G Data: троянські програми атакую!

Фахівці компанії G Data Software підвели підсумки жовтня, виявивши самі небезпечні загрози місяця. П'ять представників шкідливого ПЗ з десяти належать до класу троянських програм, що становить близько 4% усього шкідливого ПЗ, детектованого в жовтні. Якщо підрахувати, що в середньому щодня з'являється 60 000 нових загроз, то близько 2 160 з них є чистими троянськими програмами. Відзначимо, що дана статистика представлена лише для популярних троянців, але залишаються і менш популярні.

Згідно заяві Ральфа Бенцмюллера, який є керівником лабораторії безпеки GData Securitylabs, сьогодні саме троянські програми стають рушійною силою вірусоутворення. При цьому зростає кількість модифікацій шкідливого ПЗ, яка запускається автоматично і також автоматично поширюються. Це і є клас троянських програм, які складають приблизно 93,6 % від усіх видів вірусів. 

На діаграмі показане співвідношення окремих категорій шкідливого ПЗ за декілька останніх півріч. У групі троянських програм відзначене значне збільшення у першій половині 2011 року, воно триває і сьогодні. У цю групу входять всі програми, що виконують конкретні шкідливі функції. Більшість троянів містять програми, що завантажуються на заражені комп'ютери в обхід системи, щоб здійснювати свої злісні дії. У цю групу входить спам, атаки, що приводять до відмови сайту обслуговувати законних користувачів, проксі-сервіси і інші подібні «пропозиції» серед переліку «послуг» кібершахраїв. Також у цю групу попадає безліч версій банківських троянів ZeuS і SpyEye. Це збільшення показує, що бізнес у комп'ютерному підвалі квітне.

У другій першій половині 2011 року також намітився відчутний ріст групи рекламного спаму, представник якої є лідером рейтингу «Top 10» за жовтень. Це доводить, що рекламне ПЗ залишається прибутковим для злочинців, хоча і малопомітним бізнесом.

Рейтинг небезпечного ПЗ за жовтень 2011 

Generic.Adware.Adseo.7722125B
Він належить до загроз загального виявлення. Цей приклад рекламного трояну можна віднести до категорії потенційно небажаних програм. Разом з встановленням безкоштовного ПЗ також завантажуються додаткові програми, які не потрібні користувачу. Таке звичайно трапляється, коли користувач завантажує ПЗ не з офіційного сайту, а з сторонніх ресурсів.

Trojan.Wimad.Gen1
Цей троянец видає себе за звичайний .wma аудіофайл, який можна прослухати тільки після встановлення спеціального кодека/декодера. Якщо користувач завантажить і встановить такий файл-кодек, то зловмисник отримає можливість встановити в системі будь-яку шкідливу програму. Інфіковані таким чином аудіо-файли поширюються переважно через P2 P-мережі.

Trojan.AutorunINF.Gen
Ця програма здатна розпізнати відомі і невідомі шкідливі файли autorun.inf.

Worm.Autorun.VHG
Хробак, що поширюється в ОС Windows за допомогою функції файлів autorun.inf. Він використовує змінний носій інформації (наприклад, USB-флешку або зовнішній жорсткий диск).

Generic.Adware.Adseo.38E3FFEE
Як і лідер жовтневого рейтенга «Top 10», цей троянец належить до загроз загального виявлення і діє аналогічно.

Trojan.Iframe.SC
Цей шкідливий код підключений до веб-сайту з еротичним контентом. Сайт складається з двох невидимих фреймів, поєднаних таким чином, що шкідливе ПЗ завантажується не з того домена, який ви спочатку відвідали, а від невидимого іншого. З одного боку така структура приховує джерело шкідливого ПЗ, а з іншого – кібершахраї можуть з легкістю обмінюватися або продовжувати зберігання шкідливого ПЗ без необхідності змінювати сайт хостінга.

Trojan.Exploit.ANSH
Цей троянец представляє собою Java апплет, яким можна маніпулювати та знайти на будь-якому сайті. Коли користувач завантажує апплет, URL формується відповідно до параметрів апплета. Згодом відбувається завантаження шкідливих файлів на комп'ютер користувача і їх запуск.

Java.Exploit.CVE-2010-0840 E
Ця шкідлива програма заснована на Java і має схожий принцип дії, що і попередня загроза. Вона завантажує файл.dll, який не відправляється на виконання негайно, а реєструє себе як сервіс за допомогою Microsoft Register Server (regsvr32). Таким чином, він автоматично запускається при наступному запуску системи.

Exploiy.Cpllnk.Gen
Цей шкідник використовує помилки при перевірці файлів з розширенням .Ink і .pif (ярлики) при запуску посилань з ОС Windows. Як тільки система відкриває маніпулятивну версію цих файлів для того, щоб відобразити іконки, що втримуються в Windows Explorer, шкідливий код завантажується автоматично. Цей код також же може бути завантажений з локальної системи файлів (наприклад, з знімних носіїв, які також містять ярлики) або з інтернету, використовуючи можливості WebDAV.

Java.Trojan.Downloader.Openconnection.AI
Цей троянець-завантажник можна зустріти в модифікованих Java-апплетах на веб-сайтах. Якщо користувач завантажує такий апплет, на основі його параметрів генерується посилання і троянець-завантажник стягує виконавчий файл, після чого запускає його. Ці файли можуть містити будь-які шкідливі програми.

G Data AntiVirus