Страница 4 из 5

Re: Глобальные вирусные неприятности

Добавлено: 16 мар 2011, 22:33
zidanchik
Эксплойт может быть использован для запуска кода JavaScript в IE,

Вот поэтому и пользуюсь в Фоксе дополнением Noscript :) :good:

Re: Глобальные вирусные неприятности

Добавлено: 06 апр 2011, 15:58
Pifontiy
Google Chrome предупреждает о вредоносных кодах,замаскированных под программы для Windows

Изображение

Google расширил свой черный список вредоносных веб-сайтов, включив в него те из них, которые используют обманные сведения для распространения вредоносных программ.

Дополнение к Google Safe Browsing API будет предупреждать людей при посещении ими сайтов, которые распространяют трояны для Windows, замаскированные под скринсейверы или другие безобидные приложения. Поисковый гигант представил сервис для уведомления пользователей о том, что они пытаются зайти на сайты, осуществляющие drive-by загрузки, которые эксплуатируют уязвимости безопасности в операционной системе или в программном обеспечении, пять лет назад.

Соответствующий программный интерфейс уже используется такими браузерами, как Google Chrome, Mozilla Firefox и Apple Safari. Он также доступен для любого веб-мастера, который хочет воспользоваться данными Google для предотвращения публикации вредоносных ссылок на своих сайтах.

"Safe Browsing принес значительную пользу, несмотря на это интернет по-прежнему изобилует обманным и вредным контентом", - сообщил во вторник в блоге Мохиб Абу Раджаб, член команды безопасности Google. "Легко найти сайты с бесплатной загрузкой, которые обещают одни вещи, а на деле ведут себя абсолютно иначе".Кейлоггеры, трояны и вирусы, рекламное ПО – вот всего лишь три примера.

Изображение

Новая функция изначально будет доступна лишь для пользователей Chrome, которые подпишутся на development release channel.
В планы компании входит интегрировать ее в следующую стабильную версию Chrome. Речи о том, что она будет доступна для всех браузерных поставщиков за пределами Google, пока не идет.

Источник xakep.ru

Re: Глобальные вирусные неприятности

Добавлено: 08 апр 2011, 23:30
borka
Обнаружена новая версия MBR – руткита
Исследователи в области безопасности компании «Лаборатория Касперского» сообщают о появлении нового MBR - руткита, посредством которого устанавливается троян, собирающий пароли пользователей он-лайн игр.

По словам экспертов, в случае запуска руткит Rookit.Win32.Fisp.a создает копию главной загрузочной записи (MBR, Master Boot Record) жесткого диска и вместо нее внедряет собственный код, содержащий зашифрованный драйвер. Причем это никак не отразится на производительности системы, поскольку при попытке доступа к MBR вредонос перенаправит запрос к подлинной записи.

Как отметил эксперт лаборатории Вячеслав Закоржевский, вредоносная программа подменяет лишь системный драйвер fips.sys, который, в принципе, не нужен для коректной работы Windows.

Попав в систему, "новый" драйвер осуществляет сканирование запущенных процессов и в случае запуска антивирусного программного обеспечения блокирует этот процесс. Среди целевых, в основном присутствуют продукты китайских вендоров, однако есть несколько международных антивирусов, таких как AVG, BitDefender, Symantec, Kaspersky и ESET.

После того, как антивирусное программное обеспечение нейтрализовано вредонос активирует троянскую программу, отвечающую за последующую загрузку необходимых компонентов с удаленного сервера. Так на компьютер жертвы попадает Trojan-GameThief.Win32.OnLineGames.boas, который и собирает данные пользователя.

Следует отметить, что этот зловред пока распространяется среди пользователей Китая. Однако специалисты все же рекомендуют проверять любой загружаемый исполняемый файл с помощью Virus Total, даже если работает антивирус.

Re: Глобальные вирусные неприятности

Добавлено: 01 май 2011, 09:11
Pifontiy
Интернет-мошенники все активнее используют громкие информационные поводы

ESET предупреждает об увеличении случаев мошенничества в глобальной сети и использовании злоумышленниками громких информационных поводов для повышения эффективности распространения злонамеренных программ.

В частности, за последний месяц киберпреступники активно практиковали в своих корыстных целях ажиотаж в Сети вокруг свадьбы британского принца Уильяма Уэльского и предстоящего Чемпионата мира по хоккею в Словакии. Специалистами компании были обнаружены поддельные веб-страницы на разных языках, оформленные под новостные ресурсы и распространяющие фальшивые антивирусы.

Изображение

Используя методы "черной" SEO-оптимизации, злоумышленники добились топовых позиций вредоносных сайтов в результатах поиска и тем самым привлекли значительную аудиторию. При переходе на такой вредоносный сайт, пользователь, как правило, наблюдает всплывающие окна, содержащие предупреждения о том, что его компьютер заражен. Впоследствии ему предлагается скачать бутафорский антивирус, содержащий опасный функционал.

"Использование громких информационных поводов для распространения вредоносных программ - метод далеко не новый, но по-прежнему эффективный, Причем, чаще всего, таким образом распространяются именно фальшивые антивирусы, - комментирует Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET. - Киберпреступники идут на различные ухищрения, чтобы запугать пользователя и спровоцировать установку вредоносной программы. Цели у злоумышленников, как правило, многогранны: это и получение денег за "спасение" компьютера от мнимого злонамеренного ПО, и хищение персональных данных пользователя".

