1. Всем пользователям необходимо проверить работоспособность своего электронного почтового адреса. Для этого на, указанный в вашем профиле электронный адрес, в период с 14 по 18 июня, отправлено письмо. Вам необходимо проверить свою почту, возможно папку "спам". Если там есть письмо от нас, то можете не беспокоиться, в противном случае необходимо либо изменить адрес электронной почты в настройках профиля , либо если у вас электронная почта от компании "Интерсвязь" (@is74.ru) вы им долго не пользовались и хотите им пользоваться, позвоните в СТП по телефону 247-9-555 для активации вашего адреса электронной почты.
    Скрыть объявление

История компьютерных вирусов и вредоносных программ

Тема в разделе "Компьютерная безопасность", создана пользователем _Partizanka_, 18 авг 2013.

  1. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.
    Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем — многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.
    Помимо интереса теоретического, история развития вирусов может принести и практическую пользу — по ней можно предсказывать будущее развитие вредоносных программ, включая компьютерные в широком смысле этого слова, например, дальнейшую эволюцию вирусов на мобильных телефонах, проблемы безопасности «умных» домов будущего и т.п.

    История компьютерных вирусов делится на несколько этапов:

    Источник http://www.securelist.com/ru/threats/detect?chapter=34
     
    Последнее редактирование модератором: 30 дек 2017
    #1
  2. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    [h=1]2000[/h] В самом начале года жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы Windows 2000, как участники подпольной группы вирусописателей под названием 29A представили вирус Inta, который оказался первым вирусом, корректно заражающим эту систему. Чуть позже практически одновременно появились вирусы Unstable и Radiant, успешно размножавшиеся в файлах Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления Unstable и Radiant компания Visio Corporation, производящая пакет Visio, была куплена Microsoft.
    5 мая грянула попавшая в Книгу рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Сразу же после запуска он уничтожал на дисках файлы нескольких типов и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила появление на свет новых модификаций вируса на протяжении всего года — всего их было зафиксировано около сотни.
    6 июня был обнаружен Timofonica — первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать Timofonica первым сотовым вирусом.
    В июле хакерская группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику конференции DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже процедурой инсталляции. Несмотря на это, она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как троянец класса Backdoor.
    В июле же появились сразу три исключительно интересных вируса. Star стал первым вирусом для пакета AutoCAD. Вирус Dilber отличился тем, что содержал коды сразу пяти вирусов, среди которых CIH, SK, Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище «Шаттл, полный вирусов».
    Третьим стал интернет-червь Jer, использовавший новый метод проникновения на компьютер — через веб-сайт. Автор червя поместил на одну из веб-страниц скрипт-программу (с телом червя), которая автоматически активизировалась при открытии этой страницы. Система безопасности интернет-браузера при этом выдавала сообщение о возможной опасности и предложение разрешить или запретить выполнение данного действия. Расчет был сделан на то, что какая-то часть пользователей положительно ответит на предупреждение, чем даст возможность червю проникнуть в компьютер. А для того, чтобы привлечь больше пользователей — зараженный веб-сайт был «разрекламирован» автором червя в IRC-каналах. Появление этого червя стало сигналом о вхождении в моду новой технологии «раскрутки» вируса в интернете. Сначала червь помещается на веб-сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер.
    В августе был обнаружен Liberty — первая троянская программа для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске троянец стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS — Phage, который стирал исполняемые файлы и на их место записывал свой код.
    В начале сентября был обнаружен первый известный компьютерный вирус (Stream), способный манипулировать «дополнительными потоками» (Alternate Data Streams — ADS) файловой системы NTFS. Как оказалось, практически все антивирусные продукты не были подготовлены к такому развитию событий — ни один сканер не был способен обнаружить вредоносный код, спрятанный в «дополнительных потоках» NTFS.
    В октябре появились Fable — первый вирус, скрывающийся в информационных файлах PIF, и Pirus — первый вирус, написанный на скрипт-языке PHP. Оба вируса так и остались достоянием вирусных коллекций и не были обнаружены в «диком виде».
    В ноябре был обнаружен опасный и технологически совершенный вирус Hybris, основной отличительной чертой которого было использование модульной архитектуры с возможностью обновления модулей. Главным нововведением был необычный способ загрузки новых модулей вируса на зараженные компьютеры. Для этого использовались не только веб-сайты, но и электронная конференция, в частности конференция alt.comp.virus. Если веб-сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений — уж её-то закрыть не так просто.
    В 2000 году основным средством транспортировки вредоносных кодов стала электронная почта — около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы, причем только за один год рост их количества составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных «чартах». Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 году их место заняли скрипт-вирусы.
     
    #21
  3. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    [h=1]2001[/h] Январь: Ramen — первый известный червь, заражавший системы RedHat Linux. Распространял свои копии (заражал удаленные Linux-системы) при помощи уязвимости в модулях RedHat Linux (так называемая ошибка «переполнение буфера»). На заражённых системах искал стартовые страницы веб-сайтов и заменял их содержимое. Поскольку Linux-системы часто используются как веб-сервера, то многие веб-сайты изменили свой внешний вид.
    Февраль: Первый червь, использующий для своего распространения сети обмена файлами (P2P-сети). Получил название Mandragore, для заражения использовал P2P-сеть Gnutella. Использовал достаточно необычный метод — регистрировал себя как сервер сети и при каждом обращении (при поиске какого-либо конкретного файла удалённым пользователем сети) посылал ответ, что такой файл есть — и в качестве файла отдавал пользователю свою копию.
    Также в феврале произошла очередная глобальная эпидемия почтового VBS-червя Lee, более известного вод именем Kournikova. Вирус подделывался под информацию про популярную российскую теннисистку Анну Курникову и распространялся в виде вложений в письмо с именем AnnaKournikova.jpg.vbs. Инцидент получил широкую огласку в прессе — фактически он стал главной новостью дня.
    Март: эпидемия крайне сложного полиморфного вируса-червя Magistr. Для своего распространения он использовал электронную почту, копировал себя на доступные сетевые диски и заражал исполняемые файлы.
    В мае произошла первая известная атака на интернет-кошельки пользователей российской платёжной системы WebMoney (троянская программа Eurosol). Повторная атака на WebMoney была зафиксирована в октябре того же года. Троянская программа KWM также охотилась за персональными данными пользователей этой системы интернет-платежей.
    13 июля (некоторые источники — 12 июня): эпидемия пакетного («безфайлового») червя CodeRed. Используя ошибку в обработке сетевых пакетов Microsoft IIS (Internet Information Services) червь передавал свой код на другие сервера в сети и запускал себя на выполнение. При этом никакие файлы на диске не создавались — червь существовал только в оперативной памяти зараженных компьютеров и в сетевых пакетах. Заражены были тысячи компьютеров по всему миру — при этом под удар попали только компьютеры под управлением MS Windows 2000. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Ситуацию осложнял также тот факт, что антивирусные компании оказались не готовы к предотвращению подобной атаки. Для защиты от червя необходим был межсетевой экран, что в те времена еще не являлось стандартом защиты от сетевых вирусов.
    Червь, помимо заражения компьютеров, имел и другие побочные действия. Во-первых, он перехватывал обращения посетителей к веб-сайту, который управлялся зараженным IIS-сервером, и вместо оригинального содержимого передавал им текст «Hacked by Chinese!». Во-вторых: между 20 и 28 числами каждого месяца включительно червь осуществлял сетевую атаку (DDoS) на сайт Белого дома США (www.whitehouse.gov). Атака оказалась успешной — 20 июля 2001 официальный сайт Белого дома перестал отвечать на запросы.
    Следом за CodeRed появляются еще два червя, использующие для своего распространения аналогичные методы — CodeGreen и BlueCode (обнаружены 4 и 6 сентября соответственно). Особенностью CodeGreen являлся его антивирусный функционал: он искал и удалял из системы код червя CodeRed, затем скачивал и устанавливал обновление Windows, которое закрывало дыру, через которую проникали перечисленные выше черви. Таким образом, червь «лечил» зараженные компьютеры и «латал» дыру в системе безопасности.
    18 июля: начало глобальной эпидемии почтового червя SirCam. Особенность этого червя заключалась в том, что он прицеплял к своему коду случайно выбранные на зараженном компьютере файлы MS Office (документы Word и таблицы Excel). При запуске на очередном компьютере червь «показывал» эти файлы и таким образом маскировал факт своего внедрения в систему. В результате эпидемии в электронной почте можно было найти самые разнообразные документы, включая строго конфиденциальные — банковская информация, коммерческие договора, был обнаружен даже проект бюджета одного восточноевропейского государства.
    18 сентября зафиксирована глобальная эпидемия червя Nimda, который для своего распространения по сети использовал три разных способа: через электронная почту, через веб-сайты и копируя себя на доступные сетевые ресурсы. При этом червь для автозапуска из заражённых писем использовал дыру в Internet Explorer, а для проникновения на веб-сайты новую дыру в программах от Microsoft — уязвимость в IIS (Internet Information Services).
    Ноябрь: очередные эпидемии почтовых вирусов — Aliz, обнаруженный ещё в мае 2001, и BadTransII. Для проникновения с систему оба червя также использовали дыру в системе безопасности Internet Explorer.
    В целом, 2001 г. характеризуется первыми и весьма масштабными эпидемиями сетевых червей, использующих для своего проникновения в систему различные дыры в операционных системах и установленном программном обеспечении. При этом распространение идёт не только через традиционную электронную почту, но и через веб-сайты, интернет-пейджеры (ICQ), сетевые ресурсы, IRC-чаты и P2P-сети.
    Следует также отметить массовую атаку на Linux. Первым был червь Ramen, обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты. Практически все вредоносные программы для этой операционной системы использовали известные уязвимости в системах безопасности Linux. Считая Linux абсолютно защищенной системой, пользователи недостаточно ответственно отнеслись к необходимости своевременной установки заплаток и повсеместного внедрения антивирусных программ — и в результате многие из них оказались жертвами Linux-червей.
    2001 год также оказался необычайно богатым на вирусные мистификации. Всего за два первых месяца года было зафиксировано около 10 «предупреждений» о «новом опасном вирусе», массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM, Girl Thing и SULFNBK.EXE. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в день Св. Валентина, случится эпидемия нового варианта червя ILoveYou. Некоторые из мистификаций оказались настолько удачными, что с ними можно было столкнуться и в последующие годы.
    К мистификациям, судя по всему, следует отнести и слухи про планы Федерального бюро расследований (ФБР) США разработать собственную троянскую программу под кодовым названием «Волшебный фонарь» (Magic Lantern), которая будет использоваться для слежки за лицами, подозреваемыми в совершении разного рода преступлений. От самого ФБР так и не последовало никаких комментариев по этому поводу. Вместе с тем, по сведениям из прессы, две американские антивирусные компании согласились не заносить «Волшебный фонарь» в свои антивирусные базы данных, что вызвало неоднозначную реакцию среди их пользователей.
     
    #22
  4. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    [h=1]2002[/h] Январь: появление почтового червя Myparty, искусно маскировавшегося под ссылку на веб-сайт. Червь мастерски пользовался тем, что «.com» является распространённой доменной зоной интернета — и совпадает со стандартным окончанием исполняемых файлов Windows.
    Март: эпидемия червя Zircon, июль: Lentin, сентябрь: Tanatos (BugBear), октябрь: Opasoft — всего за год было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов.
    Но несомненным лидером по количеству вызванных в 2002 г. инцидентов является интернет-червь Klez, впервые обнаруженный 26 октября 2001 г. Модификации этого червя поставили своеобразный рекорд — еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться в лидерах вирусных топ-листов. Особо свирепствовали две разновидности этого червя — Klez.h (обнаружен 17.04.2002) и Klez.e (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны тем или иным вариантом червя Klez.
    В середине мая был обнаружен сетевой червь Spida, заражающий SQL-серверы. Для проникновения в сервер червь пользовался очередной уязвимостью. Также в мае появился Benjamin — первый червь, распространяющийся по файлообменной сети KaZaA.
    Не прекращались атаки на пользователей Linux. Червь Slapper всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.
    Таким образом, 2002 год являлся логическим продолжением года 2001 — многочисленные эпидемии, проникновение через уязвимости в программном обеспечении, атаки как на Windows, так и на другие операционные системы.
    Следует отметить стремительный рост вредоносных программ, которые преследуют конкретные коммерческие цели — похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям зараженных компьютеров. Этот год положил начало стремительной криминализации интернета в годы последующие.
    Также быстро росло число разнообразных систем принудительного показа рекламы (Adware). Агрессивные (часто — откровенно хакерские) методы внедрения рекламных систем, вызванные ими сбои работы компьютеров, многочисленные рекламные «поп-апы» — всё это стало причиной появления специализированных анти-рекламных продуктов. В 2002 году появилась первая версия Ad-Aware от компании Lavasoft.
    Многие Adware-системы передавали своему «хозяину» персональные данные с заражённых компьютеров. Практически всегда это ограничивалось названиями посещаемых веб-ресурсов, поисковыми запросами, прочей информацией об активности пользователя в интернете — для того, чтобы в дальнейшем показывать рекламу в соответствии с интересами данного конкретного пользователя. На основе этого факта был намеренно раздут термин Spyware — и рекламные системы стали называть «шпионскими», что, в целом, не совсем соответствовало истине. Adware не занимались шпионажем с целью хищения секретной или конфиденциальной информации, которая потом используется против атакованного пользователя. Они всего лишь «подглядывали» за действиями пользователя, чтобы увеличить вероятность «срабатывания» показываемой рекламы.
     
    #23
  5. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    [h=1]2003[/h] 25 февраля: глобальная эпидемия сетевого вируса Slammer. Как и CodeRed, этот вирус распространялся только в виде сетевых пакетов (файлы на диске не создавались) и для проникновения в заражаемый компьютер использовал «дыру» в сетевом программном обеспечении — в Microsoft SQL Server 2000. Размер вируса был чрезвычайно мал — всего 376 байт, однако распространялся он так активно, что буквально забил интернет-каналы своими копиями. В результате нагрузка на интернет возросла в среднем на 25%, а в отдельных случаях сеть была почти полностью парализована. Южная Корея была фактически отрезана от глобальной сети, прекратили работу часть банкоматов Bank of America, чуть не было сорвано первое электронное голосование на выборах главы одной из партий в Канаде.
    11 августа: очередная эпидемия, нанёсшая значительный урон пользователям интернета. Червь Lovesan (также известный под именами Blaster, MSBlast) проникал на компьютеры-жертвы через незадолго до того обнаруженную уязвимость в службе DCOM RPC операционной системы Windows. В результате атаки червя пострадали индивидуальные пользователи, мелкие и крупные компании, исследовательские центры и учебные заведения. Сообщалось о проблемах в работе сети европейском офисе компании IBM, пострадали также такие компании как Motorola, American Express и многие другие. В тот же день на северо-востоке США и частично в Канаде произошло крупнейшее веерное отключение электроснабжения — полностью без электричества остались такие города как Нью-Йорк, Детройт, Кливленд, Оттава и Торонто. Было ли это результатом заражения сети энергетических компаний или случайным совпадением нескольких факторов, включая факт заражения, — неизвестно, однако официальное расследование отвергло связь этой технологической катастрофы с массовой эпидемией червя.
    18 августа разразилась эпидемия «антивирусного» червя Welchia, который использовал сразу две дыры в продуктах Microsoft — в службе DCOM RPC и в WebDAV в системе IIS 5.0. Особенностью этого червя являлось то, что он удалял из системы червя Lovesan, скачивал обновления Windows и устанавливал их в систему — фактически лечил компьютеры от нашумевшего Lovesan и закрывал критические дыры Windows (метод, которым червь CodeGreen лечил компьютеры от CodeRed в 2001 г.). Однако червь был не столь безобиден — заражение компьютеров компании Air Canada вызвала сбои в работе её сети.
    На фоне глобальных эпидемий сетевых червей периодически случались и эпидемии новых почтовых червей. В начале года в сети стали появляться модификации почтового червя Sobig. К лету 2003 точечные инциденты с Sobig переросли в полномасштабную эпидемию — червь вышел на первые места в рейтингах вредоносных программ. Для массового распространения новых версий червя, видимо, использовались спам-технологии рассылки множества копий червя с анонимных «зомби-машин». Некоторые варианты червя фальсифицировали адреса отправителя (подставляли «чужой адрес» в поле «From») — червь заметал свои следы и затруднял локализацию источника эпидемии. С другой стороны, это вводило пользователей в заблуждение и порождало большое количество вопросов.
    Август: эпидемия почтового червя Mimail, атаковавшего систему интернет-платежей e-gold. Червь следил за активностью приложений e-gold, установленными на зараженном компьютере, считывал из них конфиденциальные данные и отсылал на несколько анонимных почтовых адресов. Таким образом, была зафиксирована очередная интернет-атака с откровенно криминальными целями.
    Следует упомянуть также червей Avron, Dumaru, Roron, Sober, Swen, эпидемии которых произошли в том же году.
    Также в 2003 году начинает набирать обороты новый вид электронного мошенничества — так называемый «фишинг», рассылка поддельных писем с просьбой подтвердить персональные коды доступа к банковскому счёту. Чуть позже фишинг стал использоваться для атак и на пользователей других интернет-сервисов.
    10 июля 2003 г. антивирусная индустрия испытала серьёзное потрясение. Корпорация Microsoft объявила о покупке антивирусных технологий и интеллектуальной собственности у румынской компании GeCAD Software, производившей антивирус RAV. В пресс-релизе, опубликованном Microsoft, было объявлено, что данное приобретение поможет усилить безопасность операционной системы Windows и улучшить поддержку, оказываемую прочим антивирусным компаниям. О том, что Microsoft планирует разработку собственного антивируса, речь не шла — однако при виде софтверного гиганта, положившего взгляд на антивирусные технологии, остальные антивирусные компании замерли, как бандерлоги при виде Каа.
     
