Обзор вирусной активности в марте 2014 года

2 апреля 2014 года

В течение первого весеннего месяца специалисты компании «Доктор Веб» добавили в вирусные базы записи для множества новых угроз. Так, в начале марта был обнаружен троянец, заражающий банкоматы одного из ведущих зарубежных производителей, а в середине месяца компания сообщила о распространении вредоносной программы, взламывающей Wi-Fi-роутеры. Также в марте было выявлено большое количество неизвестных ранее троянцев для мобильной платформы Google Android.

Вирусная обстановка

Согласно данным, собранным в марте 2014 года с использованием лечащей утилиты Dr.Web CureIt!, наиболее частым «гостем» на компьютерах пользователей, как и в предыдущем месяце, стал установщик рекламных и сомнительных приложений Trojan.Packed.24524. На втором и третьем местах расположились рекламные троянцы Trojan.InstallMonster.51 и Trojan.LoadMoney.15, лишь немного им уступает еще одна рекламная вредоносная программа — Trojan.LoadMoney.1. Также среди выявленных угроз присутствует несколько модификаций троянцев семейства Trojan.BPlug — под этим названием скрываются надстройки (плагины) для браузеров, встраивающие в просматриваемые веб-страницы рекламу или «продвигающие» различные мошеннические ресурсы. Двадцатка троянцев, наиболее часто детектируемых в течение марта лечащей утилитой Dr.Web CureIt!, представлена в таблице ниже:

Ботнеты

Продолжается постепенный рост бот-сети, состоящей из работающих под управлением Microsoft Windows персональных компьютеров, инфицированных файловым вирусом Win32.Rmnet.12. В марте средняя численность первой из двух подсетей этого ботнета, мониторинг которых осуществляют специалисты компании «Доктор Веб», составила в среднем 244 430 зараженных рабочих станций. Рост второй подсети в марте несколько замедлился: ее средняя численность за истекший месяц составила 157 343 инфицированных компьютеров. Несколько снизилось и количество машин, на которых антивирусное ПО Dr.Web обнаруживало вредоносный модуль Trojan.Rmnet.19: в конце марта таковых насчитывалось 2 066, что на 457 ПК меньше по сравнению с показателями прошлого месяца.

Узкоспециализированный ботнет BackDoor.Dande, с помощью которого злоумышленники похищают информацию о закупке медикаментов на компьютерах аптек и фармацевтических компаний, в марте сократился еще на 5,5% — к концу месяца его численность составила 968 зараженных машин.

В то же время количество инфицированных троянцем BackDoor.Flashback.39 компьютеров, работающих под управлением операционной системы Mac OS X, продолжает колебаться: в марте средняя численность данного ботнета составила 25 912 «маков», при этом все обращавшиеся к командному серверу в течение минувшего месяца компьютеры уже были инфицированы ранее.

Другие угрозы марта

В начале месяца специалисты компании «Доктор Веб» сообщили об обнаружении вредоносной программы Trojan.Skimer.19, представляющей угрозу для банкоматов одного из зарубежных производителей.

Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд можно перечислить следующие:

• сохранить лог-файлы на чип карты, расшифровать PIN-коды;
• удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз – не позднее 10 секунд после первого);
• вывести на дисплей банкомата окно со сводной статистикой: количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.;

  

• уничтожить все файлы журналов;
• перезагрузить систему;
• обновить файл троянца, считав исполняемый файл с чипа карты.

Более подробную информацию о Trojan.Skimer.19 можно почерпнуть из опубликованной на сайте компании «Доктор Веб» обзорной статьи.

Также в марте сотрудниками вирусной лаборатории «Доктор Веб» был проанализирован троянец Trojan.Rbrute, предназначенный для взлома паролей Wi-Fi-роутеров методом перебора (brute force), а также подмены адресов DNS-серверов в настройках этих устройств. Троянец способен выполнять две команды: сканирование сети по заданному диапазону IP-адресов и перебор паролей по словарю, при этом перечисленные команды не взаимосвязаны и могут выполняться троянцем по отдельности.

В настоящее время злоумышленники используют эту троянскую программу для распространения файлового вируса Win32.Sector. Ознакомиться с особенностями работы и распространения данной угрозы можно в опубликованном нами информационном материале.

