Аналитики KL отмечают рост количества вредоносных программ, с помощью которых злоумышленники в дальнейшем вымогают деньги у пользователей.

В качестве примера такого ПО можно привести Virus.Win32.GPCode, а также Trojan.Win32.Krotten, детектирование очередной модификации которого было добавлено в наши антивирусные обновления сегодня под именем Trojan.Win32.Krotten.n.

Trojan.Win32.Krotten использует такой же подход для вымогательства, который использовался в GPCode, — испортить данные пользователя и предложить восстановить их за определенное вознаграждение. Отличие состоит лишь в том, что GPCode шифровал данные на диске, а Krotten портит системный реестр. В случае с Krotten злоумышленники предлагают восстановить данные за денежный эквивалент около 5 USD, что отчетливо видно на нижеприведенном рисунке:

Приведенный текст косвенно свидетельствует об украинском происхождении данной вредоносной программы.

Детектирование Trojan.Win32.Krotten.n уже добавлено в антивирусные базы. Восстановление реестра возможно с помощью бесплатной утилиты, которую можно взять здесь.

В заключение хотелось бы еще раз напомнить пользователям — не стоит запускать неизвестные вложения, если вы действительно не ожидали его получить. Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом создать новую версию троянской программы и опять «собрать дань».

С утра 7 ноября в Рунете в виде передаваемой через интернет-пейджеры ссылки распространяется Trojan-PSW.Win32.LdPinch.xh.

Вредоносная программа рассылается по контакт-листу интернет-пейджера зараженной машины, из-за чего получающие ссылку пользователи думают, что она пришла им от знакомых людей, скачивают программу по ссылке и запускают ее на выполнение.

Получаемое пользователями сообщение выглядит следующим образом:

Мы просим пользователей не скачивать содержимое указанной в подобном сообщении ссылки (по ней находится RAR-архив размером 26 КБ), даже если вы якобы получили это сообщение от вашего знакомого.

Тем, кто уже скачал и запустил находившийся в архиве файл необходимо срочно сменить все пароли — в том числе на доступ к почте и к интернет-пейджерам.

Детектирование вредоносной программы уже добавлено в антивирусные базы и выпущено в составе последних обновлений для Антивируса Касперского.

Спам-рассылка новых версий Bagle продолжается. Буквально несколько минут назад мы обнаружили новый вариант — Email-Worm.Win32.Bagle.ek.

За сегодняшний день мы обнаружили 6 новых вариантов Email-Worm.Win32.Bagle (версии с «ed» по «ei»). Три первых варианта были разосланы при помощи спам-рассылки. Остальные были выложены на сайты, с которых загружались на ранее пораженные машины — этот способ обновления и поддержания ботнетов в рабочем состоянии применяется все чаще и чаще.

Все новые варианты добавлены в базы Антивируса Касперского. Еще раз напоминаем: не открывайте вложения в электронные письма без проверки их антивирусом и регулярно обновляйте антивирусные базы.

За прошедшие сутки авторами Bagle были выполнены спам-рассылки новых версий вредоносных программ, а также обновлены новыми версиями вредоносных программ ссылки в интернете. Все эти действия направлены на поддержание сети зараженных компьютеров в актуальном состоянии (постоянный поиск новых жертв и их заражение).

За предыдущие сутки нами было перехвачено около 20 (!) новых модификаций Bagle, первой из которых стала версия Email-Worm.Win32.Bagle.cy. В данный момент рассылка новых версий Bagle продолжается.

Детектирование для всех обнаруженных вредоносных программ уже добавлено в наши антивирусные обновления.

На днях мы обнаружили уже третью модификацию червя Email-Worm.Win32.Monikey. Казалось бы, ничего нового и интересного в нем нет. Размножается путем рассылки писем с заголовком «Открытка с POSTCARD.RU». В теле письма под видом ссылки на POSTCARD.RU содержатся ссылки на взломанные сайты, с которых происходит установка на компьютеры пользователей вредоносных программ.

Но один момент все-таки заслужил внимание наших вирусных аналитиков. Email-Worm.Win32.Monikey содержит в себе модификации Trojan-PSW.Win32.Vipgsm и Trojan-PSW.Win32.LdPinch.

О чем это говорит? Это лишний раз подтверждает наши подозрения, что LdPinch, Bagle, Monikey и Vipgsm созданы одной группой (про то, что LdPinch и Bagle созданы одной группой, мы уже писали). Но до настоящего времени мы не были так уверены (хотя и подозревали), что Vipgsm и Monikey также являются их творениями. Да, Email-Worm.Win32.Monikey содержит код, практически идентичный почтовому червю Email-Worm.Win32.Bagle, но до этого момента мы считали, что этот червь был написан на основании исходных текстов Bagle, которые по нашему предположению могли появиться в интернете.