    #24
  6. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    [h=1]2004[/h] 18 января: обнаружен почтовый червь Bagle, положивший начало целому семейству червей с явной криминальной направленностью — он устанавливал троянский прокси-сервер для дальнейшей рассылки спама.
    В ночь с 26 на 27 января (по европейскому времени) разразилась эпидемия первой версии почтового червя Mydoom. Эпидемия практически моментально достигла своего пика — очевидно, что изначальное распространение червя велось при помощи спам-технологий посредством массовой рассылки зараженных писем через «зомби-сети». Количество писем было настолько велико, что почтовые сервера многих компаний не выдержали нагрузки и прекратили работу или резко снизили свою производительность. К особенностям этого червя следует отнести то, что он также имел криминальную сущность — так же как и Bagle он устанавливал троянский прокси-сервер для рассылки спама. Плюс к тому на компьютеры устанавливался бэкдор-троянец, позволявший полностью контролировать заражённые машины. И в завершении — начиная с 1-го февраля, червь организовал DDoS-атаку на веб-сайт производителя UNIX-систем SCO (www.sco.com). В результате атаки сайт был «отключён», и компания была вынуждена временно использовать альтернативный сайт (www.thescogroup.com).
    9 февраля: эпидемия сетевого червя Doomjuice. Для своего распространения этот червь использовал компьютеры, уже заражённые червём Mydoom. Проникновение в компьютер производилось через сетевой порт, открываемый троянским компонентом Mydoom для приема удаленных команд. Если зараженный компьютер отвечал на запрос червя, то Doomjuice создавал соединение и пересылал свою копию. В свою очередь, установленная Mydoom троянская программа принимала данный файл и запускала его на исполнение. Таким образом, этот червь паразитировал на сети компьютеров, заражённых червём Mydoom.
    15 февраля: эпидемия первого червя из серии NetSky. Одной из основных функций этого червя было удаление из системы известных версий червя Mydoom. В последующие варианты NetSky были также добавлены процедуры удаления червя Bagle. В результате в марте 2003 г. в интернете развернулась настоящая война между авторами червей NetSky с одной стороны и Mydoom и Bagle с другой. Всего за 3 часа 3 марта 2004 г. было зафиксировано сразу 5 новых модификаций этих червей. В марте и апреле 2004 г. наиболее «популярные» представители этих семейств составляли 80-90% всего вредоносного трафика в сети. Они удаляли из системы «противника», а в коде червя можно было обнаружить «послания» к противостоящей группировке:
    NetSky.c:
    we are the skynet — you can’t hide yourself! — we kill malware writers (they have no chance!) — [LaMeRz->]MyDoom.F is a thief of our idea! — -< SkyNet AV vs. Malware >- ->->
    NetSky.f:
    Skynet AntiVirus — Bagle — you are a looser!!!!
    С другой линии фронта поступают ответные «реверансы»:
    Mydoom.f:
    to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app.
    Bagle.i
    Hey, NetSky, fuck off you bitch, don’t ruine our bussiness, wanna start a war ?
    30 апреля 2004 разразилась сильнейшая эпидемия сетевого червя Sasser. Проникновение в систему шло через дыру в службе LSASS Microsoft Windows, при этом в некоторых случаях компьютеры перезагружались. В результате своего распространения Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии.
    Компания Microsoft объявила о готовности заплатить по 250 тысяч долларов за информацию, которая поможет привести к поимке авторов червей Mydoom и Sasser. В результате за создание и распространение червей NetSky и Sasser в мае 2004 г. в Германии был арестован 18-летний студент Свен Яшан (Sven Jaschan). Кто стоял за Mydoom — до сих пор неизвестно.
    В 2004 г. появляется сразу несколько «концептуальных» вирусов, которые никакой «полезной нагрузки» не несут (авторы таких вирусов не извлекают из них никакой пользы), а только демонстрируют новые методы заражения. Практически все они были написаны членами международной группы вирусописателей 29A и были разосланы непосредственно в антивирусные компании.
    27 мая: Rugrat — первый вирус, заражающий исполняемые файлы 64-битной версии операционной системы Windows.
    14 июня: Cabir — первый вирус-червь для смартфонов под управлением операционной системы Symbian. Для своего распространения использовал Bluetooth-соединение: сканировал доступные смартфоны и пересылал на них свой код. Через некоторое время сообщения о заражении вирусом стали поступать из разных стран мира. Таким образом, вирусы «переселились» в совершенно новую для себя «зону обитания».
    17 июля: Duts — первый компьютерный вирус для Windows Mobile — одной из наиболее популярных платформ среди мобильных устройств (карманных компьютеров, смартфонов).
    5 августа: Brador — первый троянец-бэкдор для карманных персональных компьютеров PocketPC на базе Windows CE или более новых версий Windows Mobile. Первый пример вредоносной программы для мобильных устройств, разработанной в злоумышленных целях.
    В конце года появляется первая версия троянской программы Gpcode. Троянец шифровал пользовательские данные и требовал выкуп за утилиту расшифровки.
    В целом, начиная с 2004 года, в тех же злоумышленных целях создаётся подавляющее количество червей и троянских программ. «Классические вирусы» практически незаметны на фоне постоянно появляющихся новых версий разнообразных криминальных программ, созданных для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и для распространения спама. Особый размах приобретают банковские атаки — троянские программы, ворующие коды доступа к банковским счетам, и фишинг-атаки, преследующие ту же цель — получить доступ к персональным банковским счетам.
    Год 2004 также отмечен активизацией полицейских расследований, которые нередко заканчивались арестами. Всего за разнообразные компьютерные преступления, основываясь на информации из открытых источников, в разных странах было арестовано около ста человек.
    С точки зрения «эпидемиологической ситуации» год 2004 можно разделить на две половины. Первая половина года характеризуется многочисленными эпидемиями почтовых червей, но, начиная с лета, их количество и размах заметно спадает. Что привело к таким резким изменениям — можно только догадываться. Скорее всего, сказалось сразу несколько факторов:

    • антивирусные компании научились оперативно реагировать и выпускать защитные обновления, а интернет-провайдеры — не только устанавливать антивирус в обязательном порядке, но и дополнять антивирусную проверку различными фильтрами, и в результате эпидемии почтовых червей не достигали своего возможного пика;
    • многочисленные случаи ареста вирусописателей и объявление денежных премий за поимку наиболее «зарвавшихся» из них были широко освещены прессой — в результате у компьютерного андеграунда заметно уменьшился интерес к «громким делам»;
    • низкая эффективность массовых эпидемий с точки зрения интересов компьютерного криминала — постоянное и контролируемое заражение относительно небольшого числа компьютеров (тысячи, десятки тысяч машин) большим числом разных троянских программ эффективнее, чем заражение миллионов компьютеров одной или несколькими программами.
     
    #25
  7. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    Современный, криминальный этап

    [h=1]2005[/h] Тенденции второй половины 2004 года сохранились и в последующих 2005 и 2006 годах. «Громких» инцидентов практически не происходит, но зато двукратно растёт число разнообразных троянских программ, которые распространяются самыми разными способами: через интернет-пейджеры, веб-сайты, при помощи сетевых червей или традиционной электронной почты. При этом растёт «популярность» именно сетевых не-почтовых червей, которые проникают на компьютеры, используя различные дыры в программном обеспечении, например, черви Mytob и Zotob (Bozori), авторы которых были арестованы в августе 2005.
    С этими червями произошел курьёз. Они проникли в сети и практически парализовали работу нескольких американских СМИ (ABCNews, CNN, New York Times), которые, обнаружив червя в своих собственных сетях, раздули истерию об якобы глобальной эпидемии, по силе сравнимой с эпидемиями сетевых червей 2003-2004 годов. Сказался, видимо, информационный голод на ставшие уже привычными глобальные инциденты прошлых лет, когда главными новостными темами были всплески эпидемий червей Mydoom, Bagle, Sasser и т.д.
    Продолжали появляться новые вирусы и троянские программы для мобильных платформ, особенно часто — для операционной системы Symbian. Помимо ставшего уже обычным метода заражения через Bluetooth-соединения, они использовали и принципиально новые методы. 10 января: Lasco — первый пример вируса, не только рассылавшего себя на другие телефоны, но и заражавшего исполняемые файлы Symbian. 4 марта: Comwar — рассылает себя в MMS-сообщениях по контактам из адресной книги (аналогично первым компьютерным почтовым червям). 13 сентября: Cardtrap — троянская программа, пытавшаяся установить другие вредоносные файлы для Windows, т.е. попытка использовать кросс-платформенное заражение.
    Октябрь-ноябрь: скандал c троянскими руткит-технологиями, обнаруженными на компакт-дисках от Sony BMG. Руткит-технологии использовались в защите от копирования дисков и скрывали её компоненты. Однако эти же технологии вполне могли быть использованы в злонамеренных целях, что и произошло практически сразу — 10 ноября был обнаружен первый троянец-бэкдор, пользовавшийся для маскировки в системе руткитом от Sony.
    Происходят изменения и в антивирусной индустрии. Корпорация Microsoft активно готовится к выходу на антивирусный рынок и покупает сразу две антивирусные компании. 8 февраля 2005 объявляется о покупке компании Sybari, специализирующейся на технологиях для защиты электронной почты для Microsoft Exchange, а 20 июля объявлено о покупке FrontBridge Technologies, разрабатывавшей технологии фильтрации сетевого трафика, — в дополнение к антивирусу RAV, приобретённому в 2003, и Anti-Spyware компании GIANT — о покупке этой компании было объявлено 16 декабря 2004.
    5 июля 2005 объявлено о слиянии Symantec и производителя систем резервного копирования Veritas. Рынок и индустрия расценивают данный шаг как превентивные защитные меры Symantec перед появлением на рынке решений от Microsoft.
    Также в 2005 разворачивается скандал с очередной уязвимостью в приложениях Windows. На этот раз «дыра» была обнаружена в обработчике графического формата Windows Meta Files (WMF). Ситуация осложнилась тем, что информация о данной уязвимости была опубликована до выхода соответствующего обновления Windows — пользователи оказались беззащитными перед сотнями троянских программ, которые тут же начали использовать эту «дыру» для проникновения в компьютеры. Кроме того, про дыру стало известно 26 декабря — в начале рождественских каникул, и быстрая реакция от Microsoft была маловероятна. Так и произошло: после несколько дней молчания, 3 января 2006 г., Microsoft сообщает о том, что обновление Windows выйдет согласно «утверждённому графику», а именно 10 января. Мир IT-безопасности буквально взорвался огромным количеством критических, гневных, а порой и оскорбительных статей в адрес Microsoft. В конце концов, под валом критики, Microsoft не выдержала и 6 января 2006 года выпустила обновление MS06-001, исправляющее уязвимость в обработке WMF-файлов.
     
    #26
  8. _Partizanka_

    _Partizanka_ Guest

    Репутация:
    0
    _Partizanka_, 18 авг 2013
    [h=1]2006[/h] Криминальный бизнес в сети можно считать сформировавшимся. Практически полностью отсутствуют глобальные инциденты — многие виновники эпидемий прошлых лет обнаружены и изолированы от общества, новые не стремятся составить им компанию. При этом безопаснее интернет не становится — непрерывно растёт количество и качество троянских программ и червей, созданных с откровенно преступными намерениями.
    Продолжается формирование криминальных программ для мобильных телефонов. 27 февраля обнаружен RedBrowser — первая вредоносная программы для мобильных телефонов, способных исполнять Java-приложения (J2ME). Потенциально этот троянец представляет опасность не только для смартфонов, но и для всех мобильных телефонов, поддерживающих платформу Java. Осуществляемые троянцем вредоносные действия — рассылка SMS-сообщений на платные мобильные сервисы.
    Также появляются «концептуальные» вирусы в пока еще не криминализированных зонах. 13 февраля: Leap — первый червь для MacOS X. Червь рассылает себя по пейджинговым интернет-сетям и заражает файлы операционной системы MacOS X.
    2006 год также войдёт в историю как год выхода корпорации Microsoft на антивирусный рынок. В конце мая начались продажи интегрированного решения Windows Live OneCare — в единый пакет объединены антивирус, межсетевой экран, система резервного копирования (back-up) и утилиты тонкой настройки Windows. А в июле начались продажи продуктов линейки Antigen (на базе приобретённых ранее технологий Sybari) — пакет для Microsoft Exchange и SMTP Gateways, предназначенный для защиты электронной почты от вредоносных программ и спама.
     
    #27
  9. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 15 янв 2014
    За 2006 год вирусов было много, расскажем лишь о некоторых.
    1) Clagge.B - троян ‘downloader’, остающийся резидентным в памяти. Для выполнения вредоносных действий, он вносит модификации в реестр Windows, помогающие избегнуть контроля брандмауэра. После выполнения этого, он подключается к определенному Интернет-адресу, с которого скачивает файл под названием suhoy341.exe, принадлежащий трояну Trj/Banker.CZI, разработанному для того, чтобы красть банковские пароли пользователей.
    2) Червь, имеющий имена Nyxem, BlackMal, MyWife и CME-24, за одну неделю своего существования заразил сотни тысяч компьютеров. Червь весит 95 килобайт, приложенных к письму. При этом письмо может иметь 25 вариантов заголовков, а текст письма и наименование файла - около 20 вариантов. Активизация "червя" производится пользователем при запуске зараженного файла. При запуске Nyxem на компьютере пользователя создается ZIP-архив с тем же именем, что и изначально запущенный файл. Затем "червь" копирует себя под несколькими именами, в Autorun. Затем Nyxem сканирует файловую систему заражённого компьютера и рассылает себя по всем найденным адресам электронной почты. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы, увеличивая масштаб своего распространения. Также червь обрывал исполнения процессов обеспечивающих безопасность компа. Червь самостоятельно загружает свои собственные обновления из интернета. Особую опасность представляет содержащаяся в Nyxem деструктивная функция, которая регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу месяца, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов (DOC, XLS, PPT, PDF, ZIP и других), замщая ее бессмысленным набором символов.
    В 2007 году Вирус Storm устроил самый настоящий шторм Интернета. Ураган в Европе, нашел свое отражение в Интернете. Червь распространяется по почте. После запуска вложенных файлов устанавливается вирус, который дает возможность хакерам перебирать управление компьютером в свои руки. В 2007 году это была самая сильная бот сеть.
    Penetrator – ещё одна мало известная вредоносная программа, попавшая в тысячи компьютеров осенью-зимой 2007 года. У пользователей исчезали графические, звуковые и текстовые документы. Все документы Word заменялись нецензурными. Задержан автор вируса. Суд пройдет в Калининградской области, поскольку по законодательству местом совершения преступления является Калининград. Хакеру грозит лишение свободы на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми - 7 лет...

