В течение последнего осеннего месяца специалистами компании было выявлено и исследовано большое количество угроз, ориентированных на пользователей различных информационных систем. В частности, в начале месяца в вирусные базы Dr.Web был добавлен троян, представляющий опасность для комплекса программных бизнес-решений SAP, и вредоносная программа, подменяющая поисковые запросы на компьютерах, работающих под управлением ОС Microsoft Windows. В середине месяца была зафиксирована массовая рассылка банковского трояна с использованием программы Skype, а также выявлены новые угрозы для мобильной платформы Android.
Согласно статистическим данным, полученным в ноябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, абсолютным «лидером» среди обнаруженных на компьютерах пользователей угроз стала вредоносная программа, добавленная в вирусные базы под именемTrojan.Packed.24524. Это приложение было обнаружено на компьютерах 12 450 раз, что составляет 2,88% от общего количества выявленных угроз. За непримечательным наименованием скрывается установщик рекламных программ и приложений сомнительной полезности, который злоумышленники распространяют под видом другого, легитимного ПО. Запустив такой установщик на своем компьютере, пользователь рискует стать «счастливым обладателем» нескольких тулбаров, уродующих окно браузера, или приложения, демонстрирующего на экране компьютера назойливую рекламу, рассказали CNews в «Доктор Веб».
Позиции со второй по пятую в ноябрьском перечне угроз, обнаруженных с использованием Dr.Web CureIt!, занимают рекламные трояны Trojan.LoadMoney.1, Trojan.InstallMonster.38, Trojan.LoadMoney.225 и Trojan.InstallMonster.28.
Рейтинг топ-20 наиболее распространенных вредоносных программ согласно собранной за истекший месяц статистике
В начале ноября специалисты «Доктор Веб» сообщили о распространении очередной модификации банковского трояна семейства Trojan.PWS.Ibank. В качестве основной особенности данной реализации вредоносной программы отмечалась ее способность проверять имена запущенных программ и встраиваться в их процессы, в том числе — в процесс клиента SAP, комплекса бизнес-приложений, предназначенных для управления предприятием.
Примечательно, что первая версия трояна, проверявшего наличие SAP в зараженной системе, получила распространение еще в июне: она была добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690, текущая же имеет обозначение Trojan.PWS.Ibank.752. Трояны Trojan.PWS.Ibank способны действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, и обладают весьма широким набором вредоносных функций, среди которых можно отметить следующие: похищение и передача злоумышленникам вводимых пользователем паролей; закрытие доступа к сайтам антивирусных компаний; выполнение команд, поступающих от удаленного командного сервера; организация на инфицированном компьютере прокси-сервера и VNC-сервера; уничтожение по команде операционной системы и загрузочных областей диска.
На сегодняшний день трояны семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows.
В ноябре специалистами «Доктор Веб» было также зафиксировано увеличение числа троянов-шпионов, крадущих конфиденциальную информацию у пользователей мобильных устройств. Так, в течение месяца вирусные базы пополнились записями для нескольких новых модификаций вредоносных программ семейств Android.Spy, Android.SmsSpy и Android.Tempur, предназначенных для перехвата SMS-сообщений и получения других персональных сведений. Подобные трояны представляют опасность не только тем, что способны передавать злоумышленникам информацию об SMS-переписке пользователей, но также позволяют им получить доступ к банковским счетам и операциям с кредитными картами жертв, так как среди перехватываемых сообщений могут содержаться SMS с одноразовыми mTAN-кодами и аутентификационными данными, необходимыми для авторизации в системах банк-клиент, пояснили в компании.
География распространения таких вредоносных программ в настоящее время охватывает многие страны, однако немалая их доля сосредоточена в Южной Корее. Примечательно, что для данного региона наиболее популярным методом доставки мобильных троянов является использование нежелательных SMS-сообщений, содержащих ссылку на загрузку вредоносного приложения. За прошедший месяц специалистами «Доктор Веб» было выявлено более 100 случаев применения подобных рассылок.
В минувшем месяце без внимания киберпреступников не остались и китайские пользователи Android: в ноябре специалистами компании был обнаружен новый представитель известного семейства вредоносных программ Android.SmsSend, добавленный в вирусную базу под именем Android.SmsSend.946.origin. Данный троян распространялся на различных китайских веб-сайтах, содержащих ПО для операционной системы Android. С целью увеличения вероятности успешной загрузки вредоносной программы злоумышленники применили широко распространенный для китайского киберпреступного рынка метод, а именно — внедрили трояна в несколько популярных игровых приложений. Попадая на мобильное устройство жертвы, Android.SmsSend.946.origin незаметно для нее может выполнить отправку премиум-сообщений, тем самым подписывая владельца инфицированного устройства на нежелательные услуги.
В середине месяца специалистами «Доктор Веб» были многочисленные случаи распространения вредоносной программы Trojan.Hiloti с использованием взломанных веб-сайтов. Данная угроза предназначена для подмены на компьютере жертвы поисковой выдачи. Загрузка трояна на компьютеры потенциальных жертв осуществляется с использованием уязвимостей CVE-2012-4969, CVE-2013-2472, CVE-2013-2465 и CVE-2013-2551, а также методов социальной инженерии.
Также в ноябре была зафиксирована массовая Skype-рассылка, с помощью которой злоумышленники распространяли банковского трояна семейства BackDoor.Caphaw. Рассылаемые пользователям сообщения включали в себя ссылку на архив с именем invoice_ХХХХХ.pdf.exe.zip (где ХХХХХ — произвольный набор цифр). В свою очередь, архив содержал исполняемый файл, представляющий собой троянскую программу BackDoor.Caphaw. По словам экспертов «Доктор Веб», вредоносные программы семейства BackDoor.Caphaw обладают достаточно обширным функционалом и представляют для своих жертв серьезную опасность.
В погоне за наживой киберпреступники обычно не останавливаются ни перед чем, стараясь всеми возможными способами ввести потенциальных жертв в заблуждение и заставить их установить на свои компьютеры вредоносные программы. Именно так поступают распространители трояна Trojan.Lyrics, предназначенного для демонстрации в окне браузера навязчивой рекламы. С помощью этой программы меломаны якобы получат возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, то есть превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах или на страницах социальных сетей. Trojan.Lyrics можно скачать и с нескольких официальных сайтов разработчиков трояна, но чаще эта программа скрытно устанавливается на компьютер вместе со свободным ПО, загруженным из интернета. В последнее время специалисты «Доктор Веб» зафиксировали значительное увеличение числа случаев заражения этой вредоносной программой.