По материалам ESET

Re: Глобальные вирусные неприятности

Добавлено: 02 авг 2011, 20:19
borka
Найден мобильный вирус с функцией записи телефонных разговоров
Изображение
Специалисты из компании CA Technologies сообщили о вредоносной программе, записывающей телефонные разговоры владельцев смартфонов на платформе Android.

Как заявил в блоге CA Technologies сотрудник компании Динеш Венканесан (Dinesh Venkatesan), приложение записывает разговоры и сохраняет их на карте памяти смартфона в виде файлов в формате AMR.
При установке на устройство программа создает конфигурационный файл, в котором перечисляются параметры удаленного сервера. Исследователь не исключает, что возможна тайная отсылка аудиофайлов на этот сервер, где их могут прослушать злоумышленники.
Судя по опубликованным в блоге скриншотам, приложение носит название Android System Messenger. Из этого следует, что авторы замаскировали его под системную утилиту. По каким каналам распространяется программа, не уточняется, но в магазине Android Market ее нет.
В Android Market имеется несколько десятков приложений с функцией записи телефонных звонков или голоса, однако созданные ими аудиофайлы хранятся исключительно в памяти устройства.

Re: Глобальные вирусные неприятности

Добавлено: 23 дек 2011, 11:17
borka
Новые интернет-угрозы, топ-10 сбоев ПО и пираты среди правообладателей
Прошедшая неделя была богата на интересные события. Одной из тем, которой были обеспокоены наши читатели, была безопасность. Конечно, ведь аналитики предрекают, что вскоре нас ждет волна интернет-атак нового типа. Чтобы в такой ситуации уменьшить риск утечек информации из корпоративных сетей, эксперты «Лаборатории Касперского» предлагают лишить доступа в интернет офисных работников. Дополнительный источник опасности – это ваш смартфон. Конечно, может быть, он и защитит ваш PIN-код в банкомате от излишне любопытных глаз, но разнообразные мошенники не дремлют и могут попробовать через взломанные сайты подселить на ваш мобильный какой-нибудь зловред.
Новости крупнейших IT-корпораций никогда не теряют своей актуальности. Например, софтверный гигант Microsoft решил облегчить жизнь пользователям устройств, на которых установлены разные типы Windows, и унифицировать эту платформу, чтобы разработчикам не приходилось создавать программы отдельно под Windows 8, Windows Phone и Windows, установленную на игровые консоли. Кроме того, настойчиво обсуждается слух, что Microsoft хочет купить телефонное отделение Nokia, чтобы помочь ему вернуть свое лидирующее положение на рынке. Это не помешает финской компании, учитывая что их корейский конкурент Samsung уже бьет рекорды по продажам мобильных телефонов. Третий крупнейший игрок рынка смартфонов, Apple, тем временем может лишиться одного из европейских рынков, где ей пока суд запретил продавать свои устройства из-за «патентных войн» с Motorola mobility. Зато, наконец, в России дождались начала продаж iPhone 4S.
Сбои в работе ПО принесли людям не мало неудобств. Счастливчик, на который сорвал джек-пот в $57 млн., получил только 100 долларов, т.к. в казино признали это программным сбоем. Если бы Топ-10 сбоев в работе ПО за 2011 год составили чуть позже, то этот случай наверняка занял бы свое место в этой десятке. A разработка одного из популярнейших браузеров Firefox тем временем может приостановится из-за недостатка памяти для компиляции его программного кода.
В пиратский скандал оказались вовлечены работники крупнейших киностудий и резиденции французского президента. Как выяснилось благодаря новому сервису YouHaveDownloaded, который позволяет воспроизвести историю загрузок из сетей BitTorrent на заданный IP-адрес, сотрудники самых ярых борцов с пиратством и сами баловались загрузками нелегального контента с помощью торрент-сетей.
YouHaveDownloaded – не единственный интернет-сервис, который привлек внимание читателей на этой неделе. Бурное обсуждение вызвали идея трансляции похорон он-лайн и разработка 16-тилетнего парня, которая «выжмет всю воду» из Интернета, оставив только точные факты.

Re: Глобальные вирусные неприятности

Добавлено: 26 дек 2011, 17:43
borka
Простой HTML-тег может «обрушить» 64-битную Windows 7
Изображение
В 64-битной версии операционной системы Windows 7 обнаружилась незакрытая уязвимость, которая вызывает серьезный сбой в работе платформы и выбрасывает ее в «синий экран смерти». Компания Secunia, которая специализируется на вопросах безопасности, уточняет, что нештатный режим работы памяти позволяет также запускать на компьютере выполнение вредоносного кода с привилегиями на уровне ядра системы.

Вместе с тем, подчеркивается, что 32-битная версия системы полностью защищена от данной уязвимости, проявляющейся через системный файл платформы win32k.sys, в котором содержатся данные о пользовательском интерфейсе и связанной инфраструктуры на уровне ядра. Обнаружившие проблему специалисты наглядно продемонстрировали ее на примере браузера Apple Safari, на котором был запущен относительно простой HTML-скрипт. Скрипт оказал прямое воздействие непосредственно на ядро системы, вызвав на экран страницу с отказом в неразмеченной области памяти и, соответственно, «синий экран смерти».

Данный скрипт, по сути, представляет собой стандартный тег IFRAME, в котором установлен слишком высокий атрибут высоты. Эксперты считают, что данное положение вещей недопустимо — современные операционные системы не должны позволять сторонним приложениям вызывать обрушение платформы в целом, особенно если это причиной становится невинный на первый взгляд фрагмент кода.