    В 2008 году исчезли все представители семейств Zhelatin (Storm Worm) и Warezov. 1 января на свет появился первый троянский конь нового года, которого обнаружили специалисты из Trend Micro. TROJ_DLOADER.CP – он атаковал Windows версий 98, ME, NT, 2000, XP и Server 2003. он может уничтожить немало ценных данных. Также это вирус могут загружать TROJ_DLOADER.CP и посторонние вредоносные программы, уже разместившиеся на вашем ПК. После того, как новый троян установится на вашем компе, он незамедлительно начнет качать вирусы с посторонних сайтов. Как утверждают специалисты, большинство сайтов расположены в Китае.
    2009 год отличился! Вирус «Win32.Conficker.B известный как Net-Worm.Win32.Kido.dv, W32/Downadup.B, W32/Downadup.AL, W32/Confick-D, WORM_DOWNAD.AD. Microsoft говорила что заплатит $250 тыс. за информацию, которая приведет к поимке создателей червя. Он отключает в Windows функцию «восстановление системы», может заблокировать доступ к различным сайтам, которые посвящены информационной безопасности , может скачивать на пораженную машину дополнительные вредоносные программы, может отключать системные службы, создаёт бот сеть. 13 января насчитывалось 2,4 млн компьютеров нуждающихся в ремонт компьютеров на дому, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем, (на момент написания статьи более 17 млн. ) О нём писали даже газеты! С 90-х годов о вирусах мало писали в газетах, потому что они стали обычным явлением.
    На данный момент существует вирус - Win32/TrojanDownloader.Bredolab.AA, заражающий компьютеры через Интернет и использует различные уязвимости файлов PDF и SWF.Едва проникнув в оперативную память, вредоносный код моментально начинает свое распространение. Троян влазит в Autorun, а также получает доступ к системным ресурсам, отключая все процессы, отвечающие за безопасность. Bredolab проникает во все файлы пользователя, имеющие формат PDF и SWF, использующиеся для хранения и передачи различных документов. Троян моментально устанавливает соединение со своим удаленным сервером посредством HTTP-протокола с целью получения дополнительных инструкций. Заразив компьютер, Bredolab загружает вредоносные программы с различных серверов и интернет-сайтов. Обычно это рекламное и шпионское ПО и программы, нацеленные на кражу паролей и другой ценной информации. Также были зафиксированы случаи, когда троянская программа Bredolab была сама загружена на компьютер пользователя с помощью другого даунлоудера, относящегося к семейству фальшивых антивирусов Win32/TrojanDownloader.FakeAlert.

    ---------- Сообщение добавлено в 23:34 ---------- Предыдущее сообщение размещено в 23:27 ----------

    В 2010 году количество созданных и распространенных кибермошенниками вирусов составило 1/3 всех когда-либо существовавших вирусов. На сегодняшний день база данных Коллективного разума (собственной технологии Panda Security, которая автоматически обнаруживает, анализирует и классифицирует 99,4% всех полученных образцов вредоносного ПО) содержит 134 миллиона уникальных файлов. Из них 60 миллионов являются вредоносными (вирусы, черви, Трояны и другие компьютерные угрозы).
    Несмотря на впечатляющие цифры, есть и хорошие новости. Скорость появления новых угроз сократилась по сравнению с 2009 годом. Напомним, начиная с 2003 года, прирост новых образцов вредоносного ПО составлял минимум 100% в год. Однако в прошедшем году показатель роста составил всего около 50%.
    Так называемые банковские Трояны доминируют в рейтинге новейшего вредоносного ПО, которое появилось в 2010 году (56% всех новых образцов). На втором месте по «популярности» находятся вирусы и черви. Интересно, что 11,6% всех образцов в базе данных Коллективного разума – это поддельные антивирусы. Именно эта категория вредоносного ПО, несмотря на своё относительно недавнее появление (всего 4 года назад), вызывает наибольшие опасения пользователей.

    [​IMG]



    Список наиболее инфицированных стран возглавили Таиланд, Китай и Тайвань с показателем инфицированности в пределах 60-70%. Россия в этом рейтинге находится на 7-ом месте (рейтинг составлен на основе данных, полученных благодаря Panda ActiveScan).

    [​IMG]



    Что касается наиболее популярных методов инфицирования, то в 2010 году ими стали:
    - распространение вредоносного ПО с помощью социальных сетей,
    - создание поддельных сайтов (атаки BlackHat SEO);
    - использование так называемых уязвимостей «нулевого» дня.
    В течение 2010 года также активно распространялся спам, даже несмотря на то, что были ликвидированы некоторые бот-сети (например, Mariposa и Bredolad). Это уберегло миллионы компьютеров от угрозы и, конечно, повлияло на общемировой спам-траффик. В 2009 году примерно 95% всех электронных писем оказывались спамом, однако в 2010 году этот показатель снизился примерно до 85%.
    2010 – год киберпреступности и кибервойн
    2010 год можно по праву назвать годом киберпреступности. В самом существовании этого явления нет ничего нового, всем известно, что каждый новый образец вредоносного ПО – это лишь малая часть большого бизнеса, целью которого является финансовая выгода.
    В прошедшем году мы видели несколько примеров кибервойн. Одна из самых ярких подобных войн была вызвана червем Stuxnet. Он был разработан специально для атак на атомные электростанции. Ему удалось инфицировать атомную электростанцию вблизи города Бушер (Иран), что подтвердили иранские власти. В то же время появился ещё один червь с кодовым названием «Here you have» («Здесь у вас…»), который распространялся с помощью старомодных методов и был создан террористической организацией «Brigades of Tariq ibn Ziyad». Согласно имеющимся данным, эта группировка хотела напомнить США о терактах 11-ого сентября 2001 года и призвать к уважению Ислама. Поводом к таким действиям послужили угрозы пастора Терри Джонса сжечь Каран.
    Еще одна яркая кибервойна 2010 года – «Операция Аврора». Целью этой атаки стали работники некоторых крупных транснациональных корпораций. Их рабочие компьютеры были инфицированы Трояном, который способен получить доступ ко всей конфиденциальной информации.
    2010 год также продемонстрировал нам появление нового явления, навсегда изменившего отношения между обществом и сетью Интернет: киберпротесты или, так называемый, хактивизм. Этот феномен стал известен благодаря «Анонимной группе». На самом деле, он не является чем-то абсолютно новым, однако в этот раз о нём писали все издания. «Анонимная группа» организовала множественные атаки (DDoS-атаки), которые обрушили системы сайтов различных обществ защиты авторского права. Таким образом эта группа стремилась защитить основателя сайта Wikileaks Джулиана Ассанджа.
    В центре внимания – социальные сети
    Помимо информации о больших недоработках в системах безопасности Windows и Mac, в ежегодном отчёте безопасности за 2010 год также был затронут вопрос о наиболее важных инцидентах, связанных с безопасностью популярных социальных сетей. Среди наиболее пострадавших оказались такие сайты, как Facebook и Twitter. Кроме того, мы наблюдали атаки и на другие сайты, например, Linkedln или Fotolog.
    Существует несколько техник обмана пользователей:
    - поддельная кнопка «Like» в Facebook,
    - взлом страниц для последующей отправки сообщений из «проверенных» источников,
    - использование уязвимостей Twitter для запуска JavaScript,
    - распространение поддельных приложений, перенаправляющих пользователей на заражённые сайты и т.д.

    ---------- Сообщение добавлено в 23:36 ---------- Предыдущее сообщение размещено в 23:34 ----------

    2011
    Число угроз для Android выросло в 2011 году в 20 раз

    Количество угроз для мобильной платформы Android выросло в прошедшем году в 20 раз, причем подавляющее большинство подобных вредоносных программ относится к семейству Android.SmsSend. Эти приложения обычно представляют собой инсталлятор, якобы содержащий нужную пользователю программу, для установки которой необходимо отправить одно или несколько платных СМС-сообщений. Суть мошенничества заключается в том, что, если бы пользователь изначально обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.
    В начале 2011 года в вирусных базах Dr.Web числилось всего шесть записей для троянцев семейства Android.SmsSend, к декабрю число этих угроз увеличилось практически в 45 раз. Динамика роста количества добавленных в базы Dr.Web записей для Android.SmsSend показана на приведенном ниже графике.
    [​IMG]

    Значительный успех в борьбе с данным типом угроз отчасти обусловлен применением уникальной технологии Origins Tracing™, разработанной компанией «Доктор Веб». Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. С использованием в продуктах Dr.Web технологии Origins Tracing для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, которая затем добавляется в вирусную базу. Одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.
    Всего в вирусных базах Dr.Web на конец 2011 года числится около 630 записей, соответствующих вредоносным программам для Android, в то время как на начало года их насчитывалось всего 30. Таким образом, можно сказать, что за последние 12 месяцев общее число угроз для мобильной платформы Android увеличилось в 20 раз. Процентное распределение различных типов угроз для Android показано на предложенной ниже диаграмме.
    [​IMG]

    В качестве сравнения следует отметить, что для Symbian OS на сегодняшний день известно 212 вредоносных программ, для Windows Mobile — 30, а троянцев, способных работать на любой мобильной платформе с поддержкой Java, насчитывается 923. Основываясь на этих цифрах, можно сделать вывод о том, что по числу специализированных угроз операционная система Android только за 2011 год уверенно опередила своих ближайших конкурентов.
    Руткиты

    Как известно, к категории руткитов относят вредоносные программы, способные скрывать следы своего присутствия в операционной системе. По сравнению с прошлым годом активность распространения данного типа угроз осталась на прежнем уровне. По мере роста популярности среди пользователей 64-разрядных операционных систем вирусописатели вынуждены адаптировать свои творения, в связи с чем несколько увеличилось число модификаций руткитов, работающих в пользовательском режиме. Наиболее популярными угрозами данного типа по-прежнему остаются BackDoor.Tdss и BackDoor.Maxplus.
    В 2011 году специалистами «Доктор Веб» был зафиксирован уникальный в своем роде руткит, получивший название Trojan.Bioskit.1, особенность которого заключается в том, что он инфицирует BIOS персональных компьютеров — причем только в том случае, если на ПК установлен BIOS производства компании Award Software. Позже были зафиксированы попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы для пользователей.
    Файловые вирусы

    К категории файловых вирусов традиционно относят вредоносные программы, поражающие в числе прочего исполняемые файлы и обладающие способностью к саморепликации (размножению без участия пользователя). Лидером среди файловых вирусов исходя из количества заражений по итогам года является Win32.Rmnet.12. Этот вирус был обнаружен на компьютерах пользователей 165 286 935 раз, что составляет 11,22% от всех случаев инфицирования вредоносным ПО. На втором месте — Win32.HLLP.Neshta, обнаруженный в течение года 94 777 924 раза (6,44% случаев заражения), замыкает тройку Win32.HLLP.Whboy.45 (52 610 974 случая заражения, что составляет 3,57% от общего числа).
    В 2011 году семейство файловых вирусов пополнилось новыми вредоносными экземплярами: это и лидер списка — Win32.Rmnet.12, и Win32.HLLP.Novosel, и Win32.Sector.22, а также многие другие.
    Винлоки

    Программы-вымогатели, блокирующие запуск операционной системы, — напасть давно известная, и потому за истекшие двенадцать месяцев число модификаций угроз семейства Trojan.Winlock вполне ожидаемо росло. Не обошлось и без сюрпризов: в 2011 году винлоки добрались не только до ближнего зарубежья (были зафиксированы модификации программ-вымогателей, специально ориентированные на пользователей из Казахстана, Украины и Белоруссии), но и до европейских государств. В частности, обнаруженный в сентябре 2011 года Trojan.Winlock.3260 содержит многоязычный текст блокирующих систему сообщений, оформленных в виде послания от управления полиции страны, в которой проживает жертва: для Германии это Bundespolizei, для Великобритании — The Mertopolitan Police, для Испании — La Policìa Española. Во всех случаях за разблокировку системы жертве предлагается внести плату с использованием одной из распространенных в данной стране платежных систем. Вскоре число подобных троянцев стало стремительно расти. Вероятнее всего это объясняется тем, что в Интернете стали все чаще появляться партнерские программы, организованные создателями подобных программ-вымогателей: злоумышленники активно ищут на специализированных форумах специалистов по распространению вредоносного ПО.
    Всего с начала года был зафиксирован более чем двукратный рост числа новых модификаций Trojan.Winlock. При этом из общего количества обращений в службу технической поддержки «Доктор Веб» на долю пострадавших от программ-блокировщиков приходится 29,37%.
    [​IMG]

    MBR-локи

    Заметно выросло и число программ-вымогателей, инфицирующих загрузочную запись компьютера (Master Boot Record, MBR). Первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию еще в ноябре 2010 года, и на сегодняшний день их насчитывается уже более 300. С начала 2011 года число вредоносных программ семейства Trojan.MBRlock выросло в 52 раза, увеличившись с 6 до 316 выявленных модификаций. Наметилась очевидная тенденция и к изменению функционала подобных троянцев — он становится все более изощренным и вредоносным: если первые модификации Trojan.MBRlock автоматически обезвреживались спустя некоторое время, то последние версии не только не содержат подобного механизма, но даже не хранят в открытом виде код разблокировки, что несколько затрудняет лечение. Так, появившийся в ноябре 2011 года Trojan.MBRlock.17 отличается от предшественников еще и тем, что записывает свои компоненты в случайные секторы жесткого диска, а ключ разблокировки создается динамически на основе ряда параметров. На сегодняшний день это — одна из самых опасных модификаций среди троянцев — блокировщиков загрузочной записи.
    Энкодеры

    Программы-энкодеры, или, как их еще иногда называют, шифровальщики, попадая на персональный компьютер, шифруют хранящиеся на жестких дисках файлы с помощью специального алгоритма и требуют от пользователя заплатить определенную сумму за возможность получить доступ к этой информации. Примерно в сентябре 2011 года разразилась самая настоящая эпидемия распространения вредоносных программ семейства Trojan.Encoder и Trojan.FolderLock, от действий которых пострадало огромное количество пользователей. Расширился и ассортимент версий подобных угроз: с начала 2011 года количество записей в базах для различных типов энкодеров увеличилось на 60%.
    Мошенничество в сети

    Не уменьшается и количество случаев мошеннических действий в отношении пользователей Интернета: злоумышленники пускают в ход любые доступные методы, чтобы заставить пользователя отправить платное СМС-сообщение или подписать его на какие-либо услуги с ежемесячной абонентской платой. Фантазия сетевых мошенников поистине неисчерпаема: в ход идут и липовые розыгрыши призов, и поддельные файлообменные сети, жулики предлагают доверчивым пользователям доступ к телефонным и генеалогическим базам, поиск двойников и родственников, гадания по линиям ладони, звездам и картами Таро, составление индивидуальных гороскопов и диет… Подробно о современных схемах сетевого мошенничества мы уже рассказывали в одном из наших информационных обзоров. Динамику выявления количества мошеннических сайтов, использующих методы социальной инженерии, можно проследить на предложенном ниже графике.
    [​IMG]

    Резкий рост числа добавленных в базы принадлежащих сетевым мошенникам интернет-ресурсов в сентябре-октябре во многом обуславливается «сентябрьской облавой на подпольные сайты», о которой компания «Доктор Веб» сообщала в одном из своих выпусков новостей. В ходе этого мероприятия было выявлено значительное число подобных ресурсов — и результаты проделанной специалистами компании работы отчетливо прослеживаются на диаграмме.
    А вот статистика добавления в базы адресов сайтов, распространявших в 2011 году вредоносное программное обеспечение:
    [​IMG]

    Здесь наблюдается обратная тенденция: наибольшее число вредоносных ресурсов было зафиксировано в первом полугодии, в то время как с наступлением осени на данном фронте наметилось определенное затишье.
    Не прекращается и «охота» на пользователей социальных сетей. В 2011 году жулики активно изобретали новые мошеннические схемы, о наиболее популярных из которых мы рассказывали недавно в обзорной статье. Всего за 2011 год было выявлено множество поддельных сайтов, имитирующих своим оформлением интерфейс популярных социальных сетей, адреса подобных ресурсов были добавлены в базы Dr.Web.
    Банковские троянцы

    За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.
    Среди них особый интерес представляет семейство обладающих широким функционалом троянцев Trojan.Winspy, новые модификации которых появлялись в первой половине 2011 года. Еще одно вредоносное приложение подобного типа было добавлено в вирусные базы под именем Trojan.Carberp.1. Как и некоторые другие троянские программы, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данного троянца является то, что он работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.
    Весьма распространены и троянцы семейства Trojan.PWS.Ibank, предназначенные для кражи данных доступа к ДБО и способные объединяться в ботнеты. Безусловно, нельзя обойти вниманием такой знаменитый троянец, как Trojan.PWS.Panda, известный также под именами Zeus и Zbot. Основной его функционал заключается в краже пользовательских паролей, хотя этот троянец обладает достаточно обширными возможностями. Zeus получил очень широкое распространение и в течение длительного времени представлял серьезную угрозу для пользователей банковских систем. Еще один троянец, созданный со схожими целями, — Trojan.PWS.SpySweep, также известный под именем SpyEye. Кроме того, в этом году появился и первый банковский троянец для платформы Android: это Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.
    После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.
    Наиболее интересные угрозы 2011 года

