Вирусными событиями сентября поделился «Доктор Веб».
По данным, собранным в сентябре 2014 года с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто на компьютерах пользователей обнаруживались надстройки для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц — Trojan.BPlug.123 и Trojan.BPlug.100.
Как и в августе, среди обнаруженных на компьютерах пользователей вредоносных приложений лидирует установщик рекламных программ Trojan.Packed.24524 — он выявляется на инфицированных ПК в 0,66% случаев, при этом данный показатель продолжает расти: в июле отношение числа его обнаружений к общему количеству детектированных угроз составляло 0,56%, а в августе — 0,59%. На втором месте в общей статистике расположился BackDoor.IRC.NgrBot.42. Также в сентябрьской статистике высокие показатели по числу обнаружений демонстрируют различные рекламные троянцы, в частности, Trojan.InstallMonster.953,Trojan.Zadved.4 и им подобные.
В почтовом трафике в сентябре на лидирующее место вновь вернулся троянец-загрузчик BackDoor.Tishop.122, число случаев его детектирования возросло с 1,15 до 1,54%. Второе место с показателем 1,03% заняла модификация этой распространенной угрозы — BackDoor.Tishop.152. Третью и четвертую позиции заняли троянцы, предназначенные для похищения паролей и иной конфиденциальной информации -Trojan.PWS.Stealer.4118 и Trojan.PWS.Turist.144.
В структуре ботнетов за указанный период существенных изменений не произошло. Так, в одной из подсетей бот-сети, созданной злоумышленниками с использованием файлового вируса Win32.Rmnet.12, по-прежнему ежесуточно фиксируется порядка 265 000 обращений инфицированных узлов к управляющим серверам, что в целом соответствует августовским показателям.
Прошло уже более двух лет с момента обнаружения специалистами «Доктор Веб» крупнейшей в истории бот-сети, состоящей из зараженных троянцем BackDoor.Flashback.39 Apple-совместимых компьютеров. Однако число вредоносных программ для этой платформы не уменьшается. Исследования показывают, что подобные угрозы постепенно становятся все сложнее, расширяются их функциональные возможности, а вирусописатели используют в своих «творениях» самые современные технологии.
Интерес злоумышленников к Mac OS X основывается на росте популярности этой платформы. Так, только в первом осеннем месяце 2014 года вирусные аналитики добавили в базы Dr.Web записи сразу для нескольких опасных программ, угрожающих приверженцам продукции Apple: это троянец-бэкдор Mac.BackDoor.Ventir.1, а также троянец-шпион Mac.BackDoor.XSLCmd, который злоумышленники портировали под Mac OS X, взяв за основу вредоносную программу для Windows. Угрозе заражения этой вредоносной программой подвержены устройства с версиями Mac OS X, выпущенными до октября 2013 года. Ссылки на скачивание вредоносных Java-скриптов, загружающих на Apple-совместимый компьютер Mac.BackDoor.XSLCmd, злоумышленники размещали внутри блоков кода Google Analytics — бесплатного сервиса, предназначенного для сбора детальной статистики посещения сайтов.
В начале месяца «Доктор Веб» добавила в вирусные базы информацию о вредоносной программе Trojan.SteamBurglar.1, предназначенной для кражи игровых предметов у пользователей платформы Steam. Вирус распространялся путем рассылки сообщений в чате Steam или на специализированных форумах с предложением посмотреть скриншоты виртуального оружия или иных ресурсов, представленных якобы для продажи или обмена. Троянец демонстрировал на экране компьютера потенциальной жертвы изображения различных игровых предметов и в это же самое время отыскивал в памяти процесс steam.exe, извлекал из него информацию об игровых артефактах, выявлял среди них наиболее ценные по ключевым словам rare, immortal, legendary, после чего осуществлял их кражу с целью последующей продажи. Украденные артефакты пересылались на одну из принадлежащих злоумышленникам учетных записей. В частности, от действия троянца Trojan.SteamBurglar.1 пострадало некоторое количество игроков популярной многопользовательской игры Dota 2.
Также в сентябре злоумышленники использовали новую версию троянца BlackEnergy для сбора данных с жестких дисков компьютерных систем государственных и частных компаний, в основном из Польши и Украины. Его первая модификация, проанализированная еще в 2007 году, была разработана для организации относительно простых DDoS-атак. К настоящему времени тривиальный DDoS-троянец превратился в сложную вредоносную программу с модульной архитектурой, позволяющей злоумышленникам менять его функционал в зависимости от поставленных целей.
Что касается Android-устройств, то они по-прежнему набирают количество желающих поживиться на них. Среди атак — очередной троянец-блокировщик, получивший имя Android.Locker.38.origin. Как и большинство его собратьев, этот вымогатель блокирует экран зараженного мобильного устройства и требует выкуп за его разблокировку, однако помимо этого троянец способен дополнительно заблокировать Android-смартфон или планшет паролем, что значительно затрудняет борьбу с данной угрозой.
Существенное число обнаруженных в сентябре вредоносных приложений для ОС Android составили новые модификации банковских троянцев, при этом немалая их часть использовалась для проведения очередных атак на южнокорейских пользователей с применением SMS-спама. В общей сложности специалистами «Доктор Веб» выявлено более 100 спам-кампаний, направленных на распространение различных вредоносных Android-программ в Южной Корее, при этом самыми «популярными» троянцами стали Android.Banker.28.origin, Android.BankBot.27.origin, Android.SmsBot.121.origin, Android.SmsSpy.78.origin, Android.Banker.32.origin и Android.MulDrop.21.origin.