11 января 2012 года
Количество угроз для мобильной платформы Android выросло в прошедшем году в 20 раз, причем подавляющее большинство подобных вредоносных программ относится к семейству Android.SmsSend. Эти приложения обычно представляют собой инсталлятор, якобы содержащий нужную пользователю программу, для установки которой необходимо отправить одно или несколько платных СМС-сообщений. Суть мошенничества заключается в том, что, если бы пользователь изначально обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.
В начале 2011 года в вирусных базах Dr.Web числилось всего шесть записей для троянцев семейства Android.SmsSend, к декабрю число этих угроз увеличилось практически в 45 раз. Динамика роста количества добавленных в базы Dr.Web записей для Android.SmsSend показана на приведенном ниже графике.
Значительный успех в борьбе с данным типом угроз отчасти обусловлен применением уникальной технологии Origins Tracing™, разработанной компанией «Доктор Веб». Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. С использованием в продуктах Dr.Web технологии Origins Tracing для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, которая затем добавляется в вирусную базу. Одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.
Всего в вирусных базах Dr.Web на конец 2011 года числится около 630 записей, соответствующих вредоносным программам для Android, в то время как на начало года их насчитывалось всего 30. Таким образом, можно сказать, что за последние 12 месяцев общее число угроз для мобильной платформы Android увеличилось в 20 раз. Процентное распределение различных типов угроз для Android показано на предложенной ниже диаграмме.
В качестве сравнения следует отметить, что для Symbian OS на сегодняшний день известно 212 вредоносных программ, для Windows Mobile — 30, а троянцев, способных работать на любой мобильной платформе с поддержкой Java, насчитывается 923. Основываясь на этих цифрах, можно сделать вывод о том, что по числу специализированных угроз операционная система Android только за 2011 год уверенно опередила своих ближайших конкурентов.
Как известно, к категории руткитов относят вредоносные программы, способные скрывать следы своего присутствия в операционной системе. По сравнению с прошлым годом активность распространения данного типа угроз осталась на прежнем уровне. По мере роста популярности среди пользователей 64-разрядных операционных систем вирусописатели вынуждены адаптировать свои творения, в связи с чем несколько увеличилось число модификаций руткитов, работающих в пользовательском режиме. Наиболее популярными угрозами данного типа по-прежнему остаются BackDoor.Tdss и BackDoor.Maxplus.
В 2011 году специалистами «Доктор Веб» был зафиксирован уникальный в своем роде руткит, получивший название Trojan.Bioskit.1, особенность которого заключается в том, что он инфицирует BIOS персональных компьютеров — причем только в том случае, если на ПК установлен BIOS производства компании Award Software. Позже были зафиксированы попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы для пользователей.
К категории файловых вирусов традиционно относят вредоносные программы, поражающие в числе прочего исполняемые файлы и обладающие способностью к саморепликации (размножению без участия пользователя). Лидером среди файловых вирусов исходя из количества заражений по итогам года является
В 2011 году семейство файловых вирусов пополнилось новыми вредоносными экземплярами: это и лидер списка —
Программы-вымогатели, блокирующие запуск операционной системы, — напасть давно известная, и потому за истекшие двенадцать месяцев число модификаций угроз семейства Trojan.Winlock вполне ожидаемо росло. Не обошлось и без сюрпризов: в 2011 году винлоки добрались не только до ближнего зарубежья (были зафиксированы модификации программ-вымогателей, специально ориентированные на пользователей из Казахстана, Украины и Белоруссии), но и до европейских государств. В частности, обнаруженный в сентябре 2011 года
Всего с начала года был зафиксирован более чем двукратный рост числа новых модификаций Trojan.Winlock. При этом из общего количества обращений в службу технической поддержки «Доктор Веб» на долю пострадавших от программ-блокировщиков приходится 29,37%.
Заметно выросло и число программ-вымогателей, инфицирующих загрузочную запись компьютера (Master Boot Record, MBR). Первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию еще в ноябре 2010 года, и на сегодняшний день их насчитывается уже более 300. С начала 2011 года число вредоносных программ семейства Trojan.MBRlock выросло в 52 раза, увеличившись с 6 до 316 выявленных модификаций. Наметилась очевидная тенденция и к изменению функционала подобных троянцев — он становится все более изощренным и вредоносным: если первые модификации Trojan.MBRlock автоматически обезвреживались спустя некоторое время, то последние версии не только не содержат подобного механизма, но даже не хранят в открытом виде код разблокировки, что несколько затрудняет лечение. Так, появившийся в ноябре 2011 года
Программы-энкодеры, или, как их еще иногда называют, шифровальщики, попадая на персональный компьютер, шифруют хранящиеся на жестких дисках файлы с помощью специального алгоритма и требуют от пользователя заплатить определенную сумму за возможность получить доступ к этой информации. Примерно в сентябре 2011 года разразилась самая настоящая эпидемия распространения вредоносных программ семейства Trojan.Encoder и Trojan.FolderLock, от действий которых пострадало огромное количество пользователей. Расширился и ассортимент версий подобных угроз: с начала 2011 года количество записей в базах для различных типов энкодеров увеличилось на 60%.
