G Data: троянские программы атакую!

Специалисты компании G Data Software подвели итоги октября, выявив самые опасные угрозы месяца. Пять представителей вредоносного ПО из десяти относятся к классу троянских программ, что составляет около 4% всего вредоносного ПО, детектированного в октябре. Если подсчитать, что в среднем каждый день появляется 60 000 новых угроз, то около 2 160 из них являются чистыми троянскими программами. Отметим, что данная статистика представлена лишь для популярных троянцев, но остаются и менее популярные.

Согласно заявлениям Ральфа Бенцмюллера, который является руководителем лаборатории безопасности GData SecurityLabs, сегодня именно троянские программы становятся движущей силой вирусописательства. При этом растет число модификаций вредоносного ПО, которое запускается автоматически и также автоматически распространяются. Это и есть класс троянских программ, которые составляют примерно 93,6 % от всех видов вирусов. 

На диаграмме показано соотношение отдельных категорий вредоносного ПО за несколько последних полугодий. В группе троянских программ отмечен значительный рост в первой половине 2011 года, он продолжается и сегодня. В эту группу входят все программы, выполняющие конкретные вредоносные функции. Большинство троянов содержат программы, загружающиеся на зараженные компьютеры в обход системы, чтобы осуществлять свои злостные действий. В эту группу входит спам, атаки, приводящие к отказу сайта обслуживать законных пользователей, прокси-сервисы и другие подобные «предложения» из списка «услуг» киберпреступников. Также в эту группу попадает множество версий банковских троянов ZeuS и SpyEye. Этот рост показывает, что бизнес в компьютерном подполье процветает.

Во второй первой половине 2011 года также наметился ощутимый рост группы рекламного спама, представитель которой является лидером рейтинга «Top 10» за октябрь. Это доказывает, что рекламное ПО остается прибыльным для преступников, хотя и малозаметным бизнесом.

Рейтинг опасного ПО за октябрь 2011 

Generic.Adware.Adseo.7722125B
Он относится к угрозам общего обнаружения. Этот пример рекламного трояна можно отнести к категории потенциально нежелательных программ. Вместе с установкой бесплатного ПО также загружаются дополнительные программы, которые не нужны пользователю. Такое обычно случается, когда пользователь загружает ПО не с официального сайта, а со сторонних ресурсов.

Trojan.Wimad.Gen1
Этот троянец выдает себя за обычный .wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь загрузит и установит такой файл-кодек, то злоумышленник получит возможность установить в системе любую вредоносную программу. Инфицированные таким образом аудио-файлы распространяются преимущественно через P2P-сети.

Trojan.AutorunINF.Gen
Эта программа способна распознать известные и неизвестные вредоносные файлы autorun.inf.

Worm.Autorun.VHG
Червь, распространяющийся в ОС Windows с помощью функции файлов autorun.inf. Он использует сменный носитель информации (например, USB-флешку или внешний жесткий диск).

Generic.Adware.Adseo.38E3FFEE
Как и лидер октябрьского рейтенга «Top 10», этот троянец относится к угрозам общего обнаружения и действует аналогично.

Trojan.Iframe.SC
Этот вредоносный код подключен к веб-сайту с эротическим контентом. Сайт состоит из двух невидимых фреймов, связанных таким образом, что вредоносное ПО загружается не с того домена, который вы первоначально посетили, а от невидимого второго. С одной стороны такая структура скрывает источник вредоносного ПО, а с другой – киберпреступники могут с легкостью обмениваться или продлевать хранение вредоносного ПО без необходимости менять сайт хостинга.

Trojan.Exploit.ANSH
Этот троянец представляется собой манипулируемый Java апплет, который можно найти на любом сайте. Когда пользователь загружает апплет, URL формируется в соответствии с параметрами апплета. Впоследствии происходит загрузка вредоносных исполняемых файлов на компьютер пользователя и их запуск.

Java.Exploit.CVE-2010-0840 E
Эта вредоносная программа основана на Java и имеет похожий принцип действия, что и предыдущая угроза. Она загружает файл .dll, который не отправляется на выполнение немедленно, а регистрирует себя в качестве сервиса с помощью Microsoft Register Server (regsvr32). Таким образом, он автоматически запускается при последующем запуске системы.

Exploiy.CplLnk.Gen
Этот вредитель использует ошибки при проверке файлов с расширением .Ink и .pif (ярлыки) при запуске ссылок из ОС Windows. Как только система открывает манипулятивную версию этих файлов для того, чтобы отобразить иконки, содержащиеся в Windows Explorer, вредоносный код загружается автоматически. Этот код также же может быть загружен из локальной системы файлов (например, со съемных носителей, которые также содержат ярлыки) или из интернета, используя возможности WebDAV.

Java.Trojan.Downloader.OpenConnection.AI
Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на веб-сайтах. Если пользователь загружает такой апплет, на основе его параметров генерируется ссылка и троянец-загрузчик загружает исполняемый файл, после чего запускает его. Эти файлы могут содержать любые вредоносные программы.

G Data AntiVirus