Инструменты пользователя

Инструменты сайта


blog:axet:2009:11:04_октябрь_стал_месяцем_лже-антивирусов

Октябрь стал месяцем лже-антивирусов

DrWEB

Компания <a href=«http://www.itpedia.ru/index.php/%D0%94%D0%BE%D0%BA%D1%82%D0%BE%D1%80_%D0%92%D0%B5%D0%B1»>«Доктор Веб»</a> представила обзор вирусной активности за октябрь 2009 г., а также опубликовал две вирусные двадцатки. В целом октябрь показал, что основными каналами передачи вредоносных программ на компьютеры пользователей остаются электронная почта и вредоносные сайты, которые создаются злоумышленниками ежедневно и в огромном количестве.

Первая двадцатка включает вредоносные файлы, обнаруженные в октябре в почтовом трафике:

 1. Trojan.DownLoad.47256 10750198 (21,85%)
 2. Trojan.Fakealert.5115 7452584 (15,15%)
 3. Trojan.Fakealert.5238 5346181 (10,87%)
 4. Trojan.Packed.2915 2474234 (5,03%)
 5. Win32.HLLM.Netsky.35328 2248095 (4,57%)
 6. Trojan.DownLoad.37236 2078358 (4,22%)
 7. Trojan.Fakealert.5229 1961846 (3,99%)
 8. Trojan.Fakealert.5356 1821482 (3,70%)
 9. Trojan.DownLoad.50246 1724409 (3,51%)
10. Trojan.Fakealert.5437 1570923 (3,19%)
11. Trojan.Packed.683 1347946 (2,74%)
12. Trojan.Fakealert.5825 1164324 (2,37%)
13. Win32.HLLM.MyDoom.33808 1137315 (2,31%)
14. Win32.HLLM.Beagle 1109455 (2,26%)
15. Trojan.DownLoad.5637 895101 (1,82%)
16. Trojan.Fakealert.5457 868063 (1,76%)
17. Trojan.Fakealert.5784 650010 (1,32%)
18. Win32.HLLM.Netsky.based 593596 (1,21%)
19. Trojan.Fakealert.5311 593453 (1,21%)
20. W97M.Godzilla 499719 (1,02%)

Соответственно, вторая вирусная двадцатка содержит вредоносные файлы, обнаруженные в октябре на компьютерах пользователей:

 1. Trojan.DownLoad.47256 6767108 (17,74%)
 2. Trojan.Fakealert.5238 5646226 (14,80%)
 3. Trojan.Fakealert.5115 5035344 (13,20%)
 4. Trojan.Fakealert.5229 2455376 (6,44%)
 5. VBS.Sifil 1169118 (3,07%)
 6. Win32.HLLM.Netsky.35328 709710 (1,86%)
 7. Win32.HLLW.Shadow.based 680072 (1,78%)
 8. Win32.HLLM.Beagle 673072 (1,76%)
 9. JS.Nimda 657868 (1,72%)
10. BackDoor.IRC.Sdbot.5190 608800 (1,60%)
11. Trojan.DownLoad.5637 590821 (1,55%)
12. Win32.HLLW.Gavir.ini 579411 (1,52%)
13. Trojan.MulDrop.16727 562342 (1,47%)
14. Win32.HLLM.Netsky.based 550754 (1,44%)
15. Win32.Alman.1 542423 (1,42%)
16. Win32.HLLM.MyDoom.49 416950 (1,09%)
17. Win32.Sector.17 370738 (0,97%)
18. Win32.Virut.14 345415 (0,91%)
19. W97M.Thus 339490 (0,89%)
20. Trojan.Recycle 328507 (0,86%)

Как видно из первой таблицы, около половины составляют различные модификации Trojan.Fakealert. Это указывает на то, что лжеантивирусы стали основным источником дохода вирусописателей, считают в «Доктор Веб». В течение первых двух недель октября количество детектов лжеантивирусов, согласно серверу статистики «Доктор Веб», держалось на уровне более 2,5 млн в сутки. К настоящему времени количество детектов упало до 1 млн в сутки.

Основная доля лже-антивирусов в октябре распространялась в виде файла с названием install.exe, упакованного в ZIP-архив. Данный архив предлагался в качестве обновления используемой почтовой системы (при этом сообщение было написано от имени администратора почтового сервера, который используется) или же обновления конкретно почтового клиента Microsoft Outlook.

