Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Троянцы Trojan.Hosts заражают по 8 000 компьютеров в сутки


Антивирусный "хостинг"

Клуб пользователей антивирусных услуг (Saas, Cloud)

добавить на Яндекс
Антивирусы и безопасность (SaaS, Cloud ...)

Троянцы Trojan.Hosts заражают по 8 000 компьютеров в сутки
2013-03-12 15:19

KMM поделился ссылкой

Троянцы Trojan.Hosts заражают по 8 000 компьютеров в сутки

12 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты — информирует пользователей об участившихся случаях взломов злоумышленниками веб-сайтов с целью загрузки на компьютеры пользователей вредоносных программ семейства Trojan.Hosts. Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения. В марте Trojan.Hosts заражают около 8 000 компьютеров в сутки.

Для взлома веб-сайтов злоумышленники используют протокол FTP, подключаясь к ресурсам с использованием похищенных ранее логинов и паролей. Затем на взломанный сайт загружается специальный командный интерпретатор (шелл), с использованием которого изменяется файл .htacess, а на сайте размещается вредоносный скрипт.

В результате, при заходе на зараженный сайт скрипт выдает посетителю веб-страницу, содержащую ссылки на различные вредоносные приложения. В частности, таким образом в последнее время начали широко распространяться троянцы семейства Trojan.Hosts.

Следует отметить, что троянцы этого семейства распространяются злоумышленниками отнюдь не только с помощью взломанных сайтов. Была организована и работа нескольких партнерских программ, через которые киберпреступникам выплачивается вознаграждение за получение прибыли с жертвы Trojan.Hosts. Таким образом, эти троянцы могут попадать на компьютеры потенциальных жертв и иными путями — например, с использованием бэкдоров и троянцев-загрузчиков.

Напомним, что основное предназначение вредоносных программ семейства Trojan.Hosts — модификация файла hosts, расположенного в системной папке Windows и отвечающего за трансляцию сетевых адресов сайтов. В результате вредоносных действий при попытке перейти на один из популярных интернет-ресурсов пользователь зараженного компьютера перенаправляется на принадлежащую злоумышленникам веб-страницу.

Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Так, пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения вредоносными программами данного семейства. В начале марта число инфицированных рабочих станций стало немного сокращаться — например, за сутки 11 марта было выявлено всего 7 658 случаев заражения (количество подсчитывается по числу зафиксированных случаев изменения троянцем содержимого файла hosts на инфицированных компьютерах).

Динамика распространения данной угрозы показана на представленной ниже диаграмме.

Большинство известных модификаций Trojan.Hosts успешно удаляется из системы антивирусным ПО Dr.Web, более того, в антивирусных продуктах Dr.Web версии 8 предусмотрен специальный механизм защиты файла hosts от его модификации вредоносным ПО, который можно настроить в разделе Инструменты → Настройки → Превентивная защита → Уровень блокировки подозрительных действий → Пользовательский, переключив антивирус в административный режим (функция блокировки записи в файл hosts по умолчанию включена).

Кроме того, IP-адреса взломанных сайтов оперативно добавляются в базы Dr.Web, поэтому подобные ресурсы блокируются при обращении к ним компонентом Dr.Web SpIDer Gate. В случае если антивирус заблокировал доступ к какому-либо популярному или известному ресурсу, специалисты «Доктор Веб» рекомендуют выполнить проверку жестких дисков вашего компьютера на наличие угроз.

Если вы не используете постоянную антивирусную защиту Dr.Web и стали жертвой данной вредоносной программы, рекомендуется выполнить полную проверку компьютера с помощью бесплатной лечащей утилиты Dr.Web CureIt! и в случае необходимости отредактировать содержимое файла Windows\System32\Drivers\etc\hosts, удалив оттуда все лишние записи.



Корпоративные новости: Решение «Лаборатории Касперского» признано лучшим для малого и среднего бизнеса
2013-03-12 16:31

KMM поделился ссылкой

Корпоративные новости: Решение «Лаборатории Касперского» признано лучшим для малого и среднего бизнеса

«Лаборатория Касперского» удостоена престижной награды Excellence Award 2013, присуждаемой британским журналом SC Magazine за лидерство и серьёзные достижения в области информационной безопасности. Продукт Kaspersky Endpoint Security 8 для Windows победил в категории «Лучшее...