    В феврале-марте 2011 года злоумышленниками была предпринята атака на терминалы одной из наиболее распространенных в России платежных систем, осуществленная с использованием троянской программы Trojan.PWS.OSMP. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.
    Trojan.PWS.OSMP — одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Другая модификация этой вредоносной программы крала из терминалов конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.
    Еще одна небезынтересная троянская программа — BackDoor.Dande. Этот троянец предназначен для кражи данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. В числе собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.
    В течение года появилось и несколько весьма любопытных вредоносных программ для мобильной платформы Android. Среди них можно отметить троянца Android.Gone.1, за 60 секунд «угоняющего» всю хранящуюся на работающем под управлением Android мобильном телефоне информацию, включая контакты, сообщения, последние звонки, историю браузера и т. д. Украденные данные загружаются на специально созданный вирусописателями сайт. Получить доступ к похищенной информации можно за 5 долларов. Еще одной интересной «угрозой года» для этой мобильной платформы можно назвать троянца Android.DreamExploid — он без ведома пользователя пытался произвести повышение привилегий программного окружения смартфона. То есть вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки, а также обладает функционалом для сбора информации об инфицированном устройстве и ее отправки злоумышленникам.
    Прогнозируемые тенденции 2012 года

    В 2012 году следует ожидать дальнейшего роста количества угроз для мобильной операционной системы Android, а также с определенной долей вероятности можно прогнозировать появление программ-блокировщиков для этой платформы. Обусловлен подобный прогноз, прежде всего, тем, что мобильные ОС значительно облегчают доступ злоумышленников к кошельку жертвы. Если получить прибыль от пользователя ОС для настольных ПК не так-то просто, например, для этого нужно сначала заблокировать Windows, а потом заставить пользователя дойти до терминала оплаты или набрать и отослать СМС, то с мобильного телефона можно отправлять короткие сообщения на платные номера, показывать рекламу, скачивать платные мелодии и прочий контент, понемногу списывая деньги со счета оператора. Емкость этого теневого рынка просто огромна, и в настоящее время он активно осваивается злоумышленниками, а современные мобильные платформы с их обширным функционалом открывают для этого прекрасные возможности.
    Можно ожидать распространения узкоспециализированных угроз, ориентированных на системы промышленной автоматики, — в эту категорию входят автоматизированные системы управления производственными процессами, системы контроля доступа, мониторинга, обогрева, кондиционирования и вентиляции, иные компьютеризированные системы промышленных предприятий и производственных организаций. Под угрозой может оказаться инфраструктура управления технологическими процессами (SCADA). Аналитики компании «Доктор Веб» отмечают, что вредоносные программы, эксплуатирующие уязвимости подобных систем, могут представлять особую опасность, поскольку подобные комплексы применяются в ключевых отраслях экономики, таких как производство электроэнергии, транспорт, добыча полезных ископаемых, нефти и газа.
    Вполне вероятно появление новых угроз, ориентированных на банковские системы и ДБО, будет совершенствоваться их техническое исполнение. Возможно, злоумышленники не ограничатся пользовательскими ПК и системами «Банк-Клиент», а предпримут атаки на банковские структуры или даже государственные финансовые институты. Будут появляться новые, ранее неизвестные способы мошенничества, как с использованием фишигновых сайтов, так и в отношении пользователей социальных сетей. Динамика возникновения новых мошеннических схем показывает, что злоумышленники используют практически все доступные им технологии, а с появлением на сайтах социальных сетей новых функциональных возможностей они также наверняка будут использованы мошенниками для достижения неблаговидных целей. Так, в 2011 году киберпреступники задействовали для обмана пользователей голосования, встроенные в социальные сети функции обмена файлами, видеоролики и даже дополнения к браузеру Mozilla Firefox. Думается, этим их арсенал в будущем не ограничится, киберпреступники будут и дальше изыскивать новые способы незаконного заработка.
     
    #28
  10. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 16 янв 2014
    2012

    Появление троянской программы Backdoor.Flashback.39, из-за которой разразилась самая настоящая эпидемия среди Apple-совместимых компьютеров, можно назвать, пожалуй, самым ярким событием 2012 года в сфере информационной безопасности. Впервые это вредоносное ПО было обнаружено специалистами компании «Доктор Веб» еще в конце марта 2012 года, а информационное сообщение о выявлении крупнейшего в истории ботнета, работающего под управлением Mac OS X, было опубликовано 4 апреля. Еще в конце марта в вирусную лабораторию стали поступать сообщения о распространении троянцев для Mac OS X с использованием уязвимости Java, именно тогда и возникло предположение о том, что Backdoor.Flashback.39 способен объединять «маки» в бот-сети. Аналитики «Доктор Веб» изучили алгоритм, используемый этим троянцем для генерации имен управляющих серверов, и зарегистрировали несколько таких имен. Результат превзошел все ожидания: уже в первые сутки стало понятно, что количество зараженных «маков» превысило 600 000 и продолжает стремительно расти. География распространения инфекции также была весьма обширной:
    [​IMG]
    География распространения Backdoor.Flashback.39
    За последующие 10 дней размер бот-сети достиг максимальной отметки в 670 000 с лишним одновременно работающих инфицированных компьютеров (более 800 000 уникальных компьютеров с учетом «излечившихся») и постепенно пошел на спад. Опубликованный компанией «Доктор Веб» пресс-релиз с описанием данной угрозы наделал много шума в мировой прессе и вызвал широчайший общественный резонанс. Миф о том, что Mac OS X является одной из самых защищенных операционных систем в мире, был в одночасье разрушен.
    Основной причиной эпидемии стало то обстоятельство, что корпорация Apple выпустила обновление безопасности для собственной реализации Java спустя два месяца после аналогичного обновления, опубликованного корпорацией Oracle, что позволило злоумышленникам безнаказанно распространять вредоносное ПО в течение длительного времени. Другая причина — это, безусловно, слепая вера пользователей продукции Apple в абсолютную защищенность платформы Mac OS X: в пользу этого суждения говорил, в частности, тот факт, что число инфицированных «маков» продолжало увеличиваться даже после того, как компания «Доктор Веб» сообщила на весь мир об этой угрозе.
    [​IMG]
    Исследования, проведенные аналитиками компании «Доктор Веб», позволили определить версии платформы Mac OS X, которые инфицировала вредоносная программа, версии ядра ОС, а также ряд других характеристик ботнета, исходя из анализа обращений этой вредоносной программы к управляющим серверам. Результаты этих исследований по данным на апрель 2012 года показаны на представленных ниже иллюстрациях.
    [​IMG]
    [​IMG]
    [​IMG]
    В декабре 2012 года рост бот-сети Backdoor.Flashback.39 практически полностью остановился, однако окончательно она не побеждена — во всем мире еще насчитывается несколько десятков тысяч инфицированных «маков».
    Поскольку популярность системной платформы от Apple постепенно растет, а пользователи этой ОС не привыкли использовать антивирусное программное обеспечение, Mac OS X становится лакомым куском для многочисленных злоумышленников. Вряд ли среднестатистический правонарушитель пройдет мимо богато обставленной квартиры, хозяева которой по идеологическим соображениям не желают запирать входную дверь на замок.
    Файловые вирусы и другие ботнеты

    Файловый вирус Win32.Rmnet.12, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2011 года, за истекшие 12 месяцев побил все мыслимые рекорды, образовав бот-сеть, состоящую из шести с половиной миллионов инфицированных узлов. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению, то есть, он умеет копировать сам себя и бесконтрольно распространяться без участия пользователя. Этот вирус заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей от популярных FTP-клиентов, – эти пароли могут быть использованы для организации сетевых атак. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду и на уничтожение операционной системы. Его вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты), перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Вот почему этот вирус представляет существенную опасность для пользователей.
    Наибольшее распространение данный вирус получил в странах юго-восточной Азии, таких как Индонезия, Бангладеш, Вьетнам, Индия и Пакистан. Однако имеется значительное число инфицированных машин и в России.
    Первоначально число заражений вирусом Win32.Rmnet.12 было относительно невелико, однако с каждым месяцем количество инфицированных ПК увеличивалось, пока к концу года не достигло рекордной отметки в 6,5 миллионов. Динамику этого процесса можно проследить с помощью представленного ниже графика.
    [​IMG]
    Поскольку тенденций к снижению роста данной угрозы не наблюдается, можно предположить, что вирус Win32.Rmnet.12 продолжит свое распространение. Если расширение ботнета будет продолжаться прежними темпами, то в 2013 году общая численность зарегистрированных в сети инфицированных компьютеров превысит 10 миллионов.
    Одной из наиболее распространенных модификаций файлового вируса Win32.Rmnet.12 является его «родной брат» Win32.Rmnet.16. Основное отличие данной вредоносной программы от ее предшественницы заключается том, что она использует цифровую подпись, которой подписывается IP-адрес управляющего сервера. Также вирусописатели обновили основные функциональные модули приложения.
    [​IMG]
    Ботнет, состоящий из инфицированных Win32.Rmnet.16 рабочих станций, наиболее распространен на территории Великобритании и Австралии. Однако численность этой бот-сети значительно скромнее по сравнению с Win32.Rmnet.12. Число случаев заражения в течение 2012 года также постепенно росло, однако гораздо менее высокими темпами, о чем свидетельствует представленная ниже диаграмма.
    [​IMG]
    Исходя из имеющейся в распоряжении специалистов «Доктор Веб» статистики можно предположить, что прирост численности ботнета Win32.Rmnet.16 будет понемногу сокращаться, а его общий объем вряд ли превысит миллион инфицированных узлов, если, конечно, лавинообразному росту заражений не поспособствуют какие-либо непредвиденные обстоятельства. Напомним, что специалисты компании «Доктор Веб» полностью контролируют вирусные сети Win32.Rmnet.12 и Win32.Rmnet.16.
    Еще в ноябре 2011 года компания «Доктор Веб» сообщила о появлении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у российских фармацевтических компаний и аптек. BackDoor.Dande — сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать его вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего по формальным признакам ее становится невозможно отличить от незараженной библиотеки. Троянец крадет данные из так называемых «систем электронного заказа», к которым относятся специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие.
    Несмотря на то, что троянец впервые был добавлен в вирусные базы Dr.Web более года назад, к концу декабря 2012 года бот-сеть BackDoor.Dande продолжала действовать. С учетом того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов (а при ее отсутствии самоудаляется), можно с уверенностью говорить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На 19 декабря 2012 года в ботнете BackDoor.Dande числился 3 031 инфицированный компьютер. Изменение численности данной бот-сети показано на представленном ниже графике.
    [​IMG]
    Троянцы-кодировщики

    2012 год можно, пожалуй, назвать периодом наибольшего распространения троянцев-энкодеров: по приблизительным подсчетам в прошлом году от действия этих вредоносных программ пострадали тысячи человек по всему земному шару. В течение года в вирусные базы Dr.Web было добавлено множество новых модификаций троянцев данного типа. Динамика поступления запросов в службу технической поддержки компании «Доктор Веб» от пользователей, пострадавших в результате действия троянцев-кодировщиков, показана на представленном ниже графике:
    [​IMG]
    Появление первых версий троянцев-кодировщиков было зафиксировано еще в 2009 году. Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, изображения и архивы, после чего шифруют их. За расшифровку файлов злоумышленники требуют заплатить определенную денежную сумму.
    В течение длительного времени от действий троянцев-кодировщиков страдали в основном пользователи на территории России и стран бывшего СССР, однако весной 2012 года вредоносные программы семейства Trojan.Encoder вышли на зарубежные просторы. Одним из первых троянцев-вымогателей, ориентированных на западную аудиторию, стал Trojan.Encoder.94. Троянец имел англоязычный интерфейс, однако случаи заражения были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Первые обращения пострадавших от Trojan.Encoder.94 зарубежных пользователей были зафиксированы 9–10 апреля 2012 года. Вскоре в службу технической поддержки компании «Доктор Веб» стали обращаться пользователи из Латинской Америки (Бразилии и Аргентины), а также таких европейских стран как Франция, Бельгия, Швейцария, Нидерланды, Хорватия, Словения, Венгрия и Румыния.
    К концу года ситуация с троянцами-шифровальщиками кардинально изменилась: если в 2011 году подобные вредоносные программы все еще были ориентированы в основном на русскоязычную аудиторию, то уже к декабрю 2012, по мнению аналитиков «Доктор Веб», соотношение «российских» и «зарубежных» энкодеров составляло примерно 50/50. Основной всплеск распространения шифровальщиков, ориентированных на западный рынок, пришелся на апрель-май 2012 года, однако к осени их число несколько уменьшилось. Основываясь на имеющейся статистике можно предположить, что в наступающем году число энкодеров, направленных на зарубежных пользователей ПК, будет стремительно расти. В целом 2013 год можно будет, по всей видимости, назвать «годом энкодеров» — распространенность этой категории угроз вполне может принять масштабы эпидемии.
    Винлоки

    Троянцы-вымогатели, парализующие нормальную работу операционной системы и требующие у пользователя заплатить определенную сумму за ее разблокировку, известны уже давно. В течение 2012 года появлялись новые модификации винлоков, но динамику их распространения нельзя было назвать чрезмерно высокой. Всего в течение года в службу технической поддержки «Доктор Веб» обратилось более 10 000 пользователей, пострадавших от действия троянцев-блокировщиков, всем им была оказана квалифицированная помощь. Динамику таких запросов можно отследить с помощью представленного ниже графика.
    [​IMG]
    Осенью 2012 года было зафиксировано распространение троянцев-блокировщиков, получивших общее наименование «мультилокеры», — исходя из заголовка, демонстрировавшегося на входной странице используемых ими управляющих серверов. Такие троянцы не содержат каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы мультилокеры загружают с удаленного сервера. Соответственно, это позволяет злоумышленникам оперативно настраивать демонстрируемые на экране инфицированного компьютера текст, изображения, а также менять код разблокировки.
    Запустившись на зараженном ПК, троянцы-мультилокеры блокируют возможность загрузки ряда приложений и системных утилит. Кроме того, некоторые модификации этих вредоносных программ способны перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, как правило, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.
    [​IMG]
    Специалистами компании «Доктор Веб» были зафиксированы случаи распространения подобных угроз в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии, США и нескольких других странах. Для получения оплаты злоумышленники обычно используют ваучерные платежные системы Ukash, Moneypack и Paysafecard. Анализ троянцев-вымогателей, поступивших в течение года в вирусную лабораторию «Доктор Веб», говорит о том, что вирусописатели понемногу отказываются от винлоков традиционной архитектуры, в то же время прослеживается тенденция к усложнению их конструкции и росту функциональных возможностей. Можно предположить, что подобные троянцы будут с определенной периодичностью появляться на свет и в следующем году, а ареал их распространения продолжит расширяться.
    Наиболее важные события в сфере информационной безопасности