Об уязвимости впервые сообщил пользователь WebDEVil в сети микроблогов Twitter, и в настоящий момент специалисты Microsoft проводят подробное исследование проблемы и пытаются найти ее решение. Вместе с тем, отмечается, что компания проводит активную политику противостояния хакерам, которые далеко не всегда стремятся совершить какие-либо деструктивные действия, зачастую они просто обнаруживают уязвимости и незамедлительно оповещают об этом разработчиков платформ.

Джерри Брайант (Jerry Bryant), менеджер по работе с обращениями в компании Trustworthy Computing Group, принадлежащей Microsoft, заявил изданию CNET: «В текущий момент мы расследуем проблему и предпримем соответствующие действия, чтобы обеспечить защиту пользователей».

Re: Глобальные вирусные неприятности

Добавлено: 27 дек 2011, 19:14
borka
По сети "гуляет" лже-письмо от Apple, крадущее пароли от Apple ID
Ресурс blog.intego.com, регулярно публикующий темы, связанные с безопасностью продуктов Apple, сообщает, что некоторые пользователи начали получать фальшивые электронные письма, якобы отправленные купертиновцами владельцам устройств компании - перейдя по ссылке, указанной в письме, пользователь попадает на фальшивую интернет страницу, где ему предлагают ввести Apple ID и пароль к нему.

После того, как наивный пользователь вводит необходимые данные, информация о его пароле и аккаунте отправляется к злоумышленникам.

Темой данного лже-письма значится проверка и обновление платёжной информации пользователя, а отправляется оно с сайта appleid@id.apple.com.

Эксперты рекомендуют не переходить по ссылкам, указанным в электронных письмам, а вводить их вручную в адресной строке браузера. Кроме этого, при наведении курсора на подобные ссылки система сама укажет настоящее "направление", в которое она ведёт - если вместо стандартного адреса веб-страницы вы увидите IP-адрес, это значит, что ссылка сгенерирована мошенниками.

Re: Глобальные вирусные неприятности

Добавлено: 16 янв 2012, 18:50
borka
Опасный троян, атакующий предприятия, использует уязвимость в Windows

Обнародованы дополнительные результаты анализа кода опасной вредоносной программы Duqu, атакующей промышленные предприятия различных стран.
Троян Duqu, сообщения о повышенной активности которого появились в октябре, имеет поразительное сходство с нашумевшим червём Stuxnet. Главная задача Duqu — сбор конфиденциальных данных об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая пригодится при организации нападения: скриншоты, логи с клавиатуры, список запущенных процессов, данные учётных записей пользователей, названия открытых окон, сетевая информация, сведения о домене, имена дисков, файлов и пр.

Сообщается, что Duqu, попав на компьютер, эксплуатирует ранее неизвестную уязвимость в ядре операционных систем Windows. Нападение осуществляется через сформированный особым образом документ Word, при открытии которого происходит активации вредоносного кода. Сами Word-файлы рассылаются по электронной почте.

В Microsoft сообщили, что работают над решением проблемы, но сроки выпуска патча уточнять не стали.

Между тем известно, что Duqu инфицировал компьютерные сети предприятий, располагающихся как минимум в восьми странах — Франции, Индии, Иране, Нидерландах, Швейцарии, Судане, Вьетнаме и на Украине. Специалистам уже удалось идентифицировать и отключить два командно-контрольных сервера Duqu; один из них располагался на территории Индии, другой — в Бельгии.

Re: Глобальные вирусные неприятности

Добавлено: 06 фев 2012, 15:58
borka
Android-фоны HTC уязвимы для перехвата паролей к сетям Wi-Fi

На целом ряде смартфонов HTC установлена сборка операционной системы Android с брешью, потенциально позволяющей злоумышленникам красть пароли доступа к сетям Wi-Fi, — сообщает организация United States Computer Emergency Readiness Team. Пользователям таких аппаратов US-CERT рекомендует обновить на них программное обеспечение через сайт HTC.

Воспользоваться брешью взломщик может, обманным путем заставив пользователя загрузить вредоносное приложение, которому будет доступна информация о состоянии соединения с Wi-Fi. Оно может получить список верительных данных: идентификаторы беспроводных сетей, имена пользователей и пароли, а затем переслать их по Интернету атакующему.

Брешь присутствует в следующих моделях смартфонов HTC: Desire HD (версии FRG83D и GRI40), Glacier (FRG83), Droid Incredible (FRF91), Thunderbolt 4G (FRG83D), а также в Sensation Z710e, Sensation 4G, Desire S, EVO 3D и EVO 4G версии GRI40.

HTC и Google были проинформированы о проблеме еще в сентябре, но не сообщали о ней до разработки исправления.

Re: Глобальные вирусные неприятности

Добавлено: 10 фев 2012, 19:02
borka
СБУ предупреждает о вирусе-вымогателе

Служба безопасности Украины предостерегает граждан не стать жертвами мошеннической схемы, которую в течение нескольких последних дней неизвестные внедряют через сеть интернет.

Злоумышленники распространяют вредоносную программу-вымогатель Access Download Manager, с помощью которой блокируют работу операционной системы и требуют от ее пользователя перечислить средства для восстановления работоспособности компьютера.

"Во время активизации этого вируса на экране компьютера появляется сообщение о нарушении лицензионных условий при использовании интернета, а также номер электронного кошелька одного из банков, на который необходимо перевести более 2 тысяч гривен", - сообщает пресс-служба ведомства.
ИзображениеНа фото: Принтскрин сообщения вируса
"С целью психологического воздействия на пользователей, правонарушители используют официальные логотипы Службы безопасности Украины, пытаясь создать у граждан впечатление, что их программное обеспечение блокирует спецслужба", - добавили силовики.

