Троянските коне за рансъмуер от май 2012 г. продължават своята офанзива

Trojan.Matsnu.1 се превърна в заплахата на месеца - голям брой потребители по целия свят пострадаха от действията на този троянски кон. Троянският кон е написан на асемблер и се разпространява като архивирани изпълними файлове, прикачени към спам имейли с тема, в която се споменава името на получателя. Ако потребител отвори архива и стартира приложението, което съдържа, троянският кон криптира файловете на потребителя, намерени на дисковете, и показва съобщение на екрана на компютъра, че системата на потребителя е заключена или е заразена от троянски енкодер. Нападателите молят потребителя да не изключва компютъра, за да избегне загуба на данни. За дешифриране на файлове авторите на вируси предлагат да се използва една от най-разпространените платежни системи в Европа.

Едновременно с демонстрацията на това съобщение троянският кон чака команди от отдалечен контролен център. Сред директивите, приети от Trojan.Matsnu.1, са следните: „убийте системата“ (изтрийте всички файлове на твърдите дискове); „Изтеглете посочената програма от уебсайта на нападателя и я стартирайте“; "зареждане и показване на други изображения за диалоговия прозорец"; "запишете изпратения изпълним файл на диск и го стартирайте като фонов процес"; "дешифриране на файлове" (ключът се изпраща от сайта на атакуващия заедно с командата); "шифроване на файлове отново с помощта на новогенерирания ключ"; "актуализиране на списъка с контролни сървъри"; "актуализиране на основния модул на троянския кон".

Предвид широката функционалност на този троянски кон, неговият злонамерен потенциал не бива да се подценява, подчертават от "Доктор Уеб". Trojan.Matsnu.1 вече е засегнал голямброй потребители в Европа и Латинска Америка.

Банковите троянски коне от семейството Trojan.Carberp не изостават (1,3% от случаите). Според Doctor Web е доста обичайно да се откриват различни програми за изтегляне на троянски коне, зловреден софтуер от семейството Trojan.SMSSend (около 1,5%), Trojan.Hosts (около 0,5%) и различни модификации на IRC ботове на заразени компютри.

Trojan.Hosts.5858 се оказа една от най-популярните модификации на тази злонамерена програма. Зловреден софтуер се разпространява с помощта на ресурсите на ботнета BackDoor.Andromeda. В случай на заразяване, при опит да отидете на някой от популярните интернет ресурси като Facebook, Google, Yahoo и др., браузърът автоматично се пренасочва към специално създадена от нападателите уеб страница, която информира на немски език, че достъпът до интернет е блокиран. За да "деблокира", потребителят е подканен да даде на авторите на вируси данните за своята банкова карта.

Броят на откритите заплахи от друг тип през изминалия месец всъщност остава на същото ниво, съобщи Доктор Уеб.

Като цяло, класацията на топ 20 злонамерен софтуер, открит в пощенския трафик през май, е както следва:

  1. BackDoor.Andromeda.22 10,81%
  2. Trojan.Siggen.65111 3,60%
  3. BackDoor.Bulknet.546 2,70%
  4. Trojan.DownLoader6.380 2,70%
  5. Trojan.Packed.22544 2,70%
  6. Win32.HLLM.MyDoom.54464 2,70%
  7. Win32.HLLM.MyDoom.33808 1,80%
  8. Trojan.DownLoader6.8588 1,80%
  9. Trojan.PWS.Banker1.2269 1,80%
  10. Trojan.Winlock.6068 1,80%
  11. Win32.HLLM.Beagle 1,80%
  12. Trojan.Inject.12703 0,90%
  13. Win32.HLLM.Netsky.18401 0,90%
  14. Adware.Downware.235 0,90%
  15. Exploit.PDF.2862 0,90%
  16. JS.IFrame.1170,90%
  17. Trojan.Siggen4.1047 0,90%
  18. X97M.Escape.2 0,90%
  19. Trojan.DownLoader6.9595 0,90%
  20. Trojan.SMSSend.2666 0,90%

От своя страна рейтингът на топ 20 злонамерени файлове, открити на компютрите на потребителите през май, включва:

  1. Trojan.Fraudster.292 0,73%
  2. Троян.Маячок.1 0,68%
  3. Trojan.Fraudster.256 0,67%
  4. Tool.Unwanted.JS.SMSFraud.15 0,62%
  5. Trojan.Carberp.30 0,61%
  6. Trojan.SMSSend.2856 0,56%
  7. Win32.HLLW.Shadow 0,55%
  8. Trojan.SMSSend.2778 0,52%
  9. Trojan.Fraudster.296 0,51%
  10. SCRIPT.Virus 0,51%
  11. Trojan.SMSSend.2872 0,50%
  12. Win32.HLLW.Shadow.based 0,50%
  13. Tool.Unwanted.JS.SMSFraud.10 0,49%
  14. Trojan.Fraudster.252 0,47%
  15. Trojan.NtRootKit.6725 0,47%
  16. Trojan.SMSSend.2726 0,44%
  17. Trojan.Fraudster.261 0,42%
  18. Tool.InstallToolbar.74 0,41%
  19. Trojan.MulDrop3.49657 0,40%
  20. Adware.Downware.179 0,39%

Към 29 май 2012 г. общият брой на ботнета Win32.Rmnet.12 вече е 2 641 855 заразени машини, т.е. само през последния месец той надхвърля 2,5 милиона, като се е удвоил, според Doctor Web. Междувременно географията на разпространение на вируса не се е променила съществено: лидери сред най-заразените региони все още са Индонезия, Бангладеш, Виетнам, Индия и Египет, висок е броят на заразените компютри и в България. Обемът на ботнета продължава да расте с много бързи темпове.

Подобна ситуация се наблюдава по отношение на друг ботнет - Win32.Rmnet.16. В началото на май, към 11 май, броят на ботнетите е 55 310 заразени възли, най-големият дял от които е разположен на територията наВеликобритания. През последните 18 дни броят на заразените машини достигна 84 491. Появата на нови заразени машини в мрежата Win32.Rmnet.16 е неравномерна, но въпреки това общият им брой постепенно нараства, отбелязват от "Доктор Уеб".