По сообщению компании "Доктор Веб", в августе 2012 года произошла заметная активизация вирусописателей и сетевых мошенников. В середине месяца зафиксирована крупнейшая за минувшее полугодие волна взломов веб-сайтов в Рунете с целью распространения вредоносного ПО для мобильных устройств.
По данным статистики, в августе 2012 года наиболее распространенной вредоносной программой на компьютерах пользователей по-прежнему была Trojan.Mayachok.1. Количество обнаруженных экземпляров троянца по сравнению с предыдущим месяцем выросло на 6,5%. Этот рост специалисты связывают с тем, что Trojan.Mayachok.1 начали активно распространять создатели платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend.
В статистических сводках Trojan.Mayachok.1 с большим отрывом занимает лидирующую позицию, в то время как на втором месте разместился троянец-бэкдор BackDoor.Butirat.91 - эта программа способна выполнять поступающие с удаленного сервера команды, а также загружать и запускать на инфицированном ПК различные файлы.
Число обнаруженных на инфицированных компьютерах экземпляров вредоносных программ семейства Trojan.SMSSend осталось практически на прежнем уровне, но если ранее данную категорию троянцев можно было назвать относительно "безобидной", то с недавнего времени они стали представлять значительную опасность для пользователей. Напомним, что к семейству Trojan.SMSSend относятся архивы, максимально правдоподобно имитирующие программу установки различных популярных приложений. При открытии такого архива пользователю предлагается либо отправить на короткий номер платное SMS-сообщение, либо указать собственный мобильный телефон и ввести в специальное поле код, полученный в ответном сообщении, подписавшись таким образом на какую-нибудь ненужную услугу с абонентской платой.
Среди угроз, выявленных в течение месяца в почтовом трафике, лидером стал бэкдор BackDoor.Andromeda.22. Вторую и третью позицию заняли Trojan.Oficla.zip и Trojan.Necurs.21, не менее активно распространяются по электронной почте черви Win32.HLLM.MyDoom.54464, Win32.HLLM.MyDoom.33808 и Win32.HLLM.Netsky.35328.
На текущий момент объем бот-сети Backdoor.Flashback.39 составляет 126 781 зараженная машина, что на 21 711 единиц меньше, чем в конце прошлого месяца. Численность ботнета Win32.Rmnet.12 в течение августа перевалила за 4 млн и составила 4 351 349 инфицированных компьютеров. Можно сказать, что увеличение популяции данного весьма опасного файлового вируса продвигается прежними темпами: если в июле прирост вредоносной сети составил 480 с лишним тысяч инфицированных рабочих станций, то в августе к бот-сети присоединилось еще порядка 500 тысяч зараженных узлов.
В августе компания FireEye сообщила об обнаружении критической уязвимости Java Runtime Environment версий 1.7x, названной CVE-2012-4681. Первые заметки о данной уязвимости были опубликованы 26 августа, а уже на следующий день CVE-2012-4681 успела попасть в активно распространяемый среди злоумышленников пакет эксплойтов BlackHole Exploit Кit.
Специалисты компании "Доктор Веб" провели собственное расследование инцидента, выявив множество Traffic Direction System, использующих данную уязвимость для создания цепочки перенаправлений пользователей на специально созданные веб-сайты, распространяющие вредоносное ПО. В одном из подтвержденных случаев для организации редиректов злоумышленники вносят изменения в файлы .htaccess на взломанных интернет-ресурсах. Адреса конечных узлов генерируются специальными скриптами динамически и видоизменяются каждый час. При этом URL, на котором заканчивается цепь перенаправлений, зависит от установленной на компьютере пользователя операционной системы. Так, пользователи Mac OS X направлялись на сайт, с которого загружался Backdoor.Flashback.39 (в настоящее время сайт не действует), обладатели мобильных устройств и пользователи ОС Linux попадали на сайт поисковой системы Find-and-Go, а пользователи Windows - на веб-страницу, содержащую вызовы различных эксплойтов.
В настоящее время с использованием уязвимостей Java распространяется программа Trojan.Rodricter.21, обладающая богатыми функциональными возможностями, включающими подмену пользовательских запросов, "накрутку" посещаемости различных сайтов. Была выявлена и альтернативная цепочка редиректов, в финале которой на компьютер жертвы загружается вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.DownLoader6.29607.
Также в августе зафиксировано появление нового троянца-загрузчика для ОС Android, получившего имя Android.DownLoader.5.origin. Активно распространялись и троянские программы среди японских пользователей Android - в августе пользователи мобильных устройств из этой страны подверглись сразу нескольким массированным спам-атакам.