Обзор активности вирусного ПО: «опасные игры» и прочие события октября 2014-цатого года


Осень 2014-цатого года хорошо запомнится приверженцам многопользовательских игр на ПК появлением большого количества угроз, которые злоумышленники создали специально для похищения с последующей перепродажей разнообразных игровых предметов, инвентаря и артефактов. Под удар попали пользователи игр, вроде Dota 2, Counter-Strike и Team Fortress 2. Значительно активизировались и кибермошенники, что промышляют обманом сетевых геймеров с применением традиционных методов. Кроме того, в октябре специалисты «Доктора Веба» обнаружили огромное количество новейших угроз и для Microsoft Windows, и для гугловской мобильной платформы Android.

Какова вирусная обстановка этой осенью

Ситуация с вредонесущими программами, которые детектируются на компьютерах с использованием утилиты Dr.Web CureIt!, в сравнении с предыдущими месяцами почти никак не поменялась: лидирующие места среди выявленных вредонесущих программ, как и прежде, занимают разного рода рекламные плагины, предназначенные для браузеров Trojan.BPlug, а также Trojan.Packed.24524, занимающийся установкой рекламных приложений. Говоря в целом, рекламными троянцами оказываются оккупированы первые строчки рейтинга разнообразных вредоносных программ, выявленных Dr.Web CureIt! в октябре-месяце.

Несколько иная картина демонстрируется серверами статистики Dr.Web: в числе вредонесущих программ этого октября, как и раньше, лидирует Trojan.Packed.24524, установщик всевозможных рекламных приложений — число обнаруженных экземпляров в октябре снизилось в сравнении с предшествующим на 0,15%. Помимо того, в лидеры совершенно неожиданно пробился BackDoor.Andromeda.404 – он обнаруживался в 0.34% от совокупного числа обнаруженных в октябре вредонесущих программ. Данный троянец может выполнять команды, поступающие на зараженный компьютер, и загружать с серверов, принадлежащих злоумышленникам, всевозможные опасные приложения. В числе «популярных» октябрьских троянцев оказался и Trojan.LoadMoney.336 — загрузчик, способный устанавливать на пользовательский компьютер другие программы и разного рода рекламные нежелательные утилиты. А вот количество обнаружений BackDoor.IRC.NgrBot.42 остается практически неизменным, снизившись по сравнению с показателями сентября всего-навсего на 0,02%. Стоит также упомянуть, что в октябре компьютеры домашних пользователей, как свидетельствуют данные сервера статистики компании Dr.Web, часто «навещали» троянцы-рекламщики Trojan.Triosir.13 и Trojan.Zadved.4. Скачать antivirus panda

В почтовом трафике на протяжении октября чаще прочих обнаруживался загрузчик BackDoor.Andromeda.404 (в 2,22% случаев), троянец Trojan.PWS.Panda.5676 (в 0,97% случаев) и еще одна модификация лидера данного своеобразного рейтинга — вируса BackDoor.Andromeda.519 (в 0,88% случаев). Следует сказать, что в октябре киберзлоумышленники достаточно часто пользовались массовыми почтовыми рассылками для распространения троянцев банковской направленности и вредонесущих программ, предназначенных для похищения паролей, а кроме того, прочей частной информации пользователей: кроме уже упомянутого Trojan.PWS.Panda.5676 в электронных сообщениях обнаруживались Trojan.PWS.Stealer.13025, Trojan.PWS.Panda.655 и Trojan.PWS.Stealer.13259, количество выявлений которых в общей сложности достигло 2,04% от совокупного количества угроз в почтовом трафике в минувшем месяце.

Что же касаемо ботнетов, за деятельностью коих продолжают наблюдать специалисты «Доктора Веба», то и тут за минувший месяц не произошло кардинальных изменений. В частности, в

первой из 2-ух отслеживаемых подсетей Win32.Rmnet.12 ежесуточная октябрьская активность в среднем составляла 251500 инфицированных ПК, обращавшихся к своим управляющим серверам, во 2-рой подсети ботнета данный показатель составил 379000. Ежесуточная активность большой бот-сети, созданной киберзлоумышленниками с использованием вируса файлового типа Win32.Sector, составила около 57 тысяч зараженных узлов. По-прежнему функционирует и ботнет BackDoor.Flashback.39 — за октябрь было зафиксировано порядка 16530 обращений за сутки к управляющим серверам инфицированных Apple-совместимых компьютеров, функционирующих под управлением ОС Mac OS X.

