Похоже, киберпреступники весьма неплохо встретили Новый год - задолго до завершения новогодних каникул они вернулись к своей преступной деятельности. И сразу же бросились зарабатывать деньги с использованием мошеннических схем.

Похоже, киберпреступники весьма неплохо встретили Новый год - задолго до завершения новогодних каникул они вернулись к своей преступной деятельности. И сразу же бросились зарабатывать деньги с использованием мошеннических схем - видимо поиздержались. Такое впечатление складывается после прочтения очередного, за январь 2011 года, обзора антивирусной активности, подготовленного компанией «Лаборатория Касперского».

2011 год киберпреступники решили начать с новогодних подарков. В том числе от имени самой «Лаборатории Касперского». Как отмечает разработчик антивирусного ПО, после новогодних праздников был обнаружен троянец-дроппер, замаскированный под генератор ключей для его продуктов. Этот троянец устанавливал и запускал на компьютерах пользователей два зловреда. Один из них ворует регистрационные данные от программ и пароли к онлайн-играм. Второй представлял собой бэкдор, который обладал также функционалом кейлоггера.

Кроме того, в начале месяца компания обнаружила свой поддельный сайт, адрес которого отличался от kaspersky.ru на одну букву. На этой фальшивой страничке пользователям предлагался «новогодний подарок» - бесплатный Kaspersky Internet Security 2011. Правда вместо этого ПО на компьютер пользователя закачивался Trojan-Ransom.MSIL.FakeInstaller.e, установка которого приводит к перезапуску компьютера. После перезагрузки троянец показывает фальшивое окно социальной сети «Одноклассники» с сообщением о том, что пользователь выиграл телефон Samsung Galaxy S, который можно получить всего за 1200 рублей. Для подтверждения выигрыша предлагалось отправить SMS-сообщение, что обходилось в кругленькую сумму.

По такой же схеме киберпреступники использовали Internet Explorer, который предлагалось обновить и активировать якобы установленное обновление с помощью отправки SMS-сообщения на премиум-номер.

Также в январе злоумышленники продолжили использовать уже апробированные способы и средства. Речь идет в частности об атаках через Twitter за счет вредоносных ссылок, укороченных при помощи сервиса goo.gl. К ним следует добавить рекламные программы. Одна из них AdWare.Win32.WhiteSmoke.a без согласия пользователя добавляет на рабочий стол ярлык Improve your PC, а затем старается добиться от пользователя разрешения на установку программы под названием RegistryBooster 2011, которая просканирует компьютер и потребует заплатить за исправление обнаруженных ошибок.

Всего в январе на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено, по данным компании, около 214 млн сетевых атак, заблокировано почти 69 млн попыток заражения через веб, обнаружено и обезврежено 187 млн 235 тысяч вредоносных программ.

Новинкой января стал почтовый червь - Email-Worm.Win32.Hlux, который распространяется с помощью сообщений о полученной поздравительной электронной открытки. Последняя содержит ссылку на страницу с предложением установить Flash Player для корректного отображения открытки. При попытке загрузить Flash Player открывается диалоговое окно, в котором пользователя спрашивают, согласен ли он скачать файл. По сообщению «Лаборатории Касперского», независимо от ответа пользователя червь пытается проникнуть на его компьютер: через пять секунд после открытия диалогового окна происходит редирект на страницу, содержащую набор эксплойтов и программы семейства Trojan-Downloader.Java.OpenConnection, которые начинают загрузку Hlux на компьютер.

Разработчик антивирусного ПО отмечает также, что червь, помимо самораспространения по почте, обладает функционалом бота и включает зараженный компьютер в ботнет. Hlux связывается с командным центром ботнета и выполняет его команды - в частности, рассылает фармацевтический спам.

Вообще стоит отметить, что январь стал богатым на «зловредные новинки». Так, в январском Тор-20 вредоносных программ в Интернете оказалось сразу 9 новичков. Среди них достаточно активные Exploit.HTML.CVE-2010-1885.aa, AdWare.Win32.FunWeb.gq, Trojan.JS.Redirector.os, Downloader.Java.OpenConnection.cg и пр.

Александр Михайлов