Газета "Наш Мир"
Компания «Доктор Веб», российский разработчик средств информационной
безопасности, представила обзор вирусной обстановки за июль 2011 г. По
данным компании, в июле вновь активизировались создатели «винлоков» и
разработчики вредоносного ПО для мобильной платформы Android. Кроме
того, специалистами «Доктор Веб» было обнаружено и обезврежено множество
других опасных угроз.
Создатели вредоносных программ для
мобильной ОС Android продолжают «радовать» пользователей очередными
новинками. Так, в июле специалистами «Доктор Веб» в вирусные базы были
добавлены описания 29 новых угроз для этой платформы, среди которых
следует отметить две новых модификации трояна Android.Gongfu и
программу Android.Ggtrack.1-2, предназначенную для кражи денег со
счетов владельцев мобильных телефонов путем подписки их на различные
платные сервисы.
Кроме того, в июле была обнаружена и добавлена
в базы программа-шпион Android.GoldDream.1. Эта вредоносная программа
для Android, как и ее предшественницы, встроена в предназначенные для
мобильных устройств легитимные приложения, такие как игры Drag Racing и
Draw Slasher, и распространяется через альтернативные сайты-сборники
ПО. Будучи запущенным в операционной системе, троян регистрируется в
качестве фонового сервиса, собирает информацию об инфицированном
устройстве, включая телефонный номер абонента и номер IMEI, после чего
передает ее злоумышленникам на удаленный сервер. Вслед за этим
Android.GoldDream.1 начинает отслеживать все входящие SMS-сообщения, а
также входящие и исходящие телефонные звонки, и записывать сведения об
этих событиях (в том числе телефонный номер, с которого или на который
выполнялся звонок или отправлялось сообщение, а также само содержимое
SMS) в хранящийся локально файл. Впоследствии этот файл может быть
извлечен и передан авторам программы-шпиона. Кроме того,
Android.GoldDream.1 в состоянии выполнять поступающие от удаленного
центра команды для осуществления несанкционированной рассылки SMS,
телефонных звонков, а также установки различных программ.
За
истекший месяц специалистами «Доктор Веб» было выявлено множество
вредоносных программ, предназначенных для кражи пользовательской
информации, в том числе данных для доступа к банковским системам. Среди
них — Trojan.Carberp.1. Этот троян обладает встроенными средствами
защиты от анализа с помощью отладчика. Характерной особенностью
троянской программы является то, что она работает частями внутри
инфицированных системных процессов, а также активно использует
хеширование различных данных.
Trojan.Carberp.1 ищет и передает
злоумышленникам данные, необходимые для доступа к банковским сервисам,
умеет красть ключи и пароли от различных программ, отслеживать нажатия
клавиш, делать снимки экрана и т.д. Кроме того, троян имеет встроенный
модуль, позволяющий обрабатывать поступающие от удаленного командного
центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять
злоумышленникам возможность анонимного посещения различных сайтов,
превратив компьютер жертвы в прокси-сервер, загружать и запускать
различные файлы, отправлять на удаленный узел снимки экрана и даже
уничтожить операционную систему.
Примерно с мая 2011 г. в
«Доктор Веб» стали фиксировать случаи появления программ-вымогателей,
ориентированных на западную аудиторию. Одной из них стала программа
Trojan.Winlock.3794, собирающая у пользователей данные банковских карт.
Среди реквизитов, которые троян передает злоумышленникам — имя,
фамилия, дата рождения и адрес держателя карты, его телефонный номер,
дата окончания срока действия карты, ее номер, код CVV2 и даже пинкод.
Как подчеркнули в «Доктор Веб», это — первый случай появления
трояна-блокировщика, собирающего данные о банковских картах. Ранее
подобные программы-вымогатели обычно требовали от пользователя
отправить платное SMS-сообщение на указанный сервисный номер или
пополнить счет одного из российских сотовых операторов.
Наиболее популярным именем файла, в котором скрываются подобные трояны,
является xxx_video.exe (37,8% случаев заражения), на втором месте —
pornoplayer.exe (28,6%), на третьем — xxx_video.avi (9,6%), причем в
последнем случае упоминание файла с расширением .avi имеет именно
вредоносная ссылка; сам файл, в котором содержится троян, может иметь
иное имя и расширение. Такие имена вредоносных файлов, как
install_flash_player.exe (1%), ponostar_video.exe и mpeg.exe (по 0,4%),
скромно заняли последние строчки рейтинга. Таким образом, наиболее
популярным способом распространения троянских программ семейства
Trojan.Winlock по-прежнему являются порносайты, с которых пользователи
загружают троянов под видом программы-проигрывателя либо видеоролика,
сообщили в «Доктор Веб».
В последних числах июля 2011 г. был
зафиксирован всплеск заражений троянской программой Trojan.Mayachok.1:
многие пользователи неожиданно столкнулись с невозможностью выйти в
интернет. При попытке открыть в окне браузера какой-либо сайт троян
перенаправлял пользователя на заранее определенный URL, демонстрируя
веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт,
указав свой номер телефона и ответив на входящее SMS-сообщение. Если
пользователь следовал указаниям злоумышленников, с его счета
незамедлительно списывались средства. Один из способов распространения
трояна — сообщения социальной сети «ВКонтакте»: пользователям
предлагается скачать документ в формате .rtf, якобы рассказывающий о
специальной программе для просмотра посещающих страницу пользователя
гостей.
Данная угроза была не единственной, так или иначе
затронувшей соцсеть «ВКонтакте» — к таковым можно отнести и
распространение троянской программы Trojan.VkSpam, инфицирующей
компьютеры благодаря спам-рассылкам на сайте «ВКонтакте». Как правило,
пользователям предлагается принять участие в опросе и получить за это
ценные призы, «голоса» или другие бонусы. Вредоносная программа
маскируется под приложение, собирающее мнение участников опроса о
нововведениях данной социальной сети, либо под программу для сбора
статистики о посещении страницы пользователя «ВКонтакте». И в том, и в
другом случае троян демонстрирует на экране компьютера окно,
предлагающее ввести в соответствующую форму логин и пароль учетной
записи: это якобы необходимо для установки соответствующего приложения.
Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает
массовую рассылку сообщений по списку контактов пользователя.
|
