается по поводу лечения данных вирусов, т.к. Trojan.Hosts и Trojan.Winlock используют одинаковые схемы монетизации преступного дохода, представляя собой звенья одной цепочки.

Пользователи интернет-банкинга под угрозой

Из Европы в июне поступали сообщения о широком распространении вредоносных программ, нацеленных на клиентов банков, которые используют системы интернет-банкинга. В частности, пострадали пользователи австрийского банка Volksbank и немецкого Postbank.

Для повышения безопасности интернет-операций со счетами данные банки используют систему TAN-кодов, уникальных для каждой транзакции. Таким образом, в руки злоумышленникам не может попасть единый PIN-код, соответствующий банковской карточке. Но киберпреступники имеют в своём арсенале способ обойти и эту защиту. Так, пользователи, чьи компьютеры заражены такими банковскими троянцами (по классификации Dr.Web это Trojan.PWS.Banker и Trojan.PWS.Bancos), при попытке воспользоваться системами интернет-банкинга получали сообщения о необходимости ввести TAN-коды, которые и попадали в руки злоумышленников.

При посещении сайтов интернет-банкинга, на которые ориентирован данный троянец, программа определяла, какой из браузеров используется, и активизировалась только в случае если это был Internet Explorer. Это лишний раз свидетельствует о том, что пользователи альтернативных браузеров на сегодняшний день могут обеспечить себе более высокий уровень безопасности в Сети.

Среди общих тенденций июня также можно отметить сохраняющуюся активность бот-сети Oficla – в июньской двадцатке наиболее часто встречающихся в почтовом трафике вредоносных программ различные модификации Trojan.Oficla занимают сразу 4 позиции. Также стоит упомянуть заметное количество скриптов, определяемых Dr.Web как JS.Redirector.based.3. Эти скрипты определялись в многочисленных HTML-документах, приложенных к спам-сообщениям. При открытии такого вложения пользователь перенаправлялся либо на ресурсы, распространяющие вредоносные программы, либо на сайты с рекламой, как правило – медицинских препаратов.

Вредоносные файлы, обнаруженные в июне в почтовом трафике

01.06.2010 00:00 - 01.07.2010 00:00
1	Trojan.DownLoad1.58681	94881 (10.75%)
2	Trojan.Oficla.38	90647 (10.27%)
3	Trojan.Winlock.1651	73241 (8.30%)
4	Trojan.Oficla.zip	53192 (6.03%)
5	JS.Redirector.based.3	49394 (5.60%)
6	Trojan.Oficla.45	36125 (4.09%)
7	Trojan.Inject.8798	32974 (3.74%)
8	Win32.HLLW.Shadow.based	31944 (3.62%)
9	Trojan.Botnetlog.zip	28964 (3.28%)
10	Trojan.Packed.20425	22365 (2.53%)
11	Trojan.DownLoad1.62000	22311 (2.53%)
12	Trojan.Click1.10425	22229 (2.52%)
13	Win32.HLLW.Kati	16839 (1.91%)
14	Trojan.Inject.8874	12293 (1.39%)
15	Trojan.DownLoader.origin	10000 (1.13%)
16	Trojan.Siggen1.41503	9198 (1.04%)
17	Trojan.Oficla.33	7436 (0.84%)
18	Trojan.Packed.436	6902 (0.78%)
19	Win32.HLLW.Shadow.6	6765 (0.77%)
20	Win32.HLLW.Autoruner.4360	5299 (0.60%)

Всего проверено:	13,188,581,400
Инфицировано:	847,004 (0.0642%)

Вредоносные файлы, обнаруженные в июне на компьютерах пользователей

01.06.2010 00:00 - 01.07.2010 00:00
1	Trojan.Inject.8798	1265565 (13.62%)
2	Trojan.Siggen1.37243	678958 (7.31%)
3	ACAD.Pasdoc	672529 (7.24%)
4	Trojan.Packed.20343	301736 (3.25%)
5	Trojan.Siggen1.51699	280021 (3.01%)
6	Win32.HLLW.Gavir.ini	279207 (3.01%)
7	Win32.HLLW.Shadow	263432 (2.84%)
8	Win32.HLLW.Shadow.based	263423 (2.84%)
9	Trojan.Siggen1.40023	227444 (2.45%)
10	Trojan.AuxSpy.229	217638 (2.34%)
11	Win32.HLLP.Jeefo.36352	214459 (2.31%)
12	Win32.HLLP.Neshta	214243 (2.31%)
13	VBS.Sifil	207502 (2.23%)
14	Trojan.DownLoad.32973	205901 (2.22%)
15	Trojan.WinSpy.641	198304 (2.13%)
16	Win32.HLLW.Autoruner.5555	125789 (1.35%)
17	Adware.OSSProxy	96510 (1.04%)
18	Win32.HLLM.Generic.440	84592 (0.91%)
19	BackDoor.IRC.Sdbot.4590	72811 (0.78%)
20	VBS.Autoruner.8	63321 (0.68%)

Всего проверено:	64,422,986,656
Инфицировано:	9,288,857 (0.0144%)

Многократно возросла эффективность Dr.Web CureIt!

Thu, 24 Jun 2010 00:00:00 GMT

24 июня 2010 года

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – объявляет о выпуске кардинально обновленной бесплатной утилиты Dr.Web CureIt! Этот продукт приходит на выручку миллионам пользователей во всем мире, зачастую спасая в самых безнадежных ситуациях. Обновленная версия использует в своей работе принципиально новые алгоритмы борьбы с киберугрозами. Бета-тестирование уже выявило существенное превосходство Dr.Web CureIt! в эффективности над другими представителями продуктовой линейки компании. В ближайшем будущем эти усовершенствования будут реализованы в платной версии утилиты, а в дальнейшем - и во всех продуктах Dr.Web.

В основе нового Dr.Web CureIt! лежит собственный стартер, избавляющий от проблем лечения, связанных с недостатками работы стандартного распаковщика WinRAR . С его помощью минимизирована вероятность злонамеренной блокировки утилиты при ее старте, а также решена проблема возможности распаковки файла без его запуска, которая до сих пор позволяла злоумышленникам собирать утилиту сторонними средствами и под видом Dr.Web CureIt! распространять троянские программы.

Самозащита Dr.Web активизируется на самом раннем этапе запуска. До этого момента блокировка исключается благодаря применению новых стелс-алгоритмов, позволяющих утилите оставаться незамеченной для вирусов.

В связи с активным распространением вредоносных программ семейства Trojan.Winlock Dr.Web CureIt! оснащен уникальным режимом противодействия блокировщикам. При запуске утилиты все её окна отображаются на защищенном рабочем столе, недоступном для блокировки. Пользователь видит уведомление о том, что он может продолжить работу в режиме усиленной защиты (при этом другие операции будут недоступны) или запустить Dr.Web CureIt! в обычном режиме. При работе в усиленном режиме нельзя переключиться в обычный до окончания работы утилиты.

В отличие от предшествующей версии новый Dr.Web CureIt! полностью совмеcтим с различными средствами аварийного восстановления Windows - такими как LiveCD и пр.

Системные требования к работе утилиты изменились: теперь поддерживается только ОС Windows 2000 и выше. Реализована поддержка 32- и 64-битных систем, причем в обоих случаях работает как самозащита, так и усиленный режим противодействия блокировщикам. Как и прежде, утилита будет обновляться по мере выпуска новых вирусных баз, оставаясь постоянно актуальной.

Уже на этапе бета-тестирования новый Dr.Web CureIt! оказался востребованным и заслужил одобрительные отзывы большого количества пользователей. Разработчики приложили максимум усилий к тому, чтобы в модернизированном виде утилита продолжала держать марку одного из самых мощных средств экстренной антивирусной помощи.

Скачать новый Dr.Web CureIt!

«Доктор Веб» обеспечивает бесплатную техподдержку для всех пострадавших от Trojan.Winlock

Wed, 23 Jun 2010 00:00:00 GMT

23 июня 2010 года

Компания «Доктор Веб» сообщает о начале предоставления бесплатной технической поддержки для всех пострадавших от действий вредоносных программ семейства Trojan.Winlock. Теперь пользователи могут оформить запрос о разблокировке и получить квалифицированную помощь непосредственно от специалистов компании.

К сожалению, тема блокировщиков Windows сегодня остается актуальной. «Доктор Веб» продолжает не только бороться с вирусописателями, но и оказывать помощь тем, кто стал их жертвой. Так, получить код можно, зайдя на специальный раздел нашего сайта и воспользовавшись бесплатным разблокировщиком. Однако решить проблему с его помощью в некоторых случаях не удается (например, не для всех модификаций Trojan.Winlock вообще предусмотрены коды).

В службу технической поддержки компании с вопросами по разблокировке ежедневно обращаются сотни пользователей. И они получают помощь вне зависимости от того, каким антивирусом пользуются (и пользуются ли вообще).

Новый сервис призван помочь как можно большему числу жертв вернуть контроль над заблокированной системой и не потерять деньги, вымогаемые мошенниками. Используя оперативную информацию, специалисты «Доктор Веб» постараются помочь в тех случаях, когда другие методы оказались бессильны.

Вместе с тем разработчики призывают тех, кто располагает кодами, неизвестными «Доктор Веб», присылать их через форму сервиса – с их помощью борьба с эпидемией станет еще более эффективной.

Специалисты «Доктор Веб» стараются подходить к проблеме блокировщиков комплексно: выявляют новые методы злоумышленников; разрабатывают технологии, помогающие одной записью в вирусной базе детектировать множество «винлоков»; всеми доступными способами информируют пользователей об актуальных способах защиты от блокировщиков. Пока проблема не решена, мы не можем оставаться в стороне. Бесплатная техподдержка по разблокировке Windows должна стать еще одним инструментом для скорейшего ее решения.

