Новые вирусные рекорды: в третьем квартале было создано свыше 20 миллионов угроз

Согласно ежеквартальному отчету PandaLabs, в третьем квартале 2014 года ежедневно создавалось 227747 новых образцов вредоносных программ. Глобальный уровень заражения составил 37,93%, немного поднявшись по сравнению с предыдущими кварталами. Россия, как всегда, в числе наиболее зараженных стран мира

Компания Panda Security, производитель облачных решений безопасности и ведущий поставщик программ защиты от вредоносного программного обеспечения и вирусов, опубликовал ежеквартальный отчет антивирусной лаборатории PandaLabs за 3 квартал 2014 года. Основные выводы исследования говорят о том, что наблюдается рост числа созданных вредоносных программ по сравнению с предыдущим кварталом: во всем мире было создано свыше 20 миллионов новых образцов вредоносных программ, в среднем по 227747 новых образцов ежедневно.
Глобальный уровень заражения составил 37,93%, что несколько выше показателя 36,87% во втором квартале этого года.

Трояны на подъеме
Трояны по-прежнему остаются самым распространенным типом вредоносных программ (78,08%), при этом их доля значительно возросла по сравнению со вторым кварталом этого года. На втором месте с существенным отрывом идут вирусы (8,89%) и черви (3,92%).
«За последние месяцы мы наблюдали, как продолжает расти уровень кибер-преступности. Преступники не перестали создавать вредоносные программы и продолжают заражать максимально возможное число систем для получения доступа к критически важной или конфиденциальной информации», - говорит Луис Корронс, Технический директор антивирусной лаборатории PandaLabs в компании Panda Security. «Корпоративные сети также подвержены атакам. Например, За последние три месяца многие крупные компании были втянуты в многочисленные скандалы, включая так называемый «Celebgate», в рамках которого были похищены откровенные фотографии известных актрис и фотомоделей, размещенные в облачном сервисе Apple iCloud, а также кража паролей от Gmail и Dropbox».

Число инфекций, вызванных троянами, растет на фоне падения числа PUP
Кроме того, трояны снова оказались самыми плодовитыми вредоносными программами в течение рассматриваемого квартала, вызвав 75% от числа всех инфекций, что значительно выше показателя прошлого квартала (62,80%). Потенциально нежелательные программы (PUP) по-прежнему занимают второе место в рейтинге, став причиной 14,55% инфекций от общего числа, что значительно ниже показателя второго квартала, когда число инфекций, вызванных данной техникой, достигало 24,77%. Далее идут рекламное и шпионское ПО (6,88%), черви (2,09%) и вирусы (1,48%).

Распределение инфекций по странам
Данные распределения инфекций по странам показывают, что Китай продолжает удерживать верхнюю строчку рейтинга, показав уровень заражения 49,83% и впервые за долгое время опустившись ниже отметки в 50% от числа зараженных компьютеров. За Китаем следуют Перу (42,38%) и Боливия (42,12%). Россия также относится к числу стран с самыми высокими уровнями заражения: наша страна в данном «рейтинге» заняла пятое место с показателем 41,38%.
Как можно увидеть из ежеквартального отчета, в рейтинге стран с наиболее высокими уровнями заражения доминируют страны Азии и Латинской Америки.
Европа остается регионом с самыми низкими уровнями заражения: девять европейских стран вошли в десятку самых безопасных стран мира. Возглавляют рейтинг Норвегия (23,07%) и Швеция (23,44%), а за ними следует Япония (24,02%) – единственная неевропейская страна в десятке наиболее безопасных стран мира.

 PandaLabs

Outpost Security Suite Pro 9.1 зарабатывает для Agnitum пятую награду VB100 в последних пяти испытаниях

