Вирусные угрозы марта 2010 года

В марте 2010 года ситуация с распространением вредоносных программ стабилизировалась, основные «вирусные ньюсмейкеры», такие как блокировщики Windows и баннеры в интернет-браузерах, сократили свое распространение. Лжеантивирусы продолжили свое распространение на территории англоязычных стран, постоянно изменяя свой внешний облик. Заметным событием марта стало также появление нескольких новых модификаций Trojan.Encoder.

Блокировщики Windows и баннеры в интернет-браузерах

Сравнивая месячный график распространения браузерных блокировщиков (Trojan.BrowseBan) и блокировщиков Windows (Trojan.Winlock), можно заметить, что они вернулись к уровню октября-ноября 2009 года. Но если взглянуть на недельный график, то можно увидеть, что распространение этих программ стабилизировалось на уровне около 10000 еженедельных детектов, что соответствует уровню в приблизительно 100000 зараженных систем в неделю.


В течение марта через систему технической поддержки пользователи прислали в адрес компании «Доктор Веб» более 100 уникальных скриншотов блокировщиков. Всего же обработанных службой техподдержки запросов по данной тематике — на порядок больше, так как очень редко пользователи имеют возможность получить изображения с зараженных компьютеров.


Блокировщики остаются одной из самых актуальных тем запросов пользователей в техподдержку по нескольким причинам. Во-первых, избавиться от них очень сложно, и они препятствуют работе на компьютерах, а во-вторых, это угрозы, действие которых наиболее заметно. В то время как большинство вирусных угроз действуют в системе скрытно, в связи с чем специалисты компании «Доктор Веб» рекомендуют пользователем антивирусных продуктов Dr.Web при появлении малейших косвенных признаков активного вирусного заражения обращаться в техническую поддержку.

Бот-сеть общается через Microsoft Word

Одним из представителей «подводного мира» вредоносных программ является троянец Trojan.Oficla, который позволяет владельцам бот-сетей, построенных с его помощью, скрываться в системе под процессом Microsoft Word, если эта программа установлена в системе.

Создатели Trojan.Oficla продают новые версии данной вредоносной программы другим злоумышленникам с целью создания все новых бот-сетей, которые работают по всему миру.

Как и в любой другой бот-сети, зараженные Trojan.Oficla компьютеры находятся под полным контролем ее владельца и могут загружать с сервера, принадлежащего злоумышленникам, другие типы вредоносных программ, устанавливать и запускать их в системе.

Сервер статистики компании «Доктор Веб» в течение марта 2010 года фиксировал в среднем около 100000 детектов данной вредоносной программы в неделю. Распространяется Trojan.Oficla по каналам электронной почты и через уязвимости в интернет-браузерах. Возможно распространение и по другим каналам — все зависит от фантазии владельца конкретной бот-сети.

Невидимый банкир

Другим представителем вирусного мира, работающим без привлечения внимания пользователя, является троянец Trojan.PWS.Ibank, различные модификации которого имеют возможность на зараженных системах получать информацию о параметрах доступа к интернет-аккаунтам клиентов крупных банков, расположенных в России. Для получения этих данных троянец использует функции эксплуатации уязвимостей ПО банков, с помощью которого их клиенты могут совершать операции со своими счетами через интернет.

Полученные данные параметров доступа отправляются к злоумышленникам. Также Trojan.PWS.Ibank имеет в своем составе функционал, с помощью которого отслеживает информацию, вводимую пользователем с клавиатуры.

Распространяется Trojan.PWS.Ibank неравномерно. В частности, в марте было зафиксировано несколько вспышек новых модификаций этого семейства вредоносных программ, которые по продолжительности занимали не более суток.

Лжеантивирусы

К концу марта обращения пользователей по поводу русскоязычных онлайновых лжеантивирусов практически прекратились, но распространение классических представителей этого типа программ (Trojan.Fakealert) продолжается на уровне 30 млн. детектов различных модификаций в месяц.

Схемы распространения лжеантивирусов отточены годами и не меняются. Корректируется их внешний вид — лжеантивирусы все больше напоминают тот или иной популярный продукт информационной защиты и используют новые методы социальной инженерии.