Компания «Доктор Веб» представляет обзор вирусной активности в марте 2009 года. В прошедшем месяце было отмечено большое количество новых случаев мошенничества с использованием вредоносных программ. Бот-сети продолжили своё качественное развитие, их авторы стали применять более агрессивные методы их распространения и эксплуатации, а количество заражённых компьютеров-ботов продолжает стремительно увеличиваться.
В марте 2009 года наибольшее внимание привлекли бот-сети Tdss и Shadow. Они начали использовать новые методы для увеличения эффективности своей деятельности, а также продолжили применять уже хорошо зарекомендовавшие себя способы распространения – через съёмные диски, через общие сетевые ресурсы, с использованием известных уязвимостей.
Владельцы бот-сетей знают, что наличие возможного заражения компьютера с целью вовлечения в бот-сеть можно легко определить по наличию некоторых незакрытых уязвимостей в системе. И знают, что многие администраторы сетей по всему миру используют этот метод в своей работе. Следствием этого явилась новая функциональность последней модификации Win32.HLLW.Shadow.based, в функционал которой входит закрытие использованных ранее для заражения компьютеров уязвимостей. Таким образом, по наличию уязвимостей факт заражения определить сложнее, а компьютеры-боты также, как и ранее, продолжают получать инструкции от злоумышленников.
BackDoor.Tdss, использующийся злоумышленниками для расширения бот-сети Tdss, использует несколько другие методы – от версии к версии дорабатываются используемые руткит-методы скрытия в системе, для того чтобы более эффективно противодействовать работе антивирусных программ. Так, современные версии BackDoor.Tdss научились довольно эффективно препятствовать работе файловых мониторов антивирусов. Также, кроме довольно популярного и не принимаемого до сих пор серьёзно факта использования уязвимостей ОС семейства Windows, данный бэкдор использует и такой старый и известный большинству пользователей метод распространения вредоносных программ – в виде кодеков для проигрывания видеороликов. Несмотря на общеизвестность, данный метод до сих пор вполне успешно работает.
За последний месяц в очередной раз наблюдался значительный рост новых схем мошенничества с помощью вредоносных программ.
Клиентов банков, использующих банковские пластиковые карточки, в прошлом месяце взволновала новость об обнаруженных в системах некоторых банкоматов, принадлежащих российским банкам, вредоносных программ. Данные программы собирали для злоумышленников информацию, хранящуюся на банковских карточках, а также балансы счетов, которые передаются в банкомат из банков по запросу пользователя. Данная вредоносная программа по классификации Dr.Web была названа Trojan.Skimer. В настоящее время в вирусной базе Dr.Web содержится около десятка различных модификации этой вредоносной программы. Стоит заметить, что до обнаружения образцов данного троянца антивирусными лабораториями, компания-производитель подверженных уязвимости банкоматов разослала инструкции по устранению уязвимости банкам.
Несмотря на широко распространяемую антивирусными вендорами подробную информацию о лже-антивирусах, злоумышленники до сих пор активно используют схемы мошенничества с помощью антивирусов-подделок для получения от пользователей денег за программу-пустышку. Со временем вредоносные сайты, распространяющие лже-антивирусы, становятся всё более убедительными, используются профессиональные приёмы дизайна. Такие наименования лже-антивирусов как Antivirus XP 2008 стали уже притчей во языцех.
Неугасающая популярность социальных сетей не перестаёт предоставлять новые возможности кибер-мошенникам для импровизаций. Так, троянец Trojan.PWS.Vkontakte.6 распространяется в виде программы для быстрого поднятия рейтинга популярной в России социальной сети Vkontakte.ru.
Что касается распространения вредоносных программ в спаме, а также ссылок на вредоносные сайты в спам-сообщениях, то в последние месяцы их количество значительно уменьшилось.
Из массовых рассылок, связанных с распространением вредоносных вложений в марте можно выделить весьма кратковременную (несколько часов), но массивную рассылку Win32.HLLW.Brutus.3 и немного более продолжительную, но менее массовую рассылку Trojan.PWS.Panda.114. Последний троянец распространялся под видом сообщения якобы от курьерской службы DHL, в котором говорилось о том, что отправку доставить невозможно по причине ошибки в указанном адресе. В письме предлагается распечатать прилагаемую счёт-фактуру и зайти с ней в офис DHL. На деле в приложенном архиве находился вредоносный файл.