Компания «Доктор Веб» рассказала о угрозах июня 2010 года

02.07.2010

Блокировщики Windows продолжают оставаться одной из основных вирусных угроз 2010 года в России. Причем до 30% трафика блокировщиков в июне составили те разновидности, которые требуют пополнить счёт мобильного телефона злоумышленника через терминал. Завсегдатаи социальных сетей также находятся под ударом – при попытке зайти на свои любимые сайты они могут получить сообщение о блокировке аккаунта с требованием отправить платное SMS-сообщение. Тем временем в Европе в течение первого летнего месяца распространялись банковские троянцы, вынуждавшие клиентов банков отправлять злоумышленникам TAN-коды. Эти коды используются некоторыми банками для однократной авторизации транзакций – но даже такие меры предосторожности со стороны банков не всегда спасают доверчивых пользователей от ущерба, наносимого злоумышленниками.

Противодействие блокировщикам Windows


Пока блокировщики Windows продолжают терроризировать пользователей, компания «Доктор Веб» большое внимание уделяет оказанию помощи пострадавшим. Изначально форма разблокировки, разработанная специалистами компании, была интегрирована в одну из новостей на эту тему, и стала первым сервисом в Интернете, помогающим жертвам блокировщиков вернуть доступ к своим компьютерам.


Следующим шагом стало создание в январе 2010 года сайта Dr.Web Unlocker. В его рамках были реализованы формы, предлагающие код разблокировки для известных комбинаций коротких номеров телефонов и текстов сообщений. Со временем появились алгоритмы, по возможности генерировавшие коды разблокировки и для отсутствующих в базе сайта комбинаций. С 31 января 2010 года этот ресурс использовался более 3 млн. раз, было зафиксировано около 1,5 млн. уникальных посетителей. В настоящее время сервис разблокировки компании «Доктор Веб» посещают до 25 000 уникальных пользователей в выходные и до 39 000 в рабочие дни. Сейчас это уже не просто выдача кода из базы, чётко связанного с парой «номер телефона – текст сообщения». Это – производственный процесс, в разработке, ежедневной модернизации и реализации которого принимают участие специалисты различных отделов компании. Его цель – повышение качества помощи пострадавшим от блокировщиков.


Несмотря на то, что компания «Доктор Веб» и раньше оказывала бесплатную помощь пострадавшим от «винлоков», 23 июня был сделан ещё один шаг для решения проблемы блокировщиков. Специалисты технической поддержки компании начали оказывать бесплатную помощь официально, для тех, кому не помог сайт Dr.Web Unlocker. Причем поддержку получают все пользователи, вне зависимости от «марки» используемого антивируса. Только в первые сутки работы нового сервиса было зафиксировано 2000 обращений. Сейчас по вопросам разблокировки в техподдержку компании обращаются от 500 до 1500 пользователей ежедневно. В пиковые часы количество обращений на эту тему составляет до 95% от числа всех запросов. На сегодняшний день либо на своих компьютерах, либо на ПК своих родственников и знакомых с блокировщиками встречались около 90% российских интернет-пользователей. Проблема стала общей для интернет-сообщества, и «Доктор Веб» в этой ситуации не может оставаться в стороне. Для борьбы с эпидемией был избран комплексный подход, включающий помощь пострадавшим, взаимодействие с правоохранительными органами, а также широкое информирование о текущей ситуации в борьбе с блокировщиками, методах предотвращения заражения системы и ее лечении в случае блокировки.


В июне сервером статистики «Доктор Веб» было зафиксировано более 420 000 детектов блокировщиков (в мае – более 940 000). Большинство этих троянцев Dr.Web определяет как Trojan.Winlock, Trojan.Adultban и Trojan.Packed.20343.


К концу июня в 30% случаев заражения блокировщиками злоумышленники требовали не отправки SMS-сообщений, а перечисления денег на счёт мобильного телефона через терминал оплаты. Изучив множество случаев заражений такими блокировщиками, специалисты компании «Доктор Веб» пришли к выводу, что в подавляющем числе случаев коды разблокировки невозможно получить после оплаты указанным способом, т.е. пользователей обманывают дважды. Это лишний раз подчёркивает один из главных тезисов: какой бы безвыходной ни казалась ситуация, не стоит отправлять злоумышленникам деньги! По поводу данного типа блокировщиков «Доктор Веб» также сотрудничает с правоохранительными органами. Параллельно идёт работа по оптимизации вывода кодов разблокировки для таких блокировщиков.


Социальные сети – лакомый кусочек для злоумышленников


Многие пользователи, обращаясь в компанию «Доктор Веб» по проблеме блокировщиков, сообщают о том, что не могут зайти на сайты социальных сетей и бесплатных служб электронной почты – при попытке захода выводится сообщение о том, что аккаунт заблокирован, например, за рассылку спама, и для восстановления доступа требуется отправить SMS-сообщение. Вредоносные программы, ответственные за такие сообщения, определяются Dr.Web как Trojan.Hosts.


В конце июня пользователи сообщали о том, что стали появляться и такие модификации Trojan.Hosts, которые, как и многие новые блокировщики Windows, требуют отправить деньги злоумышленникам посредством терминалов.


Специалисты техподдержки «Доктор Веб» помогают и тем, кто обращается по поводу лечения данных вирусов, т.к. Trojan.Hosts и Trojan.Winlock используют одинаковые схемы монетизации преступного дохода, представляя собой звенья одной цепочки.
Пользователи интернет-банкинга под угрозой


Из Европы в июне поступали сообщения о широком распространении вредоносных программ, нацеленных на клиентов банков, которые используют системы интернет-банкинга. В частности, пострадали пользователи австрийского банка Volksbank и немецкого Postbank.


Для повышения безопасности интернет-операций со счетами данные банки используют систему TAN-кодов, уникальных для каждой транзакции. Таким образом, в руки злоумышленникам не может попасть единый PIN-код, соответствующий банковской карточке. Но киберпреступники имеют в своём арсенале способ обойти и эту защиту. Так, пользователи, чьи компьютеры заражены такими банковскими троянцами (по классификации Dr.Web это Trojan.PWS.Banker и Trojan.PWS.Bancos), при попытке воспользоваться системами интернет-банкинга получали сообщения о необходимости ввести TAN-коды, которые и попадали в руки злоумышленников.


При посещении сайтов интернет-банкинга, на которые ориентирован данный троянец, программа определяла, какой из браузеров используется, и активизировалась только в случае если это был Internet Explorer. Это лишний раз свидетельствует о том, что пользователи альтернативных браузеров на сегодняшний день могут обеспечить себе более высокий уровень безопасности в Сети.


Среди общих тенденций июня также можно отметить сохраняющуюся активность бот-сети Oficla – в июньской двадцатке наиболее часто встречающихся в почтовом трафике вредоносных программ различные модификации Trojan.Oficla занимают сразу 4 позиции. Также стоит упомянуть заметное количество скриптов, определяемых Dr.Web как JS.Redirector.based.3. Эти скрипты определялись в многочисленных HTML-документах, приложенных к спам-сообщениям. При открытии такого вложения пользователь перенаправлялся либо на ресурсы, распространяющие вредоносные программы, либо на сайты с рекламой, как правило – медицинских препаратов.

Опубликовал: Александр Абрамов (info@ict-online.ru)

Тематики: Безопасность

Ключевые слова: Dr.Web, информационная безопасность, антивирус Доктор Веб