Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Обзор вирусной активности в июле 2013 года


Антивирусный "хостинг"

Клуб пользователей антивирусных услуг (Saas, Cloud)

добавить на Яндекс
Антивирусы и безопасность (SaaS, Cloud ...)

Обзор вирусной активности в июле 2013 года
2013-08-05 18:13

KMM поделился ссылкой

Обзор вирусной активности в июле 2013 года

5 августа 2013 года

В июле, как и в предыдущих месяцах, были зафиксированы сотни обращений в службу технической поддержки от пользователей, пострадавших в результате действия троянцев-энкодеров различных модификаций. Помимо этого, в компанию «Доктор Веб» обращались за помощью жертвы вредоносных программ семейства Trojan.Winlock. Также были выявлены случаи распространения троянских программ для мобильной платформы Android c официального сайта Google Play: по мнению специалистов компании «Доктор Веб», от этих вредоносных приложений могли пострадать от 10 000 до 25 000 пользователей мобильных устройств.

Вирусная обстановка

По данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, в июле 2013 года на первой строчке статистики оказался Trojan.LoadMoney.1 — загрузчик, устанавливающий на компьютер жертвы различные рекламные приложения, в том числе программы, распространяемые известным коммуникационным порталом. Второе место по количеству обнаруженных экземпляров занимает троянец Trojan.Hosts.6815, модифицирующий на зараженном компьютере системный файл hosts. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу. На третьем месте по итогам месяца расположилась вредоносная программа Trojan.Mods.2 — этот троянец подменяет на компьютере жертвы просматриваемые в браузере веб-страницы. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма. Двадцатка наиболее распространенных в июле 2013 года угроз по данным статистики лечащей утилиты Dr.Web CureIt! представлена в таблице:

НазваниеКол-во%
Trojan.LoadMoney.1229213.05
Trojan.Hosts.6815206412.74
Trojan.Mods.2160882.14
Trojan.DownLoader9.1915786241.15
BackDoor.IRC.NgrBot.4274140.99
Trojan.Mods.171970.96
BackDoor.Andromeda.17861300.81
Trojan.Hosts.683858280.77
Trojan.MayachokMEM.757410.76
BackDoor.Maxplus.2456960.76
Trojan.PWS.Panda.240153470.71
Win32.HLLP.Neshta52650.70
BackDoor.Bulknet.96352270.69
Win32.HLLW.Autoruner1.4546951140.68
Trojan.MulDrop4.2534345880.61
Trojan.Packed.2407941740.55
Win32.HLLW.Autoruner1.4079236530.49
Win32.HLLW.Gavir.ini34340.46
Win32.Sector.2233690.45
Trojan.AVKill.3132433070.44

Энкодеры и винлоки

Начиная с первых чисел июля в службу технической поддержки компании «Доктор Веб» поступило 550 запросов от пользователей, пострадавших в результате действия троянцев-шифровальщиков. Напомним, что вредоносное ПО данной категории создается злоумышленниками с единственной целью — шифрование файлов на компьютерах пользователей и получение денег за их расшифровку. Энкодеры способны шифровать самые разнообразные типы файлов: архивы, изображения, документы, музыку, фильмы и многие другие. Сумма, требуемая злоумышленниками за расшифровку, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Модификации троянцев-энкодеров, жертвами которых по данным вирусной лаборатории «Доктор Веб» чаще всего становились пользователи в июле, перечислены на представленной ниже диаграмме.

Наибольшее число пользователей, пострадавших от троянцев-шифровальщиков (75%), проживает на территории России, чуть меньше — 15% — на Украине. Велико количество жертв энкодеров, как ни странно, и среди жителей Бразилии; также зафиксированы единичные случаи заражения в Венесуэле, Эстонии, США, странах Евросоюза. В течение июля в службу технической поддержки «Доктор Веб» с аналогичными запросами обратилось по пять жителей Колумбии и Аргентины, а также трое граждан Чили.

За помощью в ликвидации последствий заражения вредоносными программами семейства Trojan.Winlock в течение июля в компанию «Доктор Веб» обратилось несколько сотен пользователей, из них 79,5% составляют россияне, 16% — жители Украины, 1,67% приходится на жителей Казахстана. Также зафиксированы единичные случаи распространения винлоков в Швеции, Колумбии, США, Беларуси и странах Евросоюза.

