Проанализировав статистические данные, эксперты пришли к выводу, что в мае значительно активизировались трояны для Windows (Trojan.Winlock, Trojan.AdultBan).
Многие из них усовершенствовались и теперь не требуют отправки СМС-сообщений. Также в прошлом месяце появились новые версии шифровальщиков пользовательских документов (Trojan.Encoder). Кроме того, в мае были обнаружены новые версии буткитов, для которых «Доктор Веб» в оперативном порядке предложил необходимое лечение. В то же время псевдоантивирусы (Trojan.Fakealert) стали сдавать позиции.
Как уточняет internetua.com, приблизительно с середины месяца суточная норма детектов блокировщиков Windows (1,5 тысячи) возросла в несколько раз. Уже 18 мая Trojan.Winlock и Trojan.AdultBan было 215 тысяч. Такой высокий уровень распространения детектов блокировщиков сохранился до конца месяца. Всего в мае сервер статистики зарегистрировал свыше 920 тысяч вредоносных программ, что превышает январский рекорд, – уточняет портал.
Первые обращения по поводу троянов в службу технической поддержки начали поступать 7 мая. Пользователи сообщали, что вместо отправки платного СМС-сообщения злоумышленники требовали перевести деньги через платежные системы, среди которых значились WebMoney, RBKMoney, «Единый кошелёк». Такие программы и их усовершенствованные версии определялись «Доктором Веб» как Trojan.Winlock.
К концу месяца увеличилось количество предложений пополнить счет мобильного телефона, который был зарегистрирован в одной российской сотовой компании. В сообщениях модифицированных Trojan.Winlock сказано, что код разблокировки можно будет найти на чеке, выдаваемом терминалом после перечисления средств. Разблокировать компьютер после заражения «винлоками», по оценкам злоумышленников, стоило от 250 до 500 рублей.
«Доктор Веб» обнаружил в мае и новые буткиты – Trojan.Alipop и Trojan.Hashish. Эти типы руткита прописываются в загрузочную часть диска и запускаются прежде, чем начнет работать система. Trojan.Alipop ориентирован на пользователей, проживающих в Китае, и служит в качестве искусственного повышения посещений некоторых сайтов.
Trojan.Hashish используется для запуска нужных злоумышленникам модулей, которые поступают в систему вместе с бут-вирусом. Сейчас он содержит вредоносные программы группы Win32.HLLC.Asdas, которые отображают баннеры в браузерах. Здесь также находится функционал, который может заразить исполняемые файлы.
Эксперты отмечают существенное сокращение распространения лжеантивирусов Trojan.Fakealert. Однако злоумышленники не оставили идею их использования. Европейские интернет-ресурсах, где приводятся методы борьбы с вредоносными программами, с каждым разом публикуют всё более сложные инструкции по избавлению систем от новых типов лжеантивирусов. Но поскольку эта информация доступна всем, в том числе и хакерам, то новые модификации в разы усложняются.
Май специалисты охарактеризовали как месяц, когда появились новые типы шифровальщиков файлов Trojan.Encoder. Помимо самих вредоносных программ стали распространяться и их конструкторы. Ежедневно на протяжении 15 – 17 мая суточная норма детектов в 500 экземпляров увеличилась до 1,9 тысяч. Все они базировались на одном «движке», но предлагали два различных действия: связаться с преступниками через ICQ или отправить платное СМС-сообщение.