Вирусные угрозы мая 2010 года: снова блокировщики Windows, а также новые буткиты и шифровальщики

Wed, 02 Jun 2010 00:00:00 GMT

2 июня 2010 года

Май 2010 года запомнился новой вспышкой блокировщиков Windows (Trojan.Winlock, Trojan.AdultBan), значительную долю которых составили модификации, не требующие отправлять SMS-сообщения. «Порадовали» беспечных пользователей и новые виды шифровальщиков пользовательских документов (Trojan.Encoder). В течение месяца были замечены новые буткиты, для которых «Доктор Веб» оперативно разработал соответствующую процедуру лечения. Лжеантивирусы (Trojan.Fakealert), в свою очередь, стали занимать менее значительное место в статистике.

Новая волна блокировщиков

Начиная с 14 мая сервер статистики «Доктор Веб» стал фиксировать превышение среднего ежесуточного количества детектов блокировщиков Windows. В первые дни оно превышало ежесуточную норму за последние месяцы в несколько раз, а уже 18 мая было зафиксировано 215 000 детектов (Trojan.Winlock и Trojan.AdultBan) при норме в 1 500 детектов в сутки. Повышенная активность распространения блокировщиков сохранилась до конца мая.

Несмотря на то, что новая волна распространения Trojan.Winlock пришлась на вторую половину мая, всего за отчётный месяц было зафиксировано более 920 000 детектов блокировщиков Windows, и эта цифра впервые превысила прошлый ежемесячный максимум распространения данных вредоносных программ, который пришёлся на январь 2010 года. Все эти события хорошо видны на месячном графике детектов.

Блокировщики без SMS

Начиная с 7 мая пользователи начали обращаться в службу технической поддержки по поводу блокировщиков, которые вместо отправки платного SMS-сообщения требовали перевести деньги с помощью платежных терминалов. В течение мая злоумышленники в качестве транзита до получения наличных денег опробовали множество электронных денежных систем, среди которых присутствовали более или менее популярные - WebMoney, RBKMoney, "Единый кошелёк" ("Wallet One"). Такие блокировщики, как и их классические модификации, определяются антивирусными продуктами Dr.Web как Trojan.Winlock.

Тем не менее, к концу месяца пользователям чаще всего предлагалось перевести деньги на счёт мобильного телефона, зарегистрированного злоумышленниками у одного из российских сотовых операторов. Здесь важно отметить, что злоумышленники постоянно меняют номера таких телефонов, затрудняя противодействие своим противоправным деяниям и снижая вероятность обнаружения правоохранительными органами.

В сообщениях новых видов Trojan.Winlock, говорится о том, что код разблокировки будет находиться на чеке, который выдаёт терминал после перечисления необходимой суммы. Однако стоит учитывать тот факт, что отнюдь не каждый терминал может обрабатывать подобные запросы и отображать на чеке данную информацию. Некоторые злоумышленники могут и вовсе не предусматривать возможность распечатки кодов разблокировки на таких чеках - если деньги от пользователя-жертвы получены, то цель уже достигнута. Кроме того, к сожалению, не все терминалы вовремя оснащаются чековыми лентами.

Суммы, которые киберпреступники требуют отправить через терминалы в случае заражения такими «винлоками», колеблются в диапазоне от 250 до 500 рублей, т.е. приблизительно соответствуют запросам «классических» блокировщиков.

Появление подобных вредоносных программ стало катализатором новой волны общего распространения блокировщиков, так как новые их типы добавились к классическим модификациям, распространение которых не прекратилось. Также переход на альтернативные схемы монетизации преступных доходов позволяет обойти те преграды для реализации мошеннических схем, которые создают SMS-мошенникам совместные усилия сотовых операторов, агрегаторов, правоохранительных органов и антивирусных компаний. При использовании преступниками различных электронных платёжных систем бороться с ними станет существенно сложнее.

Мы напоминаем, что «Доктор Веб» регулярно публикует на сайте Dr.Web Unlocker коды разблокировки и для новых типов блокировщиков. Также на этом сайте можно найти пароли для расшифровки файлов, зашифрованных некоторыми модификациями Trojan.Encoder.

Вашему вниманию предлагается галерея наиболее заметных типов блокировщиков Windows, которые встречались на компьютерах интернет-пользователей в мае.

Галерея Trojan.Winlock

Новые буткиты

В мае разработчики «Доктор Веб» обнаружили такие новые буткиты (тип руткита, который прописывается в загрузочной области диска и стартует до запуска системы) как Trojan.Alipop и Trojan.Hashish. Первый ориентирован на китайских пользователей и служит для искусственной накрутки счётчика посещений некоторых сайтов. Второй бут-вирус предназначен для запуска любых "полезных" для злоумышленников модулей, которые он приносит в систему вместе с собой. В настоящее время Trojan.Hashish в своём составе содержит вредоносные объекты семейства Win32.HLLC.Asdas, отображающие баннеры в браузерах. Также в состав данной программы входит функционал, позволяющий заражать исполняемые файлы.

Специалисты компании «Доктор Веб» оперативно реализовали в сканере Dr.Web с графическим интерфейсом для Windows лечение от новых типов буткитов. В настоящее время лишь немногие антивирусные компании занимаются разработкой процедур лечения систем от подобных вредоносных программ, ещё реже можно увидеть оперативность в решении подобных задач. Многие антивирусные продукты, представленные на рынке, не имеют возможности лечения от буткита непосредственно из заражённой системы, а альтернативные способы могут быть недоступны для выполнения обычному пользователю. Более того, ряд антивирусов просто не в состоянии определить наличие буткита в системе.

Лжеантивирусы пошли на убыль

Несмотря на то, что в мае четко прослеживается тенденция к существенному сокращению распространения Trojan.Fakealert, злоумышленники, видимо, решили брать качеством. На европейских интернет-ресурсах, посвящённых борьбе с вредоносными программами, публикуются всё более сложные инструкции по лечению систем от новых лжеантивирусов. Но злоумышленникам тоже становится доступен этот опыт, и очередные модификации ставят перед пользователями всё новые задачи. Эта «гонка вооружений» очень похожа на борьбу с блокировщиками Windows, которые распространяются среди русскоязычных интернет-пользователей.

Вашему вниманию предлагается галерея скриншотов лжеантивирусов, которые были популярны в прошлом месяце.

Галерея Trojan.Fakealert

Шифровальщики

В мае появилось несколько новых модификаций шифровальщиков пользовательских файлов Trojan.Encoder. Кроме того, стало известно о распространении конструкторов таких вредоносных программ. С 15 по 17 мая был замечен всплеск распространения шифровальщиков, которые, базируясь на одном "движке", предлагали либо связаться пользователям-жертвам с преступниками через различные ICQ-аккаунты, либо отправить платное SMS-сообщение. Ежесуточное количество детектов в эти дни составляло 1 300 - 1 900 экземпляров при среднем уровне до 500 детектов.

Также были замечены новые модификации Trojan.Encoder, которые ставят своей целью дискредитацию компании «Доктор Веб». В этих случаях зашифрованные файлы имеют символику Dr.Web, такое же название вредоносной программе дают вирусописатели в своих текстах, обращённых к пользователям.

«Доктор Веб» рекомендует пользователям не поддаваться на подобные провокации, а в случае возникновения проблем с троянцами-шифровальщиками обращаться в вирусную лабораторию «Доктор Веб». Эти действия злоумышленников являются следствием активного противостояния им со стороны сотрудников компании.

Процент содержания вредоносных программ среди всех проверенных с помощью антивирусных продуктов Dr.Web объектов в мае 2010 г. существенно снизился как в почтовом трафике, так и среди файлов на компьютерах пользователей. Это может являться следствием значительного сокращения распространения лжеантивирусов (они полностью исчезли из TOP-20 вредоносных объектов, обнаруженных во вредоносном трафике), так и снижением активности наиболее крупных бот-сетей.

Вредоносные файлы, обнаруженные в мае в почтовом трафике

01.05.2010 00:00 - 01.06.2010 00:00
1	Trojan.Botnetlog.zip	112576 (22.36%)
2	Win32.HLLM.MyDoom.54464	95952 (19.05%)
3	Trojan.Winlock.1651	49108 (9.75%)
4	Win32.HLLW.Shadow.based	43598 (8.66%)
5	Trojan.DownLoad.37236	19956 (3.96%)
6	Win32.HLLW.Autoruner.4360	16815 (3.34%)
7	BackDoor.Siggen.17777	14187 (2.82%)
8	Trojan.Oficla.45	12008 (2.38%)
9	Trojan.MulDrop.64815	8296 (1.65%)
10	JS.Click.136	6842 (1.36%)
11	BAT.Lucky.2671	6301 (1.25%)
12	Win32.HLLW.Kati	6181 (1.23%)
13	Win32.HLLM.Netsky.18401	6056 (1.20%)
14	Trojan.MulDrop.55238	5556 (1.10%)
15	Win32.HLLM.Netsky.35328	5447 (1.08%)
16	Win32.HLLM.Netsky.based	5314 (1.06%)
17	Win32.HLLM.Netsky	4859 (0.96%)
18	Trojan.DownLoad1.55035	4034 (0.80%)
19	Exploit.PDF.820	3936 (0.78%)
20	Trojan.DownLoad1.54042	3928 (0.78%)

Всего проверено:	8,016,805,833
Инфицировано:	503,569 (0.00628%)

