«Хит-парад» вредоносных программ 2010 года 30 декабря 2010 года

[Дьявол скорости]

Опустошители счетов и другие вирусные угрозы февраля 2011 года


2 марта 2011 года
В феврале 2011 года сохранили свою актуальность основные тенденции прошлых месяцев. Значительную долю вирусного трафика составляют блокировщики Windows и троянцы, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания. Причем последние работают в тандеме с фальшивыми антивирусами.
Блокировщики Windows

Концепция троянцев-вымогателей, блокирующих работу компьютера, оказалась весьма живучей. В ходе развития данной идеи вирусописатели перепробовали несколько способов перечисления денег и ряд технологических решений, иногда довольно неожиданных, вплоть до блокировки ОС из загрузочной записи.
В феврале 2011 года появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Кроме того, блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы — программы для шифрования и «запутывания» готовых исполняемых файлов. Один из таких крипторов, популярных среди разработчиков Trojan.Winlock, размещает в исполняемом файле характерную иконку, позволяющую отличить такой файл визуально:

Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества.
Шифровальщики

Другая разновидность так называемых ransomware (программ-вымогателей) — шифровальщики — также напомнила о себе в феврале. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне. Коллектив «Доктор Веб» обеспечивает своевременную разработку и поддержку утилит — расшифровщиков данных, зашифрованных троянцами семейства Trojan.Encoder.
Воровство банковских аккаунтов

В десятке вредоносных лидеров февраля 2011 года оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных нашумевшему троянцу Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле троянца зашит внушительный список URL систем дистанционного банковского обслуживания. Среди них — русские, итальянские, американские, немецкие:

• libertyreserve.com
• perfectmoney.com
• laiki.com
• bankofcyprus.com
• commbank.com.au
• suncorpbank.com.au
• stgeorge.com.au
• online.westpac.com.au
• anz.com
• sparkasse.de
• commerzbanking.de
• finanzportal.fiducia.de
• deutsche-bank.de
• targobank.de
• postbank.de
• csebo.it
• poste.it
• gruppocarige.it
• cedacri.it
• payment.ru
• ibank.alfabank.ru
• chase.com
• capitalone.com

Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» троянцы имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).