Outpost Security Suite Pro 9.1 получает заслуженную сертификацию на платформе Windows Server 2012
Эксперты в области безопасности ПК из компании Agnitum сообщают о получении очередной сертификации Virus Bulletin, на этот раз — на платформе Windows Server 2012. Тестирование проводилось в июне 2014, однако официальные результаты были опубликованы ранее в этом месяце. Outpost Security Suite Pro, вер. 9.1, завоевывает для антивирусной лаборатории Agnitum пятую по счету награду (пять тестирований — пять прохождений).
Антивирусная лаборатория Agnitum, в настоящий момент — активный участник антивирусного сообщества и программ по обмену вредоносными образцами, впервые заявила о себе два с половиной года назад, и с тех пор демонстрирует впечатляющие результаты. По эффективности работы новый движок стоит наряду с лидерами индустрии, превосходя конкурирующие решения по скорости сканирования и простоте использования.
Лаборатория Virus Bulletin традиционно оценила удобный интерфейс программы: "... лаконичный интерфейс соответствует общепринятым стандартам, отлично выглядит и предоставляет солидные возможности конфигурирования, при этом не приводя пользователя в замешательство".
И что важнее, лаборатория отмечает неизменно высокие показатели Outpost: "... список WildList был пройден, и, без каких-либо проблем в чистых конфигурациях, Agnitum зарабатывает очередную награду VB100, подкрепляя свой высокий рейтинг по итогам года".
Иными словами, антивирусный модуль флагманского продукта Outpost Security Suite продемонстрировал легкость в обнаружении 100% образцов из основной и расширенной коллекций вредоносных программ из списка WildList без единого ложного срабатывания.
Флагманский продукт Outpost Security Suite Pro включает в себя следующий функционал:

• Антивирус. Обнаруживает и удаляет все возможные виды вирусов.
• Сетевой экран. Защищает ПК от вторжений, делая его невидимым для хакеров.
• Проактивная защита. Защищает систему от незнакомых, новых угроз.
• Сканер почты. Проверяет вложения в электронной почте на предмет вирусов.
• Анти-баннер. Избавляет от раздражающей Интернет-рекламы.

agnitum.ru

Во втором квартале было создано свыше 15 миллионов угроз

Согласно ежеквартальному отчету антивирусной лаборатории PandaLabs за второй квартал 2014 года, глобальный уровень заражения составил 36,87%, значительно поднявшись по сравнению с предыдущими кварталами за счет увеличения числа потенциально нежелательных программ. Россия – в числе наиболее зараженных стран мира.

 
Компания Panda Security, производитель облачных решений безопасности и ведущий поставщик программ защиты от вредоносного программного обеспечения и вирусов, опубликовал ежеквартальный отчет антивирусной лаборатории PandaLabs за 2 квартал 2014 года. Основные выводы исследования заключаются в том, что объемы создания новых вредоносных программ имеют рекордно высокие показатели, которые были достигнуты еще в предыдущем квартале: было создано порядка 15 миллионов новых образцов вредоносных программ, что соответствует созданию примерно 160 000 угроз ежедневно.
Несмотря на то, что трояны по-прежнему являются наиболее распространенным видом вредоносных программ, имея долю в 58,20% от числа новых угроз, тем не менее, это значение существенно ниже показателя предыдущего квартала (71,85%). Однако такое снижение вызвано не уменьшением числа троянов, а значительным ростом количества потенциально нежелательных программ (PUP) в течение этого периода.
Атаки на мобильные устройства в течение второго квартала продолжали «набирать обороты», при этом они теперь стали направлены и на Apple iOS в дополнение к Android. В последнем случае, наиболее заметные инциденты были связаны с ложными антивирусными решениями и программами-вымогателями (ransomware).
Кроме того, мы стали свидетелями большого количества существенных хакерских атак на значимые компании, представляющие различные сектора экономики, среди которых eBay, Spotify или Domino's Pizza, а также новые атаки со стороны Сирийской электронной армии (SEA). В апреле заголовки многих СМИ были посвящены бреши безопасности Heartbleed, обнаруженной в библиотеке OpenSSL, используемой для зашифрованных коммуникаций. Одновременно с этим Microsoft прекратила оказывать поддержку для Windows XP, что привело к серьезным последствиям для пользователей этой версии операционной системы.

Подъем PUP
И хотя трояны по-прежнему остаются наиболее распространенным типом вредоносных программ (58,20% от числа всех новых угроз), но они теряют свою долю в силу роста числа потенциально нежелательных приложений (PUP). На самом деле за последние месяцы наблюдается заметное увеличение числа упаковщиков ПО, которые без согласия пользователя устанавливают PUP наряду с теми программами, которые пользователь действительно хотел установить.
Далеко за троянами следуют черви (19,68%), рекламное ПО/шпионы (0,39%) и вирусы (0,38%).