Многие украинцы уже обратилась в СБУ с жалобами на блокирование работы компьютеров и вымогательство денег за повторное подключение. СБУ принимает меры, направленные на розыск правонарушителей.

Re: Глобальные вирусные неприятности

Добавлено: 13 мар 2012, 20:54
borka
Лаборатория Касперского обнаружила неизвестный язык программирования

В ходе проведения детального анализа вредоносного кода троянца Duqu антивирусные эксперты «Лаборатории Касперского» пришли к выводу, что часть вредоносной программы написана на неизвестном языке программирования.
Duqu представляет собой сложную троянскую программу, созданную авторами скандально известного червя Stuxnet. Главная задача Duqu — обеспечить злоумышленникам доступ в систему с целью кражи конфиденциальной информации. Впервые этот троянец был обнаружен в сентябре 2011 года, однако, по данным «Лаборатории Касперского», следы вредоносного кода, имеющего отношение к Duqu, появились еще в августе 2007 года. Специалисты компании зафиксировали более десятка инцидентов, произошедших при участии этого зловреда, причем большинство его жертв находились в Иране. Анализ рода деятельности организаций, пострадавших в результате соответствующих инцидентов, а также характера информации, на получение которой были направлены атаки, позволяет предположить, что основной целью создателей троянца была кража информации об автоматизированных системах управления, используемых в различных отраслях промышленности, а также сбор данных о коммерческих связях целого ряда иранских организаций.

Одним из важнейших нерешенных вопросов, связанных с Duqu, является то, как эта троянская программа обменивалась информацией со своими командными серверами (C&C) после заражения компьютера-жертвы. Модуль Duqu, отвечающий за коммуникацию с командными серверами, является частью его библиотеки с основным кодом (Payload DLL). При детальном изучении данной библиотеки эксперты «Лаборатории Касперского» обнаружили, что часть её кода, отвечающая за коммуникацию с командным сервером, написана на неизвестном языке программирования, и назвали этот участок «Фреймворк Duqu».
В отличие от остального кода Duqu, Фреймворк Duqu не написан на языке C++ и скомпилирован не при помощи Microsoft's Visual C++ 2008. Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C, либо они использовали совершенно иной язык программирования. В любом случае, эксперты пришли к выводу, что язык является объектно-ориентированным и оптимально подходит для разработки сетевых приложений.
Язык, использованный в Фреймворке Duqu, является высокоспециализированным. Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в т.ч. через Windows HTTP, сетевые сокеты и прокси-серверы. Он также позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и даже может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети, т.е. создает возможность контролируемо и скрытно распространять заражение на другие компьютеры.

По словам Александра Гостева, главный антивирусного эксперта «Лаборатории Касперского», создание специализированного языка программирования демонстрирует высочайший уровень квалификации разработчиков, участвовавших в проекте, и указывает на то, что для его реализации были мобилизованы значительные финансовые и людские ресурсы. В результате «Лаборатория Касперского» обращается к сообществу программистов с просьбой о помощи в исследовании троянца Duqu: если вам что-то известно о средстве разработки, языке или компиляторе, который может генерировать подобный код, пожалуйста, свяжитесь с экспертами по адресу stopduqu@kaspersky.com.

Re: Глобальные вирусные неприятности

Добавлено: 29 мар 2012, 19:41
borka
Anonymous (Анонимус) собираются вырубить 13 корневых DNS-серверов, на которых как на трех китах держится вся Сеть
Изображение
Децентрализованная мировая хакерская группа Anonymous больше не хочет ограничиваться угрозами в адрес конкретного сайта или организации, а решила отключить всю мировую сеть Интернет разом.
Webpronews сообщает, что член сообщества хакеров опубликовал шокирующий своей наглостью и масштабностью заявления текст, под заголовком «Операция Глобальное Отключение», передает hotgo.ru.

В нем говорится о том, что хактивисты Anonymous собираются 31 марта отключить 13 корневых DNS-серверов, на которых держится вся Глобальная Сеть.

В подтверждение своих слов и для привлечения еще большего внимания к своей угрозе, а также для вовлечения большего числа хакеров в подготовку и проведение этой массовой, широкомасштабной атаки, Anonymous даже назвали IP-адреса корневых 13-ти серверов.

Как пишет авторитетный портал habrahabr.ru, Anonymous — это идеология, а не группа людей. Последователи этой идеологии борются за общедоступность информации, против притеснения свобод правительствами и корпорациями, против коррупции, и против любых других проявлений жизни общества, которые часть этого общества не одобряет.

В Anonymous нет лидеров или представителей, никто не может говорить за всех. В Anonymous все равны. Это некое подобие анархичного Веб-2.0-общества. Конечно, иногда встречаются пользователи с повышенными правами, но это — всего лишь знак отличия технического персонала, который работает над поддержанием площадок коммуникации.

К слову, стать Анонимусом может каждый независимо от его навыков или опыта. Для этого достаточно присоединиться к интересующей вас операции, или создать собственную. Ведь, например, запустить LOIC, или же просто распространять информацию способен каждый второй.

Во многом принцип действия группы Anonymous напоминает краудсорсинг, а еще точнее - добровольную тоталитарную секту, чаще всего одолеваемую благими намерениями. Хотя не всегда. Например, существуют операции, которые не поддерживаются большинством. Например, #opBART — это небольшая группа независимых Анонимусов, которые взломали портал bart.gov и опубликовали личную информацию граждан.

С Anonymous прочно ассоциируется ряд сайтов, среди которых имиджборды, такие как 4chan и Futaba, связанные с ними вики-сайты (например Encyclopædia Dramatica) и ряд интернет-форумов, информирует wikipedia.org. Anonymous стал известен в виртуальном мире благодаря успешным кибератакам на сайты саентологической церкви, а также активным действиям в поддержку торрент-трекера Pirate Bay («Пиратская бухта»).

По некоторым данным, организация Anonymous изначально зародилась на хакерских форумах 4chan.

Re: Глобальные вирусные неприятности

Добавлено: 06 апр 2012, 15:01
borka
Symantec обнаружила поддельный антивирус Windows Risk Minimizer
Изображение
При открытии сайта поддельного антивируса пользователю показывается якобы системное сообщение JavaScript, в котором говорится, что компьютер пользователя заражен. После того, как пользователь кликает на «OK», запускается «процесс сканирования».

На странице программы представлена флеш-анимация, имитирующая реалистичные значки, панель загрузки, а также окна диалогов. Неудивительно, что поддельный антивирус выявляет множество вирусов. Распаковка флеш-архива и его последующий анализ показали, что в нем содержится множество дополнительных файлов. Во время воспроизведения ролик выбирает файлы случайным образом и заявляет, что они заражены (названия вирусов также выбираются наугад).

После завершения сканирования появляется сообщение службы безопасности Windows, сообщающее результаты процедуры. Данный диалог может быть перемещен по экрану, а также могут быть выбраны или исключены различные инфекции.

Когда пользователь пытается закрыть окно, появляется предупреждение о последствиях, которые якобы могут наступить, если вирус не будет побежден. После нажатия кнопки «Удалить все» в окне системы безопасности Windows Security, пользователю предлагается загрузить вредоносный файл, содержащий Windows Risk Minimizer. После его запуска появляется вполне профессионально выглядящее окно.

После этого, конечно, «антивирус» находит новые угрозы. Однако после закрытия окна вредоносное ПО продолжает выводить всплывающие окна и уведомления на панели задач. Все сообщения направлены на то, чтобы убедить пользователя в наличии заражений компьютера и подтолкнуть его к приобретению бесполезной программы.

Сообщение дает пользователю ложные сведения о том, что браузер Google Chrome заражен. После нажатия на кнопку «Предупредить атаку» открывается платежное окно.

Другое сообщение заявляет о нелегальном использовании BitTorrent, ссылаясь на требования SOPA (Stop Online Piracy Act). В этом случае кнопка «Предупредить атаку» отсутствует, но вместо нее пользователю предлагается получить анонимное соединение (Get anonymous connection), для которого также открывается окно оплаты.

Еще один тип предупреждающего сообщения сообщает пользователю о попытке кражи его идентификационных данных. Подобные виды атак убеждают пользователя в серьезном заражении, поэтому несложно понять, как злоумышленникам удается обмануть множество пользователей и заставить их приобрести бесполезное ПО. При цене $99.90, включая поддержку, эта программа не является дешевой.

Re: Глобальные вирусные неприятности

Добавлено: 03 май 2012, 12:59
borka
Обзор вирусной активности в апреле 2012 года: первый в истории масштабный ботнет для Mac OS X, миллионный ботнет для Windows и нашествие троянцев-кодировщиков на Европу
Изображение
2 мая 2012 года

Апрель 2012 года запомнится пользователям как самый насыщенный месяц с точки зрения событий, связанных с угрозами информационной безопасности. В начале месяца специалистами компании «Доктор Веб» была обнаружена первая в истории масштабная бот-сеть, состоящая из компьютеров, работающих под управлением операционной системы Mac OS X. Чуть позже компания «Доктор Веб» объявила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила миллион инфицированных компьютеров. А во второй половине апреля началось нашествие троянцев-шифровальщиков, обеспокоившее сначала жителей западноевропейских стран, а чуть позже — и пользователей по всему миру. Эти и другие значимые апрельские события мы рассмотрим в рамках настоящего обзора.
«Маки» подверглись глобальной атаке
Первый в истории ботнет, созданный злоумышленниками с использованием вредоносной программы BackDoor.Flashback.39, в прямом смысле поразил более 800 000 работающих под управлением Mac OS X компьютеров, а в переносном — многочисленные информационные интернет-порталы и значительное число средств массовой информации. Новость быстро облетела весь мир, став сенсацией.
Еще в конце марта в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения о том, что злоумышленники активно используют известные уязвимости Java с целью распространения вредоносных программ для Mac OS X. Поскольку подобная информация приходила с определенной регулярностью и из различных источников, было высказано предположение, что использующий уязвимости Java троянец BackDoor.Flashback.39 может образовать бот-сеть на Apple-совместимых компьютерах. Данная вредоносная программа, как и многие другие подобные ей, имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются троянцем в качестве управляющих серверов: такой подход, во-первых, позволяет значительно увеличить «живучесть» сети, а во-вторых, оперативно перераспределять нагрузку между командными центрами, если создаваемый ботами трафик превысит некие критические значения. С другой стороны, это дает возможность специалистам по информационной безопасности «вычислить» используемый троянцем метод выбора управляющих центров и создать «поддельный» командный сервер с целью собрать необходимую статистику или даже перехватить управление сетью. Данный подход носит наименование «sinkhole» и широко используется в антивирусной практике. Для проверки гипотезы о наличии ботнета, работающего на платформе Mac OS X, 3 апреля 2012 года специалистами компании «Доктор Веб» было зарегистрировано несколько доменов управляющих серверов BackDoor.Flashback.39. В тот момент никто всерьез не рассчитывал обнаружить самую крупную в истории бот-сеть для Mac OS X, учитывая достаточно высокую надежность и архитектурные особенности операционной системы, обеспечивающие относительную безопасность пользователя. Однако действительность превзошла самые смелые ожидания: в первые же часы контролируемые компанией «Доктор Веб» серверы зафиксировали активность более чем 130 000 ботов, к утру их число достигло 550 000, и управляющие центры просто перестали справляться с нагрузкой. 4 апреля 2012 года компания «Доктор Веб» выпустила пресс-релиз, сообщающий об обнаружении ею ботнета BackDoor.Flashback.39. Данное сообщение произвело эффект разорвавшейся бомбы — в течение суток оно было процитировано многими авторитетными мировыми новостными агентствами и другими СМИ.
Для того чтобы заразиться троянской программой BackDoor.Flashback.39, вполне достаточно соблюдения двух несложных условий: в операционной системе пользователя должна быть установлена Java, и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет — специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя. Фактически жертва вообще не замечает момента заражения — пользователь просматривает в браузере веб-страницу, в то время как его «мак» уже инфицирован вредоносной программой.
Изначально компания «Доктор Веб» располагала данными только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback, но уже 16 апреля были зарегистрированы дополнительные домены, имена которых генерируются на основе даты. Поскольку данные домены используются всеми подверсиями ботнета BackDoor.Flashback.39, регистрация дополнительных доменов управляющих серверов позволила более точно подсчитать размер вредоносной сети. Большая часть заражений приходится на долю США (56,6% инфицированных узлов), на втором месте находится Канада (19,8% инфицированных компьютеров), третье место занимает Великобритания (12,8% случаев заражения), на четвертой позиции — Австралия с показателем 6,1%.

