Киберпреступники начали год с новых вирусов
Похоже, киберпреступники весьма неплохо встретили Новый год — задолго до завершения новогодних каникул они вернулись к своей преступной деятельности. И сразу же бросились зарабатывать деньги с использованием мошеннических схем.
Похоже, киберпреступники весьма неплохо встретили Новый год — задолго до завершения новогодних каникул они вернулись к своей преступной деятельности. И сразу же бросились зарабатывать деньги с использованием мошеннических схем — видимо поиздержались. Такое впечатление складывается после прочтения очередного, за январь 2011 года, обзора антивирусной активности, подготовленного компанией «Лаборатория Касперского».
2011 год киберпреступники решили начать с новогодних подарков. В том числе от имени самой «Лаборатории Касперского». Как отмечает разработчик антивирусного ПО, после новогодних праздников был обнаружен троянец-дроппер, замаскированный под генератор ключей для его продуктов. Этот троянец устанавливал и запускал на компьютерах пользователей два зловреда. Один из них ворует регистрационные данные от программ и пароли к онлайн-играм. Второй представлял собой бэкдор, который обладал также функционалом кейлоггера.
Кроме того, в начале месяца компания обнаружила свой поддельный сайт, адрес которого отличался от kaspersky.ru на одну букву. На этой фальшивой страничке пользователям предлагался «новогодний подарок» — бесплатный Kaspersky Internet Security 2011. Правда вместо этого ПО на компьютер пользователя закачивался Trojan-Ransom.MSIL.FakeInstaller.e, установка которого приводит к перезапуску компьютера. После перезагрузки троянец показывает фальшивое окно социальной сети «Одноклассники» с сообщением о том, что пользователь выиграл телефон Samsung Galaxy S, который можно получить всего за 1200 рублей. Для подтверждения выигрыша предлагалось отправить SMS-сообщение, что обходилось в кругленькую сумму.
По такой же схеме киберпреступники использовали Internet Explorer, который предлагалось обновить и активировать якобы установленное обновление с помощью отправки SMS-сообщения на премиум-номер.
Также в январе злоумышленники продолжили использовать уже апробированные способы и средства.
Речь идет в частности об атаках через Twitter за счет вредоносных ссылок, укороченных при помощи сервиса goo.gl. К ним следует добавить рекламные программы. Одна из них AdWare.Win32.WhiteSmoke.a без согласия пользователя добавляет на рабочий стол ярлык Improve your PC, а затем старается добиться от пользователя разрешения на установку программы под названием RegistryBooster 2011, которая просканирует компьютер и потребует заплатить за исправление обнаруженных ошибок.
Всего в январе на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено, по данным компании, около 214 млн сетевых атак, заблокировано почти 69 млн попыток заражения через веб, обнаружено и обезврежено 187 млн 235 тысяч вредоносных программ.
Новинкой января стал почтовый червь — Email-Worm.Win32.Hlux, который распространяется с помощью сообщений о полученной поздравительной электронной открытки. Последняя содержит ссылку на страницу с предложением установить Flash Player для корректного отображения открытки. При попытке загрузить Flash Player открывается диалоговое окно, в котором пользователя спрашивают, согласен ли он скачать файл. По сообщению «Лаборатории Касперского», независимо от ответа пользователя червь пытается проникнуть на его компьютер: через пять секунд после открытия диалогового окна происходит редирект на страницу, содержащую набор эксплойтов и программы семейства Trojan-Downloader.Java.OpenConnection, которые начинают загрузку Hlux на компьютер.
Разработчик антивирусного ПО отмечает также, что червь, помимо самораспространения по почте, обладает функционалом бота и включает зараженный компьютер в ботнет. Hlux связывается с командным центром ботнета и выполняет его команды — в частности, рассылает фармацевтический спам.
Вообще стоит отметить, что январь стал богатым на «зловредные новинки». Так, в январском Тор-20 вредоносных программ в Интернете оказалось сразу 9 новичков. Среди них достаточно активные Exploit.HTML.CVE-2010-1885.aa, AdWare.Win32.FunWeb.gq, Trojan.JS.Redirector.os, Downloader.Java.OpenConnection.cg и пр.
Комментарии
И в кампании Касперского, и в других антивирусных кампаниях сидят не дураки. (Вот тут я верю!) Буде такая деятельность по сочинительству вирусов имела место, она неизбежно рано или поздно всплыла бы на поверхность. И конкуренты бы тут постарались - бабки там крутятся немалые. Репутации фирмы был бы нанесён непоправимый ущерб и её можно было бы хоронить - медленно и печально. Нафига им это надо? Тут и так хватает желающих попакостить.
А то, что ни один антивирусник не даст вам гарантии абсолютной защиты - это может любой админ сказать. В противном случае победил бы один антивирусник и писать вирусы стало бы бессмысленно. Можно лишь говорить о степени надёжности защиты тем или иным антивирусником.
Из моего личного опыта та же авира пропустила вирусняк черз пару дней после курса лечения. Причём ТОТ ЖЕ САМЫЙ, что был обнаружен во время лечения. И с пропуском касперычем вируса один раз тоже столкнулся - тоже лицензионный, ежедневно несколько раз обновлявший базы.
Так что нет абсолютного щита, как и неотразимого копья.