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

01.05.2010 00:00 - 01.06.2010 00:00
1	Trojan.PWS.Webmonier.364	3224492 (13.66%)
2	ACAD.Pasdoc	741227 (3.14%)
3	Win32.HLLW.Shadow	664019 (2.81%)
4	Win32.HLLM.Dref	659756 (2.80%)
5	VBS.Sifil	507591 (2.15%)
6	Win32.HLLP.Neshta	370930 (1.57%)
7	Trojan.WinSpy.641	364950 (1.55%)
8	Win32.HLLP.Jeefo.36352	323031 (1.37%)
9	Win32.HLLW.Shadow.based	318348 (1.35%)
10	Trojan.Winlock.1678	306182 (1.30%)
11	Win32.HLLW.Autoruner.21042	243231 (1.03%)
12	Win32.HLLW.Gavir.ini	222372 (0.94%)
13	Trojan.Winlock.1686	191359 (0.81%)
14	Win32.HLLW.Autoruner.5555	170284 (0.72%)
15	Trojan.DownLoad.32973	165409 (0.70%)
16	Win32.HLLP.PissOff.36864	156540 (0.66%)
17	Trojan.Inject.8798	132271 (0.56%)
18	Trojan.Winlock.1793	122261 (0.52%)
19	Win32.Virut.5	113156 (0.48%)
20	DDoS.Pamela	110075 (0.47%)

Всего проверено:	855,347,743,950
Инфицировано:	23,604,815 (0.00276%)

Назад к списку новостей

Информация

Ресурсы

Купить

О компании \| Новости \| Прислать вирус \| Онлайн-сканер \| Политика конфиденциальности \| Карта сайта	Дополнительные ресурсы:
	www.av-desk.com www.freedrweb.com www.drweb-curenet.com	pda.drweb.com estore.drweb.com

«Доктор Веб» — российский разработчик средств информационной безопасности и лидер российского рынка интернет-сервисов безопасности для поставщиков IT-услуг. «Доктор Веб» стала первой компанией, предложившей на российском рынке инновационную модель потребления антивируса в качестве услуги сервис-провайдеров. Антивирусные продукты Dr.Web разрабатываются с 1992 года. Обширная география пользователей и многочисленные сертификаты и награды свидетельствуют о степени исключительного доверия к продуктам компании.

Новая волна Trojan.Winlock пришлась на середину мая 2010

Thu, 20 May 2010 00:00:00 GMT

20 мая 2010 года

Компания «Доктор Веб» обращает внимание интернет-пользователей на резкий рост распространения новых модификаций уже известных троянцев семейства Trojan.Winlock, блокирующих Windows и требующих отправить злоумышленникам платное SMS-сообщение для получения кода разблокировки. Новая волна Trojan.Winlock началась 18 мая – в этот день число детектов троянца сервером статистики «Доктор Веб» выросло в 110 раз по сравнению со среднесуточными показателями месячной давности.

Среди новых модификаций Trojan.Winlock, которые и явились катализатором этого роста, выделяется Trojan.Winlock.1678, а также те виды, которые уже не требуют отправки платных SMS, а вынуждают своих жертв для перевода средств пользоваться различными платежными системами.

Распространяются они самыми разными способами - используют уязвимости в Windows и браузерах, вредоносные сайты, эксплойты iframe, а также ботнеты.

Напомним, что первые модификации Trojan.Winlock появились около 3 лет назад и не представляли на тот момент особой опасности. С ноября 2009 года число новых троянцев этого семейства начало расти. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможной нормальную работу на компьютере, вирусописатели стали требовать все больше денег – от 300 до 600 рублей. При этом новые Trojan.Winlock уже не удалялись автоматически из системы и препятствовали работе множества других программ на зараженном компьютере. Пик распространения Trojan.Winlock, как мы уже сообщали, пришелся на январь 2010 года. Тогда число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей.

Совсем недавно могло показаться, что распространению троянцев, блокирующих Windows, скоро придет конец. В марте и апреле 2010 г. мы наблюдали снижение уровня распространения Trojan.Winlock, который за этот период упал примерно вдвое. Однако май внес свои коррективы.

Интернет-пользователям мы настоятельно рекомендуем не поддаваться на требования злоумышленников и не отправлять им свои деньги. Если ваш компьютер оказался заражен Trojan.Winlock, вы можете попытаться найти код разблокировки на специальной странице сайта «Доктор Веб». Во избежание заражения компьютер должен быть защищен лицензионным антивирусом с возможностью регулярного обновления вирусных баз и компонентов.

Назад к списку новостей

Поддельные торрент-трекеры и другие вирусные уловки апреля 2010 года

Sat, 01 May 2010 00:00:00 GMT

1 мая 2010 года

В апреле 2010 года злоумышленники сосредоточили своё внимание на новых схемах SMS-мошенничества. В зону их интересов теперь попали торрент-трекеры и файлообменники, которые они попытались заменить поддельными сайтами. Также в апреле были обнаружены образцы нового вредоносного ПО для смартфонов. В почтовом трафике по-прежнему лидируют лжеантивирусы.

Поддельные торрент-трекеры и файлообменники

Специалисты компании «Доктор Веб» выявили сеть поддельных торрент-трекеров и файлообменников, размещенных в различных странах мира, но предназначенных в основном для русскоязычных пользователей. Пользуясь популярностью подобных ресурсов и беспечностью многих интернет-пользователей, осуществляющих поиск необходимой информации посредством поисковых систем, злоумышленники намеренно размещают на данных сайтах ссылки на любые музыкальные композиции, фильмы, книги и пр.

При этом поддельные торрент-трекеры и файлообменники занимают первые места в ответах поисковых систем на запросы пользователей. По всей видимости, для этого злоумышленники проводят поисковую оптимизацию и другие предварительные работы.

Когда пользователь попадает на поддельный сайт и проходит по ссылке на якобы архив с нужной информацией, на самом деле скачивается исполняемый файл размером 16 Мб, который определяется антивирусными продуктами Dr.Web как Tool.SMSSend.2.

При запуске данного файла пользователю предлагается отправить несколько платных SMS-сообщений для получения якобы пароля доступа к загруженному архиву. На самом деле в таких вредоносных файлах не содержится ничего полезного.

В настоящее время сервер статистики «Доктор Веб» фиксирует около 6 000 детектов Tool.SMSSend.2 в сутки.

Вирус-копирайтер

Кроме приведенных выше способов получения доходов злоумышленники активно осуществляли психологические атаки на пользователей торрент-трекеров. В апреле было зафиксировано широкое распространение вредоносной программы Trojan.Fakealert.14886 (по классификации «Доктор Веб»), которая при заражении системы выводит сообщение о том, что на компьютере пользователя обнаружены нелегальные торрент-файлы, что, в свою очередь, преследуется законом.

Распространяется Trojan.Fakealert.14886 под видом инсталлятора программного обеспечения. В случае если пользователь перезагрузил компьютер, не удалив данную программу штатными средствами, она, подобно троянцам семейства Trojan.Winlock, блокирует доступ в систему. Наибольшее распространение этой вредоносной программы было зафиксировано в Европе.

Также в апреле было зафиксировано распространение новой модификации Trojan.Winlock, которая сообщает пользователю о том, что он нарушает авторское право, и предлагает для дальнейшего скачивания воспользоваться "резервными зарубежными каналами связи" в обмен на платное SMS-сообщение.

Лжеантивирусы

Лжеантивирусы продолжили своё массированное распространение по англоязычным странам. Появляются новые вариации уже известных ранее интерфейсов, а также свежие образцы дизайна лжеантивирусов. Схемы распространения троянцев семейства Trojan.Fakealert не изменились, в то время как количество их детектов в сутки сервером статистики Dr.Web снизилось и составило в апреле около 750 000 против около 1 000 000 в марте.

Галерея Trojan.Fakealert

Блокировщики Windows

Темпы распространения блокировщиков Windows на территории России (Trojan.Winlock по классификации «Доктор Веб») в апреле также продолжали снижаться и составили около 720 детектов в сутки (против около 1 300 в сутки в марте). Однако количество новых разновидностей Trojan.Winlock в этом месяце по-прежнему росло. Пользователи продолжают ежедневно обращаться по данной проблеме в техподдержку компании "Доктор Веб".

Галерея Trojan.Winlock

Дозвонщик для смартфонов

В апреле было зафиксировано распространение вредоносной программы WinCE.Dialer.1, которая, будучи установлена на КПК, работающем под управлением ОС Windows Mobile, начинала самостоятельно звонить на платные телефонные номера, расположенные в различных странах. При этом, естественно, обнулялся счет владельца телефона.

Активная фаза деятельности троянца начинается через двое суток после успешного заражения системы. WinCE.Dialer.1 распространяется под видом игры для КПК.

Процент вредоносных объектов во всём проверенном антивирусными продуктами Dr.Web почтовом трафике в апреле 2010 года вырос на 28 %. Процент вредоносных файлов среди всех проверенных файлов на компьютерах пользователей вырос в 2,12 раза. Это может говорить о том, что злоумышленники меньше внимания уделяли в апреле распространению вредоносных программ посредством канала электронной почты и больше использовали другие каналы – заражённые сайты, эксплойты PDF, Flash (SWF), браузеров и проч.

