"Лаборатория Касперского": Обзор вирусной активности - июль 2011

В течение месяца на компьютерах пользователей продуктов "Лаборатории Касперского":

• отражено 182 045 667 сетевых атак; bзаблокировано 75 604 730 попыток заражения через Web;
• обнаружено и обезврежено 221 278 929 вредоносных программ (попытки локального заражения);
• отмечено 94 004 507 срабатываний эвристических вердиктов.

В сравнении с предыдущим месяцем ситуация выглядит следующим образом:

Количество детектов различных категорий. Данные KSN

Google против доменной зоны co.cc

Одним из самых интересных событий прошедшего месяца стало исключение компанией Google из своей поисковой выдачи более 11 млн. адресов вида *.co.cc. Забаненная доменная зона - одна из крупнейших в мире, она занимает 4-е место после .com, .de и .net по количеству зарегистрированных имен.

Причиной для исключения послужило то, что в большинстве случаев домены с такими адресами используются злоумышленниками для распространения поддельных антивирусов или проведения drive-by атак. Стоит отметить, что зона .cc принадлежит Кокосовым островам, тогда как домен co.cc принадлежит частной компании из Южной Кореи. Популярность co.cc у мошенников обусловлена тем, что регистратор позволяет осуществлять бесплатную и/или очень дешевую регистрацию доменных имен третьего уровня.

В результате проведенного нами исследования выяснилось, что после предпринятых Google мер злоумышленники действительно стали реже использовать домены на co.cc, однако начали активнее пользоваться услугами регистраторов других зон. В этой связи оценить пользу от действия Google сложно. Конечно, адреса множества вредоносных сайтов теперь не будут выдаваться поисковой системой, однако вместо .co.cc появятся аналогичные домены, но уже на другой площадке. При этом не стоит забывать и о честных владельцах доменов, которые попали "под горячую руку" Google.

Количество уникальных пользователей, защищенных от атак
с использованием доменных имен в зоне co.cc. Данные KS

ZeuS для Android

В июле был обнаружен четвертый представитель троянца-шпиона ZitMo - мобильный вариант нашумевшего троянца ZeuS. Если раньше мы сталкивались с вариациями ZitMo, работающими под плафтормами Symbian, Windows Mobile и BlackBerry, то на этот раз ZitMo был модифицирован для атак на Android-устройства.

ZitMo (по классификации "Лаборатории Касперского" - Trojan-Spy.AndroidOS.Zbot) нацелен на кражу кода mTAN - одноразового пароля для совершения удаленной транзакции, который клиент банка получает в сообщении SMS. Этот код обеспечивает второй уровень защиты при использовании услуг онлайн-банкинга.

Зловред устанавливается на смартфон самим пользователям, но с подачи бэкдора ZeuS, который предлагает установить якобы приложение для безопасности. Если компьютер пользователя заражен ZeuS, а его мобильный телефон - ZitMo, злоумышленники не только получают доступ к банковскому аккаунту пользователя, но и могут перехватывать присланный банком одноразовый пароль для совершения транзакции. Так что в этом случае даже аутентификация с помощью mTAN-кодов не спасет пользователя от кражи денег с его банковского счета.

По-видимому, с развитием защиты онлайн-банкинга для увеличения вероятности успешной кражи денег со счетов пользователей злоумышленники все чаще будут дополнять троянцев-шпионов, орудующих на компьютерах пользователей, мобильными модулями. Пользователям следует внимательнее относиться к программам, устанавливаемым на смартфон. Теперь там может поселиться действительно опасный зверь.

Распределение троянца ZitMo по мобильным платформам. Данные KSN

Кража "миль"

В прошедшем месяце эксперты "Лаборатории Касперского" отметили интересный факт: бразильские фишеры, помимо данных банковских счетов, начали похищать и "летные мили". Более того, мошенники используют "мили" не только по прямому назначению, но и в качестве валюты. Так, в одном из IRC-сообщений киберпреступники предлагают купить доступ к ботнету, способному рассылать спам, за 60 000 "миль", а также меняют "мили" на украденные кредитные карточки. Это соответствует нашим прогнозам на 2011 год: мы говорили о том, что злоумышленники не станут пренебрегать никакой информацией и будут красть буквально все.

Утечка персональных данных в Рунете

В июле были зафиксированы случаи утечки персональных данных, ставшие самыми масштабными за всю историю Рунета. Началось с того, что 18 июля в кэш российской поисковой системы "Яндекс" попали тексты 8 тысяч SMS, которые были отправлены пользователями через сайт сотового оператора "Мегафон". Текстовые сообщения находились в открытом доступе в течение нескольких часов.