    2012 год запомнится пользователям множеством важных и интересных событий в сфере информационной безопасности. Так, этот год был отмечен значительным ростом числа взломов веб-сайтов с целью распространения вредоносного ПО. Первая волна хакерских атак была зафиксирована еще в начале года, когда оказалось взломано от нескольких десятков до сотен тысяч сайтов. На скомпрометированных ресурсах злоумышленники размещали содержащие уязвимость сценарии, с помощью которых, в частности, распространялся известнейший троянец для Mac OS X Backdoor.Flashback.39. Еще одна волна взлома интернет-ресурсов пришлась на середину августа: в российском сегменте Интернета было скомпрометировано несколько тысяч сайтов с целью распространения троянцев для мобильных платформ. Данная тенденция продолжала прослеживаться до конца года: уже в декабре были зафиксированы случаи взлома популярных порталов, в частности, официального сайта далай-ламы. Злоумышленники ставили своей целью заразить компьютеры посетителей этих сайтов вредоносными программами для ОС Windows и Mac OS X.
    В минувшем году киберпреступники весьма активно использовали в своих целях различные уязвимости Java. Так, весной 2012 года злоумышленники распространяли с использованием уязвимости CVE-2012-0507 вредоносные программы семейства Trojan.Carberp и бэкдор для Mac OS X Backdoor.Flashback.39. В июле средства массовой информации сообщили об использовании уязвимости CVE-2012-1723 в популярном среди злоумышленников наборе эксплойтов BlackHole. А уже 26 августа была обнаружена очередная критическая уязвимость Java, которая стала использоваться злоумышленниками в направленных атаках на компьютеры, работающие под управлением Mac OS X, Linux и Windows. Аналитики компании «Доктор Веб» полагают, что ситуация на тот момент складывалась критическая: на день публикации первой новости об обнаружении эксплоита злоумышленникам было широко известно о критической уязвимости Java 7, а обновление Java-машины планировалось только на середину октября. Следовательно, примерно 2 месяца вредоносное ПО имело бы возможность потоком идти через эту «незалатанную дыру» в Java, а также перенаправлять пользователей на вредоносные ресурсы посредством взломанных сайтов, которые на первый взгляд совершенно безобидны. Действия компании Oracle в данной ситуации не были оперативными, из-за чего вредоносное ПО проникло на компьютеры незащищенных пользователей. Тем не менее, с выходом очередного обновления Java в сентябре 2012 специалисты в области компьютерной безопасности обнаружили еще несколько критических уязвимостей этой платформы. Кроме того, в начале ноября появились сообщения об обнаружении zero-day уязвимости в программе Adobe Reader (версиях 10 и 11). С помощью этой уязвимости злоумышленникам удавалось запускать на компьютере жертвы вредоносное приложение. Сам содержащий уязвимость файл киберпреступники распространяли в Интернете, а также рассылали по электронной почте.
    Весьма резонансным событием в сфере информационной безопасности стало обнаружение специалистами одной из антивирусных компаний вредоносной программы Win32.HLLW.Flame — сложного многокомпонентного вредоносного приложения, прозванного специалистами «Доктор Веб» за рекордный размер (более 6 МБ) «троянским слоном». Эта программа обладает весьма обширными функциональными возможностями, однако «в дикой природе» практически не встречается. По мнению аналитиков «Доктор Веб», опасность этого троянца, растиражированная многочисленными публикациями в интернете и в СМИ, несколько преувеличена.
    Еще одним немаловажным событием в мире информационных технологий стала ликвидация в июле 2012 ботнета BackDoor.BlackEnergy. Это была крупнейшая бот-сеть, ориентированная на массовую рассылку спама, а также проведение DDoS-атак, и прекращение ее деятельности достаточно быстро привело к снижению объемов спам-трафика начиная с июля 2012 года. Вместе с тем, несмотря на уничтожение главных управляющих центров BackDoor.BlackEnergy, специалисты «Доктор Веб» зафиксировали несколько более мелких командных серверов этой сети, которые продолжали свою деятельность и после опубликованных в прессе заявлений об уничтожении данной бот-сети. Тем не менее, уже спустя несколько месяцев прекратили свое существование и эти серверы, поэтому в настоящий момент мы действительно можем говорить о полной и безоговорочной ликвидации ботнета BackDoor.BlackEnergy.
    Мошенничество в Интернете

    Не дремлют и сетевые мошенники, всеми силами стремящиеся нажиться на доверчивости простых пользователей. Так, в начале мая злоумышленники устроили атаку на пользователей Facebook. Заглянув на свою страницу в этой социальной сети, пользователь обнаруживал в новостной ленте ссылку на программу Profile Visitor, якобы способную фиксировать и демонстрировать на специальной странице посетителей его профиля. Ссылка, как правило, публиковалась от имени одного из друзей пользователя и вела на страницу встроенного приложения Facebook, для активации которого требовалось разрешить программе публиковать контент от имени пользовательской учетной записи. Как только ничего не подозревающая жертва нажимала на кнопку «Разрешить», на стене ее профиля и в новостной ленте всех ее друзей появлялась ссылка на данное приложение, размещенная от ее имени. Однако даже если пользователь не разрешал программе Profile Visitor какие-либо публикации, все, кто зарегистрирован в списке его друзей, получали «отметку» на «фотографии», представляющей собой рекламный баннер-ссылку приложения Profile Visitor. С помощью этого баннера пользователь перенаправлялся на различные мошеннические сайты.
    В конце того же месяца многие российские пользователи стали жертвами массовой рассылки электронных писем, отправленных от имени Сбербанка. Послания с темой «Сообщение об увеличении задолженности» получило множество пользователей. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружался файл .SCR — в RAR- или ZIP-архиве либо в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказывались зашифрованными, а за их расшифровку злоумышленники требовали заплатить определенную сумму.
    [​IMG]
    В июне письма с вредоносным содержимым чаще всего отправлялись якобы от имени почтовых служб UPS и EMS. В сообщениях говорилось о том, что служба не смогла доставить пользователю почтовое сообщение, а за подробностями злоумышленники советовали обратиться к вложенному в сообщение файлу, в котором, как правило, скрывалась троянская программа.
    В то же самое время сетевые мошенники освоили новый способ обмана пользователей, озадаченных поиском работы. Преследуя свои корыстные цели, злоумышленники создавали на специализированных ресурсах учетную запись несуществующей компании с громким и запоминающимся названием. Затем по электронной почте мошенники отправляли соискателям сообщение, в котором предлагалось занять некую вымышленную вакансию, например, «инженера по подбору оборудования». Для этого потенциальной жертве следовало пройти «онлайн-собеседование» на определенном сайте, созданном специально для этой цели. «Онлайн-собеседование», как правило, состояло из нескольких десятков примитивных вопросов, а после прохождения «теста» жертве предлагалось отправить СМС-сообщение «с личным кодом результата» на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. На самом деле, таким образом пользователь соглашался с условиями «псевдоподписки» — услуги по предоставлению доступа к информации, за оказание которой со счета его мобильного телефона регулярно списывалась определенная сумма.
    Наиболее интересные угрозы года

    Одной из наиболее ярких тенденций четвертого квартала стало резкое снижение числа заражений пользовательских компьютеров троянской программой Trojan.Mayachok.1, уверенно возглавлявшей список наиболее опасных угроз с начала 2012 года. Связано это, прежде всего, с тем, что вирусописатели начали активно модифицировать эту троянскую программу: если на начало года было известно лишь несколько ее версий, то к концу декабря в базах Dr.Web насчитывалось уже более 1 000 соответствующих записей. Изменениям подвергся и код вредоносной программы, и — отчасти — ее функционал, при этом если в начале года новые версии Trojan.Mayachok появлялись не чаще раза в месяц, то в октябре-ноябре модификации данного троянца детектировались практически каждый день, однако их различия в целом были незначительными. Напомним, что вредоносные программы Trojan.Mayachok обладают возможностью встраивать в просматриваемые пользователем веб-страницы постороннее содержимое. Например, блокировать таким образом доступ к Интернету и требовать плату за его разблокировку. Можно предположить, что новые версии троянцев этого семейства будут появляться и в дальнейшем.
    В конце июня специалистами компании «Доктор Веб» был проведен анализ вредоносной программы Trojan.Hottrend, которую можно назвать самым маленьким из известных на сегодняшний день банковских троянцев. Размер её составляет всего 20 КБ. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.
    Одним из самых интересных троянцев, исследованных вирусными аналитиками компании «Доктор Веб» в 2012 году, является вредоносная программа под названием BackDoor.DaVinci.1. Главной отличительной особенностью этого троянского приложения является то, что оно способно работать как в операционной системе Microsoft Windows, так и в Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ. Эта вредоносная программа представляет собой многокомпонентный бэкдор, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для сокрытия работы приложения в операционной системе.
    BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных брандмауэров, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то, что впервые в данной платформе используются руткит-технологии для сокрытия файлов и процессов.
    Ну а наиболее оригинальным подходом к заражению компьютеров отличился троянец Trojan.KillFiles.9055, распространявшийся по электронной почте в сообщениях с призывами присоединиться к протестным акциям 5 марта 2012 года. Примечателен тот факт, что тело троянца располагалось непосредственно в макросе, встроенном в приложенный к письму документ Word. Вредоносная программа сохранялась на диск и выполнялась в момент открытия документа. Запустившись на компьютере жертвы, Trojan.KillFiles.9055 вызывал зависание ОС Windows. Одновременно троянец менял содержимое всех обнаруженных на диске С файлов (с расширением .msc .exe .doc .xls .rar .zip .7z) на «цифровой мусор» и помечал их на удаление после перезагрузки системы, вследствие чего Windows приходила в нерабочее состояние. Затем троянец отправлял на удаленный сервер злоумышленников сообщение о том, что операционная система успешно уничтожена.
    Android под атакой: «легкие» деньги, доступ к конфиденциальной информации и усложнение угроз

    Как и ожидалось, число угроз, ориентированных на ОС Android, в 2012 году продолжило неуклонно расти, что неудивительно: мобильные устройства под управлением этой операционной системы продолжают занимать все более прочное положение на рынке. Так, согласно последнему исследованию компании IDC, в третьем квартале 2012 года три четверти поставляемых смартфонов работали именно на этой платформе. На представленной ниже диаграмме отображено процентное распределение вредоносных программ для Android.
    [​IMG]
    Наиболее распространенной и массированной угрозой по-прежнему остаются троянцы семейства Android.SmsSend, появившиеся еще в 2010 году. Основная функция этих вредоносных программ — отправка дорогостоящих СМС-сообщений и подписка пользователей на различные контент-услуги. Подавляющее большинство троянцев Android.SmsSend с технологической точки зрения является примитивными разработками, однако простота создания и высокая окупаемость побуждают киберпреступников выпускать бесчисленные модификации этих вредоносных программ.
    Одной из наиболее заметных тенденций 2012 года стало существенное увеличение числа троянских программ-шпионов для ОС Android. Так, весьма показательным стало появление целого ряда троянцев, которые начиная с середины 2012 года атаковали японских пользователей. Все эти вредоносные программы, среди которых были Android.EmailSpy.origin, Android.MailSteal.1.origin и Android.Maxbet.1.origin, распространялись при помощи спам-писем, содержавших ссылку, которая вела на загрузку якобы полезного приложения. Программы-шпионы предназначались для кражи персональной информации, такой как адреса электронной почты. Были обнаружены и новые представители банковских троянцев, в частности, Android.SpyEye.2.origin, Android.Panda.2.origin и Android.FakeSber.1.origin. Последний особенно интересен тем, что предназначался для атаки на клиентов одного из крупнейших российских банков, в то время как другие вредоносные программы данного типа раньше представляли угрозу лишь для зарубежных пользователей. Это свидетельствует о том, что география применения таких вредоносных программ постепенно расширяется. Несмотря на то, что банковские троянцы для ОС Android все еще встречаются нечасто, они представляют серьезную опасность из-за точечного и хорошо спланированного характера атак. Появление первой подобной вредоносной программы в России может стать отправной точкой к увеличению инцидентов с их участием.
    В прошедшем году продолжил расширяться рынок коммерческого шпионского ПО: на протяжении всего года в вирусные базы Dr.Web вносились не только новые модификации известных приложений для кибершпионажа и мониторинга, но также целый ряд новых семейств.
    В 2013 году стоит ожидать увеличения количества подобных потенциально опасных программ, а также различных троянцев-шпионов. Весьма вероятной представляется угроза со стороны APT-кампаний (атак с перебором различных видов угроз и уязвимостей до получения результата), в которых будут использоваться Android-троянцы. В целом же можно говорить о том, что все большее число Android-угроз, так или иначе участвующих в краже конфиденциальной информации, применяется в узконаправленных атаках. Эта тенденция в ближайшем будущем сохранится.
    Одной из наиболее опасных вредоносных программ для мобильных Android-устройств в 2012 году стал троянец Android.SmsSend.186.origin. От большинства других представителей этого семейства он отличался весьма продвинутыми методами сокрытия вредоносного функционала. Во-первых, при его распространении был использован дроппер, не требующий для работы никаких специальных разрешений. Во-вторых, после установки Android.SmsSend.186.origin заставлял пользователя предоставить ему права администратора мобильного устройства, а после их получения на некоторых версиях ОС Android его было очень сложно удалить. Вполне вероятно, что в 2013 году появятся новые вредоносные программы, в той или иной степени противостоящие попыткам своего удаления, а также использующие различные техники для сокрытия своего присутствия в системе от пользователей.
    Вредоносные программы, использующие уязвимости ОС Android для повышения системных привилегий, в прошедшем году не проявляли сколь-нибудь заметной активности. Причиной этого мог стать постепенный переход пользователей на более новые версии Android, в которых соответствующие уязвимости были исправлены, а также усиление безопасности платформы в целом. Однако нельзя исключать, что в 2013 году могут появиться новые вредоносные приложения, которые будут использовать неизвестные ранее уязвимости.
    Последняя версия ОС Android 4.2, вышедшая относительно недавно, содержит ряд улучшений, направленных на борьбу с вредоносным ПО. В частности, добавлена функция проверки приложений, основанная на рейтинге их безопасности, а также введена ограничивающая мера для приложений, имеющих возможность отправлять СМС-сообщения на премиум-номера — теперь пользователи имеют возможность выбора: разрешить или запретить отправку таких СМС. Однако эффективность этих нововведений можно будет полноценно оценить лишь тогда, когда обновленная версия операционной системы станет использоваться на существенном количестве мобильных устройств. Учитывая огромный рынок совместимого с ОС Android оборудования, можно предположить, что злоумышленники найдут способы обхода новых защитных функций.
    Прогнозы и перспективы

    Исходя из анализа угроз, поступивших в вирусную лабораторию компании «Доктор Веб» в течение 2012 года, можно спрогнозировать основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.

    • Будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры.
    • Значительно увеличится и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз.
    • Продолжится рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).
    • Возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в ОС Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.
    • Будет расти число и усложняться функционал банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры.
    • В целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет ассортимент троянцев-шпионов.
    • Возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы. Увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.
     
    #29
  11. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 16 янв 2014
    2013

    В глобальном рейтинге угроз рост динамики продемонстрировали вредоносные программы Win32/Sality, Win32/Ramnit и Win32/Virut. Все три угрозы являются файловыми вирусами и предназначены для извлечения выгоды через нарушение целостности исполняемых файлов скомпрометированного пользователя. Файловые вирусы представляют большую опасность из-за метода распространения – заражения исполняемых файлов на локальных и сетевых дисках. Активность одного зараженного файла может привести к компрометации сети целого предприятия.
    Рост активности также продемонстрировали вредоносные элементы веб-страниц HTML/ScrInject и вредоносная программа JS/Fbook. Оба этих вида вредоносного ПО активизируются удаленно через веб-страницы.
    В декабре специалисты ESET обнаружили новую модификацию печально известного шифровальщика Cryptolocker под названием Cryptolocker 2.0, которая детектируется антивирусными продуктами ESET NOD32 как MSIL/Filecoder.D и MSIL/Filecoder.E. Эта программа шифрует личные данные пользователя, требуя выкуп за разблокировку доступа.
    При шифровании Cryptolocker использует распределенную архитектуру, т.е. ключ для расшифровки файлов хранится не в теле зашифрованного файла или на зараженном компьютере, а на удаленном сервере злоумышленников. В модификации Cryptolocker 2.0 были добавлены возможности по шифрованию новых типов файлов: распространенного музыкального формата mp3, изображений с расширениями jpg и png, а также видеофайлов mp4, avi и mpg.
    В российском рейтинге угроз отмечен рекордно низкий за последний год уровень активности вредоносной программы Win32/Qhost, которая упала с 15,91% в начале года до 7,75% в декабре, но по-прежнему сохранила лидерство. Qhost используется для перенаправления пользователя на фишинговые ресурсы через системный файл hosts.
    Рост продемонстрировала троянская программа Win32/Spy.Ursnif, которая используется для похищения различных данных аккаунтов и вредоносные элементы веб-страниц JS/IFrame.
    В декабре компания Microsoft в очередной раз закрыла ряд уязвимостей в своих продуктах. 11 декабря были выпущены одиннадцать обновлений для ОС семейства Windows, а также для решений MS Office, Exchange и др.
    Одно из обновлений для Windows и Office, MS13-096, закрывает эксплуатируемую злоумышленниками уязвимость CVE-2013-3906 (обнаруживается ESET как Win32/Exploit.CVE-2013-3906.A). Уязвимость присутствует в Microsoft Word версий 2003-2007-2010 и в Windows Vista. Злоумышленники могут исполнять вредоносный код через специальный doc-файл.
    Также были обновлены все поддерживаемые версии браузера Internet Explorer (6-11) для всех ОС, начиная с Windows XP. Большинство исправляемых уязвимостей относятся к типу Remote Code Execution и могут использоваться для удаленного исполнения кода через специальным образом сформированную веб-страницу. Всего для IE было исправлено семь уязвимостей.
    Кроме того, для усиления защиты продуктов MS Office компания выпустила обновление MS13-106 для библиотеки hxds.dll, которая используется в Office 2007 и 2010. Эта библиотека использовалась злоумышленниками для обхода защитных механизмов браузеров.
    В декабре 2013 года доля России в мировом объеме вредоносного ПО составила 8%.
     