Немного ранее «Доктор Веб» во всеуслышание сообщала о распространении трояна для Linux, занесенного в вирусные базы как Linux.BackDoor.Gates. В соответствии с данными, которые были получены вирусными аналитиками из «Доктора Веба», в октябре-месяце Linux.BackDoor.Gates планомерно продолжал свою деятельность.

«Опасные игры» для приверженцев Steam

Довольно многие из современных многопользовательских компьютерных игр — это самые что ни наесть настоящие виртуальные «вселенные», которые год за годом приносят разработчикам многомиллионные доходы. В подобных мирах имеются собственные традиции и уникальные законы, поведенческие правила и собственные модели экономического развития, позволяющие добывать, выменивать и даже продавать за настоящие деньги разнообразные игровые предметы. В сентябре 2014-цатого года специалистами из «Доктора Веба» был выявлен и исследован троян Trojan.SteamBurglar.1, который воровал с целью перепродажи игровые артефакты у пользователей платформы Steam, разработанной Valve и дающей возможность загружать из нтернет-сети игровые приложения с последующей их активацией, получать обновления, а также знакомиться с разными новостями любимого игрового мира.

Однако, лишь этой вирусной угрозой деятельность киберзлоумышленников, решивших как следует нажиться на поклонниках онлайновых игр, конечно, не ограничилась: в октябре-месяце вирусные аналитики из «Доктора Веба» выявили совершенно нового троянца, обладающего почти что аналогичными функциями — это Trojan.SteamLogger.1, помимо воровства различных игровых предметов способный фиксировать, а также передавать злоумышленникам информацию о нажатиях клавиш на зараженном компьютере, иначе говоря, исполнять функции кейлоггера. Угроза нависла над поклонниками игрушек Dota 2, Counter-Strike и Team Fortress 2.

Запустившись на инфицированном компьютере, данный троян демонстрирует на мониторе атакованного ПК изображение ряда игровых предметов и одновременно развивает бурную вредонесущую деятельность в зараженной системе.

Передав киберзлоумышленникам информацию о подвергнутой заражению машине, троянец ждет момента авторизации геймера в Steam, после чего извлекает информацию о пользовательском аккаунте (наличии SteamGuard, security token, steam-id) и отправляет полученные данные преступникам. В ответном сообщении Trojan.SteamLogger.1 приходит перечень учетных записей для передачи игровых предметов с аккаунта жертвы. В случае если в настройках игры Steam отключена автоматизированная авторизация, троян запускает кейлоггер в отдельном потоке — собранные при его помощи данные пересылаются на принадлежащий киберпреступникам сервер с интервалом в пятнадцать секунд.

Для выполнения поиска инвентаря вкупе с ценными игровыми предметами данной троянской программой используются фильтры по следующим ключевым словам «Legendary», «Mythical», «Arcana», «Immortal», «Container», «DOTA_WearableType_Treasure_Key», «Supply Crate». Иными словами, вредонесущая программа пытается выкрасть наиболее ценные из игровых

предметов, сундуки и ключи от них. Причем, Trojan.SteamLogger.1 пристально следит, не пытается ли геймер продать нечто из виртуальных предметов сам, и в случае выявления такой попытки препятствует этому, снимая с продажи артефакты в автоматическом порядке. Для реализации украденных ключей от игровых сундуков из Dota 2 вирусописателями даже был создан специализированный интернет-магазин:

Но исключительно распространением вредонесущих программ приемы киберзлоумышленников, желающих хорошенько нажиться на любящих компьютерные игры, не ограничиваются: ими используется и множество прочих методов. Официальная торговля аккаунтами находится под запретом администраций большинства серверов популярных игр, однако в полной мере остановить ведение купли-продажи учетных записей таким образом невозможно. Приобретая новый аккаунт на одном из игровых серверов, покупатель стремится не просто стать обладателем персонажа, имеющего максимальное количество разнообразных «навыков» и заработанных баллов опыта, но еще и игровую амуницию, ездовых животных доспехи, набор умений и различных профессий, которые доступны для данного героя, а также прочие игровые артефакты вкупе с возможностями. Чем их будет больше, тем большей будет стоимость аккаунта, в некоторых случаях способная превышать 20 тысяч рублей.