Причиной инцидента стал неправильно установленный на сайте "МегаФона" модуль сервиса "Яндекс.Метрика", который используется для измерения посещаемости сайта и анализа поведения пользователей. Эта система передала страницы с сообщениями в индексацию поисковой машины.

Позже в прессе появилась еще одна неприятная новость: при правильно составленном поисковом запросе пользователи Google, Яндекс и Mail.ru могли получить полную информацию о заказчиках интим-магазинов, а также данные о покупателях железнодорожных билетов, использующих один из профильных российских сайтов.

Стоит отметить, что проблема еще и в неправильно сконфигурированном файле robots.txt, отвечающем за индексирование страниц. И ответственность за это ложится на администраторов сайтов.

Рейтинг вредоносных программ

На протяжении многих месяцев TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей, практически неизменен, в то время как рейтинг зловредов в интернете регулярно обновляется новыми представителями. К примеру, в июле в этом рейтинге - 60% новичков! Это связано с тем, что в итнернете преобладают вредоносные скрипты, которые обычно живут не на пользовательских машинах, а на удаленных серверах. Злоумышленники их регулярно обновляют. В то же время в TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей, преобладают сетевые черви, такие как Kido, и вирусы (например, Sality). Такие программы могут долго оставаться на зараженной машине, не защищенной антивирусом. При этом они постоянно пытаются заразить другие компьютеры через сетевые папки или сменные носители, что приводит к срабатываниям антивируса на защищенных машинах.

Злоумышленники в большинстве случаев стали очень быстро обновлять вредоносные программы. В связи со скоротечностью жизни каждой из модификаций, их трудно детектировать сигнатурами, и они довольно редко попадают в топы. Но антивирусная индустрия использует не только сигнатурный метод детектирования - эвристические и облачные технологии успешно справляются с такими угрозами.

Drive-by атака остается одним из самых популярных способов доставки вредоносной программы на компьютер жертвы. Вследствие чего каждый месяц в TOP 20 вредоносных программ в интернете появляются новые зловреды, с помощью которых проводятся подобные атаки: редиректоры, скриптовые загрузчики и эксплойты. В июльской двадцатке их насчитывается 11.

TOP 20 вредоносных программ в интернете

Позиция	Изменение позиции	Вредоносная программа
1	0	AdWare.Win32.FunWeb.kd
2	1	AdWare.Win32.FunWeb.jp
3	1	Trojan.JS.Popupper.aw
4	New	Trojan-Downloader.JS.Agent.gcv
5	1	Trojan.HTML.Iframe.dl
6	2	Trojan.JS.Redirector.py
7	6	Trojan-Downloader.JS.Agent.gay
8	New	Hoax.HTML.FraudLoad.a
9	0	Trojan.JS.Redirector.qb
10	New	Trojan-Downloader.JS.Agent.gdy
11	New	Trojan-Downloader.Win32.Adload.ajek
12	New	Trojan-Downloader.JS.Iframe.chf
13	New	Hoax.HTML.BroUpdate.af
14	New	Exploit.JS.Pdfka.efl
15	New	Trojan-Downloader.JS.Agent.gdk
16	New	Exploit.JS.CVE-2010-4452.t
17	3	Hoax.Win32.Screensaver.b
18	New	AdWare.Win32.Shopper.ds
19	New	AdWare.Win32.Gamevance.hfti
20	New	Trojan-Downloader.JS.Expack.as

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей

Позиция	Изменение позиции	Вредоносная программа
1	0	Net-Worm.Win32.Kido.ir
2	0	AdWare.Win32.FunWeb.kd
3	0	Virus.Win32.Sality.aa
4	0	Net-Worm.Win32.Kido.ih
5	0	Trojan.Win32.Starter.yy
6	0	Virus.Win32.Sality.bh
7	0	Virus.Win32.Sality.ag
8	3	Virus.Win32.Nimnul.a
9	0	HackTool.Win32.Kiser.il
10	-2	Trojan-Downloader.Win32.Geral.cnh
11	-1	AdWare.Win32.HotBar.dh
12	0	Trojan-Downloader.Win32.FlyStudio.kx
13	2	Worm.Win32.Mabezat.b
14	New	Trojan.Win32.AutoRun.bhs
15	-1	Worm.Win32.FlyStudio.cu
16	1	Hoax.Win32.Screensaver.b
17	New	Trojan-Dropper.VBS.Agent.bp
18	-2	HackTool.Win32.Kiser.zv
19	-1	Trojan-Downloader.Win32.VB.eql
20	Return	Exploit.Win32.CVE-2010-2568.d