В пользу озвученной здесь новой версии говорит и тот факт, что почти все вложенные вредоносные программы зашифрованы «фирменным» алгоритмом от Trojan-PSW.Win32.LdPinch. Стоит отметить, что появление данного Email-Worm.Win32.Monikey пришлось на момент резкой активизации авторов Bagle после летнего отдыха.

Все это позволяет нам укрепить наши подозрения в том, что одни и те же люди разрабатывают целые семейства вредоносных программ. Также подтверждаются наши прогнозы, что авторы Bagle продолжать осваивать новые технологии для увеличения эффективности своих творений.

Заметим, что все вредоносные программы со взломанных сайтов уже удалены, на ряде сайтов присутствуют извинения и упоминания, что они не проводили никаких подобных рассылок. Но нам до конца не ясно, как к ним был получен доступ. Мы предполагаем, что пароли были украдены ранее с помощью программы, аналогичной LdPinch.

Все указанные вредоносные программы уже добавлены в наши обновления.

Авторы почтового червя Bagle решили отметить окончание летних каникул целым валом версий своих творений. За прошедшие сутки мы зарегистрировали появление 11 новых версий, которые уже добавлены в обновления под именами Email-Worm.Win32.Bagle.bz - cj.

Новые версии вредоносных программ были выложены по ссылкам, которые используются для поддержания Bagle-botnet'а в актуальном состоянии, а также разосланы с использованием спам-рассылок.

Отмечена также рассылка очень старой версии этой вредоносной программы, которая просто перепакована новой версией программы-упаковщика.

Наблюдая за общением авторов вредоносных программ на форумах можно отметить один интересный момент: на одном и том же форуме одни и те же люди участвуют в обсуждении казалось бы взаимоисключающих тем.

Если в одном месте форума они обсуждают тему разработки вредоносных программ, которые не будут детектироваться тем или иным антивирусом, то в другом разделе того же форума ими обсуждается тема выбора антивируса для себя — какой надежнее и детектирует больше всего malware.

Т.е. вполне очевиден вывод, что подрастающее поколение отчетливо понимает возможные последствия, которые повлечет выпуск в свет их творений. Но не смотря на это, защищая свои компьютеры, юные вандалы продолжают создавать новые malware для заражения других пользователей сети.

Все это приводит к возникновению ситуации, когда защищаются они от таких же, как и они сами, нередко отпуская нелестные реплики в адрес себе подобных.

За прошедшие сутки специалистами нашей компании было обнаружено 5 новых модификаций вредоносной программы Virus.Win32.Gpcode, отличительной особенностью которой является умение шифровать файлы пользователей. За дешифрацию файлов вымогатели требуют определенное финансовое вознаграждение. После шифрования файлов Virus.Win32.Gpcode удаляет себя из зараженной системы, а также уничтожает всю информацию, которая могла бы помочь установить способ его проникновения на компьютер пользователя.

Если первые обнаруженные нами модификации этой вредоносной программы распространялись по всему миру, то данная вирусная атака затронула по большей части только российских пользователей. Подобные действия со стороны злоумышленников подтверждают наши прогнозы о постепенном переходе киберпреступников к целевым рассылкам своих творений.

Пока мы не смогли установить использованный злоумышленниками способ заражения компьютеров. Предположительно распространение происходит либо через использование уязвимости в операционной системе, либо при помощи ранее построенного ботнета.

Следует отметить и тот факт, что многие пользователи для дешифровки своих данных обращались не к специалистам, а к злоумышленникам, что стимулирует дальнейшее развитие этой вредоносной программы.

Для защиты от подобных атак мы рекомендуем установить все последние патчи для операционной системы, а также обновить вашу антивирусную программу.

Обнаруженная нами в ноябре прошлого года программа not-a-virus:AdWare.CommonName.g скрывает свое присутствие в операционной системе с помощью драйвера, который устанавливается как драйвер — фильтр файловой системы, а также перехватывает необходимые для сокрытия своего присутствия системные сервисы из KeServiceDescriptorTable, что является типичным для Rootkit поведением.

Подобная функциональность и многочисленные просьбы со стороны пользователей наших антивирусных продуктов в конечном итоге заставили нас изменить тип данной программы с AdWare на Trojan (not-a-virus:AdWare.CommonNames.g > Trojan.Win32.CommonName.a). Так нежелательная, но не вредоносная программа встала в один ряд с однозначно опасными троянцами и бэкдорами.

Ни для кого не секрет, что рекламные программы не нравятся пользователям, и те всячески стараются от них избавиться. Не секрет это и для разработчиков AdWare, которые продолжают балансировать между вредоносным и легальным ПО, предпринимая все новые попытки для увеличения времени жизни AdWare в пользовательской операционной системе. Все чаще и чаще разработчики AdWare используют для этого технологии киберпреступников.