Травень 2012 трояни-шифрувальники продовжують наступ

Загрозою місяця став Trojan.Matsnu.1 - від дій цієї троянської програми постраждала велика кількість користувачів по всьому світу. Троян написаний мовою «Ассемблер», поширюється як заархівованих виконуваних файлів, вкладених у поштові спам-повідомлення з темою, у якій згадується ім'я одержувача. Якщо користувач відкриває архів і запускає додаток, що міститься в ньому, троян шифрує виявлені на дисках файли користувача і демонструє на екрані комп'ютера повідомлення про те, що його система заблокована або була інфікована трояном-кодувальником. Зловмисники просять користувача не вимикати комп'ютер, щоб уникнути втрати даних. Щоб розшифрувати файли, вірусописувачі пропонують скористатися однією з найпоширеніших на території Європи платіжних систем.

Одночасно з демонстрацією цього повідомлення троян очікує надходження команд від віддаленого керуючого центру. Серед директив, що приймаються Trojan.Matsnu.1, можна відзначити наступні: «вбити систему» ​​(видалити всі файли на жорстких дисках); «завантажити із сайту зловмисників зазначену програму та запустити її»; «завантажити та продемонструвати інші зображення для діалогового вікна»; "зберегти на диск надісланий виконуваний файл і запустити його у вигляді фонового процесу"; «розшифрувати файли» (ключ надсилається із сайту зловмисників разом із командою); "зашифрувати файли ще раз з використанням знову згенерованого ключа"; "оновити список керуючих серверів"; "оновити основний модуль трояна".

З огляду на широкі функціональні можливості цієї троянської програми не можна недооцінювати її шкідливий потенціал, підкреслили в «Доктор Веб». Від дії Trojan.Matsnu.1 вже постраждала великакількість користувачів у країнах Європи та Латинської Америки.

Не відстають від нього і банківські трояни сімейства Trojan.Carberp (1,3% випадків). За інформацією "Доктор Веб", досить часто на інфікованих ПК вдається виявити різні трояни-даунлоадери, шкідливі програми сімейства Trojan.SMSSend (порядку 1,5%), Trojan.Hosts (близько 0,5%) та всілякі модифікації IRC-ботів.

Однією з дуже популярних модифікацій цієї шкідливої ​​програми виявився Trojan.Hosts.5858. Розповсюдження зловреда здійснюється з використанням ресурсів бот-мережі BackDoor.Andromeda. У разі зараження при спробі перейти на один з популярних інтернет-ресурсів, таких як Facebook, Google, Yahoo і т.д., браузер автоматично перенаправляється на спеціально створену зловмисниками веб-сторінку, що повідомляє німецькою мовою про те, що доступ в інтернет заблоковано . Для розблокування користувачеві пропонується передати вірусописувачам реквізити його банківської картки.

Чисельність виявлених загроз інших типів за місяць, що минув, фактично залишилася на колишньому рівні, повідомили в «Доктор Веб».

Загалом рейтинг топ-20 шкідливих програм, виявлених у поштовому трафіку у травні, виглядає так:

  1. BackDoor.Andromeda.22 10,81%
  2. Trojan.Siggen.65111 3,60%
  3. BackDoor.Bulknet.546 2,70%
  4. Trojan.DownLoader6.380 2,70%
  5. Trojan.Packed.22544 2,70%
  6. Win32.HLLM.MyDoom.54464 2,70%
  7. Win32.HLLM.MyDoom.33808 1,80%
  8. Trojan.DownLoader6.8588 1,80%
  9. Trojan.PWS.Banker1.2269 1,80%
  10. Trojan.Winlock.6068 1,80%
  11. Win32.HLLM.Beagle 1,80%
  12. Trojan.Inject.12703 0,90%
  13. Win32.HLLM.Netsky.18401 0,90%
  14. Adware.Downware.235 0,90%
  15. Exploit.PDF.2862 0,90%
  16. JS.IFrame.1170,90%
  17. Trojan.Siggen4.1047 0,90%
  18. X97M.Escape.2 0,90%
  19. Trojan.DownLoader6.9595 0,90%
  20. Trojan.SMSSend.2666 0,90%

У свою чергу рейтинг топ-20 шкідливих файлів, виявлених у травні на комп'ютерах користувачів, включає:

  1. Trojan.Fraudster.292 0,73%
  2. Trojan.Mayachok.1 0,68%
  3. Trojan.Fraudster.256 0.67%
  4. Tool.Unwanted.JS.SMSFraud.15 0,62%
  5. Trojan.Carberp.30 0,61%
  6. Trojan.SMSSend.2856 0,56%
  7. Win32.HLLW.Shadow 0,55%
  8. Trojan.SMSSend.2778 0,52%
  9. Trojan.Fraudster.296 0,51%
  10. SCRIPT.Virus 0,51%
  11. Trojan.SMSSend.2872 0,50%
  12. Win32.HLLW.Shadow.based 0,50%
  13. Tool.Unwanted.JS.SMSFraud.10 0,49%
  14. Trojan.Fraudster.252 0,47%
  15. Trojan.NtRootKit.6725 0,47%
  16. Trojan.SMSSend.2726 0,44%
  17. Trojan.Fraudster.261 0,42%
  18. Tool.InstallToolbar.74 0,41%
  19. Trojan.MulDrop3.49657 0,40%
  20. Adware.Downware.179 0,39%

На 29 травня 2012 р. загальна чисельність ботнета Win32.Rmnet.12 становила вже 2641855 інфікованих машин, тобто тільки за останній місяць вона перевищила значення в два з половиною мільйони, збільшившись вдвічі, підрахували в «Доктор Веб». Тим часом, географія поширення вірусу не зазнала істотних змін: лідерами серед регіонів, що найбільш зазнали інфекції, як і раніше залишаються Індонезія, Бангладеш, В'єтнам, Індія та Єгипет, велика кількість інфікованих ПК і в Україні. Обсяг ботнету продовжує зростати дуже швидкими темпами.

Приблизно така ситуація спостерігається щодо інший бот-сети — Win32.Rmnet.16. На початку травня, станом на 11 число, чисельність ботнету становила 55 310 інфікованих вузлів, найбільша частка яких була розташована на території Великобританії.За минулі з цього моменту 18 днів кількість заражених машин досягла 84 491. Поява нових інфікованих машин у мережі Win32.Rmnet.16 відбувається нерівномірно, але загальна їх кількість поступово збільшується, зазначили в «Доктор Веб».