Вредоносные файлы, обнаруженные в апреле в почтовом трафике

01.03.2010 00:00 - 01.04.2010 00:00
1	Trojan.DownLoad.41551	11193316 (13.64%)
2	Trojan.DownLoad.37236	9927963 (12.10%)
3	Trojan.DownLoad.47256	7320678 (8.92%)
4	Trojan.Botnetlog.zip	5865274 (7.15%)
5	Trojan.MulDrop.40896	5147022 (6.27%)
6	Trojan.Fakealert.5115	5100040 (6.22%)
7	Trojan.Packed.683	4148051 (5.06%)
8	Trojan.Fakealert.5238	3808296 (4.64%)
9	Trojan.DownLoad.50246	2921645 (3.56%)
10	Trojan.Fakealert.5825	2484216 (3.03%)
11	Trojan.Fakealert.5437	1834890 (2.24%)
12	Trojan.Fakealert.5356	1659867 (2.02%)
13	Trojan.Fakealert.5784	1445121 (1.76%)
14	Trojan.Fakealert.5229	1338146 (1.63%)
15	Trojan.PWS.Panda.122	1332036 (1.62%)
16	Trojan.Fakealert.11956	1267041 (1.54%)
17	Trojan.Fakealert.5457	1162458 (1.42%)
18	Trojan.Siggen.18256	1106066 (1.35%)
19	Trojan.Packed.19694	1099122 (1.34%)
20	Trojan.MulDrop.46275	1058813 (1.29%)

Всего проверено:	17,689,058,602
Инфицировано:	82,042,532 (0.464%)

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей

01.04.2010 00:00 - 01.05.2010 00:00
1	Win32.HLLW.Shadow	834227 (2.84%)
2	Trojan.AuxSpy.187	829685 (2.82%)
3	VBS.Sifil	525939 (1.79%)
4	Trojan.Starter.516	438173 (1.49%)
5	ACAD.Pasdoc	419684 (1.43%)
6	Win32.HLLW.Gavir.ini	364819 (1.24%)
7	Win32.HLLW.Shadow.based	339566 (1.16%)
8	Trojan.DownLoad.32973	330055 (1.12%)
9	Trojan.AuxSpy.111	283554 (0.97%)
10	Trojan.AntiAV.6	231204 (0.79%)
11	Win32.HLLW.Autoruner.9410	170593 (0.58%)
12	Win32.Dref	162827 (0.55%)
13	IRC.Apulia.1215	155887 (0.53%)
14	BackDoor.Tdss.2459	153602 (0.52%)
15	Trojan.PWS.GoldSpy.3382	148201 (0.50%)
16	Win32.HLLW.Autoruner.5555	143042 (0.49%)
17	HTTP.Content.Malformed	132141 (0.45%)
18	Win32.Alman.1	119085 (0.41%)
19	Win32.HLLW.Share	102652 (0.35%)
20	Trojan.PWS.Siggen.2674	85937 (0.29%)

Всего проверено:	77,991,983,505
Инфицировано:	22,880,659 (0.0293%)

Назад к списку новостей

Trojan.Oficla формирует бот-сеть, используя для скрытия в системе файл офисного приложения

Wed, 24 Mar 2010 00:00:00 GMT

24 марта 2010 года

Компания «Доктор Веб» – ведущий российский разработчик средств информационной безопасности – обращает внимание пользователей на широкое распространение троянцев семейства Trojan.Oficla, количество детектов которых в неделю составляет более 100 000. При заражении компьютера они скрывают свою вредоносную активность, создавая процесс winword.exe (если в системе установлен Microsoft Word). В дальнейшем Trojan.Oficla включает компьютер в бот-сеть и позволяет злоумышленникам загружать на него другое вредоносное ПО.

На сегодняшний день Trojan.Oficla (известный также под названием myLoader) активно распространяется по электронной почте вместе со спамом, а также используя уязвимости интернет-браузеров. Возможно, что в будущем злоумышленники воспользуются и другими каналами распространения вредоносного ПО для того, чтобы расширить круг жертв Trojan.Oficla.

Помимо этого, различные модификации данного троянца предлагаются на специализированных сайтах и форумах другим злоумышленникам по цене от $450 до $700.

С помощью Trojan.Oficla киберпреступники могут сформировать собственную бот-сеть, что и подтверждается обнаружением большого количества установленных модулей администрирования бот-сетей, расположенных на различных сайтах.

После заражения системы владельцы бот-сети, формируемой Trojan.Oficla, получают возможность контролировать компьютер жертвы. В частности, они могут загружать, устанавливать и использовать на нем практически любое вредоносное ПО.

Наряду с этим функционалом Trojan.Oficla обладает возможностью обходить различные антивирусные решения и популярные брандмауэры. Для этого может использоваться исполняемый файл winword.exe, если Microsoft Word установлен в системе. Скрываясь за данным процессом, Trojan.Oficla отводит от себя подозрения и затрудняет анализ заражённой системы. Если же MS Word отсутствует, Trojan.Oficla внедряется в системный процесс svchost.exe.

Специалисты компании «Доктор Веб» постоянно осуществляют мониторинг ситуации, связанной с развитием и распространением вредоносных программ семейства Trojan.Oficla. Пользователям Dr.Web для противодействия этому троянцу рекомендуется включить автоматическое обновление вирусных баз и компонентов антивируса, а также производить периодическое сканирование дисков защищаемых компьютеров.

Лжеантивирусы и другие актуальные угрозы февраля 2010 года

Mon, 01 Mar 2010 00:00:00 GMT

1 марта 2010 года

Февраль 2010 года, несмотря на свою традиционную краткость, оказался достаточно насыщенным в плане вирусных угроз. Наибольшее внимание в феврале привлекали лжеантивирусы, как действующие в режиме онлайн, так и классические. Появились новые схемы вымогательства с использованием мобильных устройств. Масштабы эпидемии блокировщиков Windows сократились, достигнув уровня ноября 2009 года.

Блокировщики Windows

Благодаря совместным усилиям «Доктор Веб», правоохранительных органов, сотовых операторов, агрегаторов коротких номеров, а также широкой огласке проблемы блокировщиков Windows (Trojan.Winlock по классификации Dr.Web) количество пострадавших от данного типа угроз в феврале существенно сократилось, приблизившись к уровню начала эпидемии. Напомним, оно было зафиксировано в ноябре 2009 года. Если в январе в отдельные дни количество детектов Trojan.Winlock по данным сервера статистики компании "Доктор Веб" превышало 100 000, то в феврале данная цифра составляла несколько тысяч определений в сутки.

Несмотря на то, что масштабы эпидемии Trojan.Winlock в феврале сократились, а количество активно используемых коротких номеров не превышает 10, каждый день от данной угрозы по-прежнему страдают десятки тысяч интернет-пользователей России и Украины.

Во второй половине февраля стала популярной схема блокировки, направленная на интернет-браузеры. При посещении вредоносной страницы отображается диалоговое окно, которое невозможно закрыть до ввода "кода активации", для получения которого требуется отправить платное SMS-сообщение. Несмотря на то, что избавиться от данной проблемы достаточно просто (необходимо просто снять в диспетчере задач используемой ОС процесс, относящийся к браузеру или принудительно перезагрузить компьютер), количество жертв подобного рода схем вымогательства растет. При этом страдают пользователи как Windows, так и альтернативных операционных систем, таких как Mac OS.

Лжеантивирусы

В феврале на территории России и ближнего зарубежья злоумышленники стали более активно, чем ранее, использовать схемы вымогательства, связанные с вредоносными сайтами, содержащими на своих страницах так называемые онлайновые лжеантивирусы. Ссылки на данные сайты распространяются в основном через электронную почту, взломанные аккаунты систем мгновенного обмена сообщениями (ICQ), а также через контекстную рекламу популярных поисковых систем и социальные сети. Подобные вредоносные сайты блокируются модулем Родительского контроля Dr.Web.

Наряду с онлайновыми лжеантивирусами русскоязычным пользователям также иногда предлагается классический Trojan.Fakealert. В этом случае авторы вредоносного сайта убеждают пользователя в необходимости загрузки и установки ложной антивирусной программы, которая после якобы сканирования предлагает отправить платное SMS-сообщение.

Несмотря на то, что Trojan.Fakealert предлагается в том числе для русскоязычных пользователей, больше всего пострадавших от данного типа угроз приходится на англоязычные страны. Там Trojan.Fakealert предлагает жертве оплатить "антивирус" банковской карточкой. Сумма перевода в этом случае составляет 50 долларов США и выше. Предложение об оплате "полной версии антивируса" может выводиться как в интернет-браузере, так и непосредственно в интерфейсе лжеантивируса. Если посмотреть на статистику распространения Trojan.Fakealert за последние полгода, можно увидеть, что, начиная с октября 2009 года, наблюдается бурный рост распространения данного типа вредоносных программ. Каждые сутки сервер статистики компании "Доктор Веб" фиксирует огромное число определений лжеантивирусов продуктами Dr.Web. Если же посмотреть на двадцатку самых распространённых за февраль вредоносных программ в почтовом трафике, то в ней можно увидеть целых 8 модификаций Trojan.Fakealert.

Новая схема онлайн-мошенничества

Всё большую популярность набирает новая схема монетизации преступных доходов, которая связана с отправкой пользователем номера своего мобильного телефона при подписке на ту или иную услугу. В ответ ему приходит SMS-сообщение с кодом активации (содержание которого обычно вовсе не соответствует тематике сайта). Вводя код, пользователь тем самым подписывается на некую услугу, для оплаты которой безо всяких предупреждений каждый день со счёта мобильного телефона списывается некоторая сумма денег. Так как сумма списывается небольшая, пользователь может сразу и не заметить наличие проблемы. Кроме того, часто в подобных случаях возникают трудности с отменой подписки на данную "услугу": для этого злоумышленники могут также требовать отправку платного SMS-сообщения.

Уровень содержания вредоносных программ за февраль в почтовом трафике относительно января текущего года вырос в 4 раза. В основном это связано с более активным распространением лжеантивирусов посредством электронной почты, а также их загрузчиков. Количество вредоносных файлов среди всех проверяемых файлов на компьютерах пользователей увеличилось в феврале на 24 %, практически вернувшись к уровню декабря 2009 года.