Ботнеты

Численность бот-сети, организованной злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает постепенно сокращаться: так, по данным на 29 июля 2013 года в первой подсети насчитывается 392 538 инфицированных машин (на 66 654 меньше, чем в июне) а во второй подсети — 532 166 активно действующих ботов (что на 80 969 меньше по сравнению с предыдущим месяцем). Всего за минувшие 30 дней к данным ботнетам присоединилось 374 605 и 288 634 вновь инфицированных компьютеров соответственно. Динамика изменения численности этих бот-сетей в июле 2013 года продемонстрирована на представленных ниже графиках.

Общая численность бот-сети, состоящей из инфицированных файловым вирусом Win32.Rmnet.16 компьютеров, в июле сократилась более чем вдвое: если месяц назад данный ботнет насчитывал в среднем 4 674 активных бота, то к концу июля количество инфицированных компьютеров составило 2 059. Одновременно с этим прирост бот-сети практически остановился — среднесуточное число регистраций вновь инфицированных ПК на управляющих серверах не превышает 10.

Продолжается сокращение числа компьютеров, на которых антивирусное программное обеспечение «Доктор Веб» обнаруживает вредоносные модули, детектируемые как Trojan.Rmnet.19. Уже в начале июля количество выявленных экземпляров данных модулей уменьшилось до 7 995, а к концу месяца оно достигло значения 4955, при этом ежесуточно в сети регистрировалось не более 40 вновь инфицированных компьютеров. Динамика изменения общей численности ботнета Trojan.Rmnet.19 показана на представленной ниже диаграмме.

Значительно изменилась и численность ботнета, созданного злоумышленниками с использованием вредоносной программы BackDoor.Bulknet.739. Данное приложение предназначено для массовой рассылки спама. В июле 2013 года в данной бот-сети среднесуточно фиксировалась активность примерно 2500 зараженных компьютеров, при этом ежедневно к управляющему серверу BackDoor.Bulknet.739 обращалось от 500 до 800 вновь инфицированных ПК. Динамику регистрации в ботнете рабочих станций, зараженных BackDoor.Bulknet.739, можно проследить на представленной ниже диаграмме.

Общее количество компьютеров, инфицированных троянцем BackDoor.Dande, за минувшие 30 дней почти не изменилось: в конце июня их число составляло 1 209, по данным на 28 июля — 1056. Эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний. В частности, злоумышленников интересуют сведения из клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты.

Продолжает функционировать и ботнет BackDoor.Flashback.39, состоящий из Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X. Ежесуточно к управляющим серверам данного ботнета обращается порядка 40 000 зараженных «маков». Динамика активности бот-сети показана на представленной ниже диаграмме.

Данные цифры говорят о том, что ботнет BackDoor.Flashback.39 практически не растет, однако тенденций к значительному сокращению его численности также не прослеживается. Основной причиной данного явления может считаться беспечность пользователей Mac OS X.

Угрозы для мобильных устройств

Завидная регулярность, с которой вирусная база Dr.Web пополняется записями для разнообразных коммерческих шпионских приложений, предназначенных для работы на мобильных устройствах, в очередной раз служит доказательством того, что на современном высокотехнологичном рынке услуги подобных систем не только востребованы, но и продолжают наращивать популярность. В прошедшем месяце специалистами компании «Доктор Веб» было обнаружено большое число новых модификаций известных шпионских программ, таких как Android.MobileSpy и Program.Mobimon, а также новые семейства Program.Topspy и Program.Tracer. Эти и другие аналогичные приложения, доступные в различных конфигурациях, позволяют отслеживать самую разнообразную активность пользователей мобильных устройств и в большинстве случаев имеют версии для работы сразу на нескольких мобильных платформах, включая Android, BlackBerry и Symbian OS.

В то же время, наряду с постоянно пополняющимся ассортиментом коммерчески доступного программного обеспечения для мониторинга, которое может использоваться как легально, так и в нарушение закона, все отчетливее проявляется тенденция к росту предложений по оказанию сугубо киберпреступных услуг, связанных с получением конфиденциальных сведений пользователей мобильных устройств. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле специалистами компании было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита использует для своей работы исходный код свободно распространяющейся программы для удаленного доступа и управления AndroRat, которая известна с 2012 года и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Во втором случае автор утилиты применяет самостоятельно разработанную им троянскую программу-шпион, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.

