Neuzvaramais Zeus un viltus arhīvi – kaitīgo programmu tendences oktobrī

3. novembris 2010
Kaspersky Lab ir publicējusi kaitīgo programmu apskatu par 2010. gada oktobri.

Par spīti tam, ka nesen tika apcietināti ar ZeuS botu tīklu saistītie noziedznieki, joprojām parādās jaunas kaitīgās programmas, kas veicina šī tīkla paplašināšanos. Interneta „melnajā tirgū” Zeus ir kļuvusi par vienu no visbiežāk lietotajām un visvairāk pārdotajām spiegu programmām galvenokārt tāpēc, ka šīs saimes Trojas zirgus ļoti viegli var pielāgot konfidenciālu datu zagšanai.

Oktobra sākumā atklātais Virus.Win32.Murofet ģenerē domēnu vārdus, kuri pēc tam tiek izmantoti ZeuS botu tīkla paplašināšanai. Lejupielādējamu un izpildāmu Zeus failu hipersaites tiek ģenerētas, izmantojot aktuālo datumu un laiku upura datorā. Vīruss ņem no sistēmas gadu, mēnesi, dienu un minūtes, ģenerē divus dubultus vārdus, pievieno vienu no populārām domēnu zonām, beigās pieliek „/forum” un tad šo rakstzīmju virkni izmanto kā hipersaiti.

„Šī kaitīgā programma parāda, cik ļoti atjautīgie Zeus izstrādātāji vēlas izplatīt savu garadarbu visā pasaulē,” saka Kaspersky Lab vecākais vīrusu analītiķis un apskata autors Vjačeslavs Zakorževskis.

Cita izteikta tendence oktobrī bija viltotu arhivēšanas programmu skaita pieaugums. Šīs programmas parasti tiek maskētas kā populāras bezmaksas programmas vai rīki legālās programmatūras aizsardzības likvidēšanai. Kad lietotājs palaiž šādu viltus arhivēšanas programmu, viņš tiek uzaicināts nosūtīt īsziņu uz maksas numuru un tādējādi iegūt iespēju piekļūt arhīva saturam. Taču vairumā gadījumu lietotājs pēc īsziņas nosūtīšanas saņem pamācību par torentu trekera lietošanu un/vai tā hipersaiti. „Krāpšanas scenāriji var būt dažādi, bet rezultāts vienmēr ir viens un tas pats,” uzsver Vjačeslavs Zakorževskis. „Upuris iztērē naudu, bet netiek pie gribētā faila. Šis krāpšanas paņēmiens ir samērā jauns, jo parādījās tikai pirms dažiem mēnešiem. Kopš tā laika par to ieinteresējušies diezgan daudzi kibernoziedznieki.” Kaspersky Lab kopš 2010. gada jūlija ir konstatējusi vairāk nekā miljonu šādu inficēšanas mēģinājumu.

Kaspersky Lab eksperti aicina lietotājus būt piesardzīgākiem internetā un neapmeklēt aizdomīgus tīmekļa resursus. Reitinga priekšgalā ir FakeUpdate saimes skripts Trojan.JS.FakeUpdate.bp, kas bieži sastopams pornogrāfiskajās vietnēs. Kad lietotājs tur uzklikšķina uz videoklipa, parādās paziņojums, ka nepieciešams instalēt jaunu atskaņotāju, lai varētu noskatīties šo klipu. Bet šis atskaņotājs satur Trojas zirgu, kurš veic izmaiņas „hosts” failā. Trojas zirgs savieno vairākas populāras vietnes ar lokālu IP adresi un instalē inficētajā datorā lokālu tīmekļa serveri. Kad vēlāk lietotājs mēģina apmeklēt kādu no šīm vietnēm, pārlūkprogramma parāda lapu ar prasību samaksāt par pieaugušiem domāta satura aplūkošanu.

Ar Kaspersky Lab kaitīgo programmu apskatu par 2010. gada oktobri varat iepazīties angļu valodā interneta lapā www.securelist.com/en un krievu valodā lapā www.securelist.com/ru.