Вредоносные файлы, обнаруженные в феврале в почтовом трафике

01.02.2010 00:00 - 01.03.2010 00:00
1	Trojan.DownLoad.37236	13268129 (12.99%)
2	Trojan.DownLoad.47256	9134010 (10.07%)
3	Trojan.DownLoad.41551	8884635 (9.80%)
4	Trojan.MulDrop.40896	6453617 (7.12%)
5	Trojan.Fakealert.5115	6387160 (7.04%)
6	Trojan.Botnetlog.zip	5901875 (6.51%)
7	Trojan.Packed.683	5227906 (5.76%)
8	Trojan.Fakealert.5238	4784832 (5.28%)
9	Trojan.DownLoad.50246	3684616 (4.06%)
10	Trojan.Fakealert.5825	3130816 (3.45%)
11	Trojan.Fakealert.5437	2289040 (2.52%)
12	Trojan.Fakealert.5356	2074904 (2.29%)
13	Trojan.Fakealert.5784	1794312 (1.98%)
14	Trojan.PWS.Panda.122	1683685 (1.86%)
15	Trojan.Fakealert.5229	1668784 (1.84%)
16	Trojan.Fakealert.5457	1462032 (1.61%)
17	Trojan.Siggen.18256	1388200 (1.53%)
18	Trojan.MulDrop.46275	1329338 (1.47%)
19	Win32.HLLM.MyDoom.54464	1180755 (1.30%)
20	Trojan.Proxy.7778	915616 (1.01%)

Всего проверено:	30,893,462,045
Инфицировано:	90,692,324 (0.294%)

Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

01.02.2010 00:00 - 01.03.2010 00:00
1	VBS.Redlof	4183128 (21.44%)
2	Trojan.DownLoader.based	3130742 (16.05%)
3	Trojan.AuxSpy.111	1182739 (6.06%)
4	Win32.HLLW.Gavir.ini	949089 (4.86%)
5	Win32.Dref	790282 (4.05%)
6	Trojan.WinSpy.440	633507 (3.25%)
7	Trojan.AuxSpy.137	560187 (2.87%)
8	Win32.HLLW.Shadow.based	349694 (1.79%)
9	VBS.Generic.548	347960 (1.78%)
10	VBS.Sifil	259869 (1.33%)
11	Trojan.DownLoad.32973	251364 (1.29%)
12	Win32.Alman.1	240227 (1.23%)
13	Win32.HLLW.Shadow	240103 (1.23%)
14	Trojan.Packed.666	187657 (0.96%)
15	JS.Redirector.based.1	182715 (0.94%)
16	Trojan.Packed.19647	166247 (0.85%)
17	Win32.HLLW.Autoruner.2536	160988 (0.83%)
18	Win32.HLLW.Autoruner.5555	145973 (0.75%)
19	BackDoor.IRC.Sdbot.4590	114824 (0.59%)
20	Trojan.Fraudster.48	101890 (0.52%)

Всего проверено:	95,717,237,918
Инфицировано:	19,509,126 (0.0172%)

Украина пострадала от Trojan.Winlock

Wed, 10 Feb 2010 00:00:00 GMT

10 февраля 2010 года

Наряду с российскими пользователями от семейства вредоносных программ Trojan.Winlock страдают жители Украины. Общее число зараженных этими троянцами компьютеров с января по февраль 2010 года составило около 400-500 тысяч. Предположительные доходы злоумышленников, которым беспечные пользователи отправили платные SMS для получения кодов разблокировки, за это время исчисляются 20 миллионами гривен.

Заражая систему, троянцы семейства Trojan.Winlock выводят поверх всех окон сообщение о блокировке Windows (картинка может различаться – от нескольких строк текста до порнобаннера) и требуют от пострадавшего отправить SMS на указанный номер. Как правило, стоимость SMS при этом не указывается. Тем не менее, со счета пользователя могут быть списаны в среднем 120 гривен.

На компьютер эти вредоносные программы попадают через уязвимости Windows и браузеров (в связи с тем, что не у всех установлены последние обновления), а также посредством вредоносных сайтов (пользователям может предлагаться скачать кодек для просмотра видео) и бот-сетей (их владельцы продают установку какой-либо вредоносной программы на уже зараженном компьютере).

На Украине, как и в России, от Trojan.Winlock пострадало значительное число пользователей, большинство из которых заразилось именно в первый месяц 2010 года. По нашим данным, это около 500 тысяч компьютеров. При учете средней стоимости SMS, требуемой в качестве выкупа, в январе злоумышленники могли получить от своих жертв около 20 миллионов гривен (при подсчете учитывалось и то, что некоторые пользователи нашли бесплатные коды разблокировки в Интернете или вылечили свой компьютер с помощью различных утилит).

Благодаря совместным усилиям компании «Доктор Веб», первой обратившей внимание на проблему, сотовых операторов, агрегаторов коротких номеров и правоохранительных органов в феврале 2010 года масштаб эпидемии был значительно снижен, но полностью победить ее пока не удалось.

Компания «Доктор Веб» призывает пользователей не идти на поводу авторов Trojan.Winlock и не отправлять им платные SMS. Большинство кодов можно бесплатно получить с помощью формы на сайте http://www.drweb.com/unlocker/, в которую регулярно добавляются новые коды, присылаемые пользователями. После исчезновения с экрана монитора сообщения о блокировке Windows компьютер следует просканировать бесплатной утилитой Dr.Web CureIt!, чтобы удалить оставшиеся элементы вредоносной программы.

Dr.Web для файловых серверов Windows теперь поддерживает 64-битные системы

Wed, 03 Feb 2010 00:00:00 GMT

3 февраля 2010 года

Компания «Доктор Веб» сообщает о выпуске решения Dr.Web для файловых серверов Windows с поддержкой 64-битных версий ОС Windows Server. Помимо нового антивирусного монитора SpIDer Guard добавлена возможность помещения подозрительных объектов в карантин.

Как и однопользовательские решения Антивирус Dr.Web для Windows и Dr.Web Security Space, обеспеченные поддержкой 64-битных систем в декабре 2009 года, Dr.Web для файловых серверов Windows теперь обладает не только усовершенствованным антивирусным «сторожем», но и обновленным графическим интерфейсом. Также в распоряжении пользователей имеется карантин со средствами централизованного управления.

Dr.Web для файловых серверов Windows поддерживает 64-битные версии ОС Windows Server 2003 и Windows Server 2008 R2.

«Доктор Веб» разработал новый генератор кодов для разблокировки Windows

Fri, 29 Jan 2010 00:00:00 GMT

Специалисты компании «Доктор Веб» продолжают работать над улучшением механизмов противодействия троянским программам семейства Trojan.Winlock.

Так, обновлен генератор кодов разблокировки, позволяющий разблокировать Windows для всех пользователей, от которых злоумышленники требуют прислать СМС-сообщение с текстами в формате a*******00 или K*******00.

Напоминаем пользователям, что получить коды разблокировки системы, зараженной Trojan.Winlock, можно при помощи бесплатного сервиса «Доктор Веб». Здесь же вы имеете возможность обменяться полезной информацией с другими пользователями, разместить коды, которые вам помогли, но при этом неизвестны нам, – они могут пригодиться другим жертвам заражения и помочь в дальнейшей работе над средствами борьбы с эпидемией.

Разблокировка от Trojan.Winlock теперь доступна мобильным пользователям

Mon, 25 Jan 2010 00:00:00 GMT

25 января 2010 года

Компания «Доктор Веб» сообщает о запуске мобильной версии сервиса разблокировки Windows. Теперь пользователи, которые в результате действий Trojan.Winlock лишены возможности зайти на сайт компании со своего компьютера, могут воспользоваться бесплатным разблокировщиком через свой сотовый телефон или коммуникатор.

Мобильная версия быстро загружается и предельно проста в использовании: необходимо ввести указанный злоумышленниками номер, после чего на экране мобильного устройства появятся варианты кода активации Windows.

Тем, кому не удается зайти на сайт компании, мы рекомендуем также воспользоваться средствами мгновенного обмена сообщений (ICQ, QIP, Mail.Ru Агент и др.) и обратиться к своим контактам с просьбой получить код разблокировки на http://www.drweb.com/unlocker/index/.

В России эпидемия Trojan.Winlock. Заражены миллионы компьютеров

Sun, 24 Jan 2010 00:00:00 GMT

24 января 2010 года г. Москва

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

Компания «Доктор Веб» считает необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

Арсенал для уничтожения Trojan.Winlock в новом проекте компании «Доктор Веб»

Fri, 22 Jan 2010 00:00:00 GMT

22 января 2010 года

Компания «Доктор Веб» запускает новый проект, который объединит в себе массу информации об опасном семействе троянцев, блокирующих доступ в Windows (Trojan.Winlock). В новом разделе сайта «Доктор Веб» можно узнать код разблокировки, а также обменяться с другими пользователями полезной и актуальной информацией о данной угрозе.

Компания «Доктор Веб» в рамках своего нового проекта соберет все данные, которые смогут помочь пострадавшим от троянцев, блокирующих доступ к операционной системе Windows.

В последние месяцы данный вид вредоносных программ получил очень широкое распространение, принося злоумышленникам огромные доходы. Страдают же в этой ситуации рядовые пользователи, которые поддаются на уловки вирусописателей и отправляют им платные SMS-сообщения.

Благодаря новому проекту компании «Доктор Веб» пользователи бесплатно смогут решить эту проблему, определив модификацию Trojan.Winlock, которой заразились, а также получив код разблокировки.

Кроме того, они смогут обменяться информацией о новых модификациях этой угрозы, с которыми справляются не все антивирусные продукты, поделиться последними кодами разблокировки.

Блокировщики Windows и другие вирусные угрозы декабря 2009 года

Sat, 02 Jan 2010 00:00:00 GMT

2 января 2010 года

В декабре 2009 года логическое продолжение получили тенденции предыдущих месяцев. Основную часть вирусного трафика составили вредоносные программы, вымогающие у пользователей деньги. Для этого злоумышленниками создавалось различное троянское ПО и вредоносные сайты. В спаме все чаще использовались аудио-файлы с низким качеством.

