Новости и события — Бесконечная история с Trojan.Encoder, наступление лже-антивирусов и другие тенденции сентября 2009 г.
Сентябрь — время, когда «одноклассники» возвращаются за
свои компьютеры с каникул, а те, кто постарше — из отпусков прямиком на
свое рабочее место в офисе. Активность пользования Интернетом
возрастает — неизбежно возрастает и количество интернет-угроз и
пострадавших от них пользователей. В сентябре 2009 года наиболее
актуальными вирусными событиями стали резко возросшая активность
троянской программы Trojan.Encoder, шифрующей данные на компьютерах
своих жертв, продолжение нашествия лже-антивирусов, а также
оригинальные методы «взлома» социальных сетей. Компания «Доктор Веб»
представляет обзор этих и других угроз, под «знаком» которых прошел
сентябрь.
«Корректор» запустил новую волну Trojan.Encoder
28 сентября 2009 года "Доктор Веб" сообщил
о том, что в течение последнего месяца существенно возросло количество
жертв программы-вымогателя Trojan.Encoder, шифрующей документы
пользователей и требующей выкуп за их расшифровку. В настоящее время
сумма выкупа составляет 600 рублей, и при этом даже после перечисления
этих денег злоумышленнику, именующему себя «Корректор», он не
гарантирует передачу утилиты-дешифратора или её работоспособность в
системе пострадавшего пользователя. Ежедневно десятки пострадавших
пользователей получают от специалистов компании "Доктор Веб" помощь по
восстановлению файлов, зараженных этой вредоносной программой.
С момента публикации этой новости появились 3 новые модификации
Trojan.Encoder — 43, 44 и 45. Они отличаются от предыдущих новым ключом
шифрования документов, а также новыми контактными данными
злоумышленника. Специалисты "Доктор Веб" оперативно создали утилиты,
позволяющие расшифровать файлы, доступ к которым был заблокирован
новыми модификациями Trojan.Encoder. Но особенно интересна еще одна,
самая «свежая» модификация Trojan.Encoder. Эта версия троянской
программы добавляет к зашифрованным файлам расширение .DrWeb.
Вследствие успешного противодействия Trojan.Encoder со стороны
антивируса Dr.Web у автора, видимо, зародилось желание «напакостить»
при помощи упоминания нашей торговой марки в названии зашифрованных
файлов.
Кроме того, в распоряжении специалистов "Доктор Веб" оказалась
ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder.
Интересно, что владелец этого ресурса пытается ассоциировать себя с
«Доктор Веб», используя образы паука и доктора, в то время как компания
не имеет к подобным сайтам никакого отношения. Очевидно, такое
оформление используется для того, чтобы запутать неопытных
пользователей и скомпрометировать компанию «Доктор Веб».
Злоумышленник всячески пытается предстать перед пострадавшими с
положительной стороны — как человек, помогающий восстановить документы
пользователей. На своем сайте он предлагает просмортеть ролик, в
котором демонстрируется работа утилиты дешифровки документов, за
которую вымогаются деньги.
По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.
Не каждый антивирус полезен
Лже-антивирусы уже не первый месяц беспокоят пользователей по всему
миру. Для того, чтобы человек скачал такую вредоносную программу,
придумываются самые разные ухищрения — от специальных интернет-ресурсов
с рекламой вымышленного «антивируса» до традиционных спам-рассылок.
В конце сентября заметное распространение получила одна из
модификаций лже-антивирусов Trojan.Fakealert.5115. Пик активности этой
вредоносной программы пришёлся на 27 сентября, когда на серверах
статистики "Доктор Веб" было зафиксировано более 800 000 ее детектов.
После запуска Trojan.Fakealert.5115 в области уведомлений Windows
появляется значок с сообщением о том, что система инфицирована и что
необходимо использовать специальное ПО для того, чтобы избежать потери
данных. Далее сообщается о том, что Windows автоматически загрузит
необходимое ПО, для чего нужно щёлкнуть по сообщению.
После этого со специально подготовленных серверов происходит
загрузка остальных компонентов Trojan.Fakealert.5115, которые
определяются Dr.Web как Trojan.Fakealert.4709 и Trojan.Fakealert.5112.
Из визуальных проявлений Trojan.Fakealert.5115 можно также отметить
отображение окна вымышленного антивирусного продукта под названием
Antivirus Pro 2010.
В настоящее время отмечено распространение новых модификаций этого
лже-антивируса — Trojan.Fakealert.5229 и Trojan.Fakealert.5238.
Отличием Trojan.Fakealert.5229 других подобных модификаций является
перезагрузка системы во время работы троянской программы.
Trojan.Fakealert.5238 отличается тем, что отображает
модифицированное окно Windows Security Center, в котором сообщается о
том, что компьютер якобы защищён с помощью Antivirus Pro 2010, но
необходимо приобрести его лицензию.
При нажатии на соответствующую кнопку открывается специально
подготовленный сайт, с помощью которого можно купить данную весьма
недешёвую бутафорию. На деле же предлагаемый "полноценный антивирус",
как и всегда, оказывается пустышкой.