«Доктор Веб»: анализ вирусной активности в феврале 2013 года
2013-03-12 16:33

KMM поделился ссылкой

«Доктор Веб»: анализ вирусной активности в феврале 2013 года

12 марта 2013 года

Февраль 2013 года запомнится специалистам по информационной безопасности ростом количества заражений пользовательских компьютеров троянскими программами семейства Trojan.Hosts, а также взломов веб-сайтов с целью распространения вредоносного ПО. Также в феврале был обнаружен троянец, атакующий серверы под управлением ОС Linux, активизировались и сетевые мошенники, выискивающие своих жертв на сайтах знакомств.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой в последний месяц зимы как и прежде стали троянцы семейства Trojan.Mayachok, при этом чаще всего на компьютерах пользователей обнаруживалась модификация Trojan.Mayachok.18566. Не менее часто лечащая утилита фиксировала наличие платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend, при этом абсолютным лидером среди них является Trojan.SMSSend.2363.

Такие архивы злоумышленниками используются по стандартной модели — они обычно маскируются под программу установки какого-либо приложения и требуют после своего запуска отправить платное СМС-сообщение или принуждают пользователя подписаться на ту или иную «услугу». Архив, как правило, не содержит заявленного ПО и, кроме того, нередко содействует распространению других, более опасных вредоносных программ. Также достаточно велико количество заражений троянскими программами BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 и Win32.HLLP.Neshta. Сведения об угрозах, обнаруженных с использованием лечащей утилиты Dr.Web CureIt! в феврале, представлены в следующей таблице:

Угроза%
Trojan.MayachokMEM.42,00
Trojan.SMSSend.23631,38
Trojan.Mayachok.185661,20
BackDoor.IRC.NgrBot.421,14
Trojan.Click2.470130,79
Win32.HLLP.Neshta0,78
Trojan.StartPage.481480,77
Trojan.Fraudster.2450,73
Trojan.Hosts.52680,70
Win32.HLLW.Phorpiex.540,69
Win32.Sector.220,65
Trojan.Mayachok.185790,61
Trojan.Hosts.68140,59
Trojan.Hosts.68150,59
Trojan.Hosts.68380,55
BackDoor.Butirat.2450,54
Trojan.Hosts.68090,52
Win32.HLLW.Gavir.ini0,51
Exploit.CVE2012-1723.130,51
Trojan.Mayachok.183970,47

Угроза месяца: Linux.Sshdkit

Наиболее интересной угрозой, обнаруженной в феврале специалистами компании «Доктор Веб», можно назвать троянскую программу Linux.Sshdkit, заражающую серверы под управлением операционной системы Linux. Троянец представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный механизм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.

Специалистам компании «Доктор Веб» удалось перехватить несколько управляющих серверов Linux.Sshdkit. На начало марта к перехваченным управляющим центрам обратилось 476 инфицированных серверов, однако многие из них принадлежат хостинг-провайдерам и поддерживают работу значительного числа веб-сайтов, к которым злоумышленники получили доступ. Больше всего инфицированных серверов, а именно 132, находится на территории США, второе место с показателем 37 случаев заражения заняла Украина, на третьем месте расположились Нидерланды. Общие статистические данные, полученные специалистами «Доктор Веб» с использованием перехваченных управляющих центров Linux.Sshdkit, приведены в следующей таблице:

СтранаКол-во инфицированных серверов%
США13227,7
Украина377,8
Нидерланды296,1
Таиланд234,8
Турция224,6
Германия194,0
Индия194,0
Великобритания173,6
Италия173,6
Франция153,2
Индонезия122,5
Австралия102,1
Россия102,1
Канада102,1
Аргентина102,1
Бразилия102,1
Южная Корея71,5
Вьетнам71,5
Чили61,3
Испания61,3
Китай51,1
Румыния51,1
Мексика51,1
Южная Африка40,8
Другие страны397,9

Более подробную информацию о данной угрозе можно почерпнуть из этого информационного материала.