    #30
  12. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 19 янв 2014
    [h=3]Вирусная обстановка 2013[/h] Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, среди угроз, обнаруженных в декабре 2013 года на компьютерах пользователей, абсолютными лидерами, как и прежде, являются рекламные троянцы Trojan.InstallMonster.38 и Trojan.LoadMoney.1. Кроме того, среди наиболее часто выявляемых лечащей утилитой угроз в декабрьской статистике присутствуют рекламный троянец Trojan.Packed.24524 и Trojan.Siggen5.64541 — детект троянских динамических библиотек, предназначенных для перехвата различных функций браузеров. Двадцатка вредоносных программ, лидирующих среди выявленных лечащей утилитой Dr.Web CureIt! угроз в декабре 2013 года, приведена ниже.
    [TABLE="class: info"]

    НазваниеКол-во%
    Trojan.InstallMonster.38
    26886
    2.85

    Trojan.LoadMoney.1
    24227
    2.57

    Trojan.Packed.24524
    23867
    2.53

    Trojan.Siggen5.64541
    12130
    1.29

    BackDoor.IRC.NgrBot.42
    12004
    1.27

    Trojan.Hosts.6815
    11092
    1.18

    Trojan.LoadMoney.76
    9670
    1.03

    Trojan.InstallMonster.28
    9652
    1.02

    Trojan.LoadMoney.225
    9601
    1.02

    Trojan.Fraudster.502
    9178
    0.97

    BackDoor.Maxplus.24
    8910
    0.95

    Trojan.Fraudster.524
    8249
    0.88

    Trojan.DownLoader10.56820
    8089
    0.86

    Trojan.BtcMine.221
    7965
    0.84

    Trojan.StartPage.56734
    7322
    0.78

    Trojan.Siggen5.63980
    6587
    0.70

    Trojan.BPlug.1
    6385
    0.68

    Trojan.BPlug.4
    6111
    0.65

    Win32.HLLP.Neshta
    5705
    0.61

    BackDoor.Andromeda.178
    4712
    0.46
    [/TABLE]
    [h=3]Ботнеты[/h] В декабре 2013 года выросла бот-сеть, созданная злоумышленниками с использованием файлового вируса Win32.Rmnet.12. В первой из отслеживаемых специалистами «Доктор Веб» подсетей Win32.Rmnet.12 ежесуточно регистрировалось порядка 20 000 вновь инфицированных компьютеров, что на 5 000 больше ноябрьских показателей. Данный процесс можно проследить с помощью представленной ниже диаграммы.
    Во второй подсети Win32.Rmnet.12 динамика регистрации новых ботов осталась прежней: как и в предыдущем месяце, ежесуточно к ботнету подключалось порядка 12 000 вновь инфицированных компьютеров:
    Значительно сократилось число компьютеров, на которых антивирусное ПО Dr.Web фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — с 3 345 в конце ноября до 2 607 в 20-х числах декабря. Также в декабре практически прекратил свое существование ботнет BackDoor.Bulknet.739: если в конце прошлого месяца он насчитывал 1 270 инфицированных компьютеров, то к 23 декабря их количество снизилось до 121. А вот численность ботнета BackDoor.Dande, предназначенного для кражи конфиденциальной информации у представителей российских фармацевтических компаний, за месяц почти не изменилась: на 23 декабря эта бот-сеть насчитывала 1 098 инфицированных компьютеров. Любопытен также тот факт, что ботнет, созданный злоумышленниками с использованием Apple-совместимых компьютеров, инфицированных троянцем BackDoor.Flashback.39, сокращается крайне незначительными темпами — в декабре его численность составила 28 829 зараженных машин, снизившись за минувший месяц на 4 110 «маков».
    [h=3]Угроза месяца[/h] В декабре специалисты компании «Доктор Веб» провели исследование вредоносной программы Trojan.Zadved.1, первые образцы которой были добавлены в вирусные базы еще в начале ноября. Наиболее актуальная версия инсталлятора Trojan.Zadved.1 недавно появилась в раздаче вредоносной партнерской программы Installmonster.ru. Троянец представляет собой надстройку к браузерам, якобы предназначенную для обеспечения безопасности при просмотре веб-сайтов, однако выполняет она прямо противоположные функции.
    По завершении установки плагин появляется в списке зарегистрированных расширений браузера и загружает с удаленных серверов несколько файлов сценариев, с помощью которых троянец и реализует свои вредоносные функции. Один из них подменяет в окне браузера выдачу поисковых систем, демонстрируя пользователю посторонние ссылки.
    [​IMG]
    Другой сценарий выводит на экран поддельные всплывающие окна сообщений социальной сети «ВКонтакте». Причем, видимо, в целях повышения достоверности злоумышленники демонстрируют подобные сообщения только в том случае, если жертва просматривает веб-страницы на сайте vk.com. Кроме того, троянец заменяет тизерные рекламные модули «ВКонтакте» своими собственными. Еще один сценарий предназначен для реализации так называемой «кликандер»-рекламы: при щелчке мышью в произвольной точке веб-страницы скрипт открывает новое окно браузера, в котором загружается рекламируемый злоумышленниками сайт. Более подробную информацию об этой угрозе можно найти в опубликованной на нашем сайте статье.
    [h=3]Месяц майнеров[/h] Декабрь выдался на редкость урожайным с точки зрения распространения новых вредоносных программ, предназначенных для добычи (майнинга) криптовалюты Bitcoin и одного из ее аналогов — Litecoin. Так, в начале месяца специалисты «Доктор Веб» добавили в вирусные базы сигнатуру троянца Trojan.BtcMine.221, распространявшегося с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах. Создатели приложения утверждают, что данный плагин, названный ими Shopping Suggestion, автоматически распознает просматриваемые пользователем на различных торговых площадках товары и отыскивает в сети аналогичные предложения по более выгодным ценам. Также этот троянец нередко маскируется под иные приложения, такие как VLC-плеер или программу для анонимного серфинга в Интернете. На самом же деле Trojan.BtcMine.221 предназначен для добычи (майнинга) криптовалюты Litecoin, для чего он использует аппаратные ресурсы компьютера без ведома пользователя. На момент обнаружения троянца было зафиксировано 311 477 установок бота, география его распространения показана на представленной ниже иллюстрации. Более подробную информацию об этой угрозе можно получить в опубликованной нами обзорной статье.
    [​IMG]
    Также в декабре в антивирусную лабораторию компании «Доктор Веб» поступил образец еще одного троянца-майнера, который был добавлен в базы под именем Trojan.BtcMine.218. Это приложение распространялось с использованием вредоносной партнерской программы Installmonster.ru и любопытно тем, что вирусописатели оставили в отладочной информации троянца свои «автографы»: так, инсталлятор Trojan.BtcMine.218, написанный на языке AutoIt, содержит следующие строки:
    FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe") FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe") А в коде самой троянской программы присутствует такая строка:
    c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb С более подробной информацией о распространении данной угрозы можно можно ознакомиться в опубликованной нами статье.
    Наконец, в конце декабря компания «Доктор Веб» опубликовала новостной материал, рассказывающий о распространении новой модификации троянца семейства Trojan.Mods, получившей наименование Trojan.Mods.10. Основным отличием этой вредоносной программы от предшественниц является присутствие в ее составе программы, предназначенной для добычи (майнинга) электронной криптовалюты Bitcoin. Основные же функциональные возможности Trojan.Mods.10 заключаются в подмене просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса.
    Следует отметить, что увеличение количества угроз, направленных на добычу (майнинг) электронной валюты, отнюдь не случайно, поскольку такие троянцы приносят вирусописателям заметную прибыль: по информации, собранной специалистами компании «Доктор Веб», средний ежесуточный доход злоумышленников от эксплуатации троянской программы Trojan.BtcMine.221 составляет 1 454,53 долл. США.
    [h=3]Угрозы для Android[/h] Для пользователей Android-устройств последний месяц 2013 года не стал спокойным периодом и преподнес сразу несколько предновогодних сюрпризов, таких как появление множества новых троянцев-шпионов и других опасных программ.
    В частности, антивирусная база Dr.Web в декабре пополнилась более чем десятью записями для вредоносных приложений, принадлежащих к семействам Android.SmsSpy и Android.Spy, большая часть из которых распространялась на территории Южной Кореи с применением нежелательных СМС-сообщений, содержащих ссылку на загрузку троянцев. По сравнению с предыдущим месяцем, число таких рассылок выросло на 88,9% и составило 204 зарегистрированных случая. Наиболее часто южнокорейские пользователи сталкивались с угрозой со стороны троянцев Android.Spy.45.origin (51% случаев), Android.SmsSpy.51.origin (19% случаев) а также Android.SmsSpy.53.origin (9% случаев) и Android.Spy.67 (9% случаев). Общее процентное соотношение обнаруженных вредоносных программ представлено на следующей диаграмме.
    Не менее заметным событием декабря стало обнаружение в каталоге Google Play троянского приложения под названием WhatsAppCopy, выполняющего кражу истории переписки из официального клиента популярного сервиса обмена сообщениями WhatsApp для ОС Android. Данная программа, внесенная в вирусную базу Dr.Web как Android.WhatsappSpy.1.origin, представляла собой простое игровое приложение, которое незаметно для пользователей Android-устройств загружало на сервер разработчика троянца базу данных, содержащих сохраненные сообщения мессенджера. Кроме того, вредоносная программа передавала на сервер изображения, а также номер телефона, связанные с учетной записью клиента сервиса.
    [​IMG] [​IMG]
    В дальнейшем любой желающий мог получить доступ к переписке интересующего его пользователя, введя на веб-сайте автора троянца соответствующий мобильный номер. Несмотря на то, что данное приложение позиционировалось как безобидное средство создания резервной копии переписки из программы WhatsApp, потенциальный риск его недобросовестного использования вынудил корпорацию Google удалить данную программу из каталога Google Play. Тем не менее, программа остается доступной для загрузки на официальном сайте разработчика, поэтому многие пользователи рискуют стать жертвами шпионажа со стороны злоумышленников.
    Еще одним открытием, получившим весьма широкую огласку в различных сетевых СМИ, стало появление в каталоге Google Play приложения под названием Bazuc, позволявшего пользователям получать вознаграждение за отправку рекламных и информационных СМС-сообщений со своего мобильного номера. Разработчики сообщали, что наиболее предпочтительными для этой являются безлимитные тарифные планы, однако никакого контроля тарифа в приложении не предусмотрено, поэтому беспечные пользователи со стандартными параметрами тарификации СМС рисковали столкнуться с огромными счетами или же отключением от сети оператора, т.к. Bazuc был способен выполнить отправку тысяч сообщений в сутки. Кроме того, рассылаемые СМС приходили целевой аудитории непосредственно с номера, принадлежащего предприимчивому абоненту, что также могло привести к негативным последствиям: недовольные рекламой получатели сообщений имели возможность, например, позвонить по этому номеру и, в лучшем случае, гневно высказать свое отношение к новоявленному спамеру.
    [​IMG]
    [​IMG]
    Данная программа была удалена из каталога Google Play, однако она все еще доступна для загрузки на официальном сайте разработчика. Учитывая потенциальные риски данного приложения, специалисты компании «Доктор Веб» приняли решение внести его в вирусную базу как Program.Bazuc.1.origin, поэтому она не представляет большой опасности для пользователей антивирусных продуктов Dr.Web для Android.
     
    #31
  13. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 20 янв 2014
    Итоги 2013 года: киберугрозы для Windows

     
    #32
  14. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 27 янв 2014
    Обзор Android-угроз за 2013 год от компании «Доктор Веб»

    27 января 2014 года
    Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор основных Android-угроз, обнаруженных в 2013 году. Минувший год не принес каких-либо фундаментальных изменений в сфере безопасности мобильной ОС от корпорации Google.Как и ожидалось, за прошедшие 12 месяцев значительно возросло число новых вредоносных, нежелательных и потенциально опасных программ для Android-устройств, при этом наиболее распространенной угрозой для пользователей традиционно стали троянцы, приносящие незаконный заработок своим создателям. Одновременно с этим существенно увеличилось количество вредоносных приложений, предназначенных для кражи конфиденциальной информации владельцев мобильных устройств.
    Android-угрозы в 2013 году: общая статистика

    Прошлогодние события в области информационной безопасности снова подтвердили, что операционная система Android окончательно укрепила за собой статус главной площадки по осуществлению незаконной деятельности киберпреступников на мобильном рынке. Свидетельством этого, в частности, является динамика пополнения вирусной базы компании «Доктор Веб»: число новых записей для вредоносных и нежелательных Android-приложений в 2013 году выросло на 1 547 единиц и достигло отметки в 2 814 вирусных описаний. Это на 122% больше, чем число записей на конец аналогичного периода 2012 года. Если же сравнивать текущие значения с показателями 2010 года – периода появления первых вредоносных приложений для ОС Android, – то они составили +9280%, продемонстрировав рост практически в 94 раза.
    Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web в период с 2010 по 2013 год
    [​IMG]


    Для сравнения: общее количество вирусных описаний угроз для других популярных мобильных платформ, таких как BlackBerry, Symbian OS, Java, iOS и Windows Mobile в конце 2013 года равнялось 1600 записям, что в 1,76 раза меньше этого же показателя для Android-угроз.
    Количество вирусных описаний для мобильных угроз по состоянию на 2013 год
    [​IMG]


    Существенно увеличилось число новых семейств вредоносных и потенциально опасных программ для ОС Android: рост составил 185% от значений 2012 года, и общее их количество достигло 331.
    Общее число семейств, принадлежащих к Android-угрозам
    [​IMG]


    Если проанализировать текущий состав вирусной базы Dr.Web, то рейтинг наиболее многочисленных Android-угроз будет выглядеть следующим образом:
    Наиболее многочисленные Android-угрозы согласно объему записей вирусной базы компании «Доктор Веб»
    [​IMG]


    СМС-троянцы – все еще главная угроза

    Согласно приведенной выше статистике, в 2013 году, как и прежде, безоговорочными «лидерами» среди всех вредоносных Android-приложений стали троянцы семейства Android.SmsSend. Эти программы, появившиеся еще в 2010 году, предназначены для скрытой отправки дорогостоящих СМС-сообщений, а также подписки пользователей на платные контент-услуги, за пользование которыми с абонентского счета взимается определенная плата. За прошедший год число версий вредоносных приложений семейства Android.SmsSend выросло более чем в 2 раза, достигнув отметки в 1 377 модификаций. Общую динамику роста количества СМС-троянцев можно проследить на графике, отображающем объем соответствующих им записей в вирусной базе Dr.Web на период с 2010 по 2013 год:
    Динамика роста числа записей для вредоносных программ семейства Android.SmsSend
    [​IMG]


    Данные троянцы могут распространяться как в виде самостоятельных программных пакетов, выдаваемых, например, за обновления или инсталляторы известных приложений, так и внутри легитимных программ, модифицированных злоумышленниками. Стоит отметить, что второй метод долгое время был и все еще остается наиболее популярным на территории Китая, о чем свидетельствует появление в 2013 году целого ряда очередных модификаций подобных СМС-троянцев, угрожавших китайским пользователям. Вместе с тем за последние 12 месяцев были обнаружены аналогичные вредоносные приложения, действовавшие, в частности, уже против вьетнамских владельцев Android-устройств. Это говорит о том, что такой способ распространения троянцев семействаAndroid.SmsSend не только не утратил своей актуальности, но и стал еще более востребованным среди киберпреступников. Примечательно, что в большинстве подобных случаев изменению подвергаются популярные игровые приложения, и реже – прикладное ПО.
    После запуска таких модифицированных программных пакетов пользователь получает ожидаемый функционал, в то время как нежелательные для него действия, такие как отправка СМС-сообщений, остаются незамеченными. Весьма вероятно, что в будущем данная методика не утратит своей актуальности, и география ее применения при распространении СМС-троянцев расширится.
    [TABLE="width: 100%"]

    [TD="colspan: 2"][/TD]

    [TD="width: 50%"][​IMG][/TD]
    [TD="width: 50%"][​IMG][/TD]
    [/TABLE]



