Троянцы атакуют компьютеры

0
1 252 views

Специалисты компании G Data Software подвели итоги октября, выявив самые опасные угрозы месяца. Пять представителей вредоносного ПО из десяти представляют класс троянских программ, что составляет около 4% всего вредоносного ПО, детектированного в октябре.

Если подсчитать, что в среднем каждый день появляется 60 000 новых угроз, то около 2 160 из них являются чистыми троянскими программами. Но данная статистика представлена лишь для популярных троянцев, но остаются и менее популярные.

«Если посмотреть на классификацию вредоносного кода и отдельные его категории, неудивительно, что троянские программы становятся движущей силой вирусописательства, – рассказывает Ральф Бенцмюллер, руководитель лаборатории безопасности GData SecurityLabs. – Мошенники развивают свои способности вместе с технологиями антивирусной защиты. Например, сегодня редко можно встретить интернет-червей, потому что они с легкостью перехватываются почти любым файерволлом. Черви становятся частью других категорий вредителей, но не существуют в чистом виде, а вирусов, как таковых, еще меньше. Сегодня растет число и модификаций только вредоносов, которые запускаются автоматически и также автоматически распространяются. Это и есть класс троянских программ, которые составляют примерно 93,6 % от всех вредоносов».

Троянцы атакуют

На диаграмме показано соотношение отдельных категорий вредоносного ПО за несколько последних полугодий. В группе троянских программ отмечен значительный рост в первой половине 2011 года, он продолжается и сегодня. В эту группу входят все программы, выполняющие конкретные вредоносные функции. Большинство троянов содержат программы, загружающиеся на зараженные компьютеры в обход системы, чтобы осуществлять свои злостные действий. В эту группу входит спам, атаки, приводящие к отказу сайта обслуживать законных пользователей, прокси-сервисы и другие подобные «предложения» из списка «услуг» киберпреступников. Также в эту группу попадает множество версий банковских троянов ZeuS и SpyEye. Этот рост показывает, что бизнес в компьютерном подполье процветает.

Во второй первой половине 2011 года также наметился ощутимый рост группы рекламного спама, представитель которой является лидером рейтинга Top 10 за октябрь. Это доказывает, что рекламное ПО остается прибыльным для преступников, хотя и малозаметным бизнесом.

Рейтинг опасного ПО на октябрь 2011

Рейтинг опасного ПО

Как следует из названия этого вредоноcа, Generic.Adware.Adseo.7722145B относится к угрозам общего обнаружения. Этот пример рекламного трояна можно отнести к категории потенциально нежелательных программ. Вместе с установкой бесплатного ПО также загружаются дополнительные программы, которые не нужны пользователю. Большинство пользователей пропускают функцию «не устанавливать» для отдельных модулей бесплатных программ. Такое обычно случается, когда пользователь загружает ПО не с официального сайта, а со сторонних ресурсов.

Trojan.Wimad.Gen1

Этот троянец выдает себя за обычный .wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь загрузит и установит такой файл-кодек, то злоумышленник получит возможность установить в системе любую вредоносную программу. Инфицированные таким образом аудио-файлы распространяются преимущественно через P2P-сети.

Trojan.AutorunINF.Gen

Эта программа способна распознать известные и неизвестные вредоносные файлы autorun.inf. Autorun.inf являются файлами автозапуска для USB-флешек, внешних жестких дисков и DVD, и несанкционированно используются злоумышленниками для распространения вирусов и вредоносного ПО.

Worm.Autorun.VHG

Червь, распространяющийся в ОС Windows с помощью функции файлов autorun.inf. Он использует сменный носитель информации (например, USB-флешку или внешний жесткий диск). Worm.Autorun.VHG является сетевым и интернет-червем и использует уязвимость Windows CVE-2008-4250.

Generic.Adware.Adseo.38E3FFEE

Как следует из названия этого вредоноcа, Generic.Adware.Adseo.7722145B так же относится к угрозам общего обнаружения. Поэтому и действует аналогично самому распространенному троянцу. И этот пример рекламного трояна можно отнести к категории потенциально нежелательных программ. При установки бесплатного ПО также загружаются дополнительные программы, которые не нужны пользователю. Большинство пользователей пропускают функцию «не устанавливать» для отдельных модулей бесплатных программ. Такое обычно случается, когда пользователь загружает ПО не с официального сайта, а со сторонних ресурсов

Trojan.Iframe.SC

Этот вредоносный код подключен к веб-сайту с эротическим контентом. Сайт состоит из двух невидимых фреймов, связанных таким образом, что вредоносное ПО загружается не с того домена, который вы первоначально посетили, а от невидимого второго. С одной стороны такая структура скрывает источник вредоносного ПО, а с другой – киберпреступники могут с легкостью обмениваться или продлевать хранение вредоносного ПО без необходимости менять сайт хостинга.

Trojan.Exploit.ANSH

Этот троянец представляется собой манипулируемый Java апплет, который можно найти на любом сайте. Когда пользователь загружает апплет, URL формируется в соответствии с параметрами апплета. Загрузчик использует его для загрузки вредоносных исполняемых файлов на компьютер пользователя и запускает программу. Эти файлы могут быть любым видом вредоносов. Загрузчик использует уязвимость для того, чтобы обойти песочницу Java и тем самым записать информацию на локальный ПК.

Java.Exploit.CVE-2010-0840 E

Этот вредонос, основанный на Java, представляет собой загружаемый апплет, который пытается использовать уязвимость CVE-2010-0840 для того, чтобы обойти механизмы защиты песочницы и загрузить дополнительное вредоносное ПО на компьютер пользователя. Как только апплет обманывает песочницу, он загружает файл .dll. Этот файл не отправляется на выполнение немедленно, а регистрирует себя в качестве сервиса с помощью Microsoft Register Server (regsvr32). Таким образом, он автоматически запускается при последующем запуске системы.

Exploiy.CplLnk.Gen

Этот эксплойт использует ошибки при проверке файлов с расширением .Ink and .pif (ярлыки) при запуске ссылок из ОС Windows. Он был известен, как CVE-2010-2568 с середины 2010 года. Как только система Windows открывает манипулятивную версию этих файлов для того, чтобы отобразить иконки, содержащиеся в Windows Explorer, вредоносный код загружается автоматически. Этот код также же может быть загружен из локальной системы файлов (например, со съемных носителей, которые также содержат ярлыки) или из интернета, используя возможности WebDAV.

Java.Trojan.Downloader.OpenConnection.AI

Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружает такой апплет, на основе его параметров генерируется ссылка и троянец-загрузчик загружает исполняемый файл, после чего запускает его. Эти файлы могут содержать любые вредоносные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средства безопасности Java (Java-Sandbox) и получить права на запись данных на локальной машине.