Кибермошенниками применяются различные методы обмана доверчивых геймеров: к примеру, известно, что игровой аккаунт, выставленный ими для продажи, может быть в одночасье возвращен злоумышленникам, стоит лишь им обратиться в службу техподдержки. Если же вдруг выяснится, что данная учетная запись, нарушая правила, была продана, она будет заблокирована.

Кроме того, мошенники при помощи системы внутренних личных сообщений способны рассылать, прикрываясь именем игрока, различные фишинговые ссылки — к примеру, публикуя сведения об «акции от разработчиков игры», требующей пройти несложную процедуру регистрации на стороннем сайте с собственными логином и паролем, либо запуская рекламу программ, служащих для накрутки характеристик игрового персонажа, под которые маскируются всевозможные вирусы и троянцы.

Актуальные угрозы для Android

В минувшем месяце пользователям разного рода мобильных устройств по-прежнему угрожало огромное количество вредонесущих Android-приложений. К примеру, в начале октября удалось выявить троян Android.Selfmite.1.origin, распространявшийся злоумышленниками в ловко модифицированном ими приложении-клиенте соцсети Google+ и применявшийся для получения незаконного заработка. Данная вредонесущая программа имела возможность разместить на экране ОС несколько ярлыков, которые вели, в зависимости от географического месторасположения пользователей, на разнообразные веб-сайты, которые были задействованы в партнерских программах. Кроме того, троянец был способен «рекламировать» некие приложения из Google Play, ловко открывая в нем соответственные разделы. Помимо того, Android.Selfmite.1.origin умел отправлять СМС-сообщения буквально по всем найденным в списке контактов номерам. Данные СМС рассылались в огромном количестве и, исходя из поступившей с управляющего сервера спецкоманды, могли нести ссылку, ведущую либо на рекламный сайт, либо на продвигаемые кибермошенниками приложения, и на копию троянца в том числе.

Продолжили в прошлом месяце появляться и новейшие троянцы-вымогатели. Одной из вредоносных программ такого плана, стала получившая от специалистов «Доктора Веба» название Android.Locker.54.origin. По основному вредонесущему функционалу она ничем не отличается от множества других представителей таких угроз: стоит ей попасть на мобильное

устройство, и она тут же обвиняет пользователя в просматривании незаконных материалов порнографического характера, после чего блокирует экран, требуя заплатить выкуп. Главной особенностью этого вымогателя стало то, что он может рассылать всем пользовательским контактам СМС-сообщения, в которых содержится ссылка на выполнение загрузки копии вредонесущего приложения, тем самым существенно увеличивая масштабы распространения данного троянца.

В числе популярных Android-угроз, распространявшихся среди пользователей операционки Android в октябре-месяце, стал вредонос Android.Dialer.7.origin, являющийся представителем довольно редкого сейчас класса программ-дозвонщиков. При попадании на мобильное устройство, данный троянец, естественно без ведома владельца оного, совершал звонок на платный номер, заданный киберпреступниками, в результате которого со счета абонента снималась определенная сумма денег.

Опять под удар попали и многие южнокорейские пользователи операционки Android: в октябре сотрудники «Доктора Веба» зафиксировали свыше 160-ти спам-кампаний, которые были направлены на распространение разнообразных Android-троянцев с помощью нежелательных СМС. Так, одна из использовавшихся киберпреступниками угроз, которая была внесена в вирусную базу как Android.BankBot.29.origin, стала очередным представителем довольно-таки распространенных в наше время банковских троянцев, выкрадывающих конфиденциальные сведения клиентов южнокорейских банковских организаций. Равно как и иные подобные вредонесущие приложения, этот троян запрашивает доступ к администраторским функциям устройства, дабы затруднить собственное удаление из мобильной системы. Но реализация этого процесса у троянца выглядит совсем нетипично, т. к. системный диалог «маскируется» под интерфейсом вредонесущего приложения, по причине чего пользователи и вовсе могут не заметить, что они предоставили вирусу расширенные права.

Говоря же в целом, в прошедшем месяце пользователи из Южной Кореи чаще всего могли столкнуться со следующими угрозами: Android.BankBot.27.origin, Android.MulDrop.36.origin, Android.Spy.40.origin, Android.SmsSpy.78.origin и др.

Источник: www.drweb.ru
автор antivirusall дата 03.11.14
Наверх