Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Российские «винлоки», европейские «банкиры» и другие угрозы июня 2010 года

2 июля 2010 года

Блокировщики Windows продолжают оставаться одной из основных вирусных угроз 2010 года в России. Причем до 30% трафика блокировщиков в июне составили те разновидности, которые требуют пополнить счёт мобильного телефона злоумышленника через терминал. Завсегдатаи социальных сетей также находятся под ударом – при попытке зайти на свои любимые сайты они могут получить сообщение о блокировке аккаунта с требованием отправить платное SMS-сообщение. Тем временем в Европе в течение первого летнего месяца распространялись банковские троянцы, вынуждавшие клиентов банков отправлять злоумышленникам TAN-коды. Эти коды используются некоторыми банками для однократной авторизации транзакций – но даже такие меры предосторожности со стороны банков не всегда спасают доверчивых пользователей от ущерба, наносимого злоумышленниками.

Противодействие блокировщикам Windows

Пока блокировщики Windows продолжают терроризировать пользователей, компания «Доктор Веб» большое внимание уделяет оказанию помощи пострадавшим. Изначально форма разблокировки, разработанная специалистами компании, была интегрирована в одну из новостей на эту тему, и стала первым сервисом в Интернете, помогающим жертвам блокировщиков вернуть доступ к своим компьютерам.

Следующим шагом стало создание в январе 2010 года сайта Dr.Web Unlocker. В его рамках были реализованы формы, предлагающие код разблокировки для известных комбинаций коротких номеров телефонов и текстов сообщений. Со временем появились алгоритмы, по возможности генерировавшие коды разблокировки и для отсутствующих в базе сайта комбинаций. С 31 января 2010 года этот ресурс использовался более 3 млн. раз, было зафиксировано около 1,5 млн. уникальных посетителей. В настоящее время сервис разблокировки компании «Доктор Веб» посещают до 25 000 уникальных пользователей в выходные и до 39 000 в рабочие дни. Сейчас это уже не просто выдача кода из базы, чётко связанного с парой «номер телефона – текст сообщения». Это – производственный процесс, в разработке, ежедневной модернизации и реализации которого принимают участие специалисты различных отделов компании. Его цель – повышение качества помощи пострадавшим от блокировщиков.

Несмотря на то, что компания «Доктор Веб» и раньше оказывала бесплатную помощь пострадавшим от «винлоков», 23 июня был сделан ещё один шаг для решения проблемы блокировщиков. Специалисты технической поддержки компании начали оказывать бесплатную помощь официально, для тех, кому не помог сайт Dr.Web Unlocker. Причем поддержку получают все пользователи, вне зависимости от «марки» используемого антивируса. Только в первые сутки работы нового сервиса было зафиксировано 2000 обращений. Сейчас по вопросам разблокировки в техподдержку компании обращаются от 500 до 1500 пользователей ежедневно. В пиковые часы количество обращений на эту тему составляет до 95% от числа всех запросов. На сегодняшний день либо на своих компьютерах, либо на ПК своих родственников и знакомых с блокировщиками встречались около 90% российских интернет-пользователей. Проблема стала общей для интернет-сообщества, и «Доктор Веб» в этой ситуации не может оставаться в стороне. Для борьбы с эпидемией был избран комплексный подход, включающий помощь пострадавшим, взаимодействие с правоохранительными органами, а также широкое информирование о текущей ситуации в борьбе с блокировщиками, методах предотвращения заражения системы и ее лечении в случае блокировки.

В июне сервером статистики «Доктор Веб» было зафиксировано более 420 000 детектов блокировщиков (в мае – более 940 000). Большинство этих троянцев Dr.Web определяет как Trojan.Winlock, Trojan.Adultban и Trojan.Packed.20343.

К концу июня в 30% случаев заражения блокировщиками злоумышленники требовали не отправки SMS-сообщений, а перечисления денег на счёт мобильного телефона через терминал оплаты. Изучив множество случаев заражений такими блокировщиками, специалисты компании «Доктор Веб» пришли к выводу, что в подавляющем числе случаев коды разблокировки невозможно получить после оплаты указанным способом, т.е. пользователей обманывают дважды. Это лишний раз подчёркивает один из главных тезисов: какой бы безвыходной ни казалась ситуация, не стоит отправлять злоумышленникам деньги! По поводу данного типа блокировщиков «Доктор Веб» также сотрудничает с правоохранительными органами. Параллельно идёт работа по оптимизации вывода кодов разблокировки для таких блокировщиков.

Представляем вашему вниманию галерею изображений блокировщиков, которые наиболее часто встречались в июне.

Социальные сети – лакомый кусочек для злоумышленников

Многие пользователи, обращаясь в компанию «Доктор Веб» по проблеме блокировщиков, сообщают о том, что не могут зайти на сайты социальных сетей и бесплатных служб электронной почты – при попытке захода выводится сообщение о том, что аккаунт заблокирован, например, за рассылку спама, и для восстановления доступа требуется отправить SMS-сообщение. Вредоносные программы, ответственные за такие сообщения, определяются Dr.Web как Trojan.Hosts.

В конце июня пользователи сообщали о том, что стали появляться и такие модификации Trojan.Hosts, которые, как и многие новые блокировщики Windows, требуют отправить деньги злоумышленникам посредством терминалов.

