Компания «Доктор Веб» опубликовала обзор вирусной активности за май 2012 г. По данным компании, в прошлом месяце не было зафиксировано серьезных вирусных эпидемий. Тем не менее, по-прежнему высоким остается число пострадавших от действий троянов-шифровальщиков, все увереннее осваивающих западный рынок, появляются новые угрозы для мобильной операционной системы Android. Угрозой месяца стал Trojan.Matsnu.1 — от действий этой троянской программы пострадало большое количество пользователей по всему миру. Троян написан на языке «Ассемблер», распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троян шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о том, что его система заблокирована либо была инфицирована трояном-кодировщиком. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Чтобы расшифровать файлы, вирусописатели предлагают воспользоваться одной из наиболее распространенных на территории Европы платежных систем. Одновременно с демонстрацией данного сообщения троян ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие: «убить систему» (удалить все файлы на жестких дисках); «загрузить с сайта злоумышленников указанную программу и запустить ее»; «загрузить и продемонстрировать другие изображения для диалогового окна»; «сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса»; «расшифровать файлы» (ключ присылается с сайта злоумышленников вместе с командой); «зашифровать файлы еще раз с использованием вновь сгенерированного ключа»; «обновить список управляющих серверов»; «обновить основной модуль трояна». Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал, подчеркнули в «Доктор Веб». От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки. По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз занимает троян Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к интернету: он был обнаружен на 3,73% проверенных данной утилитой компьютеров. Распространяясь с поддельных файлообменников под видом драйверов и полезных программ, а также в спам-рассылках, Trojan.Mayachok.1 приносит своим создателям неплохую прибыль, требуя у пользователей «активировать» доступ к тому или иному сайту, указав в соответствующем поле номер мобильного телефона и пришедший в ответном SMS-сообщении код. Таким образом, жертва оказывается подписанной на псевдоуслугу, за оказание которой с ее счета мобильного оператора будет ежемесячно списывается абонентская плата. Вот неполный список интернет-ресурсов, страницы которых может подменить этот троян: youtube.com, vkontakte.ru, vk.com, odnoklassniki.ru, my.mail.ru. Не отстают от него и банковские трояны семейства Trojan.Carberp (1,3% случаев). По информации «Доктор Веб», достаточно часто на инфицированных ПК удается обнаружить различные трояны-даунлоадеры, вредоносные программы семейства Trojan.SMSSend (порядка 1,5%), Trojan.Hosts (около 0,5%) и всевозможные модификации IRC-ботов. По сравнению со статистикой за предыдущий месяц число заражений трояном Trojan.Mayachok.1 выросло на 1,36%: в мае количество обнаружений данной вредоносной программы увеличилось на 10,5 тыс. А вот число обнаружений Trojan.Carberp, наоборот, сократилось практически на четверть. При этом несколько возросло количество случаев заражения троянами семейства Trojan.Hosts, подменяющими содержимое файла Windows/System32/Drivers/etc/hosts, который отвечает за трансляцию сетевых адресов сайтов в их DNS-имена. Одной из весьма популярных модификаций данной вредоносной программы оказался Trojan.Hosts.5858. Распространение зловреда осуществляется с использованием ресурсов бот-сети BackDoor.Andromeda. В случае заражения при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т.д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты. Численность выявленных угроз других типов за истекший месяц фактически осталась на прежнем уровне, сообщили в «Доктор Веб». Между тем, среди угроз, обнаруженных в мае в почтовых сообщениях, лидирует вредоносная программа Trojan.SMSSend.2856, представляющая собой вредоносный скрипт, который перенаправляет браузер пользователя на мошеннические сайты. В числе лидеров вредоносных рассылок также замечены Trojan.Mayachok.1 и Trojan.Carberp. Нередко в почтовых сообщениях обнаруживается червь Win32.HLLW.Shadow, известный также под именем Kido — эта программа способна загружать с удаленных серверов, устанавливать и запускать на компьютере жертвы различные приложения. Также в качестве вложений в сообщениях e-mail нередко встречаются различные программы-загрузчики и троян-руткит Trojan.NtRootKit.6725. В целом по сравнению с апрелем 2012 г. объем вредоносных вложений в почтовых сообщениях немного сократился, в то время как качественный их состав практически не претерпел изменений.
http://www.cnews.ru/news/2012/06/09/may_2012_troyanyshifrovalshhiki_prodolzhayut_nastuplenie_492598