Особенностью таких утилит является то, что они отличаются относительной легкостью и простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от программирования. Вполне вероятно, что число подобных инструментов в ближайшем будущем будет увеличиваться.

Для мобильной операционной системы Android второй летний месяц не прошел бесследно и в плане обнаружения программных уязвимостей, среди которых одной из самых заметных стала так называемая Master Key. Она связана с тем, что система безопасности Android при установке apk-пакетов, сформированных специальным образом, некорректно обрабатывает содержащиеся внутри них дублирующие файлы, позволяя инсталлировать приложения с неподписанными компонентами. Благодаря оперативной работе вирусных аналитиков в антивирус Dr.Web для Android было добавлено детектирование приложений, эксплуатирующих данную уязвимость: вне зависимости от того, применяется ли эта программная ошибка целенаправленно, или же она возникла в результате непредвиденных технических сбоев, соответствующие программы будут определяться как Exploit.APKDuplicateName.

Менее чем через месяц после анонса информации об уязвимости Master Key был обнаружен и первый троянец, который эксплуатирует эту программную ошибку. Распространение вредоносной программы, добавленной в вирусную базу Dr.Web под именем Android.Nimefas.1.origin, было зафиксировано на одном из китайских интернет-порталов, посвященных Android-приложениям. Этот троянец способен рассылать СМС, выполнять перехват входящих сообщений, а также передавать на удаленный сервер конфиденциальную информацию пользователей, в частности, их номера телефонов, а также сведения из телефонной книги. Более подробные сведения об этой угрозе можно получить в опубликованной на сайте компании новости.

Не остались в стороне и угрозы, размещенные в каталоге Google Play. В конце месяца специалистами «Доктор Веб» было обнаружено несколько вредоносных приложений, которые в процессе работы могли установить на мобильные устройства пользователей троянцев семейства Android.SmsSend.

Этот случай в очередной раз показывает, что обеспечиваемый в каталоге Google уровень безопасности на данный момент все еще недостаточен, и пользователям следует внимательно и осторожно относиться ко многим находящимся в нем приложениям. Подробнее об этом случае вы можете узнать в соответствующей публикации на сайте компании.

Вредоносные файлы, обнаруженные в почтовом трафике в июле

 01.07.2013 00:00 - 30.07.2013 14:00 
1Trojan.PWS.Panda.43791.02%
2Trojan.PWS.PandaENT.43790.71%
3Trojan.Packed.1960.71%
4Trojan.Inject2.230.58%
5Trojan.Packed.244650.48%
6Trojan.PWS.Panda.5470.47%
7BackDoor.Tishop.550.40%
8Win32.HLLM.MyDoom.544640.38%
9Trojan.PWS.Panda.6550.36%
10Trojan.Packed.244500.35%
11Win32.HLLM.MyDoom.338080.31%
12Trojan.PWS.Stealer.31280.29%
13Trojan.Proxy.249530.28%
14Trojan.MulDrop4.358080.25%
15BackDoor.Comet.1520.21%
16VBS.Rmnet.20.20%
17Trojan.Inor0.17%
18SCRIPT.Virus0.17%
19Trojan.DownLoader1.642290.17%
20Trojan.VbCrypt.80.16%

Вредоносные файлы, обнаруженные в июле на компьютерах пользователей

 01.07.2013 00:00 - 30.07.2013 14:00 
1SCRIPT.Virus0.96%
2Exploit.SWF.2540.73%
3Trojan.LoadMoney.10.72%
4Adware.InstallCore.1220.68%
5Adware.Downware.9150.55%
6Adware.Downware.1790.52%
7Tool.Unwanted.JS.SMSFraud.260.51%
8Adware.Downware.12840.49%
9Adware.InstallCore.1140.47%
10JS.IFrame.4530.41%
11Adware.Toolbar.2020.37%
12Adware.InstallCore.1150.34%
13Adware.Downware.11320.34%
14Tool.Skymonk.110.34%
15Adware.InstallCore.1010.34%
16Tool.Unwanted.JS.SMSFraud.290.31%
17Win32.HLLW.Shadow0.31%
18Adware.Webalta.110.31%
19Adware.Downware.13170.30%
20Exploit.BlackHole.1830.30%



Корпоративные новости: «Лаборатория Касперского» в Большой тройке защитников малого бизнеса
2013-08-05 18:48

KMM поделился ссылкой

Корпоративные новости: «Лаборатория Касперского» в Большой тройке защитников малого бизнеса

Решение для защиты малого бизнеса Kaspersky Small Office Security вошло в тройку наиболее эффективных продуктов в своем классе, заняв второе место по результатам независимого тестирования Small Business Anti-Virus Protection, проведенного тестовой лабораторией Dennis Technology Labs во втором квартале 2013 года.