Не уменьшается и количество случаев мошеннических действий в отношении пользователей Интернета: злоумышленники пускают в ход любые доступные методы, чтобы заставить пользователя отправить платное СМС-сообщение или подписать его на какие-либо услуги с ежемесячной абонентской платой. Фантазия сетевых мошенников поистине неисчерпаема: в ход идут и липовые розыгрыши призов, и поддельные файлообменные сети, жулики предлагают доверчивым пользователям доступ к телефонным и генеалогическим базам, поиск двойников и родственников, гадания по линиям ладони, звездам и картами Таро, составление индивидуальных гороскопов и диет… Подробно о современных схемах сетевого мошенничества мы уже рассказывали в одном из наших информационных обзоров. Динамику выявления количества мошеннических сайтов, использующих методы социальной инженерии, можно проследить на предложенном ниже графике.
Резкий рост числа добавленных в базы принадлежащих сетевым мошенникам интернет-ресурсов в сентябре-октябре во многом обуславливается «сентябрьской облавой на подпольные сайты», о которой компания «Доктор Веб» сообщала в одном из своих выпусков новостей. В ходе этого мероприятия было выявлено значительное число подобных ресурсов — и результаты проделанной специалистами компании работы отчетливо прослеживаются на диаграмме.
А вот статистика добавления в базы адресов сайтов, распространявших в 2011 году вредоносное программное обеспечение:
Здесь наблюдается обратная тенденция: наибольшее число вредоносных ресурсов было зафиксировано в первом полугодии, в то время как с наступлением осени на данном фронте наметилось определенное затишье.
Не прекращается и «охота» на пользователей социальных сетей. В 2011 году жулики активно изобретали новые мошеннические схемы, о наиболее популярных из которых мы рассказывали недавно в обзорной статье. Всего за 2011 год было выявлено множество поддельных сайтов, имитирующих своим оформлением интерфейс популярных социальных сетей, адреса подобных ресурсов были добавлены в базы Dr.Web.
За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.
Среди них особый интерес представляет семейство обладающих широким функционалом троянцев Trojan.Winspy, новые модификации которых появлялись в первой половине 2011 года. Еще одно вредоносное приложение подобного типа было добавлено в вирусные базы под именем
Весьма распространены и троянцы семейства Trojan.PWS.Ibank, предназначенные для кражи данных доступа к ДБО и способные объединяться в ботнеты. Безусловно, нельзя обойти вниманием такой знаменитый троянец, как
После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.
В феврале-марте 2011 года злоумышленниками была предпринята атака на терминалы одной из наиболее распространенных в России платежных систем, осуществленная с использованием троянской программы Trojan.PWS.OSMP. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.
Еще одна небезынтересная троянская программа — BackDoor.Dande. Этот троянец предназначен для кражи данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. В числе собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.
В течение года появилось и несколько весьма любопытных вредоносных программ для мобильной платформы Android. Среди них можно отметить троянца Android.Gone.1, за 60 секунд «угоняющего» всю хранящуюся на работающем под управлением Android мобильном телефоне информацию, включая контакты, сообщения, последние звонки, историю браузера и т. д. Украденные данные загружаются на специально созданный вирусописателями сайт. Получить доступ к похищенной информации можно за 5 долларов. Еще одной интересной «угрозой года» для этой мобильной платформы можно назвать троянца Android.DreamExploid — он без ведома пользователя пытался произвести повышение привилегий программного окружения смартфона. То есть вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки, а также обладает функционалом для сбора информации об инфицированном устройстве и ее отправки злоумышленникам.
В 2012 году следует ожидать дальнейшего роста количества угроз для мобильной операционной системы Android, а также с определенной долей вероятности можно прогнозировать появление программ-блокировщиков для этой платформы. Обусловлен подобный прогноз, прежде всего, тем, что мобильные ОС значительно облегчают доступ злоумышленников к кошельку жертвы. Если получить прибыль от пользователя ОС для настольных ПК не так-то просто, например, для этого нужно сначала заблокировать Windows, а потом заставить пользователя дойти до терминала оплаты или набрать и отослать СМС, то с мобильного телефона можно отправлять короткие сообщения на платные номера, показывать рекламу, скачивать платные мелодии и прочий контент, понемногу списывая деньги со счета оператора. Емкость этого теневого рынка просто огромна, и в настоящее время он активно осваивается злоумышленниками, а современные мобильные платформы с их обширным функционалом открывают для этого прекрасные возможности.