Трояны – причина большинства инфекций
В очередной раз трояны стали причиной большего числа инфекций (62,8%), нежели любой другой тип вредоносной программы, хотя это значение существенно ниже, чем в предыдущем квартале (79,90%). Потенциально нежелательные программы (PUP) заняли второе место с показателем 24,77% от числа всех инфекций, что показывает, насколько массировано стали применяться подобные техники. Далеко позади идут рекламное ПО/шпионы (7,09%), вирусы (2,68%) и черви (2,66%).

Инфекции в разных странах
Глобальный уровень заражения во втором квартале 2014 года составил 36,87%, что существенно выше предыдущего периода: такой рост обусловлен, в основном, широкому распространению потенциально опасных приложений (PUP). Анализ уровня зараженности по странам показал, что Китай снова показал наиболее высокий уровень заражения в 51,05%, а следом за ним идут Перу (44,34%) и Турция (44,12%).
Из данного рейтинга становится очевидным, что наиболее зараженными регионами остаются Азия и Латинская Америка. Россия также продемонстрировала уровень заражения выше среднемирового значения,  заняв в данном рейтинге шестое место с показателем 42,89%.
С другой стороны, Европа является регионом с наименьшим уровнем заражения: девять европейских стран попали в список наименее зараженных стран мира. Швеция (22,13%), Норвегия (22,26%) и Германия (22,88%) показали наименьшие уровни заражения в мире, а Япония с показателем 24,21% стала единственной неевропейской страной в десятке наименее инфицированных стран мира.


PandaLabs

Спам в июле: рост финансового фишинга на фоне жары

Несмотря на разгар лета и деловое затишье в июле эксперты «Лаборатории Касперского» отметили довольно значимое увеличение доли финансового фишинга в спаме. Мошеннических писем, использующих имена известных банков, платежных сервисов, онлайн-магазинов и других финансовых организаций, в июле стало больше на 7,9 процентных пункта, и в итоге их доля составила почти 42% от всех фишинговых сообщений. При этом из всех платежных систем злоумышленники активнее всего интересовались PayPal.
В целом же по итогам второго летнего месяца доля спама в общем трафике электронной почты увеличилась на 2,2 процентных пункта и составила 67%. Лавры «победителя» в деле распространения нежелательных писем по-прежнему остались за США – из этой страны в июле было разослано 15,3% всего мирового спама. Второе место в этом рейтинге также традиционно занимает Россия с показателем 5,6% (что однако на 1,4 пункта меньше, чем в июне). Замыкает тройку Китай, из которого в Интернет поступило 5,3% мирового спама.

Страны – источники спама в мире, июль 2014

Что касается тематики спам-рассылок, то здесь разгар лета и надолго установившаяся жара внесли свои коррективы. В частности они вызвали в Рунете шквал сообщений с рекламой различных товаров для защиты от солнца и спасения от зноя: кондиционеров, вентиляторов, солнцезащитных пленок на окна, бутилированной воды и солнечных очков.
Помимо этого, середина лета использовалась спамерами как повод в очередной раз напомнить женщинам о необходимости поддерживать красоту. Подобные сообщения активно рекламировали различную косметику по уходу за кожей и специальные скидочные предложения от салонов красоты и эстетических центров. Более того, эксперты «Лаборатории Касперского» обнаружили в спам-рассылках даже видеоуроки, которые позиционировались как «секреты красоты» от известного стилиста.
Не забыли спамеры и о корпоративных пользователях, несмотря на то что деловой сезон в июле далек от пика своей активности. В середине лета распространители рекламных сообщений в Рунете решили зацепить внимание читателей предложениями по организации корпоративных праздников на природе и с водными развлечениями.
«В летний период деловая активность уменьшается, и спамеры переключаются на более выгодный для них партнерский спам, в том числе вредоносный. В связи с этим спам становится более криминализированным и опасным для пользователей. Так, в июле, мы заметили большой интерес фишеров к финансовым сервисам, а также впервые за долгое время обнаружили на первой строчке рейтинга вредоносных вложений в спаме троянца-загрузчика, использующегося для кражи конфиденциальной информации пользователей», – прокомментировала итоги июля Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».
С подробным отчетом о спам-тенденциях в июле можно ознакомиться на официальном аналитическом ресурсе «Лаборатории Касперского» по адресу https://securelist.ru/analysis/spam-monthly/22122/spam-v-iyule-2014.

