Киберпреступники отвлеклись на Новый год

Приближение новогодних праздников и каникул слегка снизило активность в Сети хакеров, спамеров и иных «недоброжелателей». Касается это и Рунета

Приближение новогодних праздников и каникул слегка снизило активность в Сети хакеров, спамеров и иных «недоброжелателей». Касается это и Рунета. Такой вывод следует из отчета компании «Лаборатория Касперского» о киберугрозах декабря 2010 года.

По данным компании, в декабре можно выделить три основных направления зловредной активности. Одно из них — использование коротких адресов в сети микроблогов Twitter. По утверждению «Лаборатории Касперского», в прошедшем месяце на главной странице Twitter было обнаружено несколько популярных тем с укороченными ссылками, которые вели на зараженные сайты. Причем сами ссылки, по которым можно было бы определить вредоносность сайтов, сокращались специальными сервисами bit.ly, alturl.com и т. д. Перейдя по этим ссылкам, пользователь в результате нескольких редиректов попадал на зараженную веб-страницу, а на его компьютер незаметно загружалась вредоносная программа.

Аналогичные способы киберпреступники использовали для распространения зловредных ссылок с сервиса goo.gl от компании Google.

Кроме того, в конце месяца компания зафиксировала IM-рассылку сообщений, содержащих ссылки на страницу Facebook, предназначенную для предупреждения пользователя о том, что он покидает сайт социальной сети. Однако ссылка была дополнена злоумышленниками таким образом, что когда пользователь, пройдя по ней, в окне выхода из Facebook нажимал на кнопку «продолжить», он перенаправлялся на вредоносный ресурс.

Также в декабре киберпреступники продолжили развивать направление поддельных анитивирусов. После того, как разработчики антивирусов научились успешно справляться с подделками мошенников, попытки загрузки лжеантивирусов на компьютеры пользователей стали менее эффективными. В ответ мошенники стали запускать фальшивые антивирусы не на компьютере пользователя, а в Интернете. В этом случае загрузка файла на компьютер не требуется, а добиться, чтобы пользователь перешел на определенную страницу, проще, чем обойти антивирусную защиту. В декабре несколько таких новых «интернет-антивирусов» оказались в лидерах вредоносных программ, обнаруженных в Интернете, а два из них даже попали в Top 20 (18-е и 20-е места) зловредов от «Лаборатории Касперского».

В декабре киберпреступники обратили внимание и на такую новинку Рунета, как домен .рф, массовая регистрация в котором началась в ноябре. Стоит отметить, что к концу декабря в этом домене было зарегистрировано около 700 тысяч имен (сегодня их 709 тысяч). По сообщению «Лаборатории Касперского», кибермошенники предпочитают работать в зоне .рф с тремя видами программ: фальшивыми архивами, троянцами, перенаправляющими посетителей на вредоносные сайты, и программами-пустышками, которые якобы обладают функциями, полезными для участников социальных сетей «Одноклассники» и «ВКонтакте».

Как отмечает «Лаборатория Касперского», в зоне .рф появилось много однотипных сайтов, предлагающих «бесплатные услуги для удобства общения» в соцсетях. Правда, для доступа к этим услугам пользователь должен отправить SMS-сообщение стоимостью от 100 рублей. При этом взамен он получит бесполезную программу-пустышку. В данном случае мошенники постарались подстраховаться — они стали размещать на таких своих сайтах разделы «Правил», один из пунктов которых предупреждает: «Также Вы понимаете, что материалы данного сайта-шутки не несут за собой информационной и смысловой нагрузки и не имеют никакого отношения к ООО «Одноклассники» и самому проекту odnoklassniki.ru, а несут шуточный характер с возможностью получения доступа к Java-скрипту и некоторому софту на платной основе». Естественно, далеко не все пользователи знакомятся с «Правилами» и в результате оплачивают «шутки» из своего кармана.

В целом, согласно статистике «Лаборатории Касперского», в декабре было отражено около 209 миллионов сетевых атак, заблокировано 67,4 миллиона попыток заражения через веб, обнаружено и обезврежено 196,6 миллиона вредоносных программ на компьютерах пользователей. Стоит отметить, что в декабре Top-20 зловредных программ в Интернете обновился больше чем на 50%. В этот перечень попали девять новых зловредов и вернулись два старых, заразивших десятки и сотни тысяч компьютеров.

Кстати, именно «новички» заняли две верхние строчки списка: AdWare.Win32.HotBar.dh и Trojan-Downloader.Java.OpenConnection. Первый из них — софт, включающий в себя рекламные программы HotBar, Zango, ClickPotato. А Trojan-Downloader.Java.OpenConnection используют не уязвимости ПО для загрузки и запуска вредоносного файла из веба, а стандартные возможности Java.

Что касается самого Нового года, то старший вирусный аналитик «Лаборатории Касперского» Денис Масленников рассказал BFM.ru, какой была «зловредная» активность в новогоднюю ночь:

— В период новогодних праздников произошло значительное снижение объема почтового спама — с 25 декабря по 1 января он уменьшился в 5 раз. Что касается писем с вредоносными вложениями, то их общая доля не изменилась и составила 1,35% от общего объема спам-рассылок.

Надо сказать и о том, что в канун новогодних праздников отмечался рост количества вредоносных программ, блокирующих компьютеры пользователей и вымогающих деньги за их разблокировку.

А в новогоднюю ночь была зафиксирована спам-рассылка, связанная с печально известным троянцем ZeuS, который предназначен для кражи паролей к онлайн-банкингу. Одна из модификаций ZeuS оказалась на третьем месте среди 20 самых распространенных вредоносных программ в почтовом трафике.

Своими новогодними наблюдениями поделился также директор Центра вирусных исследований и аналитики компании Eset Александр Матросов:

— Интерес к монетизации у злоумышленников не пропадает даже в новогоднюю ночь. Если говорить об активности мошенников, то в начале января произошел резкий скачок присутствия спама в почтовом трафике относительно статистики на конец декабря. По всей видимости, спамеры начали оправляться от успешных акций со стороны правоохранительных органов по ликвидации крупных ботнетов, специализировавшихся в том числе на рассылке спама. Есть основания говорить о возрождении ботнета Waledac, большинство командных центров которого были закрыты в рамках операции b49, проведенной исследователями из Microsoft в начале 2010 года.