Специалисты техподдержки «Доктор Веб» помогают и тем, кто обращается по поводу лечения данных вирусов, т.к. Trojan.Hosts и Trojan.Winlock используют одинаковые схемы монетизации преступного дохода, представляя собой звенья одной цепочки.

Пользователи интернет-банкинга под угрозой

Из Европы в июне поступали сообщения о широком распространении вредоносных программ, нацеленных на клиентов банков, которые используют системы интернет-банкинга. В частности, пострадали пользователи австрийского банка Volksbank и немецкого Postbank.

Для повышения безопасности интернет-операций со счетами данные банки используют систему TAN-кодов, уникальных для каждой транзакции. Таким образом, в руки злоумышленникам не может попасть единый PIN-код, соответствующий банковской карточке. Но киберпреступники имеют в своём арсенале способ обойти и эту защиту. Так, пользователи, чьи компьютеры заражены такими банковскими троянцами (по классификации Dr.Web это Trojan.PWS.Banker и Trojan.PWS.Bancos), при попытке воспользоваться системами интернет-банкинга получали сообщения о необходимости ввести TAN-коды, которые и попадали в руки злоумышленников.

При посещении сайтов интернет-банкинга, на которые ориентирован данный троянец, программа определяла, какой из браузеров используется, и активизировалась только в случае если это был Internet Explorer. Это лишний раз свидетельствует о том, что пользователи альтернативных браузеров на сегодняшний день могут обеспечить себе более высокий уровень безопасности в Сети.

Среди общих тенденций июня также можно отметить сохраняющуюся активность бот-сети Oficla – в июньской двадцатке наиболее часто встречающихся в почтовом трафике вредоносных программ различные модификации Trojan.Oficla занимают сразу 4 позиции. Также стоит упомянуть заметное количество скриптов, определяемых Dr.Web как JS.Redirector.based.3. Эти скрипты определялись в многочисленных HTML-документах, приложенных к спам-сообщениям. При открытии такого вложения пользователь перенаправлялся либо на ресурсы, распространяющие вредоносные программы, либо на сайты с рекламой, как правило – медицинских препаратов.

Вредоносные файлы, обнаруженные в июне в почтовом трафике

01.06.2010 00:00 - 01.07.2010 00:00

1

Trojan.DownLoad1.58681

94881 (10.75%)

2

Trojan.Oficla.38

90647 (10.27%)

3

Trojan.Winlock.1651

73241 (8.30%)

4

Trojan.Oficla.zip

53192 (6.03%)

5

JS.Redirector.based.3

49394 (5.60%)

6

Trojan.Oficla.45

36125 (4.09%)

7

Trojan.Inject.8798

32974 (3.74%)

8

Win32.HLLW.Shadow.based

31944 (3.62%)

9

Trojan.Botnetlog.zip

28964 (3.28%)

10

Trojan.Packed.20425

22365 (2.53%)

11

Trojan.DownLoad1.62000

22311 (2.53%)

12

Trojan.Click1.10425

22229 (2.52%)

13

Win32.HLLW.Kati

16839 (1.91%)

14

Trojan.Inject.8874

12293 (1.39%)

15

Trojan.DownLoader.origin

10000 (1.13%)

16

Trojan.Siggen1.41503

9198 (1.04%)

17

Trojan.Oficla.33

7436 (0.84%)

18

Trojan.Packed.436

6902 (0.78%)

19

Win32.HLLW.Shadow.6

6765 (0.77%)

20

Win32.HLLW.Autoruner.4360

5299 (0.60%)

Всего проверено:13,188,581,400
Инфицировано:847,004 (0.0642%)

Вредоносные файлы, обнаруженные в июне на компьютерах пользователей

01.06.2010 00:00 - 01.07.2010 00:00

1

Trojan.Inject.8798

1265565 (13.62%)

2

Trojan.Siggen1.37243

678958 (7.31%)

3

ACAD.Pasdoc

672529 (7.24%)

4

Trojan.Packed.20343

301736 (3.25%)

5

Trojan.Siggen1.51699

280021 (3.01%)

6

Win32.HLLW.Gavir.ini

279207 (3.01%)

7

Win32.HLLW.Shadow

263432 (2.84%)

8

Win32.HLLW.Shadow.based

263423 (2.84%)

9

Trojan.Siggen1.40023

227444 (2.45%)

10

Trojan.AuxSpy.229

217638 (2.34%)

11

Win32.HLLP.Jeefo.36352

214459 (2.31%)

12

Win32.HLLP.Neshta

214243 (2.31%)

13

VBS.Sifil

207502 (2.23%)

14

Trojan.DownLoad.32973

205901 (2.22%)

15

Trojan.WinSpy.641

198304 (2.13%)

16

Win32.HLLW.Autoruner.5555

125789 (1.35%)

17

Adware.OSSProxy

96510 (1.04%)

18

Win32.HLLM.Generic.440

84592 (0.91%)

19

BackDoor.IRC.Sdbot.4590

72811 (0.78%)

20

VBS.Autoruner.8

63321 (0.68%)

Всего проверено:64,422,986,656
Инфицировано:9,288,857 (0.0144%)

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии