По сообщению компании "Доктор Веб", в сентябре относительно предшествующего месяца вирусная активность несколько изменилась. Так, на протяжении не менее трех месяцев в рейтинге наиболее распространенных угроз лидировал Trojan.Mayachok.1. Первые позиции он занимает и сейчас, но общее число заражений снизилось за минувший месяц более чем в 15 раз, с 74 701 обнаруженных экземпляров в августе до 4948 в сентябре.
Аналитики связали подобную статистику с появлением целого семейства новых модификаций данной угрозы, значительно отличающихся от первой версии троянца. В частности, в течение сентября в вирусные базы компании были добавлены записи для девяти вредоносных программ данного класса, отличающихся друг от друга в основном некоторыми техническими деталями.
Второе место по популярности в вирусной статистике по-прежнему у троянца-бэкдора BackDoor.Butirat.91. При этом число заражений этой вредоносной программой за месяц также сократилось на 20%. Одно из основных его функциональных назначений - кража и передача злоумышленникам паролей от популярных FTP-клиентов, среди которых FlashFXP, Total Commander, FileZilla, FAR, WinSCP, FtpCommander, SmartFTP. Также троянец способен загружать с удаленных узлов и запускать на инфицированной машине исполняемые файлы и "накручивать" показатели различных счетчиков посещаемости веб-страниц. Для обычного пользователя заражение троянцем чревато утечкой разного рода конфиденциальных данных в руки злоумышленников, а также вероятностью потери контроля над работой собственного ПК.
Кроме того, среди наиболее часто выявляемых угроз на компьютерах пользователей назван написанный на языке Delphi файловый вирус Win32.HLLP.Neshta, различные банковские троянцы, в том числе принадлежащие семейству Trojan.Carberp, и платные архивы, детектируемые как Trojan.SMSSend.
Статистика численности бот-сети Backdoor.Flashback.39, состоящей из инфицированных компьютеров под управлением операционной системы Mac OS X, по-прежнему демонстрирует сокращение числа заражений. Так, в течение сентября численность инфицированных "маков" снизилась еще примерно на 10%, с 127 681 до 115 179, в то время как прирост ботнета практически остановился.
Ботнет, состоящий из рабочих станций, инфицированных файловым вирусом Win32.Rmnet.12, продолжает бить рекорды. За месяц он вырос еще на 500 000 инфицированных узлов, таким образом, общая численность бот-сети скоро превысит 5 млн.
Угрозой месяца специалистами назван Trojan.Mayachok.17727, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2012 года. Он состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализован основной вредоносный функционал троянца. Дроппер, содержащий в себе троянскую библиотеку, создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет саму расшифрованную библиотеку и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.
Вредоносная библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем веб-страницы скрипт и другие параметры.
В прошлом месяце в вирусные базы Dr.Web также было добавлено множество записей для угроз, представляющих опасность для пользователей мобильной операционной системы Google Android. Одной из таких вредоносных программ является Android.EmailSpy.origin, ориентированный на японских пользователей троянец, ворующий контактные данные из адресной книги Android, в частности, адреса электронной почты, которые впоследствии могут быть использованы злоумышленниками для организации спам-рассылок. Во второй половине месяца в вирусные базы был добавлен троянец Android.SmsSpy.6.origin, основное функциональное назначение которого - перехват SMS-сообщений на инфицированном устройстве. Троянец распространялся на территории Франции при помощи массовой SMS-рассылки, предлагавшей пользователям скачать с сайта злоумышленников обновление проигрывателя Flash, под видом которого загружалась вредоносная программа.