4 апреля 2012 года корпорация Apple выпустила обновление Java, «закрывающее» используемую троянцем BackDoor.Flashback уязвимость, однако если компьютер был уже инфицирован ранее, установка обновления не защищала пользователя от действия вредоносной программы. Вскоре количество зараженных «маков» превысило 800 000. Несмотря на это уже спустя несколько дней многочисленные эксперты в сфере компьютерной безопасности отрапортовали о значительном сокращении численности бот-сети BackDoor.Flashback.39. Тем не менее, радость оказалась преждевременной: проведенное специалистами компании «Доктор Веб» расследование показало, что в расчеты экспертов закралась досадная ошибка.
Троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. Однако следом за серверами, принадлежащими компании «Доктор Веб», троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. Это и является причиной появления противоречивой статистики от разных антивирусных компаний — с одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой — данные компании «Доктор Веб» неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению. Реальная динамика изменения численности бот-сети BackDoor.Flashback.39 показана на представленном ниже графике:

По данным на 28 апреля 2012 года, в сети BackDoor.Flashback.39 всего было зарегистрировано 824 739 ботов, из них проявляло активность 334 592.
Отдельный интерес представляет файл, загружаемый троянцем BackDoor.Flashback.39 на инфицированные компьютеры. Данное вредоносное приложение может быть запущено с привилегиями администратора или простого пользователя (в момент установки полезной нагрузки троянец демонстрирует на экране «мака» диалоговое окно для ввода пароля администратора) и использует два типа управляющих серверов. Первая категория командных центров реализует функции перехвата поискового трафика, перенаправления пользователя на контролируемые злоумышленниками сайты в процессе веб-серфинга и некоторые другие действия. Вторая группа позволяет отдавать ботам различные команды, реализующие на инфицированной машине функции бэкдора. Специалистам компании «Доктор Веб» удалось перехватить используемые полезной нагрузкой троянца BackDoor.Flashback домены управляющих серверов и произвести анализ обращений к ним ботов.
Первая категория управляющих доменов генерируется троянцем на основе заложенного в его конфигурационных данных списка, в дополнение к ним формируется еще один перечень доменов, имена которых зависят от текущей даты. При этом сформированное вредоносной программой имя домена второго уровня одинаковое, в то время как в качестве домена верхнего уровня используются различные варианты, такие как .org, .com, .co.uk, .cn, .in. Все управляющие серверы опрашиваются троянцем по очереди в порядке составленного списка, при этом командному центру передается GET-запрос /owncheck/ или /scheck/, содержащий в поле useragent значение UUID инфицированного «мака». Если в ответ троянец получит подписанное значение SHA1 от имени домена, то такой домен будет считаться доверенным и в дальнейшем будет использоваться в качестве командного сервера. Первые домены из этой категории были успешно перехвачены компанией «Доктор Веб» начиная с 12 апреля 2012 года.
После того как вредоносная программа определит домен из первой категории, начинается поиск доменов второго типа. На основе заложенного в конфигурационных данных списка бот опрашивает ряд доменов управляющих серверов, передавая им GET-запрос /auupdate/, содержащий в поле useragent подробную информацию об инфицированной системе. Если управляющий сервер не вернет правильный ответ, троянец формирует на основе текущей даты строку, которую использует в качестве хеш-тега для поиска по адресу http://mobile.twitter.com/searches?q=#<строка>. Если в Twitter удается обнаружить сообщение, включающее метки bumpbegin и endbump, между которыми содержится адрес управляющего сервера, он будет использован в качестве имени домена. Перехват доменов этой категории компания «Доктор Веб» начала 13 апреля, однако уже на следующий день, в субботу 14 апреля, зарегистрированная специалистами «Доктор Веб» учетная запись в Twitter была заблокирована.
По данным на 13 апреля 2012 года, на управляющие домены первой группы в течение суток поступило 30 549 запросов с уникальными UUID, на домены второй категории — 28 284 запросов с уникальными UUID за аналогичный промежуток времени. Общее количество запросов с уникальными UUID, отправленных на управляющие серверы полезной нагрузки ботнета BackDoor.Flashback, в период с 12 по 26 апреля 2012 года составило 95 563. Ниже представлены графики, демонстрирующие собранные специалистами компании «Доктор Веб» статистические данные на основе суточного анализа обращений полезной нагрузки ботнета BackDoor.Flashback к управляющим серверам за 13 апреля 2012 года.
Скрытый текст:
ИзображениеИзображение
ИзображениеИзображение

Вскоре после выявления ботнета BackDoor.Flashback компания «Доктор Веб» создала специальный информационный сайт, посвященный данной угрозе. Воспользовавшись этим интернет-ресурсом, владельцы Apple-совместимых компьютеров могут проверить свой «мак» на наличие заражения. Здесь же опубликованы дополнительные материалы, посвященные троянцу BackDoor.Flashback, размещена видеопрезентация, рассказывающая о данной вредоносной программе, а также приведены ссылки на бесплатный сканер для Mac OS Х, позволяющий проверить операционную систему и удалить троянца в случае его обнаружения. Компания «Доктор Веб» продолжает внимательно следить за дальнейшим развитием ситуации.

Знакомьтесь: Rmnet — еще один ботнет
Согласно имеющейся в распоряжении компании «Доктор Веб» статистике, одно из лидирующих мест среди угроз, заражающих рабочие станции под управлением Microsoft Windows, занимает сейчас файловый вирус Win32.Rmnet.12. Распространение вируса происходит несколькими путями, в частности, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.
Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.
Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.
Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 года, вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 года аналитиками компании «Доктор Веб» был применен известный метод «sinkhole», который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.
Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машин, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46802 бота, или 3,9%), Россия (43153 инфицированных машины, или 3,6%), Египет (33261 бот, или 2,8%), Нигерия (27877 ботов, или 2,3%), Непал (27705 ботов, или 2,3%) и Иран (23742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19773 случая заражения, или 1,67%) и Беларуси (14196 ботов, или 1,2%). В Украине зафиксирован 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане. Географическое распределение ботнета Win32.Rmnet.12 продемонстрировано на предложенной ниже иллюстрации.


Шифровальщики покоряют Европу
В апреле неприятности выпали и на долю жителей европейских государств: ближе к середине месяца в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, Trojan.Encoder.94 отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.
Троянец имеет англоязычный интерфейс, однако случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Вскоре стали поступать тревожные сообщения от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния. Специалисты «Доктор Веб» сумели расшифровать данные по запросам пользователей практически в ста процентах случаев, что говорит о высокой эффективности применяемых для этого технологий.
В конце апреля был зафиксирован всплеск распространения почтовых сообщений с заголовком «Ute Lautensack Vertrag Nr 46972057» и вложенным zip-архивом с именем Abrechnung или Rechnung. Архивы содержат троянскую программу Trojan.Matsnu.1, попытка запустить которую приводит к тому, что все файлы на дисках компьютера жертвы оказываются зашифрованными. Специалисты компании «Доктор Веб» в кратчайшие сроки проанализировали вредоносную программу Trojan.Matsnu.1 и разработали специальную утилиту, позволяющую расшифровать пользовательские данные. Эту утилиту можно бесплатно скачать по адресу ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe. Напоминаем, что если вы стали жертвой троянца-шифровальщика, воспользуйтесь следующими несложными рекомендациями:

-ни в коем случае не пытайтесь переустановить операционную систему;
-не удаляйте никаких файлов на вашем компьютере;
-не пытайтесь восстановить зашифрованные файлы самостоятельно;
-обратитесь в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
-к тикету приложите зашифрованный троянцем файл;
-дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Для минимизации последствий заражения вредоносными программами Trojan.Encoder.94 и Trojan.Matsnu.1 компания «Доктор Веб» рекомендует пользователям своевременно создавать резервные копии всех необходимых в работе файлов.

Другие «апрельские тезисы» и вирусные угрозы
По сравнению с уже описанными выше событиями все остальные угрозы информационной безопасности, выявленные и обезвреженные экспертами «Доктор Веб» в апреле 2012 года, не выглядят столь же сенсационно и представляют значительно меньшую опасность для пользователей. Так, в вирусные базы было добавлено описание вредоносной программы Trojan.Spambot.11349, предназначенной для кражи учетных записей почтовых клиентов (в частности, Microsoft Outlook и The Bat!) и передачи злоумышленникам данных, используемых функцией автозаполнения форм в веб-браузерах. Троянец распространяется с использованием бот-сети весьма известных бэкдоров Backdoor.Andromeda.

Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка. Функции приложения-загрузчика в целом обычны для подобного рода вредоносных программ: это обход брандмауэра и установка в систему вредоносной библиотеки, которой после загрузки в память инфицированного компьютера передается управление.
Получив управление, вредоносная библиотека проверяет наличие на диске собственной копии и записывает в системный реестр значение из девяти случайных цифр, служащее уникальным идентификатором бота. Затем Trojan.Spambot.11349 сохраняет на диск библиотеку для работы с SSL и библиотеку zlib, с использованием которой троянец сжимает строки своих запросов. При этом в поле HOST отправляемых ботом запросов содержится посторонний IP-адрес, что является характерной особенностью Trojan.Spambot.11349. Использование отдельной динамической библиотеки для работы с zlib и SSL также можно назвать нечастым явлением в архитектуре вредоносных программ.
Одной из отличительных особенностей Trojan.Spambot.11349 является то, что эта вредоносная программа отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах троянца подсетей. Затем Trojan.Spambot.11349 устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла. В случае если эта операция завершается успешно, троянец формирует строку запроса, содержащую украденные учетные данные почтовых клиентов Microsoft Outlook и The Bat!, упаковывает ее с помощью библиотеки zlib и передает на принадлежащий злоумышленникам удаленный сервер. Инфицировав систему, Trojan.Spambot.11349 проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троянец получает с удаленного сервера данные для последующего проведения спам-рассылки. По информации на 24 апреля, троянцы Trojan.Spambot.11349 осуществляли распространение почтовых сообщений, содержащих рекламу виагры.

Появились в истекшем месяце и новые угрозы для мобильной операционной системы Android. Так, еще в начале апреля семейство вредоносных программ Android.Gongfu пополнилось новым вредоносным экземпляром. Обновленная модификация троянца Android.Gongfu была обнаружена сразу в нескольких приложениях, распространяющихся через неофициальные сайты-сборники программного обеспечения. В частности, этот троянец был выявлен в модифицированном злоумышленниками дистрибутиве популярной игры Angry Birds Space.

В отличие от первых реализаций Android.Gongfu, новые модификации троянца не используют уязвимость Android, позволявшую им без участия пользователя повысить собственные привилегии в системе до уровня root. Вместо этого в комплекте с инфицированным приложением пользователю предлагается специальная пошаговая инструкция, позволяющая запустить ОС с полномочиями администратора. В инструкции утверждается, что это якобы необходимо для корректной работы программы или ее обновления. После запуска с администраторскими привилегиями Android.Gongfu получает возможность встраиваться в системные процессы Android, включая процессы, критичные для стабильной работы ОС. Троянец способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного узла команды, но также загружать и устанавливать в ОС другие приложения без ведома пользователя.
Помимо этого, специализирующиеся на мобильных платформах вирусописатели стали использовать новую психологическую уловку для распространения вредоносного ПО, а именно — озабоченность пользователей вопросами безопасности. С помощью различных систем отображения рекламы злоумышленники демонстрируют пользователю сообщение с предложением срочной проверки мобильного устройства на вирусы. Нажав на это рекламное сообщение, пользователь попадает на сайт, якобы сканирующий мобильное устройство. Этот сайт заимствует одну из иконок Dr.Web Security Space версии 7.0 и внешнее оформление программы. Однако сымитировав пользовательский интерфейс, злоумышленники ошиблись в деталях: фальшивый «антивирус» находит на мобильном устройстве несуществующие угрозы, например, вредоносную программу Trojan.Carberp.60, относящуюся к категории банковских троянцев для Windows, мобильной версии которого в настоящее время не существует. Если пользователь соглашается «обезвредить» угрозу, на его устройство скачивается троянец семейства Android.SmsSend.
Скрытый текст:
ИзображениеИзображение
ИзображениеИзображение

Все эти угрозы успешно детектируются и обезвреживаются антивирусным программным обеспечением Dr.Web, но пользователям все же рекомендуется проявлять осмотрительность и не запускать программы, полученные из неблагонадежных источников.

Вредоносные файлы, обнаруженные в почтовом трафике в апреле
Скрытый текст:
1 Trojan.Fraudster.261.......1.30%
2 SCRIPT.Virus..........................1.11%
3 Trojan.Fraudster.256...............0.92%
4 Trojan.Carberp.30...................0.76%
5 Trojan.Fraudster.252...............0.70%
6 Trojan.Mayachok.1..................0.67%
7 Win32.HLLW.Shadow...............0.67%
8 Win32.HLLW.Shadow.based.......0.65%
9 JS.IFrame.233........................0.61%
10 Tool.InstallToolbar.74..............0.61%
11 Trojan.SMSSend.2726..............0.59%
12 JS.Siggen.192.........................0.59%
13 Trojan.Fraudster.292...............0.54%
14 Adware.Predictad.1.................0.53%
15 Win32.HLLW.Autoruner.59834....0.53%
16 Trojan.SMSSend.2669..............0.49%
17 BackDoor.Ddoser.131...............0.49%
18 Trojan.Carberp.29...................0.48%
19 Adware.Downware.179.............0.47%
20 Win32.HLLW.Autoruner.5555......0.47%

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей
Скрытый текст:
1 SCRIPT.Virus........................0.97%
2 Trojan.Fraudster.261.............0.97%
3 Trojan.Fraudster.256.............0.75%
4 Trojan.SMSSend.2726............0.67%
5 JS.Siggen.192.......................0.65%
6 Trojan.Fraudster.292..............0.63%
7 Trojan.Mayachok.1................0.61%
8 Trojan.Carberp.30..................0.59%
9 Win32.HLLW.Shadow.based.....0.55%
10 Trojan.SMSSend.2704............0.55%
11 Trojan.Fraudster.252..............0.53%
12 Win32.HLLW.Shadow..............0.53%
13 Tool.InstallToolbar.74.............0.51%
14 Adware.Predictad.1................0.49%
15 Win32.HLLW.Autoruner.59834..0.49%
16 Tool.Unwanted.JS.SMSFraud.10..0.47%
17 Trojan.SMSSend.2669............0.47%
18 JS.IFrame.233.......................0.47%
19 Adware.Downware.179............0.45%
20 BackDoor.Ddoser.131..............0.45%

Источник - Dr.Web