Также файлы этого типа распространялись в письмах, в которых говорилось о том, что пользователь нарушает авторские права, загружая из интернета объекты авторского права, и в приложенном архиве находится распечатка подозрительной активности пользователя за последние 6 месяцев. Кроме того, файл install.zip, содержащий очередную модификацию Trojan.Fakealert, позиционировался киберпреступниками как утилита для лечения локальной сети от сетевого червя Conficker (Win32.HLLW.Shadow.based по классификации Dr.Web).

Наравне с лже-антивирусами одной из наиболее серьёзных угроз для пользовательских данных в прошедшем месяце стали вредоносные программы, которые воруют параметры учётных записей для доступа к различным интернет-ресурсам, в том числе к электронным денежным счетам, социальным сетям и пр.

Наиболее заметным представителем этого класса вредоносных программ долгое время остаётся Trojan.PWS.Panda.122. Эта троянская программа «специализируется» на похищении паролей от различных сервисов, список которых злоумышленники передают с вредоносных сайтов. Список этот со временем может меняться. В качестве средства распространения трояна используются не только спам-письма со ссылками на вредоносные сайты, откуда производится загрузка программ, но и рассылки Trojan.PWS.Panda.122 под видом обновлений для почтового клиента Microsoft Outlook (в первой половине октября).

Так, в октябре компанией «Доктор Веб» была зафиксирована рассылка писем от имени Службы внутренних доходов (Internal Revenue Service, IRS). При этом в ряде случаев для хостинга вредоносных сайтов был использован сервис Yahoo! Geocities. В письмах адресатам предлагалось ознакомиться с текущим балансом выплат по налогам на сайте IRS, откуда пользователь под видом этой информации уже самостоятельно загружал вредоносную программу.

Наконец, с последней недели октября началась рассылка Trojan.PWS.Panda.122 от имени Федеральной корпорации по страхованию депозитов (Federal Deposit Insurance Corporation, FDIC). Пользователям сообщалось о том, что банк, в котором у пользователя находится вклад, был признан банкротом, и на сайте FDIC необходимо получить информацию о размере компенсации, на которую может рассчитывать вкладчик. Конечно же, пользователь вместо этого снова загружал к себе на компьютер очередную модификацию похитителя паролей.

Кроме Trojan.PWS.Panda.122, распространялись в октябре и другие похитители паролей. Например, в системах мгновенного обмена сообщений была заметна рассылка линков на вредоносные сайты, с которых неосторожные пользователи загружали одну из модификаций Trojan.PWS.LDPinch под видом популярного видеоролика.

На протяжении нескольких последних месяцев постоянно совершается рассылка различных модификаций двух типов вредоносных программ – Trojan.Botnetlog.11 и Trojan.BhoSpy.97 – под видом сообщений от компаний, осуществляющих курьерские услуги. В частности, от имени DHL и UPS. В письмах сообщается о том, что посылка не может быть доставлена по причине того, что пользователь сообщил несуществующий адрес.

В последние дни октября были также замечены рассылки Trojan.Botnetlog.11 от имени администрации социальной сети Facebook. В письмах сообщалось о том, что для повышения уровня информационной безопасности администрация Facebook ввела новую систему доступа пользователей к своим ресурсам. Для того чтобы ей воспользоваться, пользователь должен обновить свой аккаунт, пройдя по приведенной ссылке. На самом деле ссылка вела на подставной сайт, где под видом утилиты для обновления аккаунта распространялась вредоносная программа.

По данным «Доктор Веб», Trojan.Botnetlog.11 имеет возможность эксплуатировать известные уязвимости системы, в которой запускается. После установки и запуска в системе троян пытается связаться с сервером злоумышленника для получения команд и загрузки дополнительных компонентов вредоносной программы. Исполняемый код Trojan.Botnetlog.11 зашифрован с помощью специально разработанного алгоритма.

Trojan.BhoSpy.97 устанавливается в систему в качестве плагина браузера Microsoft Internet Explorer. Помимо возможности загружать файлы, составляющие основной функционал данной вредоносной программы, этот троян способен по команде удалять определённые системные файлы, делая систему неработоспособной.

источник CNews

Обсуждение

TaxiUberTaxiUber, 2017/02/13 09:15

Привет Всем! Наш таксопарк приглашает водителей к сотрудничеству‚ основная масса заказов собрана именно в Uber

<a href=https://partners.uber.com/i/m7yr9ue>Регистрация в Uber - жми</a>

Мы предлагаем: -Подработку или как основной вид заработка; -Гарантированный поток заказов‚ круглосуточно; -Удобная и простая система заказов; -Средней доход до 100 000 руб./месяц; -Свободный график работы; -Автоматическое распределение заказов; -Бесплатное обучение‚ возможность начать выполнять заказы сразу после подключения.

Звоните и пишите‚ всегда рады помочь в трудоустройстве!

