Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Привычные и непривычные формы обмана: вирусный октябрь 2010 года.

Конференция по виртуализации, прошла как всегда на высоте: удалось познать много нового, пообщаться с коллегами, пообщаться с экспертами VmWare (это для меня наиболее ценно).  Удалось прояснить для себя массу вопросов. К сожалению в этот раз не удалось взять с собой фотик, но в следующий раз обязательно возьму.

Ну а теперь про вирусняки…

Компания «Доктор Веб» представила отчет «Привычные и непривычные формы обмана: вирусный октябрь 2010 года».

Как отмечается в отчете, октябрь в очередной раз показал многообразие способов интернет-мошенничества, при этом злоумышленники использовали новые варианты известных ранее схем перенаправления пользователей интернет-браузеров со страниц популярных веб-сайтов на вредоносные страницы. Также вирусописатели использовали высокую популярность некоторых «нашумевших» вредоносных программ для распространения других вирусов под видом вакцины от них. Тем временем противостояние вредоносных и антивирусных программ постепенно выходит на новое поле 64-битных платформ.

Обратная сторона известности вирусов

В то время как антивирусные компании изучают новые вредоносные программы и публикуют результаты своих исследований в СМИ, повышая уровень знаний пользователей, злоумышленники тоже пользуются этими знаниями, распространяя одни вредоносные программы под видом утилит для лечения других, более известных.

В октябре специалисты компании «Доктор Веб» выявили сразу несколько подобных случаев. Наиболее известным из них стала рассылка злоумышленниками утилиты, которая якобы противодействуют знаменитому (с сентября 2010 года) Trojan.Stuxnet, от имени известных производителей антивирусов. Ложная утилита определяется Dr.Web как Trojan.KillAll.94. Сообщения о распространения данного троянца поступали от пользователей из европейских стран.

Распространители ложных самораспаковывающихся архивов (Trojan.SMSSend) воспользовались тем, что некоторые виды их «продукции» (например, WinRARC) стали достаточно популярны, и некоторые пользователи не обращают внимание на то, что данные «архивы» не содержат никакой полезной информации. И тогда киберпреступники пошли еще дальше: начали распространять другие ложные архивы — якобы утилиты для распаковки файлов, созданных в «архиваторе» WinRARC. Конечно, для использования этой «утилиты» потребуется снова отправить деньги злоумышленникам.

В последних числах октября начала распространяться новая модификация Trojan.Hosts, ориентированная на русскоязычных пользователей. В ней сообщается о том, что компьютер заражен одной из модификаций троянца Zbot (Trojan.PWS.Panda по классификации Dr.Web), а для лечения системы предлагается отправить платное СМС-сообщение.

Интернет-мошенничество в октябре

Как отмечается в отчете компании «Доктор Веб», в целом число обращений в бесплатную техподдержку компании в связи со случаями интернет-мошенничества за октябрь осталось практически на сентябрьском уровне, составив 118 обращений в сутки против 124 в сентябре.

Основная часть запросов была создана в первой половине месяца, когда активно распространялся троянец Trojan.HttpBlock. В пиковые дни фиксировалось до нескольких сотен обращений в техподдержку по этому поводу (до 80% всех обращений).

Данная вредоносная программа перенаправляет интернет-браузер на страницы, передаваемые веб-сервером, который Trojan.HttpBlock устанавливает локально на компьютер жертвы. После этого злоумышленники требуют выкуп за восстановление нормальной работы интернет-браузера.

После появления новости о широком распространении Trojan.HttpBlock агрегаторы коротких номеров сообщений оперативно отреагировали на ситуацию, заблокировав аккаунты злоумышленников.

Вместе со спадом волны Trojan.HttpBlock наиболее распространенными вредоносными программами, как и прежде, стали блокировщики Windows (Trojan.Winlock), требующие отправить деньги на счет мобильного телефона с помощью терминала, и троянцы, модифицирующие системный файл hosts для перенаправления пользователей на вредоносные сайты при попытке посетить сайты социальных сетей, либо другие популярные интернет-ресурсы (Trojan.Hosts).

К концу октября чаще стали встречаться схемы, при которых злоумышленники требуют от пользователя ввести его номер телефона, после чего ответить на пришедшее бесплатное СМС-сообщение. Тем самым пользователь подписывается на некую платную услугу, за которую со счета его мобильного телефона раз в несколько дней снимаются деньги. Эта давно известная схема снова оказалась весьма популярной. Но если раньше она использовалась в основном на вредоносных сайтах, то сейчас ее нередко можно встретить при распространении таких вредоносных программ, как ложные архивы Trojan.SMSSend, а также троянцев Trojan.Hosts.

Кроме того, была выявлена незначительно измененная схема вымогательства с использованием мобильного телефона: пользователям мобильной связи предлагается вместо прогулки к банкомату отправить деньги на счет другого мобильного телефона, не вставая с места. Для этого злоумышленники предлагают либо набрать определенную команду, либо отправить специальное СМС-сообщение.

Незначительное распространение получила одна из модификаций Trojan.Winlock, в блокирующем окне которой не требовалось вводить никаких кодов разблокировки. Наоборот, текст рассказывал пользователю о вреде постоянного участия в жизни одной из популярных социальных сетей.

Всем удачи!

 

29.11.2010 Posted by | antiviruses | Комментарии к записи Привычные и непривычные формы обмана: вирусный октябрь 2010 года. отключены