Распространение Trojan.Hosts и взломы веб-сайтов

В конце февраля — начале марта 2013 года был зафиксирован очередной всплеск атак на веб-сайты с целью распространения вредоносного ПО. Используя украденные данные для доступа к ресурсам по протоколу FTP, злоумышленники подменяли файл .htaccess и внедряли собственный скрипт-обработчик. В результате посетители взломанного веб-сайта подвергались опасности заражения различными троянскими программами. В частности, с использованием этого метода были зафиксированы факты распространения троянцев семейства Trojan.Hosts — данные вредоносные программы модифицируют один из файлов (%systemroot%/system32/drivers/hosts), в результате чего браузер автоматически перенаправляет жертву на специально созданную злоумышленниками веб-страницу. Наглядным примером активной деятельности злоумышленников являются сайты, размещающие решенные домашние задания для учащихся средних общеобразовательных учреждений. Попав на такую страницу, пользователь перенаправлялся на зараженный интернет-ресурс, с которого на его компьютер загружался троянец Trojan.Hosts и другие опасные приложения.

Угрозы для Android

Февраль 2013 года оказался весьма неспокойным с точки зрения угроз для мобильной платформы Android. Так, в начале февраля вирусные базы Dr.Web пополнились записью для троянца Android.Claco.1.origin, который распространялся в каталоге Google Play под видом утилиты для оптимизации скорости работы операционной системы. Запускаясь на мобильном устройстве, этот троянец мог выполнить отправку СМС-сообщений по команде злоумышленников, открыть произвольный URL в браузере, а также загрузить персональную информацию пользователя (такую как содержимое карты памяти, СМС-сообщения, фотографии и контакты из телефонной книги) на удаленный сервер. Однако главной особенностью Android.Claco.1.origin являлось то, что с его помощью могли быть инфицированы компьютеры под управлением Windows: подключаясь к удаленному серверу, троянец мог загружать с него другие вредоносные файлы и помещать их на карту памяти мобильного устройства. Среди этих объектов присутствовал исполняемый файл и файл autorun.inf, который осуществлял автоматический запуск соответствующей ему вредоносной программы при подключении инфицированной карты памяти к Windows-компьютеру. Стоит отметить, что, начиная с Windows Vista, функция автозапуска имеет статус отключенной по умолчанию, поэтому для многих пользователей Windows угроза со стороны Android.Claco.1.origin была незначительной.

Другой заметной вредоносной программой в феврале стал троянец Android.Damon.1.origin, который распространялся злоумышленниками на популярных китайских веб-сайтах в модифицированных ими приложениях. Android.Damon.1.origin способен выполнять отправку СМС-сообщений в соответствии с принимаемой командой от удаленного сервера, совершать звонки, открывать произвольный URL, загружать на сервер персональную информацию владельца мобильного устройства (например, содержимое телефонной книги, историю звонков, координаты пользователя), а также выполнять некоторые другие функции.

Кроме того, в течение месяца в вирусные базы Dr.Web вносились записи для новых представителей семейства СМС-троянцев Android.SmsSend.

Другие угрозы февраля

В конце долгой зимы заметно активизировались сетевые мошенники, в частности, промышляющие в поисках жертв на сайтах знакомств. Как правило, мошенники представляются эмигрантами либо иностранцами с русскими корнями — именно этим они объясняют хороший уровень владения русским языком. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей «избраннице» какой-либо дорогой подарок: электронный планшет, смартфон или ювелирное украшение. Злоумышленники завлекают потенциальных жертв на поддельный сайт курьерской службы, где им предлагается оплатить доставку посылки. Естественно, в случае оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении. Подробнее об этом способе мошенничества рассказано в нашем информационном материале.

В начале февраля были зафиксированы случаи распространения вредоносных программ с использованием встроенного приложения социальной сети Facebook — этому инциденту посвящена статья, опубликованная на сайте news.drweb.com.

