Протягом місяця на комп'ютерах користувачів продуктів "Лабораторії Касперського":
- відображено 249 345 057 мережевих атак;
- заблоковано 68 894 639 спроб зараження через Web;
- виявлено та знешкоджено 216 177 223 шкідливих програм (спроби локального зараження);
- відзначено 83 601 457 спрацьовувань евристичних вердиктів.
Основні події місяця
Перший місяць літа пройшов відносно спокійно: жодних значущих інцидентів, на щастя, не сталося. Кіберкрімінальний фон місяці можна назвати "класичним". У країнах, що розвиваються зловмисники використовували неграмотність користувачів в сфері IT-безпеки для поширення своїх виробів. У розвинених країнах переважали зловредів, що полюють за інформацією і грошима користувачів. У Бразилії, як завжди, поширювалися Банкер, а в Росії цілком традиційно шкідливі програми використовувалися в різноманітних шахрайських схемах.
Зловмисники не залишають у спокої платформу Mac OS X. Якщо в травні були виявлені підроблені антивіруси під цю платформу, то зараз шахраї поширюють бекдор Backdoor.OSX.Olyx.a. Ця шкідлива програма призначена для віддаленого управління комп'ютером: зловмисники можуть використовувати заражену систему в своїх цілях: завантажувати інші зловредів, запускати програми і виконувати команди інтерпретатора.
Рейтинг шкідливих програм
Шкідливі програми в інтернеті
В TOP 20 шкідливих програм в інтернеті як і раніше переважають зловредів, які використовуються для здійснення drive-by атак: редиректори, скріптові завантажувачі і експлойти. Такі шкідливі програми зайняли 14 з 20 рядків рейтингу.
В TOP 20 потрапили чотири редиректора: Trojan-Downloader.JS.Agent.fzn (12-е місце), Trojan-Downloader.JS.Agent.gay (13-е місце), Trojan-Downloader.JS.IFrame.cfw (14 -е місце) і Trojan.JS.IFrame.tm (15-е місце).
Фрагмент скрипта, зараженого Trojan-Downloader.JS.Agent.gay
Скриптові завантажувачі представлені в рейтингу двома групами. Перша: Trojan.JS.Redirector.pz (5-е місце), Trojan.JS.Redirector.qa (7-е місце) і Trojan.JS.Redirector.py (8-е місце), Trojan.JS.Redirector. qb (9-е місце). Друга: Trojan-Downloader.JS.Agent.gbj (11-е місце) і Trojan-Downloader.JS.Agent.gaf (19-е місце).
Фрагмент шкідливого завантажувача Trojan.JS.Redirector.qa
Відзначимо появу в рейтингу експлойта Trojan-Downloader.SWF.Small.df (20-е місце) в SWF-файлах. Його функціонал полягає в прихованому запуску іншого шкідливого SWF-файлу, розташованого в тій же папці на сервері.
Шкідливі програми на комп'ютерах користувачів
Як вже було сказано вище, рейтинг шкідливих програм, виявлених на комп'ютерах користувачів, змінився незначно. Однак крім типових зловредів в TOP 20 потрапив досить незвичайний представник шкідливої фауни - файловий вірус Virus.Win32.Nimnul.a.
Nimnul-інфектор
Вперше в TOP 20 цей зловредів потрапив в травні і за два місяці добрався з 20-ї позиції до 11-ї. Це досить незвично, враховуючи, що файлові інфектори поступово сходять нанівець. В даний час зловмисники воліють зловредів, захищені поліморфними пакувальниками (що забезпечує унікальність упакованої шкідливої програми). Використовувати файлові віруси стало просто невигідно: їх розробка та підтримка досить складні, при цьому виявити їх в системі відносно просто.
Вірус Nimnul.a заражає виконувані файли, додаючи в кінець файлу додаткову секцію ".text" і модифікуючи точку входу. Після запуску будь заражений файл перевіряє наявність унікального ідентифікатора вірусу в ОС (Mutex). Наявність об'єкта Mutex означає, що інший заражений файл вже був запущений в системі. У цьому випадку вірус лише запускає оригінальний додаток. Якщо ж шуканий Mutex що невиявлений, то спочатку розглянутий синхронизирующий об'єкт буде створений, а потім на диск буде скинутий основний компонент Nimnul. Цей компонент записує на диск ще кілька шкідливих бібліотек.
Зловредів краде персональні конфігураційні файли популярних браузерів, підключається до віддаленого сервера і в стані підміняти висновок веб-сторінок.