    Заметным событием, связанным с троянцами Android.SmsSend в прошлом году, стало обнаружение в сентябре самого крупного за последнее время мобильного ботнета, состоящего из Android-устройств, инфицированных этими вредоносными программами. По оценкам специалистов компании «Доктор Веб» в состав бот-сети входило более 200 000 смартфонов и планшетных компьютеров, а потенциальный ущерб, нанесенный пользователям, мог превысить несколько сотен тысяч долларов. Для заражения мобильных устройств злоумышленники использовали сразу несколько СМС-троянцев, которые маскировались под инсталляторы легитимного программного обеспечения, такого как веб-браузеры и клиенты для работы с социальными сетями. Географическое распределение устройств, входящих в этот ботнет, наглядно продемонстрировано на следующем изображении.
    [​IMG]


    Android.SmsBot – закономерная эволюция СМС-троянцев

    В 2013 году пользователи Android-устройств столкнулись с ростом числа случаев распространения относительно новой угрозы, а именно троянцев семейства Android.SmsBot. Данные вредоносные приложения представляют собой логичное продолжение концепции широко распространенного семейства Android.SmsSend: основным их предназначением является все та же несанкционированная отправка премиум-сообщений с целью получения злоумышленниками незаконного заработка. Однако, в отличие от подавляющего большинства предшественников, у которых все параметры работы заранее указываются в конфигурационных файлах или в самом их коде, эти троянцы получают указания к действию непосредственно от киберпреступников, что в значительной мере расширяет их возможности. В частности, при необходимости ими может быть задан новый текст СМС-сообщения и целевой номер, на который будет осуществлена его отправка. Многие версии троянцев Android.SmsBot способны по команде выполнять и другие действия, например, загрузку прочих вредоносных программ, удаление определенных СМС, сбор и отправку информации о мобильном устройстве на удаленный сервер, совершение звонков. Кроме того, отдельные модификации этих вредоносных приложений могут запрашивать состояние баланса мобильного счета при помощи USSD- или СМС-запросов и, в зависимости от результата, получать от управляющего сервера указание выполнить отправку сообщения на номер с определённой стоимостью.
    Показательно, что на конец 2012 года вирусная база Dr.Web содержала лишь одну запись, относящуюся к вредоносным программам семейства Android.SmsBot, в то время как в 2013 году их число достигло уже 24. Динамика увеличения числа случаев распространения этих троянцев говорит о росте заинтересованности злоумышленников в решении комплексных задач и осуществлении незаконной деятельности в более гибкой и организованной форме, поэтому вполне ожидаемо, что число новых модификаций вредоносных программ такого типа будет только расти.
    Число вирусных записей для троянцев семейства Android.SmsBot
    [​IMG]


    Возрастание угрозы раскрытия конфиденциальной информации: банковские троянцы, кража персональных сведений и программы-шпионы

    Остро вставшая в 2012 году проблема сохранности персональной информации пользователей мобильных Android-устройств получила дальнейшее развитие и в минувшем году: на протяжении последних двенадцати месяцев наблюдался значительный рост числа вредоносных программ, направленных на кражу тех или иных конфиденциальных сведений у владельцев смартфонов и планшетов под управлением ОС Android. Среди подобных угроз в первую очередь следует выделить большое количество новых банковских троянцев, к которым относятся вредоносные программы семейств Android.Tempur и Android.Banker, представители семействAndroid.SmsSpy, Android.SmsForward, Android.Pincer и Android.Spy, а также ряд других. Большинство этих троянских приложений либо имитирует интерфейс настоящих мобильных банковских клиентов и обманным способом заставляет пользователей предоставить свои персональные данные, либо устанавливается под видом важных программных обновлений или сертификатов и в дальнейшем позволяет злоумышленникам перехватывать все входящие СМС-сообщения, в которых может содержаться различная секретная информация – например, одноразовые mTAN-коды систем «банк-клиент», пароли, личная переписка и другие ценные сведения.

    Если в 2012 году число подобных вредоносных приложений не превышало нескольких единиц, а масштабы их распространения ограничивались лишь небольшим списком стран, то в 2013 году ситуация кардинально изменилась: случаи атак с применением банковских троянцев были зафиксированы в России, Таиланде, Великобритании, Турции, Германии, Чехии, Португалии, Австралии, Южной Корее и других странах. При этом отдельного внимания заслуживает ситуация, которая связана с угрозой банковских вредоносных программ, действующих против южнокорейских пользователей: в этом регионе распространение данных троянцев в 2013 году фактически было поставлено на поток. За последние три месяца прошедшего года специалисты компании «Доктор Веб» зафиксировали 338 случаев распространения различных вариантов таких вредоносных приложений. Для этих целей злоумышленниками применяется рассылка нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла, а также имеющих сопроводительный текст, чаще всего говорящий о необходимости проверки статуса некоего почтового отправления или ознакомления с иной важной информацией. Динамика обнаружения таких случаев проиллюстрирована на диаграмме ниже.
    Выявленные случаи распространения банковских троянцев для ОС Android среди пользователей Южной Кореи
    [​IMG]


    Чаще всего южнокорейские пользователи сталкивались с риском загрузки таких троянцев-шпионов какAndroid.Spy.45.origin, Android.SmsSpy.51.origin, Android.Banker.1.origin, Android.SmsSpy.53.origin,Android.Spy.67, а также Android.Spy.43.origin. Общее же процентное распределение Android-угроз в выявленных случаях распространения показано на следующей иллюстрации.
    Android-угрозы, распространявшиеся среди южнокорейских пользователей за последние 3 месяца 2013 года
    [​IMG]


    Объем прочих троянских программ, крадущих различную информацию пользователей, также существенно вырос: в 2013 году в вирусную базу Dr.Web было внесено множество подобных вредоносных приложений. Среди них –Android.Phil.1.origin, Android.MailSteal.2.origin, Android.ContactSteal.1.origin, несколько модификаций троянцев семейств Android.EmailSpy и Android.Infostealer, которые передавали киберпреступникам сведения из телефонной книги, Android.Callspy.1.origin, позволявший злоумышленникам получать информацию о совершаемых пользователями звонках, а также другие аналогичные вредоносные программы, выполняющие уже комплексные шпионские функции: перехват СМС-сообщений, отслеживание местоположения, получение информации об устройстве, установленных приложениях, хранящихся на SD-карте файлах и т. п. К таким троянцам относятся, например, Android.Roids.1.origin, Android.AccSteal.1.origin, а также вредоносные приложения семейства Android.Wondertek.

    Попали в поле зрение специалистов и потенциально опасные коммерческие шпионские программы, позволяющие осуществлять негласный контроль активности пользователей Android-устройств. В минувшем году были обнаружены новые версии такого популярного ПО для мониторинга как Android.MobileSpy, Android.SpyBubble иAndroid.Recon, а также новые представители этого класса приложений: Program.Childtrack.1.origin,Program.Copyten.1.origin, Program.Spector.1.origin, Program.OwnSpy.1.origin, Android.Phoggi.1.origin и ряд других.
    Угрозы в каталоге приложений Google Play

    Несмотря на то, что официальный каталог приложений ОС Android – Google Play – считается одним из самых безопасных источников программного обеспечения для мобильных Android-устройств, он по-прежнему не может гарантировать стопроцентного отсутствия в нем вредоносных или потенциально опасных приложений. Подтверждением этому являются зафиксированные в 2013 году случаи появления в нем ряда угроз.
    Например, в апреле был обнаружен целый ряд программ, содержащих вредоносный рекламный модульAndroid.Androways.1.origin, который демонстрировал пользователям рекламу, приводящую к загрузке троянских программ. Данный модуль был создан злоумышленниками под видом вполне обычной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих программных продуктах, интегрируя в них данный модуль. Как и многие легальные рекламные платформы, Android.Androways.1.origin был способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могли отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого «обновления» пользователи подвергались риску стать жертвой мошенников, установив одного из троянцев семейства Android.SmsSend.
    [​IMG]


    Кроме того, троянский рекламный модуль Android.Androways.1.origin мог выполнять команды, поступающие с удаленного сервера, а также загружать на него конфиденциальную информацию, такую как номер сотового телефона, код оператора и IMEI мобильного устройства. Общее число пострадавших от него пользователей могло превысить 5,3 миллиона человек, что стало одним из крупнейших случаев заражения Android-устройств вредоносными приложениями, которые распространялись с использованием каталога Google Play за все время его существования.
    [​IMG][​IMG]


    Летом 2013 года специалистами компании «Доктор Веб» было выявлено несколько приложений от вьетнамского разработчика, которые позиционировались им как мультимедийные проигрыватели, однако на самом деле являлись троянцами-носителями, содержащими вредоносные программы семейства Android.SmsSend. Минимальное число загрузок этих «дропперов», внесенных в вирусную базу как Android.MulDrop, Android.MulDrop.1 иAndroid.MulDrop.2, на момент обнаружения составляло более 11 тысяч.
    [​IMG]


    При запуске вредоносные приложения предлагали пользователям получить доступ к запрошенному контенту, после чего извлекали скрытых троянцев и начинали процесс их установки. В дальнейшем проинсталлированные СМС-троянцы, получившие по классификации компании «Доктор Веб» имена Android.SmsSend.513.origin иAndroid.SmsSend.517, выполняли отправку коротких сообщений с премиум-тарификацией, что влекло за собой незапланированные финансовые траты.
    [​IMG][​IMG]


    А в декабре было выявлено 48 программ, представлявших собой сборники изображений, суммарное число загрузок которых превысило 12 тысяч. После запуска эти приложения работали должным образом, однако помимо задекларированных возможностей они скрытно передавали на удаленный сервер информацию о номерах мобильных телефонов жертв. Интересной особенностью указанных троянцев, внесенных в вирусную базу Dr.Web как Android.Spy.51.origin, являлась их заинтересованность только в номерах, принадлежащих южнокорейским абонентам. Это, в совокупности с названиями приложений, а также их описаниями на корейском языке, позволило предположить, что главной аудиторией, для которой предназначались данные программы, были жители Южной Кореи. Полученные номера телефонов в дальнейшем могли быть использованы в маркетинговых целях, для перепродажи третьим лицам, включая рекламные компании и даже киберпреступников, способных организовать фишинг-атаки.
    [​IMG]


    Помимо этого, в декабре было обнаружено еще две угрозы, размещенные в каталоге Google Play. Ими стали троянец Android.WhatsappSpy.1.origin, а также потенциально опасная программа Program.Bazuc.1.origin.
    Первая угроза представляла собой простое игровое приложение, которое незаметно для пользователей Android-устройств загружало на сервер разработчика троянца базу данных, содержащих сохраненные сообщения мессенджера WhatsApp для ОС Android. Кроме того, вредоносная программа передавала на сервер изображения, а также номер телефона, связанные с учетной записью клиента сервиса. В дальнейшем любой желающий мог получить доступ к переписке интересующего его пользователя, введя на веб-сайте автораAndroid.WhatsappSpy.1.origin соответствующий мобильный номер. Несмотря на то, что данное приложение позиционировалось как безобидное средство создания резервной копии переписки из программы WhatsApp, потенциальный риск его недобросовестного использования вынудил корпорацию Google удалить эту программу из каталога Google Play. Тем не менее она доступна для загрузки с официального сайта ее разработчика, поэтому многие пользователи все еще рискуют стать жертвами шпионажа со стороны злоумышленников.
    [TABLE="width: 100%"]

    [TD="width: 50%"][/TD]
    [TD="width: 50%"][/TD]
    [/TABLE]



    Второе опасное приложение под названием Bazuc позволяло пользователям зарабатывать на предоставлении ему доступа к отправке рекламных и информационных СМС-сообщений со своего мобильного номера. По замыслу разработчика Program.Bazuc.1.origin, использование программы должно было осуществляться владельцами Android-устройств, имеющими тарифный план с безлимитным объемом СМС-сообщений, однако в случае отсутствия такового беспечные пользователи рисковали получить огромные счета за тысячи отправленных СМС, столкнуться с блокировкой абонентского счета или же с претензиями со стороны получателей сообщений, т. к. те имели возможность увидеть телефонный номер отправителя.
    [​IMG][​IMG]


    Эти и другие случаи в очередной раз показывают, что, несмотря на усилия корпорации Google по обеспечению безопасности официального каталога Android-приложений, он все еще может содержать самые разнообразные угрозы, поэтому пользователи Android-устройств должны проявлять осторожность при установке малоизвестных или вызывающих подозрение программ.
    Уязвимости операционной системы

    Улучшения, вносимые в операционную систему Android от версии к версии, увеличивают ее надежность и безопасность, однако время от времени в ней все же обнаруживаются те или иные уязвимости, позволяющие киберпреступникам проводить различные атаки, в том числе с применением вредоносных программ. И если в 2012 году не было зафиксировано появление критических уязвимостей или сколь-нибудь серьезных инцидентов с участием использующих их троянских приложений, то за последние 12 месяцев было выявлено сразу несколько программных ошибок, которые могли позволить злоумышленникам обойти встроенные механизмы защиты платформы Android и увеличить эффективность распространения Android-троянцев. В частности, наиболее заметные уязвимости, получившие название Master Key (#8219321), Extra Field (#9695860) и Name Length Field (#9950697), позволяли выполнить модификацию программных пакетов таким образом, что при внесении в них вредоносного функционала целостность их криптографической подписи не нарушалась, и во время установки они рассматривались ОС Android как немодифицированные.
    Примечательно, что найденные ошибки основывались на некорректных методах интерпретации и обработки операционной системой определенных особенностей формата zip-файлов – архивных пакетов, составляющих основу для Android-приложений и содержащих все их компоненты. В случае с Master Key это выражалось в возможности разместить внутри apk-файла (zip-архива, имеющего расширение «.apk») двух файловых объектов, имеющих одинаковое имя и располагающихся в одном подкаталоге. В результате во время установки измененного таким образом приложения система безопасности Android игнорировала исходный файл и принимала внедренный дубликат за оригинал. Ярким примером использования данной уязвимости на практике служит троянецAndroid.Nimefas.1.origin, обнаруженный специалистами компании «Доктор Веб» в июле. Эта вредоносная программа представляла собой комплексную угрозу, направленную, в первую очередь, против китайских пользователей и способную выполнять поступающие от злоумышленников команды (например, осуществлять рассылку СМС или перехватывать входящие короткие сообщения, получать информацию о мобильном устройстве, контактах из телефонной книги пользователя и т. п.).
    [​IMG]


    Вторая уязвимость – Extra Field – теоретически также позволяла внедрять в Android-приложения троянский функционал, для чего требовалась некоторая модификация структуры zip-архива: при добавлении в его служебное поле значения одного из оригинальных компонентов программы (в частности файла classes.dex) без трех первых байт с одновременным размещением на его месте модифицированной версии этого файла, последняя воспринималась операционной системой как легитимная и допускалась к установке. Несмотря на то, что потенциальное использование этой уязвимости ограничено размером dex-файла, который должен составлять не более 65533 байт, заинтересованные в атаке киберпреступники вполне могут без труда ей воспользоваться, взяв за основу безобидную программу или игру, имеющую соответствующего размера компонент.
    Что же касается уязвимости Name Length Field, то для ее использования, как и в двух предыдущих случаях, аналогичным образом требуется внесение определенных изменений в структуру программного пакета, а также наличие внутри него двух файлов – исходного и модифицированного – имеющих одинаковое имя. Во время установки такого приложения оригинальный файл корректно считывается одним из компонентов ОС Android, однако в дальнейшем другой ее компонент обрабатывает только измененный файл, который ошибочно считается единственно верным.
    Все apk-файлы, в которых используются эти и похожие программные ошибки, детектируются антивирусными средствами Dr.Web для Android как Exploit.APKDuplicateName.
    Еще одной обнаруженной в 2013 году потенциально опасной особенностью ОС Android стала возможность установки apk-пакетов, имеющих в своей структуре искусственно внесенный указатель на присутствие пароля для zip-архива. Наличие этого указателя не препятствовало установке приложения на некоторых версиях операционной системы, однако затрудняло сканирование антивирусными средствами, которые корректно обрабатывали такой программный пакет как защищенный паролем, что делало невозможным обнаружение известных вредоносных приложений. В частности, эта методика была использована создателями троянцаAndroid.Spy.40.origin, найденного специалистами компании «Доктор Веб» в октябре. Данная вредоносная программа предназначалась, главным образом, для перехвата входящих СМС-сообщений, однако могла также выполнять и некоторые другие функции. После внесения изменений в алгоритм работы антивирусных средств Dr.Web для Android подобные угрозы успешно детектируются.
    [​IMG]


