USD 63.95 ЕВРО 71.13

Dr.Web: в июле свирепствовал Trojan.Stuxnet и буткит Trojan.Hashish

Экономика

Dr.Web: в июле свирепствовал Trojan.Stuxnet и буткит Trojan.Hashish

 

Распространившийся в июле Trojan.Stuxnet использует альтернативный способ
запуска со съемных носителей, а также применяет украденные цифровые подписи
известных производителей ПО.

Распространение вредоносной программы оказалось напрямую связано с ранее
неизвестной уязвимостью операционной системы Windows. Этот троянец принес с
собой несколько новинок в области обхода защитных механизмов Microsoft и уже
успел продемонстрировать всю серьезность своих намерений — одним из первых
зафиксированных применений Trojan.Stuxnet.1 стал удар по незащищенным объектам
информационного
менеджмента
— промышленный шпионаж.

Троянец устанавливает в систему два драйвера, один из
которых является драйвером-фильтром файловой системы, скрывающим
наличие
компонентов вредоносной программы на съемном носителе. Второй драйвер
используется для внедрения зашифрованной динамической библиотеки в системные
процессы и специализированное ПО для выполнения основной задачи.

Использование буткит-технологий становится нормой для вредоносных программ
(буткиты — программы, модифицирующие загрузочный сектор диска — постепенно
становятся привычным компонентом вредоносного ПО). Одним из буктитов,
беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема
заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной
программы приводили к самопроизвольному открытию окон Internet Explorer, в
которых отображалась реклама. Причем данные окна открывались даже в том случае,
если использовался один из альтернативных браузеров. Другим результатом работы
Trojan.Hashish стало периодическое воспроизведение стандартного системного
звука, соответствующего запуску программы, если таковой настроен в Windows.

В то же время блокировщики Windows, столкнувшись с противодействием,
сократили темпы своего распространения, и сегодня интернет-мошенники пытаются
найти альтернативу платным СМС-сообщениям.

В июле эпидемия блокировщиков пошла на спад — сервер статистики Dr.Web
зафиксировал 280 000 детектов против 420 000 в июне. Во многом это связано с
успешными действиями, которые совместно с пользователями предпринимают и
антивирусные компании, в частности «Доктор Веб». Так, из-за усиленного
противодействия СМС-мошенникам авторы блокировщиков вынуждены в очередной раз
задействовать другие схемы монетизации доходов.

Продолжилось массированное распространение через электронную почту различных
модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны
сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения
перенаправляют пользователей на страницы с рекламой и вредоносные сайты.
Отмечена повышенная активность полиморфных файловых вирусов семейства
Win32.Sector.

“Пятерка” самых активных почтовых “троянов”

 


1


Trojan.Oficla.38


558788 (29,38%)


2


Trojan.MulDrop1.27707


239578 (12,60%)


3


Trojan.Oficla.zip


168193 (8,84%)


4


Trojan.Oficla.33


76344 (4,01%)


5


Trojan.Siggen1.33477


65827 (3,46%)