5 Февраля 2013

ESET: Обзор информационных угроз января 2013 года

Хакеры продолжают активно использовать трояны для перенаправления пользователей на фишинговые ресурсы

Москва, 5 февраля 2013 года, ─ Компания ESET, ведущий международный разработчик антивирусного ПО и глобальный эксперт в сфере защиты от киберпреступности и компьютерных угроз, сообщает о наиболее распространенном вредоносном ПО, выявленном специалистами Вирусной лаборатории ESET с помощью интеллектуальной облачной технологии ESET Live Grid в январе 2013 года.

В январе неоспоримым лидером в России стала троянская программа Win32/Qhost. Ее рейтинг активности, по сравнению с другими угрозами, остается очень высоким – 15,9%. Мы уже упоминали ее в прошлых ежемесячных отчетах, в одном из них она также возглавляла нашу “десятку” угроз. Win32/Qhost не представляет из себя технологически сложную угрозу, одним из основных ее предназначений является модификация служебного hosts файла.

Используя вредоносные записи, добавляемые в этот текстовый файл, злоумышленники переадресуют пользователя на фишинговые ресурсы. При этом перенаправление на такие ресурсы осуществляется за счет стандартных механизмов ОС и при минимальном участии самого пользователя, которому достаточно просто воспользоваться браузером.

«Скорее всего, именно эта простота и обширный спектр фишинговых сайтов делают Win32/Qhost столь привлекательным для злоумышленников. Ведь используя hosts файл, они могут перенаправить пользователя фактически на любой вредоносный ресурс, практически неотличимый от легального. Таким образом, ничего не подозревающий пользователь может запросто отправить злоумышленникам свою конфиденциальную информацию. Как правило, их целью является получение аутентификационных данных для онлайн-банкинга, либо персональной информации из социальных сетей», – говорит Артем Баранов, ведущий вирусный аналитик ESET.

Статистика распространения Win32/Qhost по России показывает, что пик его активности пришелся на декабрь 2012 года; в настоящее время его активность снижается.


Рис. 1. Статистика активности троянской программы Win32/Qhost в России.

Вредоносные объекты, которые встраиваются злоумышленниками в веб-страницы, по-прежнему занимают верхние строчки российского рейтинга – речь идет о семействах HTML/IFrame (4,95%) и HTML/ScrInject (3,55%). Как правило, с этих вредоносных объектов и начинается заражение пользователя вредоносным ПО. Злоумышленники осуществляют атаку на какой-либо сайт и заражают веб-страницы вредоносным содержимым. Чем популярнее будет этот сайт, тем большее число пользователей могут стать жертвой кибератаки. Несмотря на текущую отрицательную динамику по этим угрозам, вряд ли можно ожидать существенного спада HTML/IFrame и HTML/ScrInject в будущем.

А вот известный банковский троян Carberp, напротив, с середины 2012 года демонстрирует устойчивую тенденцию к падению (рис. 2) – среди всех российских угроз его рейтинг составляет 1,1%. Другой известный троян – Win32/Bicololo, который, как и Win32/Qhost, ориентирован на модификацию hosts файла, значительно увеличил свою активность в декабре и закончил январь с положительной динамикой. Его доля составляет 2,07 %.


Рис. 2. Статистика активности банковского трояна Carberp в России.

Троян Win32/StartPage также попал в наш январский рейтинг угроз с показателем 0,8 %. Его основная задача – подмена стартовой страницы браузера пользователя для перенаправления на веб-страницы, заданные злоумышленником. Кроме того, он может отслеживать поисковые запросы пользователя и открывать специальные фишинговые сайты. Отметим, что в нашей десятке также оказались INF/Autorun и Win32/Conficker, о которых мы писали в годовом отчете за 2012 год – в январе их рейтинг составил 1,92% и 1,18% соответственно. Общая доля России в мировом объеме вредоносного ПО составила 7,81%.

Глобальная статистика угроз отличается от российской, хотя и здесь наблюдается преобладание HTML/IFrame (3,0%) и HTML/ScrInject (2,71%). С российской десяткой ее роднит и присутствие INF/Autorun (2,71%), Win32/Conficker (2,31%), Win32/Qhost (2,41%), а также Win32/Dorkbot (1,52%). Кроме вредоносных объектов веб-страниц, которые мы детектируем как HTML/IFrame и HTML/ScrInject, в глобальную десятку попали и вредоносные Java-скрипты: JS/Kryptik.ADZ (2,52%) и JS/TrojanDownloader.Iframe (1,32%). Также в мировом рейтинге оказались файловые инфекторы – Win32/Sality (2,6%) и Win32/Ramnit (1,4%).

О Sality стоит упомянуть отдельно. Это семейство файловых инфекторов известно очень давно – его первые версии были обнаружены еще в 2003 году. С тех пор эта угроза претерпела ряд изменений, причем эволюционировали как вредоносный код инфектора, так и полезная нагрузка. Кроме того, Sality обзавелся своим ботнетом. После незначительных спадов и подъемов, позиции Win32/Sality фактически вернулись к позициям годовой давности. Однако за прошедший месяц он демонстрирует положительную мировую динамику.

Глобальная статистика угроз выглядит следующим образом:

Угроза Уровень распространенности Динамика
HTML/IFrame 3,0% +
HTML/ScrInject 2,71% -
INF/Autorun 2,71% -
Win32/Sality 2,6% +
JS/Kryptik.ADZ 2,52% -
Win32/Qhost 2,41% -
Win32/Conficker 2,31% -
Win32/Dorkbot 1,52% +
Win32/Ramnit 1,4% +
JS/TrojanDownloader.Iframe 1,32% +

Статистика угроз по России:

Угроза Уровень распространенности Динамика
Win32/Qhost 15,91% -
HTML/IFrame 4,95% -
HTML/ScrInject 3,55% -
Win32/Spy.Ursnif 3,14% -
Win32/Bicololo 2,07% +
INF/Autorun 1,92% +
Win32/Dorkbot 1,52% +
Win32/Conficker 1,18% +
Win32/TrojanDownloader.Carberp 1,1% *
Win32/StartPage 0,8% +