2010 год завершился распространением вредоносных программ с использованием технологий, которые вирусописатели изобретали на протяжении всего года. Например, злоумышленники применили новые технологии, позволяющие противостоять и даже удалять с компьютера пользователя антивирусное программное обеспечение, а западноевропейские пользователи во время празднования католического Рождества ощутили на себе эпидемию распространения вредоносной программы, подменяющей результаты запросов в поисковых системах. Но обо всём по порядку.

Известно, что праздники- это самое активное время, используемое злоумышленниками для распространения различного рода вредоносного ПО. Сложно сказать, чем конкретно руководствуются авторы вредоносных программ в каждом конкретном случае, когда выбирают для распространения результатов своей «работы» всеобщие праздники. Может быть, тем, что в это время антивирусные компании могут не среагировать оперативно на появление новой угрозы, или тем, что пользователь не будет во время праздников заниматься проблемой с заражением системы, и тем самым злоумышленники с большей вероятностью смогут достигнуть своей цели. Но, несмотря на то, что современные антивирусные компании работают в круглосуточном режиме, злоумышленников по-прежнему притягивают праздники.

Так, западноевропейские пользователи компьютеров ощутили на себе распространение вредоносной программы Trojan.Hottrend.32. Данная вредоносная программа была добавлена в вирусную базу Dr.Web 8 декабря 2010 года, но пик ее распространения пришелся на 24–25 декабря — время, когда Западная Европа празднует католическое Рождество. Основной сложностью, с которой столкнулись многие антивирусы при лечении компьютеров, зараженных Trojan.Hottrend.32, были связаны с тем, что лечение проводилось не полностью, и после такого «лечения» после перезагрузки компьютера система уже не загружалась корректно — пользователи наблюдали BSOD — так называемый «синий экран смерти».

Дело в том, что данный троянец — многокомпонентный. Многие антивирусы смогли определить в системе вредоносные библиотеки, расположенные в системном каталоге Windows, и удалить их. Но при этом такие антивирусы не восстанавливали системные файлы, которые заражаются при установке троянца в систему для запуска из этих системных процессов вредоносных библиотек. Пользователей Dr.Web при этом ожидал приятный сюрприз — антивирус с лечением системы справился успешно, удаляя как вредоносные dll-библиотеки, так и восстанавливая системные файлы. Зараженные системные файлы Dr.Web определяет как Win32.Dat.15.

Интересна связь последних модификаций Trojan.Hottrend с другими известными вредоносными программами. Так, установщик Trojan.Hottrend.34 использует уязвимость, которую использовал ранее BackDoor.Tdss, широко известный также как TDL4, позволяющую троянцу поднять привилегии своей работы в современных версиях Windows. При этом используется уязвимость Планировщика Windows. Соответствующий компонент определяется Dr.Web как Exploit.TaskScheduler.1. Если необходимо, Trojan.Hottrend.34 также использует уязвимость в подсистеме печати Windows. Схожий, но несколько модифицированный эксплойт был использован в одном из банковских троянцев Trojan.PWS.Ibank.279.

Другим ярким событием декабря, можно назвать появление Trojan.VkBase.1. Новый,  многокомпонентный троянец, наделённый возможностью удалять современные антивирусные продукты. Для этого троянец самостоятельно перезагружал систему в Безопасный режим. Поскольку модуль самозащиты в антивирусе Dr.Web функционирует и в Безопасном режиме Windows, то для удаления антивируса Dr.Web злоумышленники использовали специальный загружаемый модуль, использовавший уязвимость, — Trojan.AVKill.2942. В настоящее время данная уязвимость закрыта. Целью Trojan.VkBase.1 являлась банальная блокировка компьютеров с целью вымогательства и получения выкупа за разблокировку последней. Но после разблокирования системы пользователей ждал очередной сюрприз — несмотря на то, что антивирусная программа, установленная ранее, была удалена вредоносной программой при заражении системы, пользователю предлагалась иллюзия того, что антивирусная программа продолжает работать в нормальном режиме. Для этого авторы программы использовали модуль Trojan.Fakealert.19448, который имитировал установленный ранее антивирус, хотя на самом деле это не соответствовало действительности.