Новый Trojan.Mayachok показывает рекламу и обманывает пользователей

Еще в первой половине прошлого года вредоносные программы семейства Trojan.Mayachok являлись одной из самых распространенных угроз на компьютерах пользователей, а число их модификаций составляло более полутора тысяч. Эти троянцы блокировали на инфицированном ПК доступ к Интернету и требовали у жертвы выкуп за восстановление подключения. В последнее время данный тип вредоносных программ стал понемногу утрачивать популярность в среде злоумышленников, уступив первенство другим угрозам. Однако в августе 2014 года специалисты компании «Доктор Веб» обнаружили и исследовали нового представителя данного семейства, получившего наименование Trojan.Mayachok.18831.
Trojan.Mayachok.18831 распространяется преимущественно с использованием массовых почтовых рассылок. После запуска на инфицированной машине троянец проверяет наличие своей работающей копии, при обнаружении которой прекращает действовать в системе, а также предпринимает попытку выявить запущенные процессы популярных антивирусных программ и виртуальных машин — эта информация впоследствии отправляется на принадлежащий злоумышленникам удаленный сервер. Затем Trojan.Mayachok.18831 получает из системного реестра сведения о домашней папке текущего пользователя Windows, пытается прочитать из нее ранее созданный им конфигурационный файл, и, если это не удается, использует для своей работы параметры, хранящиеся в теле троянца. Помимо этого Trojan.Mayachok.18831 генерирует второй конфигурационный файл, в котором содержится собранная на зараженном компьютере информация, — его троянец отправляет на сервер злоумышленников. Помимо выполнения основных вредоносных функций Trojan.Mayachok.18831 способен загружать из Интернета другие троянские программы — например, в исследованном специалистами компании «Доктор Веб» образце в качестве таковой выступает Trojan.LoadMoney.15.
Данная вредоносная программа способна работать как в 32-разрядных, так и в 64-разрядных версиях Windows, правда, в зависимости от разрядности ОС алгоритм ее действия имеет несколько функциональных различий. Однако в обоих случаях Trojan.Mayachok.18831 преследует одну и ту же цель: он встраивает в просматриваемые пользователем веб-страницы постороннее содержимое, при этом опасности подвергаются пользователи браузеров Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Opera, и Яндекс.Браузер. Так, при посещении пользователем некоторых интернет-ресурсов поверх просматриваемой веб-страницы троянец демонстрирует окна с навязчивой рекламой:

Однако одной лишь демонстрацией рекламы вирусописатели решили не ограничиваться. При попытке войти в собственный аккаунт в социальной сети жертва троянца Trojan.Mayachok.18831 вместо привычной странички своего профиля (вверху) увидит в анкете фотографии непристойного содержания и искаженную информацию о собственных сексуальных предпочтениях (внизу):

Троянец встраивает собственное содержимое в страницу социальной сети таким образом, что имя пользователя и его анкетные данные (за исключением списка интересов) остаются прежними, а текст и изображения вредоносная программа получает из собственного скрипта. Если же напуганный пользователь попытается отредактировать содержимое своего профиля, его ждет еще один сюрприз — «менеджер» предложит пострадавшему восстановить взломанную анкету за 250 рублей:

Данная форма позволяет указывать любой телефонный номер, необязательно тот, к которому «привязана» текущая учетная запись. После нажатия на кнопку «Восстановить страницу» на экране должна отобразиться специальная форма для оформления платной подписки, сгенерированная сайтом оператора мобильной связи, которая обычно выглядит следующим образом:

Однако вредоносная программа Trojan.Mayachok.18831 вносит некоторые изменения и в эту веб-страницу, поэтому на инфицированном компьютере она отображается вот так:

После нажатия на кнопку «Получить доступ» на телефон приходит СМС-сообщение о подключении подписки стоимостью 20 руб. в сутки на доступ к сайту http://onlinesoftzone.org.
Помимо прочего, троянец способен сохранять и отправлять злоумышленникам снимки экрана зараженного компьютера. Сигнатура Trojan.Mayachok.18831 добавлена в вирусные базы, поэтому антивирусные продукты компании «Доктор Веб» успешно защищают своих пользователей от проникновения в систему данной угрозы. Однако специалисты компании рекомендуют пользователям проявлять осторожность и не запускать приложения, полученные в качестве вложения в сомнительных сообщениях электронной почты.