Технологии бестокенной мультифакторной аутентификации на примере платформы Swivel
2013-08-05 19:41

KMM поделился ссылкой

Технологии бестокенной мультифакторной аутентификации на примере платформы Swivel

В статье рассматривается технология компании Swivel Secure, позволяющая организовать систему мультифакторной аутентификации без использования токенов, а также описываются основные принципы и преимущества мультифакторной и мультиканальной аутентификации.

подробнее



Panda Cloud Office Protection получил сертификат Virus Bulletin VB100
2013-08-05 20:48

KMM поделился ссылкой

Panda Cloud Office Protection получил сертификат Virus Bulletin VB100

Panda Cloud Office Protection получил сертификат VB100 престижного издания Virus Bulletin за высокий уровень обнаружения. Данное решение Panda также превзошло многих конкурентов по потреблению ресурсов и времени отзывчивости программы.

5 августа 2013 г.

Компания Panda Security, производитель облачных решений безопасности и ведущий поставщик программ защиты от вредоносного программного обеспечения и вирусов, объявляет о том, что Panda Cloud Office Protection был награжден сертификатом VB100 по результатам сравнительного тестирования Virus Bulletin, проводившегося на системе под управлением Windows Server 2012. Решения Panda Security получают сертификат VB100 уже в четвертый раз с того момента, когда данная престижная тестовая лаборатория стала испытывать облачные решения. В тестированиях впервые принял участие Panda Cloud Office Protection – сервис контроля безопасности и производительности корпоративных сетей.

В последнем тестировании были задействованы такие решения, как Kaspersky Endpoint Security, ESET Endpoint Antivirus, Symantec Endpoint Protection и др. Испытания включали три этапа: тестирование по запросу, на доступ и на уровень ложных срабатываний. Panda Cloud Office Protection показал 100% уровень обнаружения образцов вредоносных программ, представленных в списке In the Wild (дословно: «В обращении», то есть список актуальных угроз) от WildList Organization, а также нулевой уровень ложных срабатываний. Этот факт и послужил основной причиной присуждения сертификата VB100.

«Мы благодарим Virus Bulletin за вручение этой награды. Данная сертификация демонстрирует наш успех в развитии продуктов, предлагающих надежную защиту для организаций, – подчеркнул Мануэль Сантамария, Управляющий директор по продуктам в Panda Security. – Panda Security – пионер в области облачной IT-безопасности, а Panda Cloud Office Protection – первое облачное решение на рынке, предложившее бизнесу безопасность как сервис. Получение этого сертификата – признание наших усилий в разработке и продвижении на рынке продуктов с высочайшим уровнем обнаружения».


Эффективная защита из облака

С момента первоначального запуска Panda Cloud Office Protection многие компании мира выбрали этот простой и эффективный способ защиты. Последние версии продукта включают новую антиэксплойтную технологию Panda Security, способную обнаруживать вредоносные программы, подобные Blackhole или Redkit. Эти угрозы используют уязвимости нулевого дня в различных приложениях, таких как Java, Adobe или Microsoft Office, с целью заражения ПК пользователей.

В дополнение к этому, благодаря системе Коллективного разума Panda Security, антиэксплойтная технология не только обнаруживает новые варианты вредоносных программ до их идентификации, но также защищает организации в режиме реального времени. Примером такого рода эксплойтов является печально известный Police Virus («полицейский вирус»), сумевший вызвать тысячи инфекций за последние несколько месяцев.

Более подробная информация о Panda Cloud Office Protection доступна на странице http://www.viruslab.ru/products/pcop



5 августа 2013 — Антивирусы по подписке Outpost от Урала до Дальнего Востока
2013-08-05 22:16

KMM поделился ссылкой

5 августа 2013 — Антивирусы по подписке Outpost от Урала до Дальнего Востока

 

В избранное