Мобильные угрозы

Для владельцев Android-устройств первый весенний месяц текущего года оказался весьма неспокойным. Так, в начале марта киберпреступники организовали коммерческое распространение нового троянца-бота, внесенного в вирусную базу компании «Доктор Веб» под именем Android.Dendroid.1.origin. Данная вредоносная программа может быть встроена в любое безобидное Android-приложение и позволяет использующим ее злоумышленникам осуществлять на зараженном мобильном устройстве целый ряд противоправных действий – перехват телефонных звонков и СМС-сообщений, получение информации о текущем местоположении пользователя, записях его телефонной книги и истории веб-браузера, активацию встроенной камеры и микрофона, отправку коротких сообщений и т. д. Android.Dendroid.1.origin продается на закрытых хакерских форумах и фактически является очередным свидетельством того, что рынок незаконных услуг и сервисов для ОС Android продолжает активно развиваться.

Проблема сохранения конфиденциальности пользователей Android-устройств наглядно иллюстрируется и троянцем Android.Backdoor.53.origin, обнаруженным специалистами компании «Доктор Веб» в середине марта. Особенность данной вредоносной программы заключается в том, что она распространялась злоумышленниками в модифицированном ими легитимном приложении Webkey, позволяющем пользователям осуществлять дистанционное управление мобильным устройством. В отличие от оригинала, троянская версия приложения не имеет графического интерфейса и после установки скрывает свое присутствие в системе, удаляя значок с главного экрана. После своего запуска Android.Backdoor.53.origin отправляет на удаленный сервер идентификаторы зараженного устройства, тем самым регистрируя его как успешно инфицированное, вследствие чего злоумышленники могут получить над ним полный контроль, включая доступ ко многим персональным данным пользователей, а также аппаратным функциям.

В конце месяца специалистами компании «Доктор Веб» была обнаружена целая группа троянских приложений-загрузчиков семейства Android.DownLoader, предназначенных преимущественно для китайских пользователей. Попадая на мобильные устройства своих жертв, эти троянцы могут загрузить и выполнить установку других вредоносных программ, а также ряда легитимных приложений с целью извлечения прибыли от их незаконного продвижения. Одной из главных опасностей этих троянцев является то, что при наличии root-доступа установка загружаемых программ осуществляется без участия пользователей, и, кроме того, в результате интенсивного сетевого обмена данными владельцы Android-устройств с тарифными ограничениями по интернет-трафику рискуют столкнуться с незапланированными финансовыми тратами. Подробнее об этом случае рассказано в соответствующей новостной публикации.

Кроме того, в марте вирусные базы компании «Доктор Веб» пополнились несколькими записями для троянцев, осуществляющих скрытую добычу («майнинг») ряда электронных криптовалют. Эти вредоносные программы распространялись злоумышленниками в модифицированных версиях популярных приложений и активизировались в те моменты, когда зараженное мобильное устройство находилось в режиме ожидания. В конечном итоге эти троянцы способны существенным образом повлиять не только на время работы аккумулятора, но также доставить пользователям определенный дискомфорт из-за повышения температуры интенсивно работающих компонентов устройства, что, в свою очередь, может негативно сказаться на сроке их службы. Также в результате действия этих вредоносных программ ряд пользователей может понести и финансовые убытки, так как троянцы активно используют интернет-соединение. Данные угрозы детектируются антивирусом Dr.Web для Android как представители семейства Android.CoinMine.

По сравнению с предыдущим месяцем, в марте число нежелательных СМС-сообщений, с помощью которых осуществлялось распространение вредоносных Android-программ в Южной Корее, увеличилось на 113,3%. В общей сложности специалистами компании «Доктор Веб» было зафиксировано 192 случая подобных спам-рассылок, при этом наибольшая доля пришлась на троянцев Android.Spy.64.origin (86 случаев), Android.SmsSpy.53.origin (26 случаев), Android.SmsSpy.78.origin (18 случаев), Android.Spy.40.origin (13 случаев), а также Android.MulDrop.14.origin (12 случаев) и Android.SmsSpy.65.origin (10 случаев).

Вредоносные файлы, обнаруженные в почтовом трафике в марте

Вредоносные файлы, обнаруженные в марте на компьютерах пользователей