 Доктор Веб

Linux.BackDoor.Gates.5 – еще один троянец для Linux

Укоренившееся в сознании некоторых пользователей мнение о том, что для операционных систем, построенных на базе ядра Linux, на сегодняшний день не существует серьезных угроз, все чаще подвергается испытаниям на прочность. В мае 2014 года специалисты антивирусной компании «Доктор Веб» обнаружили рекордное по сравнению с предыдущими месяцами число вредоносных программ для Linux, и уже в июне этот список пополнился новыми представителями Linux-троянцев, получивших общее название Linux.BackDoor.Gates.
Вредоносные программы семейства Linux.BackDoor.Gates, об одном из представителей которого, Linux.BackDoor.Gates.5, мы хотели бы рассказать в этой статье, сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторами являются те же вирусописатели, которые разработали троянцев семейств Linux.DnsAmp и Linux.DDoS. Троянец состоит из двух функциональных модулей: основной представляет собой бэкдор, способный выполнять поступающие от злоумышленников команды, второй, сохраняемый на диск основным модулем в процессе установки троянца, предназначен для осуществления DDoS-атак. В ходе своей работы Linux.BackDoor.Gates.5 собирает и передает злоумышленникам следующую информацию об инфицированном компьютере:

1. Количество ядер CPU (читает из /proc/cpuinfo).
2. Скорость CPU (читает из /proc/cpuinfo).
3. Использование CPU (читает из /proc/stat).
4. IP Gate'a (читает из /proc/net/route).
5. MAC-адрес Gate'a (читает из /proc/net/arp).
6. Информацию о сетевых интерфейсах (читает из /proc/net/dev).
7. MAC-адрес сетевого устройства.
8. Объем памяти (используется параметр MemTotal из /proc/meminfo).
9. Объем переданных и полученных данных (читает из /proc/net/dev).
10. Название и версию ОС (с помощью вызова команды uname).

После своего запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен, и в зависимости от полученного результата может реализовать четыре возможные модели поведения.
Если путь расположения исполняемого файла бэкдора отличен от путей утилит netstat, lsof, ps, то троянец запускает себя в системе как демон, после чего начинает процедуру инициализации, в процессе которой расшифровывает из своего тела конфигурационный файл. Этот файл содержит различные данные, необходимые для работы троянца, такие как, например, IP-адрес и порт управляющего сервера, параметры установки бэкдора и некоторые другие.
В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле троянец либо самостоятельно соединяется с управляющим сервером, либо ожидает входящего соединения — после успешной установки такового бэкдор проверяет IP-адрес обращающегося к нему узла и работает с ним, как с командным сервером.
В процессе своей установки троянец проверяет файл /tmp/moni.lock, и, если он не пустой, читает записанное в него значение (PID процесса) и «убивает» процесс с таким ID. Затем Linux.BackDoor.Gates.5 проверяет, запущен ли в системе DDoS-модуль и собственный процесс бэкдора (если они запущены, эти процессы также «убиваются»). Если в файле конфигурации установлен специальный флаг g_iIsService, то троянец прописывает себя в автозагрузку, записывая строку #!/bin/bash\n в файл /etc/init.d/, после чего Linux.BackDoor.Gates.5 создает следующие символические ссылки:

ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

Если в конфигурационном файле установлен флаг g_bDoBackdoor, троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty и запускает. На финальном этапе установки Linux.BackDoor.Gates.5 создает еще одну собственную копию в папке /usr/bin/ с именем, записанным в конфигурационном файле, а также замещает собой следующие утилиты:

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

На этом процесс установки троянца завершается и вызывается функция для выполнения его основных задач.
В случае использования двух других алгоритмов поведения троянец также стартует на инфицированном компьютере как демон, проверяет, запущены ли его компоненты путем чтения соответствующего .lock-файла (и, если нет, запускает их), однако использует разные имена для сохранения файлов и регистрации себя в автозагрузке.
Установив связь с командным сервером, Linux.BackDoor.Gates.5 получает от него конфигурационные данные с заданием, которое должен выполнить бот. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом, выполнить команду из блока конфигурационных данных или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес.
Основной целью DDoS-атак, осуществляемых с помощью этого бэкдора, являются китайские серверы, однако среди избранных злоумышленниками целей встречаются и другие страны — географическое распределение DDoS-атак, реализованных с использованием этого троянца, показано на следующей иллюстрации:

Доктор Веб