Лже-антивирусы уже в течение нескольких лет обеспечивают
злоумышленникам значительный доход, полученный преступным путём, но за
последний месяц распространение данного типа вредоносного ПО
существенно усилилось.
Кто хочет взломать социальную сеть?
С необычным предложением обратился к своим потенциальным жертвам
один из вирусописателей со своей странички в Интернете. Он опубликовал
подробности о якобы обнаруженном недавно методе взлома учётных записей
пользователей популярной социальной сети «ВКонтакте». При помощи этого
метода, злоумышленник предлагает получить возможность редактировать
чужие анкетные данные, а также одновременно защитить от данной
"уязвимости" свой профиль.
Для достижения этой цели он рекомендует пользователю самостоятельно
модифицировать системный файл hosts. При этом с плеч вирусописателя
снимается забота о том, как реализовать данную операцию в рамках
вредоносной программы.
Естественно, после выполнения инструкций, долгожданный эффект,
обещанный автором сайта, не наступает. На этот случай злоумышленник
предлагает загрузить программу, которая внесёт необходимые настройки
автоматически. И тут пользователей ждёт разочарование — поскольку и
теперь ожидаемого результата нет. Что и неудивительно, ибо эта
программа определяется Dr.Web как Trojan.DownLoad.47503.
Как показывает статистика, почувствовать себя «хакерами» решили
сотни посетителей сети. Вредоносная программа продолжает своё
распространение, пик которого пришёлся на 28 сентября.
И снова Trojan.Winlock. Теперь через ICQ и вместе с pinch
В течение последней недели сентября 2009 года через рассылку по ICQ
получила распространение новая модификация Trojan.Winlock — 252 и
Trojan.PWS.LDPinch.1941.
Пользователю приходило сообщение, содержащее текст: "Никого не
узнаешь на этой фотке?" и ссылку на веб-страницу, где якобы
опубликована фотография.
При загрузке веб-страницы скачивается файл lock.ex, упакованный
вирусными упаковщиками. В процессе своей работы он сохраняет на
компьютер пользователя четыре файла — explorerr.ex, svcoost.ex, 43.jpg,
а также 154.bat — файл, удаляющий дроппера.
Explorerr.ex определяется Dr.Web как Trojan.PWS.LDPinch.4308. Он
упакован вирусным упаковщиком + FSG. Распакованный объект детектируется
как Trojan.PWS.LDPinch.1941. В свою очередь svcoost.ex определяется как
Trojan.Winlock.252.
Тот факт, что теперь Trojan.Winlock распространяется вместе с
«пинчем», делает эту угрозу еще более опасной, поскольку не только
блокируется система, но и похищаются пароли, найденные на компьютере
жертвы.
Почтовые вирусы не сдаются
В настоящее время в почтовом трафике продолжает лидировать троянская программа Trojan.DownLoad.47256, о которой "Доктор Веб" информировал
пользователей 22 сентября 2009 года. Пик ее эпидемии уже прошёл, но
сервер статистики "Доктор Веб" продолжает фиксировать сотни тысяч
детектов Trojan.DownLoad.47256 в сутки.
Не сильно отстаёт по статистическим показателям от
Trojan.DownLoad.47256 Trojan.Packed.2915, который пришёл на смену
Trojan.Botnetlog.11 (о нем компания "Доктор Веб" сообщала в обзоре вирусной обстановки за август. Trojan.Packed.2915 распространяется под видом сообщений от имени популярной курьерской службы DHL.
Как и ранее, в каждой новой рассылке злоумышленники использовали
новую модификацию троянской программы. Специалисты компании "Доктор
Веб" создали вирусную запись Trojan.Packed.2915, позволяющую определять
даже те модификации троянца, которые ещё не успели побывать в вирусной
лаборатории.
Пик распространения Trojan.Packed.2915 пришёлся на 25 сентября. В
настоящее время эпидемия имеет тенденцию к завершению, но счёт
обнаруживаемых экземпляров этой вредоносной программы продолжает идти
на десятки тысяч в сутки.

В связи с широким распространением различных типов вредоносных
программ, которые ставят своей целью вымогание у пользователей денежных
средств, мы не рекомендуем общаться с злоумышленниками, а тем более —
перечислять им деньги или отправлять платные SMS-сообщения. Вместо
этого необходимо обращаться к специалистам «Доктор Веб», которые в
подавляющем большинстве случаев могут помочь вернуть утерянную в
результате работы троянцев информацию или восстановить
работоспособность системы. Так как почтовый трафик остаётся одним из
основных каналов распространения вирусов, напоминаем, что не
рекомендуется запускать файлы, приложенные к сообщениям от неизвестных
адресатов. Также не рекомендуется пытаться использовать описываемые на
страницах некоторых сайтов методы взлома сайтов или ПО, поскольку
подобные действия могут нанести серьёзный урон системе и данным, а
также являются уголовно наказуемыми.
Вредоносные файлы, обнаруженные в сентябре в почтовом трафике
Всего проверено: |
12,475,886,574 |
Инфицировано: |
6,861,469 (0.05%) |
Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей
Всего проверено: |
845,578,747,316 |
Инфицировано: |
21,708,714 (0.00%) |
//drweb.ru
Смотрите также:
|