Май 2010 года запомнился новой вспышкой блокировщиков Windows (Trojan.Winlock, Trojan.AdultBan), значительную долю которых составили модификации, не требующие отправлять SMS-сообщения. «Порадовали» беспечных пользователей и новые виды шифровальщиков пользовательских документов (Trojan.Encoder). В течение месяца были замечены новые буткиты, для которых «Доктор Веб» оперативно разработал соответствующую процедуру лечения. Лжеантивирусы (Trojan.Fakealert), в свою очередь, стали занимать менее значительное место в статистике.

Описание:
Рассмотрены технологии и методики, положенные в основу работы распространенных вредоносных программ: руткитов, клавиатурных шпионов, программ SpyWare/AdWare, BackDoor, Trojan-Downloader.

Для большинства рассмотренных программ и технологий приведены подробные описания алгоритма работы и примеры кода на Delphi и С, демонстрирующие упрощенную реализацию алгоритма.

Описаны различные утилиты, в том числе и популярная авторская утилита AVZ, предназначенные для поиска и нейтрализации вредоносных программ и хакерских "закладок".

Рассмотрены типовые ситуации, связанные с поражением компьютера вредоносными программами. Для каждой из ситуаций описан процесс анализа и лечения.

На прилагаемом компакт-диске приведены исходные тексты примеров, антивирусная утилита AVZ и некоторые дополнительные материалы.

Для системных администраторов, специалистов по защите информации, студентов вузов и опытных пользователей.

«Доктор Веб» - российский разработчик средств информационной безопасности - сообщает о распространении в Рунете программы SMS Reader v.11.4.3 Russian edition, которая используется злоумышленниками для реализации мошеннической схемы. Определяемая Dr.Web как Trojan.Fraudster.6, данная вредоносная программа предлагает пользователям получить тексты СМС-сообщений с любого абонентского номера. Для этого злоумышленники требуют направить им платное СМС.

Под видом, казалось бы, бесплатного ПО, создатели которого обещают множество полезных, а также незаконных функций, в Рунете зачастую можно встретить вредоносные приложения и программы, использующие мошеннические схемы.

В очередной раз с этим можно столкнуться, загрузив SMS Reader v.11.4.3 Russian edition (определяется Dr.Web как Trojan.Fraudster.6) на сайте www.ubs***.ru. Создатели программы обещают любому пользователю тексты всех СМС с любого телефонного номера, который он укажет. По словам разработчиков, данная программа запускается с любого ПК и требует лишь подключение к Интернету.

Вредоносная программа, предназначенная для несанкционированного пользователем обращения к интернет-ресурсам (обычно, к веб-страницам).

Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

Компания BitDefender опубликовала список наиболее распространенных Интернет-угроз, зарегистрированных в прошлом месяце. Большую часть списка, включая три первые позиции, занимают разнообразные троянские приложения, чаще всего проникающие на компьютеры в результате невнимательности или неосторожности конечных пользователей.

Описание:
Trojan.Boxer - троян предназначен для того, чтобы регистрировать все нажатия клавиш и автоматически посылать файл логов на электронный адрес почты, определенный в опциях.

Для осложнения, определения и сокращения размера троян был упакован с FSG packer.

Очень часто, троян отправляется по электронный почты, используя уязвимости, упомянутые в электронном бюллетене MS02-015 и MS03-014, которые позволяют вредоносной программе запускаться автоматически. HTML файл инфицированный с Trojan.Boxer, определяется как Trojan.Sefex.

Тип вредоносной программы:
троян

ОС подверженные заражению:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT

Уровень опасности:
высокий

Компания «Доктор Веб» сообщила о крупномасштабных рассылках спам-сообщений, в составе которых содержатся архивы с вредоносными программами. С 1 июня по настоящее время специалистами компании зафиксированы рассылки писем с вредоносными программами, которые со временем становятся всё более массовыми.

Так, в ночь с 31 мая на 1 июня была зафиксирована рассылка писем, в которой говорилось о том, что к письму приложена электронная открытка от одного из членов семьи пользователя. На деле приложенный файл ecard.exe оказался троянцем, который определяется антивирусом Dr.Web как Trojan.DownLoad.37569.

В ночь с 1 на 2 июня под видом электронных открыток рассылалась уже другая программа - Trojan.PWS.Panda.122. Данная вредоносная программа сканирует интернет-трафик, проходящий через компьютер пользователя и ворует из него пароли к банковским интернет-сервисам и электронным платёжным системам.

Когда-то давно в далеком 2002 мне впервые попался под руку телефон Motorola i50 с поддержкой J2ME. В то время я работал в одной софтверной компании, занимающейся в частности и разработкой ПО для мобильных телефонов, в следствие чего мне приходилось быть в курсе j2ME-технологий.

Каково же было мое удивление, когда двумя годами позже, устраиваясь на работу к одному из антивирусных вендоров, я на собеседовании узнал, что вредоносных программ на J2ME не существует. Честно говоря, был уверен, что надо мной прикалываются, но нет, на тот момент их действительно не существовало.

То, что давно предсказывалось, произошло в феврале 2006 года - в живой природе был обнаружен Trojan-SMS.J2ME.RedBrowser.a. В тот момент я думал: "Понеслось", ан нет, ошибался - вторая ласточка (Trojan-SMS.J2ME.Wesber) появилась только спустя более чем полгода, к концу 2007 года их было всего 8, к маю 2008 года - 11, к июню - 21, к 1 января 2009 года - 99, на сегодняшний день - 153.

Компания «Dr Web» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам.

8 апреля 2009 года вирусными аналитиками компании «Dr Web» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе.

Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

Компания «Dr Web» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 года и продолжается до настоящего времени. С 31 марта наблюдается значительное присутствие даннойзловредной программы среди обнаруженных инфицированных файлов. Речь может идти о миллионах заражённых компьютеров.

С начала распространения новых модификаций Trojan.Blackmailer специалистами компании "Dr Web" были оперативно добавлены соответствующие записи в вирусную базу, и на данный момент пользователи антивируса Dr.Web надёжно защищены от данного троянца.

Данный троянец представляет из себя плагин к браузеру Internet Explorer с рекламой порно-сайтов, который отображается при посещении любого интернет-ресурса. Таким образом он постоянно напоминает о себе пользователям.

В то же время, данную программу практически невозможно удалить стандартными средствами - для деинсталляции злоумышленники предлагают пользователям отправить SMS-сообщение, а затем ввести полученный код.