Можно ожидать распространения узкоспециализированных угроз, ориентированных на системы промышленной автоматики, — в эту категорию входят автоматизированные системы управления производственными процессами, системы контроля доступа, мониторинга, обогрева, кондиционирования и вентиляции, иные компьютеризированные системы промышленных предприятий и производственных организаций. Под угрозой может оказаться инфраструктура управления технологическими процессами (SCADA). Аналитики компании «Доктор Веб» отмечают, что вредоносные программы, эксплуатирующие уязвимости подобных систем, могут представлять особую опасность, поскольку подобные комплексы применяются в ключевых отраслях экономики, таких как производство электроэнергии, транспорт, добыча полезных ископаемых, нефти и газа.
Вполне вероятно появление новых угроз, ориентированных на банковские системы и ДБО, будет совершенствоваться их техническое исполнение. Возможно, злоумышленники не ограничатся пользовательскими ПК и системами «Банк-Клиент», а предпримут атаки на банковские структуры или даже государственные финансовые институты. Будут появляться новые, ранее неизвестные способы мошенничества, как с использованием фишигновых сайтов, так и в отношении пользователей социальных сетей. Динамика возникновения новых мошеннических схем показывает, что злоумышленники используют практически все доступные им технологии, а с появлением на сайтах социальных сетей новых функциональных возможностей они также наверняка будут использованы мошенниками для достижения неблаговидных целей. Так, в 2011 году киберпреступники задействовали для обмана пользователей голосования, встроенные в социальные сети функции обмена файлами, видеоролики и даже дополнения к браузеру Mozilla Firefox. Думается, этим их арсенал в будущем не ограничится, киберпреступники будут и дальше изыскивать новые способы незаконного заработка.
01.01.2011 00:00 - 31.12.2011 12:00 | ||
1 | Trojan.Oficla.zip | 6227166 (18.64%) |
2 | Win32.HLLM.MyDoom.33808 | 3319848 (9.94%) |
3 | Win32.HLLM.Netsky.18401 | 2760140 (8.26%) |
4 | Trojan.DownLoad2.24758 | 2288568 (6.85%) |
5 | Trojan.DownLoad1.58681 | 1590498 (4.76%) |
6 | Trojan.Packed.20878 | 1146053 (3.43%) |
7 | Win32.HLLW.Texmer.51 | 1118340 (3.35%) |
8 | Trojan.MulDrop.64589 | 1028999 (3.08%) |
9 | Win32.HLLM.Netsky.35328 | 1015202 (3.04%) |
10 | BackDoor.Pushnik.15 | 891865 (2.67%) |
11 | Trojan.Packed.20312 | 701617 (2.10%) |
12 | Trojan.DownLoad.41551 | 656401 (1.96%) |
13 | Trojan.Inject.57506 | 497520 (1.49%) |
14 | Trojan.Tenagour.9 | 413183 (1.24%) |
15 | Win32.HLLM.Beagle | 407862 (1.22%) |
16 | Trojan.Oficla.38 | 397622 (1.19%) |
17 | Trojan.PWS.Siggen.12160 | 396715 (1.19%) |
18 | BackDoor.Pushnik.16 | 350835 (1.05%) |
19 | Trojan.MulDrop1.54160 | 346882 (1.04%) |
20 | Trojan.Tenagour.3 | 340629 (1.02%) |
Всего проверено: 181,136,303,763
Инфицировано: 33,407,612 (0.02%)
01.01.2011 00:00 - 31.12.2011 12:00 | ||
1 | JS.Click.218 | 649941902 (41.66%) |
2 | Win32.Rmnet.12 | 191646201 (12.28%) |
3 | Win32.HLLP.Neshta | 101340344 (6.50%) |
4 | JS.IFrame.95 | 97233222 (6.23%) |
5 | Trojan.IFrameClick.3 | 73541845 (4.71%) |
6 | Win32.Siggen.8 | 73120975 (4.69%) |
7 | Win32.HLLP.Whboy.45 | 52610974 (3.37%) |
8 | JS.IFrame.112 | 51610991 (3.31%) |
9 | Trojan.Mayachok.1 | 31307098 (2.01%) |
10 | Win32.HLLP.Novosel | 28110942 (1.80%) |
11 | Win32.Virut | 22052927 (1.41%) |
12 | JS.IFrame.117 | 19982870 (1.28%) |
13 | Trojan.MulDrop1.48542 | 12240506 (0.78%) |
14 | Win32.HLLP.Whboy.101 | 10055899 (0.64%) |
15 | Trojan.Click.64310 | 9525911 (0.61%) |
16 | JS.Click.222 | 9510719 (0.61%) |
17 | Win32.HLLP.Rox | 7974734 (0.51%) |
18 | Win32.HLLP.Whboy | 6537319 (0.42%) |
19 | Win32.HLLW.Whboy | 5690725 (0.36%) |
20 | HTTP.Content.Malformed | 5507122 (0.35%) |
Всего проверено: 17,743,716,899,610,753
Инфицировано: 1,560,049,362 (0.00%)