Компания Dr.Web опубликовала новый обзор вирусной активности в минувшем ноябре. Согласно этой публикации, на предпоследний месяц этого года пришлось широкое распространение троянцев-блокировщиков нового типа, получивших условное определение «мультилокеры», а также ощутимый рост бот-сетей Win32.Rmnet.12 и Win32.Rmnet.16.
«Мультилокеры» — это очередные троянцы-вымогатели серии Winlock, которые шифруют все данные на компьютере и выводят жертве сообщение с требованием заплатить злоумышленникам за разблокирование системы. Новая зараза отличается отсутствием «на борту» каких-либо изображений, текстовых ресурсов и иных компонентов, которые демонстрируются жертвам захвата. Всё это вредоносная программа стягивает с удалённого сервера.
В конце месяца специалистами компании «Доктор Веб» был обнаружен блокировщик Trojan.Winlock.7384, способный перехватывать изображение, поступающее от подключённой к компьютеру веб-камеры. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур (Германии, судя по скриншоту), упоминается о том, что все действия жертвы на данном компьютере записываются, а её портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.
Угрозой месяца «Доктор Веб» называет троянец Trojan.Gapz.1, устанавливающий на инфицированную систему многочисленные плагины, одним из которых является упоминавшийся «мультилокер» Trojan.Winlock.7384. Подробная статья об этом трояне опубликована здесь. Также отмечен опасный троян-загрузчик, занимающийся «развозом» по заражённым системам сразу четырёх других зловредов, причём совсем не безобидных. Backdoor.Andromeda.22 — ещё один загрузчик, скачивающий на инфицированные системы, в том числе, упомянутые уже мультилокеры. Trojan.Rodrecter.21 — многокомпонентный троянец-руткит, использующий локальные уязвимости ОС для повышения собственных привилегий. Имеет функции «антиотладки». Отключает User Accounts Control (UAC) как в 32-разрядных, так и в 64-разрядных версиях Windows. Изменяет настройки браузеров Mozilla Firefox и Internet Explorer. Функциональное назначение основного модуля троянца — перехват трафика на инфицированном ПК. Trojan.PWS.Multi.879 — вредоносная программа, способная похищать пароли от ряда популярных приложений, в том числе ICQ, Yahoo! Messenger, FTP Commander, Paltalk, AIM, Google Talk, MSN Messenger, Miranda, Trillian и других. BackDoor.HostBooter.3 — троянец, предназначенный для выполнения DDoS-атак, а также скачивания и запуска файлов по команде с управляющего сервера.
До более чем шести миллионов выросло количество компьютеров, входящих в ботнет Win32.Rmnet.12. Ботнет Win32.Rmnet.16 — в тридцать раз меньше, но тем не менее и 260 тысяч компьютеров — это достаточно много.
В ноябре базы Dr.Web пополнились записями, относящимися к очередным представителям коммерческих программ-шпионов для для ОС Android. Среди них — Program.Jianspy.1.origin и Program.Spyera.1.origin, выполняющие типичные для такого класса программ функции: получение информации об СМС-переписке пользователя, совершаемых им звонках, определение его местоположения и ряд других.
Продолжают также появляться и новые модификации хорошо известных троянцев Android.SmsSend, опустошающих мобильные счета пользователей путем отправки дорогих СМС-сообщений.
Полный отчёт «Доктор Веб» доступен здесь.