Блокировщики Windows

В декабре появилось множество новых модификаций троянцев-блокировщиков Windows, которые обладают новыми методами защиты от исследования. По классификации Dr.Web подобные программы классифицируются как Trojan.Winlock. В последние месяцы подобный способ получения денег от пользователей-жертв стал одним из наиболее популярных на территории России и Украины.

Данный тип вредоносных программ в активном состоянии препятствует запуску утилит, с помощью которых можно её исследовать, а также имеет возможность форсированно завершать работу компьютера. Для усложнения удаления из системы вручную такие троянцы создают множество копий своих файлов в системных папках Windows. Также используется приём, при котором название запущенного процесса вредоносной программы не совпадает с названием её исполняемого файла.

Ложные онлайн-антивирусы

За последний месяц появилось множество русскоязычных сайтов, на которых пользователю предлагается проверить свою систему на наличие вредоносных программ, либо наличие уязвимостей. Заодно может предлагаться изменение конфигурации системы для ускорения её работы.

Чтобы привлечь внимание пользователя во время бесплатного «сканирования» выводится информация об IP-адресе, версии операционной системы, используемом браузере и его версии.

Для того, чтобы решить найденные в системе «проблемы» с безопасностью, пользователю предполагается отправить SMS-сообщение, стоимость которого принижается - счёт на самом деле идёт не об одной сотне рублей за каждое отправленное сообщение.

Все предлагаемые «программные продукты» являются бутафорией, служащей для вымогательства у интернет-пользователей денежных средств.

Почтовые троянцы

Спам по-прежнему является одним из основных каналов распространения вредоносных программ.

В течение декабря 2009 года различные модификации Trojan.PWS.Panda распространялись под видом отчёта по операциям, совершённым с банковских карточек Visa, а также под видом нового пароля для пользователей социальной сети Facebook.

Под «компрометирующими фотографиями», на которых якобы запечатлён пользователь, распространялись такие вредоносные программы как Trojan.NtRootKit.3226, а также различные модификации Trojan.Packed. От имени курьерской службы DHL распространялся троянец Trojan.Botnetlog.

Аудио-файлы в спаме

За последний месяц началось распространение сразу нескольких типов спам-рассылок с приложенными к письмам аудиофайлами. Как правило, это файлы в формате mp3 с низким битрейтом (16 Кбит/с).

Таким образом распространялась реклама интернет-магазинов медицинских препаратов - в аудио-файле был записан адрес рекламируемых сайтов. В рассылках, целью которых являлось привлечение новых пользователей к участию в финансовых пирамидах, распространялись mp3-файлы размером более 6МБ, в которых были записаны лекции продолжительностью около часа.

Тенденции 2009-2010

Вирусописателей в прошедшем году все больше привлекали деньги пользователей - легкая добыча в условиях, когда множество людей переходит по ссылкам, присланным якобы от известных организаций и друзей, загружает программы, якобы необходимые для решения тех или иных задач. Требования о переводе денег злоумышленникам выводились как в окнах различных интернет-браузеров, так и на рабочем столе или поверх всех окон в системе. В качестве транспорта для распространения вирусов использовались как классические каналы - электронная почта, системы мгновенного обмена сообщениями, так и новые - социальные сети и блоги.

В 2010 году можно ожидать продолжение тенденции к одномоментному охвату злоумышленниками пользователей как можно большего числа операционных систем и браузеров. Следует ожидать, что в последующие годы злоумышленники будут больше времени уделять обходу не только классических сигнатурных и эвристических технологий, но и противодействию различным поведенческим анализаторам, примеры чему мы видим уже сегодня. Наверняка будет продолжаться разработка новых руткит-технологий, и борьба с ними будет такой же острой, как и в последние годы. Вероятно, уже в 2010 году будут осуществлены первые попытки создать руткит для 64-битной платформы Windows. Количеством будут брать и создатели вредоносных сайтов. Уже сегодня антифишинговые технологии, используемые в любом современном браузере и призванные уберечь пользователей от посещения вредоносных сайтов, часто не справляются с поставленной задачей.

Количество вредоносных программ в декабре во всём почтовом трафике относительно ноября 2009 года возросло в 2,8 раза. Доля вредоносных программ среди всех проверенных файлов на компьютерах пользователей возросла в 2,2 раза. Злоумышленники за восстановление системы и данных требуют всё больше денег - известны случаи, когда за расшифровку данных злоумышленники требуют выкуп в 1000 рублей.

Вредоносные файлы, обнаруженные в декабре в почтовом трафике

01.12.2009 00:00 - 01.01.2010 00:00
1	Trojan.DownLoad.37236	12417046 (14.38%)
2	Trojan.DownLoad.47256	9400042 (10.89%)
3	Trojan.MulDrop.40896	6643369 (7.69%)
4	Trojan.Fakealert.5115	6574865 (7.61%)
5	Trojan.Packed.683	5380941 (6.23%)
6	Trojan.Fakealert.5238	4924800 (5.70%)
7	Trojan.DownLoad.50246	3791901 (4.39%)
8	Win32.HLLM.MyDoom.44	3555068 (4.12%)
9	Trojan.Fakealert.5825	3221976 (3.73%)
10	Win32.HLLM.Netsky.35328	3012162 (3.49%)
11	Trojan.Fakealert.5437	2355690 (2.73%)
12	Trojan.Fakealert.5356	2135038 (2.47%)
13	Trojan.Fakealert.5784	1846800 (2.14%)
14	Trojan.Botnetlog.zip	1794382 (2.08%)
15	Trojan.PWS.Panda.122	1732410 (2.01%)
16	Trojan.Fakealert.5229	1717600 (1.99%)
17	Trojan.Fakealert.5457	1504800 (1.74%)
18	Trojan.Siggen.18256	1429018 (1.66%)
19	Trojan.MulDrop.46275	1390881 (1.61%)
20	Win32.HLLM.Beagle	1301627 (1.51%)

Всего проверено:	84,146,920,455
Инфицировано:	86,343,017 (0.103%)

Вредоносные файлы, обнаруженные в декабре на компьютерах пользователей

01.12.2009 00:00 - 01.01.2010 00:00
1	Trojan.WinSpy.440	2410816 (12.69%)
2	Trojan.WinSpy.413	1627202 (8.56%)
3	Win32.Virut.56	1297220 (6.83%)
4	Win32.HLLW.Gavir.ini	802751 (4.23%)
5	Win32.Rammstein.13346	647967 (3.41%)
6	Trojan.AuxSpy.71	585736 (3.08%)
7	Trojan.Packed.19247	525731 (2.77%)
8	Win32.HLLW.Shadow.based	466105 (2.45%)
9	Win32.HLLW.Texmer	399722 (2.10%)
10	JS.Popup.1	397594 (2.09%)
11	Trojan.AuxSpy.110	374109 (1.97%)
12	Trojan.DownLoad1.16161	368920 (1.94%)
13	Win32.HLLW.Shadow	311983 (1.64%)
14	Trojan.AppActXComp	298597 (1.57%)
15	Trojan.Siggen.29874	295692 (1.56%)
16	Trojan.AuxSpy.128	264613 (1.39%)
17	Win32.Yasv.924	230928 (1.22%)
18	VBS.Psyme.377	229697 (1.21%)
19	Win32.Alman.1	218138 (1.15%)
20	Win32.HLLW.Autoruner.5555	210376 (1.11%)

Всего проверено:	89,457,410,121
Инфицировано:	18,999,657 (0.0212%)

Злоумышленники вымогают деньги от имени «Доктор Веб»

Thu, 31 Dec 2009 00:00:00 GMT

31 декабря 2009 года

Компания «Доктор Веб» сообщает об обнаружении фишингового ресурса, авторы которого требуют за помощь в восстановлении файлов, зашифрованных вредоносной программой, 1000 рублей. Страница полностью копирует фирменный стиль «Доктор Веб» и представляет собой «новость» об успешном противодействии эпидемии троянцев.

Обращаем внимание пользователей на то, что компания «Доктор Веб» не имеет никакого отношения к данному интернет-ресурсу. Информация, размещенная на нем, не является достоверной.

Мы категорически не рекомендуем отправлять деньги злоумышленникам. За помощью вы всегда можете обратиться в техподдержку компании «Доктор Веб», либо в специальный раздел официального форума.

«Горячая лента угроз»: о вирусах – быстро и кратко

Tue, 29 Dec 2009 00:00:00 GMT

29 декабря 2009 года

Компания «Доктор Веб» сообщает о запуске сервиса мгновенного оповещения о новых киберугрозах. «Горячая лента угроз» поможет пользователям оперативно реагировать на появление новейших модификаций вирусов, вредоносных рассылок и прочих интернет-угроз зачастую еще до того, как соответствующие вредоносные файлы попадут в вирусную базу «Доктор Веб».

Быстрота реакции на новые угрозы - один из важнейших аспектов информационной защиты. Специалисты компании «Доктор Веб» постоянно следят за вирусной активностью в Сети, однако с момента обнаружения нового вредоносного объекта до оповещения пользователей может проходить время, достаточное для того, чтобы новейшая угроза успела нанести ущерб даже защищенной системе.

«Горячая лента угроз», состоящая из кратких, но емких сообщений, обновляется сразу же после выявления новой опасности - частота обновлений может достигать нескольких раз в сутки. При необходимости новости сопровождаются скриншотами. Таким образом, пользователи заблаговременно предупреждены о тех или иных угрозах и могут принять решение уйти с вредоносного сайта или не открывать присланное по почте вложение еще до того, как соответствующие объекты будут детектироваться Dr.Web как вредоносные.

