Аналитический обзор вирусной активности

за первое полугодие 2012 года

Герасименко АлексейВирусный аналитик компании

«ВирусБлокАда»

Распространённые мошеннические

программы FakeAV – поддельный антивирус; ArchSMS – поддельный SFX архив; Winlock – блокировщик Windows; Ransom Encoder – шифрователь файлов; Trojan.Cidox (Mayachok) –

комбинированная угроза.

FakeAV – поддельный антивирус Заражение обычно происходит

добровольно: пользователь, заходя на сайт, соглашается на предложение бесплатно просканировать систему на предмет вредоносных программ.

Сразу же после установки FakeAV начинает имитировать сканирование диска и находит огромное число якобы опаснейших угроз, для устранения которых требуется купить «антивирус».

  

Герасименко Алексей, www.anti-virus.by

ArchSMS – поддельный SFX архив

Обычно их получают при поиске информации в интернете. Это происходит, поскольку сайты, распространяющие подобные программы, используют поисковую оптимизацию.

Маскируются под SFX архивы или под установщики программ. Требуют отправки одного или нескольких СМС сообщений для продолжения «распаковки».

От платной «установки» можно отказаться.

Winlock – блокировщик Windows

Winlock (LockScreen) – мошенническая программа, блокирующая работу Windows и требующая оплатить разблокировку.

Герасименко Алексей, www.anti-virus.by

Ransom Encoder

Ransom Encoder – мошеннические программы для шифрования файлов пользователя с целью получения выкупа за их расшифровку.

Попав на компьютер, они начинают сканировать диск в поисках важных для пользователя файлов (музыки, изображений, документов и т.д.), и искажают их.

Герасименко Алексей, www.anti-virus.by

Trojan.Cidox (Mayachok)

По функционалу – комбинация свойств FakeAV и ArchSMS.

Внедряясь в систему, троян подменяет страницу браузера, сообщая о попытке заражения системы и необходимости обновления браузера.

Для обновления браузера требуется отправка СМС.

Рекомендации:

Не поддавайтесь на уловки мошенников, не отправляйте им деньги – отправка СМС или денежного перевода не гарантирует Вам ничего, кроме потери денег;

Не открывайте подозрительные файлы, скачанные из интернета.

Герасименко Алексей, www.anti-virus.by

Banker – банковские трояны

Нацелены на кражу финансовых данных пользователя, относящихся к системам электронных денег и пластиковых карт.

Zbot

Trojan.Zbot (Zeus bot) – типичный представитель этого семейства, заразивший большое число компьютеров по всему миру.

Zbot только в США заразил 3,6 млн компьютеров, 100 тыс – в Британии.

Он отслеживает и записывает нажатия клавиш, а также информацию, вводимую в браузер, позволяя злоумышленникам таким образом получать данные о пластиковой карточке – её номер, PIN-код. Герасименко Алексей, www.anti-virus.by

Carberp

Trojan.Carberp – банковский троян, наиболее распространённый в России и странах СНГ и направленный на пользователей отечественных платёжных систем и банков, в частности: iBank; CyberPlat; Инист; БСС Банк; Сбербанк; УкрСибБанк.

Обладает функционалом бэкдора.Герасименко Алексей, www.anti-virus.by

Распространённость Carberp

Герасименко Алексей, www.anti-virus.by

Рекомендации:

Не открывайте электронные письма от незнакомых людей, и тем более не пытайтесь открыть вложения, даже если они выглядят как картинки или pdf документы.

Не переходите по пришедшим Вам подозрительным ссылкам (например, по Skype), не смотря ни на какие заманчивые предложения мошенников.

Герасименко Алексей, www.anti-virus.by

Backdoor

Backdoor – разновидность вредоносных программ, которые позволяют скрыто удалённо управлять заражённым компьютером.

Получив контроль над компьютером, злоумышленник может: скачивать или отправлять файлы, запускать и удалять их, отправлять спам, осуществлять с него сетевые атаки, и т. п.

Часто используются для объединения компьютеров в ботнеты, централизованно управляемые злоумышленниками.

Герасименко Алексей, www.anti-virus.by

NgrBot

Backdoor.NgrBot (Dorkbot) – один из современных бэкдоров, который:

Блокирует доступ к антивирусным сайтам;

Крадёт логины и пароли пользователей, хранимые в браузерах;

Выполняет сетевую атаку типа DDoS;

Перенаправляет или блокирует доступ к сайтам;

Распространяется через флэшки и средства обмена мгновенными сообщениями.

Герасименко Алексей, www.anti-virus.by

Рекомендации:

Отключите автозапуск со съёмных накопителей информации.

Включите отображение расширений, скрытых и системных файлов.

Не открывайте исполняемые файлы на флэшке (с расширением exe, scr, com, cmd) с подозрительным ярлыком, например похожим на папку.

Герасименко Алексей, www.anti-virus.by

Worm

Worm (Червь) - вредоносная программа, обладающая способностью к самостоятельному размножению в компьютерных сетях через сетевые ресурсы.

Черви ищут в сети другие компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). Герасименко Алексей, www.anti-virus.by

Kido

Worm.Kido (Conficker) – один из известнейших современных компьютерных червей. Эпидемия началась осенью 2008 года, и червь остаётся популярным до сих пор.

Для своего распространения использует критическую уязвимость MS08-067;

Умеет подбирать простые пароли для проникновения на компьютер по сети;

Также распространяется через флэшки; Останавливает системные службы и

скачивает произвольные файлы.

Герасименко Алексей, www.anti-virus.by

Эксплуатация уязвимостей в операционных системах и приложениях является одним из самых популярных методов проникновения вредоносных программ на сегодняшний день.

Zero-day attack

Хакеры продолжают активно эксплуатировать уязвимости Java

Источник: Microsoft Security Intelligence Report (SIR)

Рекомендации:

Используйте сложные пароли;

Регулярно обновляйте Windows;

Обновляйте браузер и встроенные в него расширения: Adobe Reader, Java, Flash player;

И конечно же, регулярно обновляйте антивирус.

Герасименко Алексей, www.anti-virus.by

Немного цифр

Распределение вредоносных программ по типам(в обновлениях антивирусных баз за апрель 2012

года)

Adware2%

Backdoor12%

Trojan73%

Worm4%

Other10%

Adware

Backdoor

Trojan

Worm

Other

Заражённость ОС (4 квартал 2011 г.)

Vista инфицируется чаще, чем XP

Согласно сообщению экспертов из компании Microsoft, тенденция к увеличению случаев инфицирования операционных систем на базе ОС Windows Vista может быть связана с прекращением поддержки разработчиками первого пакета обновлений (Service Pack 1, SP1).

Герасименко Алексей, www.anti-virus.by

Чего ждать в 2012 году?

Тенденции 2011 года2010

2012

Социальная инженерия

Использование уязвимостей

Отклик на мировые события(спам, фишинг)

Специализированные угрозы

Развитие технологий сокрытия

Выводы

• 2012 год продолжает тенденции 2011 года;

• Киберпреступники пытаются и будут продолжать попытки красть информацию и деньги пользователей любыми возможными средствами.

Спасибо за внимание!

ГерасименкоАлексей вирусный аналитиккомпании

«ВирусБлокА »даwww.anti-virus.by

e-mail: ag@anti-virus.by

@VirusBlokAda

facebook.com/VirusBlokAda

virusblokada.blog.tut.byvk.com/VirusBlokAda

Наш антивирусный блог