Можете самостоятельно зарегистрироваться в Uber https://partners.uber.com/i/m7yr9ue

По всем вопросам звоните ежедневно с 10:00 до 17:00! 8-800-333-04-42 (звонок бесплатный)

럭키걸 Lucky girl럭키걸 Lucky girl, 2020/08/21 13:35

<a href=«https://www.dnfl150.com/yes» target=«_blank»>예스카지노</a> <a href=«https://www.dnfl150.com/first» target=«_blank»>퍼스트카지노</a> <a href=«https://www.dnfl150.com/theking» target=«_blank»>더킹카지노</a> <a href=«https://www.dnfl150.com/sands» target=«_blank»>샌즈카지노</a> <a href=«https://www.dnfl150.com/joy» target=«_blank»>조이카지노</a> <a href=«https://www.dnfl150.com/royal» target=«_blank»>로얄카지노</a> <a href=«https://www.dnfl150.com/starclub» target=«_blank»>스타클럽카지노</a> <a href=«https://www.dnfl150.com/asian» target=«_blank»> 아시안카지노</a> <a href=«https://www.dnfl150.com/superman» target=«_blank»>슈퍼맨카지노</a> <a href=«https://www.dnfl150.com/» target=«_blank»>카지노사이트</a>

OMG카지노OMG카지노, 2020/08/29 10:10

PLAY NEW CASINO GAMES ONLINE:

https://www.omgqq.com 우리카지노사이트 https://www.omgqq.com/thekingcasino 더킹카지노 https://www.omgqq.com/sandscasino 샌즈카지노 https://www.omgqq.com/firstcasino 퍼스트카지노 https://www.omgqq.com/yescasino 예스카지노 https://www.omgqq.com/supercaisno 슈퍼카지노 https://www.omgqq.com/gatsbycasino 개츠비카지노 https://www.omgqq.com/33casino 33카지노 https://www.omgqq.com/worldcasino 월드카지노 https://www.omgqq.com/blog

https://www.btlcasino.com 카지노사이트 https://www.btlcasino.com/theking 더킹카지노 https://www.btlcasino.com/sands 샌즈카지노 https://www.btlcasino.com/first 퍼스트카지노 https://www.btlcasino.com/yes 예스카지노 https://www.btlcasino.com/super 슈퍼카지노 https://www.btlcasino.com/gatsby 개츠비카지노 https://www.btlcasino.com/33 33카지노

럭키걸 Lucky girl럭키걸 Lucky girl, 2020/09/08 13:05

<a href=«https://www.dnfl150.com/yes» target=«_blank»>예스카지노</a> <a href=«https://www.dnfl150.com/first» target=«_blank»>퍼스트카지노</a> <a href=«https://www.dnfl150.com/theking» target=«_blank»>더킹카지노</a> <a href=«https://www.dnfl150.com/sands» target=«_blank»>샌즈카지노</a> <a href=«https://www.dnfl150.com/joy» target=«_blank»>조이카지노</a> <a href=«https://www.dnfl150.com/royal» target=«_blank»>로얄카지노</a> <a href=«https://www.dnfl150.com/starclub» target=«_blank»>스타클럽카지노</a> <a href=«https://www.dnfl150.com/asian» target=«_blank»> 아시안카지노</a> <a href=«https://www.dnfl150.com/superman» target=«_blank»>슈퍼맨카지노</a> <a href=«https://www.dnfl150.com/gatsby» target=«_blank»>개츠비카지노</a> <a href=«https://www.dnfl150.com/33casino» target=«_blank»>33카지노</a> <a href=«https://www.dnfl150.com/oncasino» target=«_blank»>온라인카지노</a> <a href=«https://www.dnfl150.com/» target=«_blank»>카지노사이트</a>

<a href=«https://www.ajp150.com/first» target=«_blank»>퍼스트카지노</a> <a href=«https://www.ajp150.com/theking» target=«_blank»>더킹카지노</a> <a href=«https://www.ajp150.com/sands» target=«_blank»>샌즈카지노</a> <a href=«https://www.ajp150.com/33casino» target=«_blank»>33카지노</a> <a href=«https://www.ajp150.com/worldcasino» target=«_blank»>월드카지노</a> <a href=«https://www.ajp150.com/korea» target=«_blank»>코리아카지노</a> <a href=«https://www.ajp150.com/» target=«_blank»>카지노사이트</a>

Только авторизованные участники могут оставлять комментарии.
blog/axet/2009/11/04_октябрь_стал_месяцем_лже-антивирусов.txt · Последние изменения: 2009/11/25 11:12 (внешнее изменение)