Источником информации для «Горячей ленты угроз» является вирусная лаборатория компании «Доктор Веб», а также сами пользователи, которые могут отправить информацию о подозрительных объектах через специальную форму на сайте компании.

Год быка для ПК: обзор вирусных событий 2009 года

Thu, 17 Dec 2009 00:00:00 GMT

17 декабря 2009 года

Компания "Доктор Веб" представляет обзор основных вирусных событий 2009 года. По восточному календарю завершающийся год считается годом быка. Для киберпреступников «красной тряпкой» стали деньги пользователей - легкая добыча в условиях, когда человек доверчиво кликает по ссылкам, присланным якобы от друзей, и скачивает программы, «необходимые» для решения тех или иных задач. Создание разрушительных вредоносных программ при этом осталось в прошлом. Требования о переводе денег злоумышленникам выводились как в окнах различных интернет-браузеров, так и на рабочем столе или поверх всех окон в системе. В качестве транспорта для распространения вирусов использовались как классические каналы - электронная почта, системы мгновенного обмена сообщениями, так и новые - социальные сети и блоги. Рассмотрим наиболее заметные типы вредоносных программ, которые составляли основную часть вредоносного трафика 2009 года, а также намечающиеся тенденции будущих лет.

Руткиты

Больше всего загадок разработчикам антивирусных технологий Dr.Web в 2009 году задали авторы новых руткитов. Эти вредоносные программы скрывают своё присутствие в системе, а также позволяют работать в скрытом от глаз пользователя и большинства антивирусов режиме другим вредоносным программам, которые они загружают с вредоносных интернет-сайтов. Нередки случаи, когда компоненты руткита уже добавлены в вирусную базу какого-либо антивируса, но он, тем не менее, не замечает присутствия вредоносного объекта в системе.

Наиболее заметными вредоносными программами данного класса стало семейство BackDoor.Tdss (название приводится по классификации Dr.Web). За 2009 год компания "Доктор Веб" оперативно выпустила несколько горячих дополнений сканера с графическим интерфейсом, включающего в себя обновлённый антируткит-модуль Dr.Web Shield для противодействия новым руткит-технологиям.

В марте текущего года мы сообщали о том, что очередная модификация BackDoor.Tdss препятствует работе файловых мониторов, входящих в состав некоторых антивирусов, а также обходит антируткиты. В то время распространённость BackDoor.Tdss была относительно невысокой.

В ноябре 2009 года новые модификации BackDoor.Tdss распространились значительно шире. Сервер статистики компании "Доктор Веб" в прошедшем месяце зафиксировал около 400 000 определений данной вредоносной программы на компьютерах пользователей. До этого момента данная цифра редко поднималась выше 1 000 определений в месяц.

Интересно, что новые модификации BackDoor.Tdss злоумышленники стали оснащать инструментами сокрытия в системе. К примеру, специально создаваемый зашифрованный виртуальный диск и механизм обхода некоторых типов поведенческих анализаторов. Несмотря на это специалисты "Доктор Веб" в короткие сроки решили данную задачу, обеспечив продукты компании возможностями корректного лечения BackDoor.Tdss.

Лжеантивирусы

В последние месяцы уходящего года существенно увеличилась активность распространения лжеантивирусов, которые по классификации Dr.Web называются Trojan.Fakealert. Эти программы при запуске внешне похожи на настоящие антивирусные программы, но не являются таковыми. Цель создателей лжеантивирусов - завлечь пользователя на специально подготовленный вредоносный сайт, на котором он должен приобрести якобы полную версию продукта.

Как правило, лжеантивирусы распространяются в виде приложений к спам-письмам или через специально подготовленные вредоносные сайты. При этом чаще всего таким образом передаётся загрузчик лжеантивируса, который при запуске загружает с сервера злоумышленников компоненты, составляющие основной функционал. Упор во вредоносном ПО этого типа делается на визуальную часть - программа отображает системные окна Windows, которые сообщают о том, что данный антивирус якобы интегрирован в систему. Основное окно программы показывает процесс сканирования компьютера и имитирует обнаружение вирусов.

После того, как пользователь заплатит деньги за якобы полную версию такого антивируса, его беды отнюдь не заканчиваются - он остаётся "на крючке", и в систему могут быть загружены какие-либо другие вредоносные объекты.

С сентября 2009 года наблюдается всплеск активности данных угроз - в октябре и ноябре было зафиксировано по несколько десятков миллионов определений программ данного типа. До сентября общее количество обнаруживаемых в месяц лжеантивирусов на компьютерах пользователей было аж на 4 порядка меньше.

Блокировщики Windows

Много бед в 2009 году принесли пользователям и блокировщики Windows - вредоносные программы, которые по классификации Dr.Web называются Trojan.Winlock. Эти вредоносные программы при старте Windows выводят поверх всех окон сообщение о том, что доступ в систему заблокирован, и для того, чтобы данное окно исчезло, необходимо отправить платное СМС-сообщение.

В качестве причины блокировки программа могла информировать о том, что на компьютере установлена якобы нелицензионная операционная система или другое программное обеспечение (реже используются другие «поводы»). Известны случаи распространения конструкторов данных вредоносных программ за определённую сумму - приобрести их мог любой желающий.

Несколько лет назад вредоносные программы семейства Trojan.Winlock были гораздо безобиднее: в отличие от современных экземпляров они автоматически удалялись с компьютера через несколько часов после установки, если пользователь не совершал никаких действий; не запускались в Безопасном режиме Windows; система действительно разблокировалась в случае ввода правильной строки, а стоимость СМС-сообщений была невысокой.

Последние модификации Trojan.Winlock стали более агрессивными. СМС-сообщения для разблокировки существенно подорожали. Некоторые модификации могут и не содержать в себе правильного кода для разблокировки, и, соответственно, пользователь после отправки денег злоумышленникам остается ни с чем. Данные программы не удаляются автоматически из системы по прошествии некоторого времени. Trojan.Winlock научился препятствовать запуску множества программ, способных упростить исследование блокировщика на заражённой системе или просто завершающих работу системы при попытке запуска такого ПО.

В случае заражения системы очередной модификацией Trojan.Winlock не следует передавать деньги злоумышленникам. Вместо этого необходимо обратиться в техподдержку используемого антивируса или на форум компании "Доктор Веб".

Браузерные баннеры

Ещё одной модификацией троянцев-вымогателей является семейство вредоносных программ, устанавливаемых в качестве дополнения к используемому интернет-браузеру. В результате установки появляется окно, которое может занимать до половины полезной площади окна браузера. Для удаления этого окна требуется отправить СМС-сообщение.

По классификации Dr.Web основная часть таких вредоносных программ определяется как одна из модификаций Trojan.Blackmailer или Trojan.BrowseBan. Если Trojan.Blackmailer устанавливается обычно только в браузер Internet Explorer, то Trojan.BrowseBan может устанавливаться в несколько различных популярных браузеров - Internet Explorer, Mozilla Firefox и Opera. Для этого на вредоносных сайтах, с которых распространяется данная вредоносная программа, злоумышленники создают скрипт, который позволяет определять используемый браузер и после этого загружать предназначенную для него модификацию вредоносной программы.

В марте 2009 года был замечен всплеск активности распространения вредоносных программ данного типа. Тогда было зафиксировано около 3 млн. определений Trojan.Blackmailer на компьютерах пользователей. В среднем же в течение года количество определений вредоносных браузерных баннеров держалось на уровне 5 000 - 10 000 в месяц.

Шифровальщики документов

Очередной проблемой, с которой столкнулись многие пользователи в 2009 году, стали шифровальщики документов - вредоносные программы, которые определяются антивирусом Dr.Web как различные модификации Trojan.Encoder. Данная вредоносная программа, проникая в систему, шифрует с помощью определённого алгоритма документы пользователей, не затрагивая файлы, относящиеся к операционной системе. После этого на рабочий стол выводится уведомление о том, что данные пользователя зашифрованы, а для восстановления необходимо перечислить злоумышленникам определённую сумму денег.

Компания "Доктор Веб" столкнулась с фактами использования своей корпоративной атрибутики в материалах одного из авторов Trojan.Encoder. Также были зафиксированы случаи распространения спам-сообщений от имени сотрудников компании "Доктор Веб", а некоторые модификации Trojan.Encoder использовали дополнительное расширение drweb для зашифрованных файлов. Такое поведение автора Trojan.Encoder, видимо, вызвано тем, что специалисты компании "Доктор Веб" успешно оказывают помощь пострадавшим пользователям. Конечно, наша компания не имеет отношения к подобным инцидентам.

Несмотря на относительно малую распространённость вредоносных программ данного типа, при попадании в систему они наносят весьма ощутимый урон - ведь документы часто имеют высокую ценность для пользователей. Пострадавшие от Trojan.Encoder всегда могут обратиться в вирусную лабораторию компании "Доктор Веб" - в подавляющем большинстве случаев специалисты помогут в восстановлении зашифрованных документов, причём бесплатно.

Сетевые черви

Сетевые черви в 2009 году заставили многих администраторов локальных сетей предприятий вспомнить об элементарных правилах информационной безопасности. Наиболее ярким представителем этих вредоносных программ стал сетевой червь Win32.HLLW.Shadow.based.

Во-первых, данный червь использует для своего распространения съёмные носители и сетевые диски, напоминая о том, что в современных условиях необходимо отключать автозапуск программ с таких дисков. Во-вторых, данная программа может использовать стандартный для Windows-сетей протокол SMB. При этом она по словарю перебирает наиболее часто встречающиеся пароли, напоминая администраторам сетей о том, что подобные пароли должны быть достаточно сложными - ведь от этого зависит функционирование всей сети. Наконец, Win32.HLLW.Shadow.based использует несколько известных уязвимостей Windows-систем. При этом на момент начала активного распространения Win32.HLLW.Shadow.based эти уязвимости уже были закрыты производителем. Этот факт говорит о том, что автоматическая установка обновлений на используемую операционную систему никогда не будет лишней потерей интернет-трафика.

