Компания «Доктор Веб» сообщает о начале предоставления бесплатной технической поддержки для всех пострадавших от действий вредоносных программ семейства Trojan.Winlock.

К сожалению, тема блокировщиков Windows сегодня остается актуальной. «Доктор Веб» продолжает не только бороться с вирусописателями, но и оказывать помощь тем, кто стал их жертвой. Так, получить код можно, зайдя на специальный раздел нашего сайта и воспользовавшись бесплатным разблокировщиком. Однако решить проблему с его помощью в некоторых случаях не удается (например, не для всех модификаций Trojan.Winlock вообще предусмотрены коды).

В службу технической поддержки компании с вопросами по разблокировке ежедневно обращаются сотни пользователей. И они получают помощь вне зависимости от того, каким антивирусом пользуются (и пользуются ли вообще).

Май 2010 года запомнился новой вспышкой блокировщиков Windows (Trojan.Winlock, Trojan.AdultBan), значительную долю которых составили модификации, не требующие отправлять SMS-сообщения. «Порадовали» беспечных пользователей и новые виды шифровальщиков пользовательских документов (Trojan.Encoder). В течение месяца были замечены новые буткиты, для которых «Доктор Веб» оперативно разработал соответствующую процедуру лечения. Лжеантивирусы (Trojan.Fakealert), в свою очередь, стали занимать менее значительное место в статистике.

Сентябрь - время, когда «одноклассники» возвращаются за свои компьютеры с каникул, а те, кто постарше - из отпусков прямиком на свое рабочее место в офисе. Активность пользования Интернетом возрастает - неизбежно возрастает и количество интернет-угроз и пострадавших от них пользователей.

В сентябре 2009 года наиболее актуальными вирусными событиями стали резко возросшая активность троянской программы Trojan.Encoder, шифрующей данные на компьютерах своих жертв, продолжение нашествия лже-антивирусов, а также оригинальные методы «взлома» социальных сетей. Компания «Доктор Веб» представляет обзор этих и других угроз, под «знаком» которых прошел сентябрь:

1. «Корректор» запустил новую волну Trojan.Encoder
2. Не каждый антивирус полезен
3. Кто хочет взломать социальную сеть?
4. И снова Trojan.Winlock. Теперь через ICQ и вместе с pinch
5. Почтовые вирусы не сдаются
6. Вредоносные файлы, обнаруженные в сентябре в почтовом трафике
7. Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей

Компания «Доктор Веб» – ведущий разработчик средств информационной безопасности – обращает внимание интернет-пользователей на массовую спам-рассылку с Trojan.DownLoad.47256. Эта троянская программа способна загружать из Интернета различные вредоносные объекты, которые могут нанести серьезный ущерб пользователю.

Распространение этой угрозы началось 17 сентября 2009 года. К настоящему моменту количество писем с Trojan.DownLoad.47256 перевалило за миллион в сутки, а в общем потоке вредоносных программ, обнаруженных в почтовом трафике, этот троянец занимает более 90%.

Trojan.DownLoad.47256 является классическим загрузчиком. После запуска пользователем он создаёт процесс с названием svchost.exe или smss.exe, после чего внедряет в этот процесс свой код.

Затем исходный файл удаляется, а троянец продолжает своё функционирование – пытается скачать вредоносный объект со специального сайта, подготовленного злоумышленниками.

«Доктор Веб» - российский разработчик средств информационной безопасности - сообщает о распространении в Рунете программы SMS Reader v.11.4.3 Russian edition, которая используется злоумышленниками для реализации мошеннической схемы. Определяемая Dr.Web как Trojan.Fraudster.6, данная вредоносная программа предлагает пользователям получить тексты СМС-сообщений с любого абонентского номера. Для этого злоумышленники требуют направить им платное СМС.

Под видом, казалось бы, бесплатного ПО, создатели которого обещают множество полезных, а также незаконных функций, в Рунете зачастую можно встретить вредоносные приложения и программы, использующие мошеннические схемы.

В очередной раз с этим можно столкнуться, загрузив SMS Reader v.11.4.3 Russian edition (определяется Dr.Web как Trojan.Fraudster.6) на сайте www.ubs***.ru. Создатели программы обещают любому пользователю тексты всех СМС с любого телефонного номера, который он укажет. По словам разработчиков, данная программа запускается с любого ПК и требует лишь подключение к Интернету.

Компания Доктор Веб сообщает о появлении новой угрозы, распространяемой через известный сервис микроблогинга Twitter.com. C одного из аккаунтов по его подписчикам распространяется сообщение, содержащее вредоносную ссылку.

При переходе по ней пользователю предлагается скачать специальный кодек для просмотра порно-ролика, который оказывается вредоносной программой. При этом ресурс, созданный злоумышленниками, самостоятельно определяет вид операционной системы, предлагая разные угрозы для ОС Windows и Mac OS X.

В среду, 24 июня, в микроблоге одного из пользователей Twitter.com, который является бывшим сотрудником компании Apple, появилось сообщение, содержащее следующую запись: "Leighton Meester sex tape video free download!", а также ссылку, как оказалось, на сайт с вредоносными объектами.

Компания Доктор Веб сообщает, что в начале июня 2009 года был обнаружен очередной троянец - Trojan.Hosts.75.

Данная вредоносная программа принадлежит к семейству Trojan.Hosts и вымогает деньги у зараженных пользователей популярной социальной сети ВКонтакте. На сегодняшний день насчитывается около сотни различных модификаций этой угрозы.

Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации.

Компания Доктор Веб предупреждает о появлении вредоносной программы, уничтожающей пользовательские данные.

По классификации Доктора Веба, новый троян получил название KillFiles.904; признаки его активности были зафиксированы в первые дни текущего месяца. Попав на компьютер жертвы, вредоносная программа сканирует локальные и съемные накопители в порядке от Z до A.

На найденном диске троян пытается удалить все папки и файлы, перебирая их названия по алфавиту. Если уничтожить файл не удается (к примеру, из-за его использования), KillFiles.904 делает его скрытым.

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, инфицированных прежде различными модификациями полиморфного сетевого червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного Программного Обеспечения, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного Программного Обеспечения . При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Сетевой червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.