Распространившийся в июле Trojan.Stuxnet использует альтернативный способ
запуска со съемных носителей, а также применяет украденные цифровые подписи
известных производителей ПО.
Распространение вредоносной программы оказалось напрямую связано с ранее
неизвестной уязвимостью операционной системы Windows. Этот троянец принес с
собой несколько новинок в области обхода защитных механизмов Microsoft и уже
успел продемонстрировать всю серьезность своих намерений — одним из первых
зафиксированных применений Trojan.Stuxnet.1 стал удар по незащищенным объектам
информационного
менеджмента — промышленный шпионаж.
Троянец устанавливает в систему два драйвера, один из
которых является драйвером-фильтром файловой системы, скрывающим наличие
компонентов вредоносной программы на съемном носителе. Второй драйвер
используется для внедрения зашифрованной динамической библиотеки в системные
процессы и специализированное ПО для выполнения основной задачи.
Использование буткит-технологий становится нормой для вредоносных программ
(буткиты — программы, модифицирующие загрузочный сектор диска — постепенно
становятся привычным компонентом вредоносного ПО). Одним из буктитов,
беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема
заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной
программы приводили к самопроизвольному открытию окон Internet Explorer, в
которых отображалась реклама. Причем данные окна открывались даже в том случае,
если использовался один из альтернативных браузеров. Другим результатом работы
Trojan.Hashish стало периодическое воспроизведение стандартного системного
звука, соответствующего запуску программы, если таковой настроен в Windows.
В то же время блокировщики Windows, столкнувшись с противодействием,
сократили темпы своего распространения, и сегодня интернет-мошенники пытаются
найти альтернативу платным СМС-сообщениям.
В июле эпидемия блокировщиков пошла на спад — сервер статистики Dr.Web
зафиксировал 280 000 детектов против 420 000 в июне. Во многом это связано с
успешными действиями, которые совместно с пользователями предпринимают и
антивирусные компании, в частности «Доктор Веб». Так, из-за усиленного
противодействия СМС-мошенникам авторы блокировщиков вынуждены в очередной раз
задействовать другие схемы монетизации доходов.
Продолжилось массированное распространение через электронную почту различных
модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны
сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения
перенаправляют пользователей на страницы с рекламой и вредоносные сайты.
Отмечена повышенная активность полиморфных файловых вирусов семейства
Win32.Sector.
“Пятерка” самых активных почтовых “троянов”
|
|
|
|
|
|
|
|
|
|
|
|
|
|
65827 (3,46%) |