Как видно из графика, активное распространение Win32.HLLW.Shadow.based продолжается и сейчас. Данный сетевой червь продолжает своё своеобразное, но весьма эффективное обучение сетевых администраторов.

Многообразие программных сред

Как мы упоминали, некоторые вредоносные объекты сегодня уже способны определять используемую операционную систему, браузер, версии другого популярного ПО для того, чтобы более эффективным образом поразить систему. Но для того, чтобы данная схема начала работать, злоумышленникам нужно научиться создавать вредоносные программы, которые смогут работать на большинстве популярных операционных систем. Как обстоят дела на этом фронте?

Если мы обратимся к статистике распространения вредоносных программ по различным платформам за 2009 год, то сможем сделать следующие выводы. Интерес к альтернативным платформам постоянно растёт. Судя по статистике, для таких платформ как Mac OS, Linux, Windows CE тенденция не так очевидна, хотя в новостях часто можно услышать про вредоносные программы под эти системы. А вот к таким мобильным платформам как программная среда Java (которую поддерживают множество мобильных устройств) и Symbian интерес увеличивается с каждым месяцем. Даже несмотря на то, что доля определений вредоносных программ в общем вредоносном трафике по-прежнему весьма мала.

Разработчики компании "Доктор Веб" постоянно следят за развитием ситуации. В частности, в настоящее время в бета-тестировании находится антивирус Dr.Web для Symbian OS, который в скором времени будет доступен всем пользователям смартфонов, работающих под управлением этой ОС.

Прогнозируемые тенденции 2010 года

В 2010 году можно ожидать продолжение тенденции к одномоментному охвату злоумышленниками пользователей как можно большего числа операционных систем и браузеров. Можно предположить, что увеличится количество вредоносных сайтов, на которых будут работать скрипты, способные определять используемую программную среду и в зависимости от этого производить загрузку соответствующей вредоносной программы. Рынок операционных систем постепенно расслаивается - появляются новые ОС, новые мобильные устройства, всё больше пользователей интересуются свободным или альтернативным программным обеспечением, и вирусописатели будут реагировать на эти тенденции, чтобы не упустить свою выгоду.

Следует ожидать, что в последующие годы злоумышленники будут больше времени уделять обходу не только классических сигнатурных и эвристических технологий, но и противодействию различным поведенческим анализаторам, примеры чему мы видим уже сегодня.

Наверняка будет продолжаться разработка новых руткит-технологий, и борьба с ними будет такой же острой, как и в последние годы. Вероятно, уже в 2010 году будут осуществлены первые попытки создать руткит для 64-битной платформы Windows. Многие эксперты утверждают, что это лишь вопрос времени.
Весьма вероятно более активное использование полиморфных технологий, которые могут с лёгкостью препятствовать работе так называемых облачных антивирусов. Если распространение вредоносных программ, уникальных в каждом своем экземпляре, будет составлять значительную часть всего вредоносного трафика, это может сделать использование подобных антивирусных технологий крайне неэффективным.

Количеством будут брать и создатели вредоносных сайтов. Уже сегодня антифишинговые технологии, используемые в любом современном браузере и призванные уберечь пользователей от посещения вредоносных сайтов, частенько не справляются с поставленной задачей. Злоумышленники быстро создают слишком много копий одного и того же сайта, и антифишинговые системы просто не успевают сработать на каждый из них.

В заключение приведём несколько рекомендаций, которые помогут существенно снизить риск заражения системы. Для уменьшения вероятности заражения компания "Доктор Веб" рекомендует пользователям организовывать информационную защиту своих компьютеров сразу на нескольких уровнях.

Во-первых, необходимо настроить автоматическое обновление операционной системы и другого ПО, снизив тем самым вероятность использования вредоносными программами известных уязвимостей этого ПО. Во-вторых, необходимо настроить автоматическое обновление антивируса для того, чтобы существенно снизить вероятность заражения системы новыми угрозами. В-третьих, необходимо настроить параметры учётной записи пользователя, под которой осуществляется работа в Интернете, таким образом, чтобы ограничить её возможности по управлению основными настройками системы. Также рекомендуется отключить автоматический запуск программ с внешних дисков.

Для корпоративных пользователей кроме рекомендации использовать в условиях предприятия корпоративные антивирусные продукты мы советуем также принять политику информационной безопасности, а также посвящать хотя бы минимальное рабочее время сотрудников обучению в области элементарных правил ИБ. В частности, можно воспользоваться циклом учебных курсов «Доктор Веб», посвящённых информационной безопасности предприятий с использованием антивирусных продуктов Dr.Web.

Напоминаем, что в случае обнаружения подозрительной активности в системе пользователи антивируса Dr.Web всегда вправе обратиться в службу технической поддержки компании "Доктор Веб".

Топ-20 вредоносных программ, обнаруженных в 2009 году в почтовом трафике

01.12.2008 00:00 - 01.12.2009 00:00
1	Win32.HLLM.Netsky.35328	45817344 (16.28%)
2	Trojan.DownLoad.47256	25287535 (8.99%)
3	Win32.HLLM.Beagle	22187775 (7.88%)
4	Trojan.DownLoad.36339	15808084 (5.62%)
5	Trojan.Fakealert.5115	15588235 (5.54%)
6	Trojan.DownLoad.37236	12785630 (4.54%)
7	Win32.HLLM.MyDoom.33808	12283970 (4.37%)
8	Trojan.Fakealert.5238	10516195 (3.74%)
9	Trojan.Packed.683	6970575 (2.48%)
10	Trojan.MulDrop.40896	6932828 (2.46%)
11	Trojan.PWS.Panda.122	6591442 (2.34%)
12	Win32.HLLM.MyDoom.based	6563953 (2.33%)
13	Trojan.DownLoad.50246	5684473 (2.02%)
14	Win32.HLLM.MyDoom.44	4988808 (1.77%)
15	Trojan.Botnetlog.9	4958443 (1.76%)
16	Trojan.Packed.2915	4722719 (1.68%)
17	Trojan.MulDrop.19648	4612563 (1.64%)
18	Win32.HLLM.Netsky.based	4578015 (1.63%)
19	Trojan.Fakealert.5825	4529188 (1.61%)
20	Trojan.Fakealert.5356	4051498 (1.44%)

Всего проверено:	768,599,094,754
Инфицировано:	281,404,910 (0.04%)

Топ-20 вредоносных программ, обнаруженных в 2009 году на компьютерах пользователей

01.12.2008 00:00 - 01.12.2009 00:00
1	Trojan.DownLoad.47256	15123101 (6.72%)
2	Win32.HLLW.Gavir.ini	13451665 (5.97%)
3	Win32.HLLW.Shadow.based	8168356 (3.63%)
4	Win32.HLLM.Beagle	7552860 (3.35%)
5	Trojan.Fakealert.5115	7111405 (3.16%)
6	Trojan.DownLoad.36339	6896609 (3.06%)
7	Win32.HLLM.Generic.440	6139494 (2.73%)
8	Trojan.Fakealert.5238	5705545 (2.53%)
9	DDoS.Kardraw	5234473 (2.32%)
10	Win32.HLLM.Netsky.35328	4756893 (2.11%)
11	JS.Nimda	4476017 (1.99%)
12	Win32.Virut.14	4199541 (1.87%)
13	Trojan.MulDrop.16727	3682581 (1.64%)
14	Trojan.Botnetlog.9	3350630 (1.49%)
15	Win32.Virut.5	3268197 (1.45%)
16	Win32.HLLW.Autoruner.5555	3234720 (1.44%)
17	W97M.Thus	3202955 (1.42%)
18	Win32.Alman	3025843 (1.34%)
19	Win32.Sector.17	2966478 (1.32%)
20	Win32.HLLM.MyDoom.49	2907279 (1.29%)

Всего проверено:	2,289,643,009,454
Инфицировано:	225,141,202 (0.01%)

Dr.Web - единственный антивирус, который лечит новую модификацию BackDoor.Tdss.565

Wed, 11 Nov 2009 00:00:00 GMT

Компания «Доктор Веб» - российский разработчик средств информационной безопасности - сообщает о появлении новой опасной модификации троянской программы-бэкдора Tdss. По имеющейся у нас на момент выхода первой новости (13:30 MSK) информации в активном виде этого троянца не детектировал ни один антивирус. Специально для лечения BackDoor.Tdss.565 и всех его модификаций обновлен и доступен для бета-тестирования антивирусный сканер Dr.Web.

Это довольно изощренный троянец, использующий руткит-технологии, который значительно превосходит по сложности лечения небезызвестный Rustock.C. Вредоносная программа для обеспечения своей последующей автозагрузки заражает системный драйвер, обслуживающий физический диск, на котором установлена ОС. В дальнейшем руткит-модуль скрывает все изменения в системе и осуществляет внедрение компонентов пользовательского режима в процессы согласно файлу конфигурации.

BackDoor.Tdss.565 до сих пор не поддавался лечению ни одним антивирусным продуктом и даже не детектировался большинством из них. Быстро и эффективно избавиться от активного Backdoor.Tdss.565 пользователи в России и за рубежом ранее могли при помощи Dr.Web LiveCD, который позволял излечиться от данной вредоносной программы. Теперь лечение этого руткита возможно при использовании всех антивирусных решений Dr.Web.

Уникальная технология, разработанная специалистами «Доктор Веб» для лечения BackDoor.Tdss.565 и его последующих модификаций, реализована в антивирусном сканере, который доступен для бета-тестирования на нашем сайте.