    [TABLE="width: 100%"]

    [TD="width: 50%"][​IMG][/TD]
    [TD="width: 50%"][/TD]
    [/TABLE]



    Сокрытие вредоносной активности, противодействие анализу, обнаружению и удалению

    В 2013 году значительно увеличилось число случаев применения вирусописателями специальных приемов, затрудняющих проведение анализа вредоносных Android-приложений, а также усложняющих процесс их обнаружения и удаления на мобильных устройствах. В частности, одной из наиболее распространенных методик самозащиты в Android-троянцах стало использование стандартной системной функции администратора устройства, когда приложению даются расширенные полномочия, такие как возможность управления блокировкой экрана, запроса пароля при выходе из ждущего режима и даже выполнение сброса параметров к заводским установкам с потерей всех имеющихся данных. Главной причиной, по которой данная опция в последнее время так полюбилась киберпреступникам, стало то, что попытка стандартным способом удалить входящую в список администраторов вредоносную программу приводит к ошибке.
    [​IMG]


    И если в общем случае такая ситуация не является проблемой для опытных пользователей – троянца всего лишь необходимо лишить соответствующих полномочий – то множество менее подкованных в техническом плане владельцев Android-устройств сталкивается с затруднениями по очистке мобильного устройства от инфекции. Подобный метод защиты встречается, например, в ряде троянцев-шпионов, а также у некоторых СМС-троянцев.
    Однако в ряде случаев простого отключения полномочий администратора может быть недостаточно: иногда создатели вредоносных Android-приложений идут еще дальше и вносят в их функционал контроль активности данного режима, и если пользователь пытается его отключить, «хитрые» троянцы предпринимают попытки не допустить этого. Например, они могут препятствовать открытию системных настроек или выводить запрос на получение нужных прав до тех пор, пока пользователь не согласится это сделать.
    Наиболее же ярко применение такой самозащиты проявилось в обнаруженном в начале лета 2013 года семействе вредоносных программ Android.Obad, способных отправлять СМС-сообщения на премиум-номера, а также загружать на мобильное устройство другие вредоносные приложения. Эти троянцы использовали привилегии функции администратора мобильного устройства, контролировали ее активность и одновременно с этим эксплуатировали ошибку операционной системы, которая позволяла им скрывать свое присутствие в соответствующем списке и значительно затрудняла их удаление.
    [TABLE="width: 100%"]

    [TD="width: 33%"][​IMG][/TD]
    [TD="width: 33%"][​IMG][/TD]
    [TD="width: 33%"][​IMG][/TD]
    [/TABLE]



    Еще одной проблемой безопасности пользователей мобильных устройств становится растущее распространение на рынке коммерческих систем для защиты Android-приложений от декомпиляции, взлома и модификации, т. к. подобные механизмы могут быть использованы не только разработчиками легитимных программ, но также и создателями троянских приложений. В минувшем году специалистами компании «Доктор Веб» было выявлено несколько случаев применения таких систем в составе Android-троянцев, к которым относятся, например, вредоносные программы Android.Spy.67 и Android.Tempur.5.origin. Кроме того, вирусописателями по-прежнему весьма активно используется обфускация (запутывание) кода, затрудняющая анализ троянцев.
    Антивирусные продукты Dr.Web для Android своевременно получают функциональные улучшения, необходимые для борьбы с угрозами, в которых применяется различные механизмы защиты, поэтому для пользователей компании «Доктор Веб» эти вредоносные программы не представляют опасности.
    Поддельные антивирусы

    За последние 12 месяцев существенно увеличилось количество новых представителей троянцев семействаAndroid.Fakealert – поддельных антивирусных средств, ложно сигнализирующих о наличии на мобильном устройстве различных угроз и предлагающих за определенную плату обезвредить их. В минувшем году объем записей в вирусной базе компании «Доктор Веб» для этих вредоносных приложений вырос в 5 раз, и их общее число составило 10 единиц. Наиболее заметной среди всех обнаруженных модификаций этих троянцев сталAndroid.Fakealert.10.origin, распространявшийся под видом приложения для просмотра видео категории «для взрослых». После запуска эта вредоносная программа имитировала внешний вид существующего в действительности антивируса и демонстрировала предупреждение о необходимости выполнить проверку мобильного устройства на наличие заражения. Найденные в дальнейшем «угрозы» тут же предлагалось обезвредить, купив для этого якобы полную версию программы.
    [TABLE="width: 100%"]

    [TD="width: 50%"][​IMG][/TD]
    [TD="width: 50%"][​IMG][/TD]

    [TD="width: 50%"][​IMG][/TD]
    [TD="width: 50%"][​IMG][/TD]
    [/TABLE]



    Киберкриминальные услуги: троянцы на заказ и специализированные хакерские утилиты

    В 2013 году весьма активно продолжил развиваться рынок мобильных киберкриминальных услуг, начавший постепенно формироваться еще в позапрошлом году. В настоящее время одну из лидирующих позиций среди наиболее распространенных нелегальных сервисов занимает создание и продажа различных СМС-троянцев, принадлежащих к семействам Android.SmsSend и Android.SmsBot. Их авторы зачастую предлагают своим клиентам не только сами вредоносные приложения, но и сопутствующие им готовые решения в виде удаленных панелей управления, а также программных средств для построения вредоносных сетей и партнерских программ. Цены на данные услуги варьируются от нескольких сотен до нескольких тысяч долларов.
    [​IMG][​IMG]


    Однако более серьезную угрозу представляют появившиеся в 2013 году предложения по реализации банковских троянцев, нацеленных на пользователей целого ряда стран. Ярким примером такой теневой услуги является начавшаяся в январе продажа троянца под названием Perkele, способного имитировать внешний вид официальных приложений «банк-клиент» и красть конфиденциальную информацию пользователей – например, СМС-сообщения. Различные модификации этой вредоносной программы детектируются антивирусом Dr.Web как представители семейства Android.SmsSpy.
    [​IMG]


    Благодаря ограниченным объемам продаж копий троянца, а также его возможности атаковать пользователей почти 70 крупнейших кредитных организаций мира, Perkele мог с успехом применяться для осуществления высокоэффективных таргетированных атак, в результате которых пострадавшие клиенты могли понести существенные финансовые потери.
    Не менее привлекательными для интернет-преступников должны выглядеть сервисы, связанные с незаконным получением более широкого спектра конфиденциальных сведений пользователей мобильных Android-устройств. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле специалистами компании было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита для своей работы использовала исходный код свободно распространяющегося приложения для удаленного доступа и управления AndroRat, которое известно с 2012 года и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Что же касается второй, то ее автор применяет самостоятельно разработанную им троянскую программу-шпиона, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.
    [​IMG][​IMG]


    Особенностью этих утилит является то, что они отличаются относительной легкостью и простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от познаний в программировании. Это существенно расширяет круг их потенциальных пользователей, и, соответственно, жертв.
    Интересные и необычные угрозы

    Среди множества примитивных в плане функционала троянских приложений для ОС Android в 2013 году можно было встретить и несколько нестандартных вредоносных программ. Например, одна из модификаций троянца-шпиона Android.EmailSpy.2.origin после удачной отправки злоумышленникам сведений из телефонной книги пользователя могла показать оскорбляющее его изображение, демонстрируя тем самым презрительное отношение авторов троянца к своей жертве.
    [​IMG]


    Весьма оригинальным можно считать индийского троянца Android.Biggboss, обнаруженного в марте. Эта вредоносная программа распространялась на различных сайтах-сборниках ПО в модифицированных злоумышленниками приложениях и, будучи установленной на мобильном устройстве, при запуске ОС демонстрировала диалоговое окно, в котором говорилось о получении важного сообщения из некоего отдела кадров. В случае согласия пользователя просмотреть это «сообщение» троянец загружал в браузере веб-страницу, содержащую обращение от отдела кадров мифической компании TATA India Limited, не имеющей никакого отношения к настоящей корпорации TATA. Наряду с заманчивым описанием потенциальной должности обращение содержало призыв перевести определенную денежную сумму на банковский счет мошенников с целью гарантировать кандидату получение вакантного места.



    http://news.drweb.com/show/?i=4211&lng=ru&c=14
     
    #33
  15. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 18 апр 2014
    ESET представляет хронологию Мас-угроз

    Москва, 18 апреля 2014 г. Международная антивирусная компания ESET напоминает пользователям компьютеров Apple о «юбилее» – 10-летии вредоносного ПО для Mac OS X.
    [​IMG]
    Число киберугроз для Мас сложно сравнивать с объемом вредоносного ПО для Windows, но это не значит, что их вообще не существует. Любая операционная система может быть заражена, а число Мас-угроз на протяжении последних 10 лет только растет, о чем свидетельствует интерактивная хроника от ESEThttp://www.eset.com/int/mac-malware-facts/.
    2004
    Opener (Renepo)
    Вредоносный скрипт с функциями бэкдора и шпионского ПО
    Блокирует встроенный брандмауэр Мас OS Х, предоставляет злоумышленникам доступ к персональным данным и возможность дистанционного управления зараженным компьютером.Amphimix (MP3Concept)
    Экспериментальный троян для Мас
    Маскировался под файл mp3 с соответствующей иконкой. Известен как первый экспериментальный вредоносный код для OS X, in-the-wild не наблюдался.
    2006
    Leap
    Первый «настоящий» червь для OS X
    Распространяется по контактам в мессенджере iChat как архивный файл latestpics.tgz, после распаковки маскируется под формат JPEG. В фишинговом сообщении представлен как установщик новой ОС от Apple.Inqtana
    Экспериментальный червь, использующий уязвимость в реализации Bluetooth
    Написан на Java и распространялся через уязвимость в сервисе Apple Bluetooth, позже исправленную Apple.
    2007
    Jahlav (RSPlug, DNSchanger, Puper)
    Семейство вредоносных программ для изменения настроек DNS
    Осуществляет модификацию настроек DNS-службы таким образом, чтобы все запросы в браузере пользователя были переадресованы на сервер злоумышленников.
    2008
    MacSweep (MacSwp-A, MacSweeper)
    Первый образец мошеннического ПО
    Фальшивый антивирус, считается первой программой в семействе мошеннического ПО для Мас OS Х.iMunizator (Troj/MacSwp-B, OSX_MACSWEEP.B, OSX/AngeloScan)
    Фальшивый антивирус
    Предлагает поиск вредоносного ПО, cookies и скомпрометированных файлов, а также оптимизацию производительности.
    2009
    Tored
    Экспериментальный червь, распространяющийся по e-mail
    Распространяется через электронные письма путем использования собственной реализации SMTP-протокола. Для получения дополнительных инструкций может взаимодействовать с управляющим сервером.
    2010
    Hovdy
    Семейство вредоносного ПО для кражи данных
    Набор скриптов, которые используются для сбора данных с зараженного компьютера и их передачи на сервер злоумышленников.HellRTS (HellRaiser)
    Троян для кражи данных и удаленного доступа
    Предоставляет злоумышленникам возможность управления зараженным компьютером (запуск файлов .ехе, перезагрузка, открытие веб-страниц, кража скриншотов и файлов по протоколам HTTP, FTP и SMTP и др.).OpinionSpy (PermissionResearch, PremierOpinion)
    Шпионское ПО с функциями бэкдора и обеспечения удаленного доступа
    Загружается на компьютер в процессе установки приложений и заставок, маскируется под утилиту для проведения опросов. Перехватывает действия и данные, используется как бэкдор и инструмент удаленного доступа.Boonana
    Межплатформенный троян
    Вредоносный Java-код, ориентированный на пользователей Mac, Windows и Linux. Распространяется под видом видеофайла в соцсетях, объединяет зараженные компьютеры в ботнет.
    2011
    BlackHole (DarkComet, MusMinim)
    Многокомпонентный троян с функциями бэкдора
    Представляет собой средство удаленного доступа (remote access tool) для запуска команд. Очевидная связь с BlackHole Exploit Kit не установлена.MacDefender (MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard, MacShield)
    Самый распространенный поддельный антивирус для Мас
    Предупреждает о «заражении», вынуждает пользователя оплатить переход на полную версию программы, компрометируя данные банковской карты.Olyx
    Бэкдор с функцией загрузчика
    Используется злоумышленниками для получения удаленного доступа к зараженному компьютеру. Получает данные и инструкции из интернета или с управляющего сервера.Flashback
    Крупнейший на сегодняшний день Мас-ботнет
    Троян, выступающий в качестве загрузчика других вредоносных программ. Для привлечения пользователей на инфицированные сайты используются методы социальной инженерии.Revir и Imuler
    Дроппер и установщик с функциями шпионского ПО
    Revir устанавливает свои модули и другие программы в систему жертвы. Модули Revir могут использоваться для слежения за активностью пользователей. Imuler обеспечивает удаленный доступ к системе жертвы (бэкдор).Devilrobber (Miner)
    Вредоносная программа для майнинга биткоинов
    Распространяется через торренты в качестве компонента легальной программы GraphicConverter. Не заражает системы OS X с брандмауэром Little Snitch.Tsunami (Kaiten)
    Бэкдор, управляемый через IRC-протокол
    Используется для удаленного управления зараженной системой и организации с ее помощью распределенных DDoS-атак. Исполняемый файл Tsunami содержит в коде список C&C-серверов, с которыми он взаимодействует по IRC протоколу.
    2012
    Sabpab
    Троян, используемый для удаленного управления
    Используется для удаленного управления зараженным компьютером посредством НТТР-протокола и специальных команд. Вредоносный код содержит жестко зашитый URL-адрес C&C-сервера.Morcut (Crisis)
    Кросс-платформенный троян для слежения за пользователями
    Ориентирован на версии OS X Snow Leopard и Lion. Может быть установлен через вредоносный сайт с эксплойтом. Содержит руткит-составляющую, которая активируется, если пользователь работает с наивысшими правами в системе.Lamadai
    Бэкдор, использовавшийся в атаках на неправительственные организации Тибета
    Установка вредоносного кода осуществлялась через зараженный сайт с использованием Java-уязвимости.
    2013
    Kitm и Hackback
    Семейства вредоносного ПО, использовались против участников конференции Oslo Freedom Forum
    Бэкдоры, используются для шпионажа и запуска на зараженном компьютере других вредоносных программ. Позволяют делать скриншоты рабочего стола и отправлять их на удаленный сервер.Yontoo
    Потенциально нежелательное приложение (grayware)
    Плагин для браузера, позволяет перенаправлять пользователей на рекламные сайты.Minesteal (Minesweep)
    Кросс-платформенный троян
    Написан на Java, используется для кражи паролей пользователей онлайн-игр. Напоминает семейство похитителей паролей Win32/PSW.OnlineGames, ориентированное на Windows.OSX/Fucobha (Icefog)
    Известный в Восточной Азии бэкдор
    Использовался наряду с троянами для Windows в направленных атаках на корпорации и правительственные учреждения Азии для кражи данных, сбора системной информации, удаленного управления.OSX/Pintsized
    Бэкдор, предоставляющий удаленный доступ к зараженному устройству
    Состоит из Perl-скриптов с расширением .plist и бинарных файлов формата Mach-O. Использует уязвимость во встроенном средстве безопасности Gatekeeper.
    2014
    OSX/LaoShu
    Троян, обеспечивающий загрузку и исполнение файлов с удаленного сервера
    Распространяется через поддельные сообщения «службы доставки FedEx», вредоносная программа маскируется под PDF-файл.OSX/Appetite (Mask, Careto)
    Вредоносная программа для шпионажа
    Часть комплекса вредоносного ПО, который использовался для направленных атак на правительственные и дипломатические учреждения, корпорации и пр.OSX/CoinThief
    Вредоносный код для кражи биткоинов и удаленного доступа к компьютеру
    Включает компонент для кражи биткоинов, инструмент модификации легальных программ, расширение для браузера и бэкдор. Распространяется под видом взломанных легальных приложений.
    http://www.esetnod32.ru/company/press/center/eset-predstavlyaet-khronologiyu-mas-ugroz/
     
    #34
  16. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 1 сен 2014
    Обзор вирусной активности: рекламные троянцы и другие события августа 2014 года

     
    #35
  17. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 4 мар 2015
    «Доктор Веб»: обзор вирусной активности в феврале 2015 года

     
    #36
  18. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 3 май 2015
    «Доктор Веб»: обзор вирусной активности для мобильных Android-устройств в апреле 2015 года

     
    #37
  19. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 3 май 2015
    «Доктор Веб»: обзор вирусной активности в апреле 2015 года

     
    #38
Загрузка...