Наконец, в середине месяца специалистами компании «Доктор Веб» был обнаружен забавный троянец-винлок. О том, чем эта вредоносная программа насмешила вирусных аналитиков, можно узнать из нашей публикации.

Вредоносные файлы, обнаруженные в почтовом трафике в феврале

 01.02.2013 00:00 - 28.02.2013 11:00 
1BackDoor.Andromeda.221.18%
2JS.Redirector.1851.12%
3Win32.HLLM.MyDoom.544640.53%
4Win32.HLLM.MyDoom.338080.39%
5Trojan.Necurs.970.39%
6Trojan.PWS.Panda.7860.39%
7Trojan.DownLoad3.209330.39%
8Trojan.PWS.Stealer.19320.39%
9Trojan.Oficla.zip0.37%
10Tool.PassView.5250.33%
11Trojan.Packed.28200.31%
12SCRIPT.Virus0.29%
13Trojan.PWS.Panda.6550.29%
14BackDoor.Tordev.80.29%
15Win32.HLLM.Beagle0.27%
16Trojan.Packed.1960.27%
17Trojan.PWS.Stealer.21550.26%
18BackDoor.Andromeda.1500.26%
19Trojan.KeyLogger.166740.24%
20Win32.HLLM.Graz0.24%

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

 01.02.2013 00:00 - 28.02.2013 11:00 
1Trojan.Fraudster.2450.77%
2SCRIPT.Virus0.70%
3Tool.Unwanted.JS.SMSFraud.260.63%
4Adware.Downware.9150.61%
5JS.IFrame.3870.52%
6Adware.Downware.1790.49%
7Tool.Unwanted.JS.SMSFraud.100.42%
8Trojan.Fraudster.3940.36%
9Adware.Webalta.110.36%
10Tool.Skymonk.110.33%
11Trojan.Fraudster.4070.32%
12Win32.HLLW.Shadow0.31%
13Tool.Skymonk.120.30%
14JS.Redirector.1750.30%
15Adware.Downware.9100.29%
16Adware.InstallCore.530.29%
17Win32.HLLW.Autoruner1.335560.29%
18Adware.Downware.7740.29%
19Win32.HLLW.Autoruner.598340.29%
20JS.Redirector.1790.27%


ВебIQметру полгода! Вместе к новым горизонтам!
2013-03-12 17:36

KMM поделился ссылкой

ВебIQметру полгода! Вместе к новым горизонтам!

12 марта 2013 года

В эти дни образовательному интерактивному проекту компании «Доктор Веб» — ВебIQметр — исполняется полгода. Всего за несколько месяцев ВебIQметр стал для многих пользователей любимым местом дистанционного обучения основам информационной безопасности и общения, а также площадкой для увлекательных и захватывающих соревнований. Мы поздравляем всех участников с этим небольшим, но значимым достижением и желаем проекту столь же стремительно развиваться и дальше!

Запуск ВебIQметра в полную силу состоялся в сентябре 2012 года. Только за четыре недели с момента запуска полной версии проекта на ВебIQметре зарегистрировались более 10 тысяч участников, а в начале 2013 года количество регистраций превысило 50 тысяч!

Наш интерактивный проект дает возможность всем пользователям проверить свои знания в области информационной безопасности, ответив на вопросы более чем 130 разнообразных тестов, и получить полезные навыки для того, чтобы не попасть на крючок сетевых мошенников и вирусописателей.

Каждый месяц на ВебIQметре проходит аукцион, на котором участники, заработавшие баллы и Dr.Web-ки, могут выиграть ценные подарки, а также сувениры от «Доктор Веб» и партнеров аукциона. В рамках акции «Восьмое измерение» уже в пятый раз главным призом аукциона (ближайший состоится 27 марта 2013 года) станет туристическая путевка в одну из стран Европы — на этот раз в Австрию.

Компания «Доктор Веб» поздравляет всех участников проекта и в особенности тех, что помогает нам делать ВебIQметр еще лучше, оставляя собственные предложения и пожелания. Впереди — множество интересных нововведений, расширение интерактивных возможностей и новые захватывающие задания.

Оставайтесь с ВебIQметром — будет интересно!



В избранное