Интернет мошенничество остаётся по прежнему актуальной проблемой. В декабре, количество обращений пользователей, пострадавших от интернет-мошенничества, увеличилось хоть и незначительно, но всё де на 5% и в среднем, составило 164 обращения в сутки. Количество блокировщиков Windows, требующих отправить деньги злоумышленникам на счет мобильного телефона, в декабре 2010 года снова увеличилось с 60% до 70% всех вредоносных программ, связанных с интернет-мошенничеством. Можно говорить о том, что авторы блокировщиков Windows почти отказались от схем монетизации, связанных с платными СМС-сообщениями. При этом старые схемы с СМС-сообщениями используются в других типах вредоносных программ. Также в декабре набрала обороты новая модификация схемы, при которой пользователь отправляет деньги на счет мобильного телефона мошенников. При использовании этой схемы пользователей не заставляют идти к терминалу — достаточно воспользоваться сервисом передачи денег со счета мобильного телефона пользователя-жертвы на счет мобильного телефона злоумышленника. Такую возможность сейчас поддерживают все известные сотовые операторы. Число блокировщиков, использующие такую схему, в декабре составило около четверти всех запросов пользователей, при этом в ноябре 2010 года они практически отсутствовали.

Анализируя статистику, собранную сервером статистики Dr.Web за декабрь 2010 года, можно также отметить серьезное распространение через электронную почту клиентов бот-сетей (Trojan.Oficla), а также вредоносных программ, цель которых — удаление антивирусных продуктов, установленных на компьютерах пользователей (Trojan.AVKill). Стараются не отставать от них и троянцы, ворующие пароли от интернет-аккаунтов, принадлежащих пользователям (Trojan.PWS.Panda). Если взглянуть на статистику вредоносных программ, обнаруженных на компьютерах пользователей, можно заметить, что по-прежнему в двадцатку самых распространенных программ входят специально написанные ярлыки, которые определяются Dr.Web как Exploit.Cpllnk, при этом патч, закрывающий данную уязвимость, производитель Windows выпустил еще вначале августа 2010 года. Это говорит о том, что многие пользователи до сих пор не установили критические обновления системы за август прошлого года, т. е. не считают необходимым следовать элементарным правилам информационной безопасности и подвергают свои системы дополнительному риску заражения.

Вредоносные файлы, обнаруженные в декабре в почтовом трафике

01.12.2010 00:00 - 01.01.2011 00:00
1	Trojan.DownLoad1.58681	585624 (10.67%)
2	Trojan.Packed.20878	424313 (7.73%)
3	Trojan.Oficla.zip	310037 (5.65%)
4	Trojan.Packed.20312	258656 (4.71%)
5	Trojan.DownLoad.41551	241333 (4.40%)
6	Trojan.Oficla.38	146380 (2.67%)
7	Trojan.AVKill.2788	111996 (2.04%)
8	Win32.HLLM.Beagle	108907 (1.98%)
9	Trojan.PWS.Panda.114	94719 (1.73%)
10	W97M.Killer	86120 (1.57%)
11	Trojan.DownLoader1.17157	68893 (1.25%)
12	Win32.HLLW.Autoruner.35407	60270 (1.10%)
13	Trojan.MulDrop1.54160	52069 (0.95%)
14	Trojan.PWS.Panda.387	51701 (0.94%)
15	Trojan.Oficla.48	51661 (0.94%)
16	Trojan.Oficla.73	51660 (0.94%)
17	Trojan.Botnetlog.zip	43136 (0.79%)
18	Win32.HLLM.MyDoom.54464	36344 (0.66%)
19	Trojan.AVKill.3097	35781 (0.65%)
20	Trojan.Inject.12703	34457 (0.63%)

Всего проверено: 49,621,212,845

Инфицировано: 5,489,646

Вредоносные файлы, обнаруженные в декабре на компьютерах пользователей

01.12.2010 00:00 - 01.01.2011 00:00
1	Win32.HLLP.Whboy.45	26157925 (35.09%)
2	Win32.HLLP.Neshta	19074952 (25.59%)
3	Win32.Siggen.8	9701550 (13.01%)
4	Win32.HLLP.Whboy.105	3029087 (4.06%)
5	Win32.HLLP.Rox	1778666 (2.39%)
6	Win32.HLLP.Novosel	1694940 (2.27%)
7	Win32.Antidot.1	1417299 (1.90%)
8	ACAD.Pasdoc	880117 (1.18%)
9	Win32.HLLP.Whboy	837595 (1.12%)
10	Trojan.MulDrop1.48542	813936 (1.09%)
11	JS.Nimda	649954 (0.87%)
12	HTTP.Content.Malformed	500629 (0.67%)
13	Trojan.DownLoad.32973	373241 (0.50%)
14	Win32.HLLW.Shadow.based	348344 (0.47%)
15	Exploit.Cpllnk	338660 (0.45%)
16	Win32.Sector.22	310594 (0.42%)
17	Win32.HLLW.Autoruner.5517	206193 (0.28%)
18	Win32.Sector.21	185741 (0.25%)
19	Trojan.MulDrop.54146	176975 (0.24%)
20	Trojan.DownLoader.42350	175097 (0.23%)

Всего проверено: 112,698,120,297

Инфицировано: 74,550,079