Зловреды для Windows

На днях экспертами Лаборатории Касперского были обнаружены новые экземпляры вредоносной программы MAX++ (он же ZeroAccess). Этот троянец и ранее был известен тем, что использовал передовые rootkit-технологии для скрытия своего присутствия в системе.

Согласно статистике McAfee, после прошлогоднего затишья количество новых вариантов поддельных антивирусов, вымогающих деньги за лечение несуществующих угроз, вновь начало увеличиваться. Наиболее интенсивные темпы прироста эксперты фиксировали в 2008-2009 гг., а также в начале 2010 года. Затем число инноваций на этом рынке заметно сократилось. Подъем, зафиксированный McAfee в первом квартале текущего года, отчасти объяснился появлением множественных

На днях в антивирусную лабораторию попал очень интересный сампл — даунлоадер, содержащий в себе два драйвера, и скачивающий фальшивый антивирус, как под платформу PC, так и под MacOS.

Знакомое окошко? Троянцы-блокеры, которые по классификации ЛК относятся к классу Trojan-Ransom, можно разделить на две категории: интернет-блокеры и исполняемые файлы с функнционалом блокеров. Интернет-блокеры открывают окно в браузере с сообщением о том, что компьютер заблокирован. К счастью, справиться с ними довольно легко — как правило, для этого достаточно просто закрыть окно браузера. Распространяются такие программы

Как только в СМИ появляется очередная горячая новость, злоумышленники запускают в популярных поисковых системах кампанию по «черной» оптимизации, рассчитанную на привлечение посетителей с целью установить на их компьютеры фальшивые антивирусы.

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено 241 151 171 сетевых атак, обнаружено и обезврежено 219 843 736 вредоносных программ.

Недавно мы обнаружили новый буткит — зловред, заражающий загрузочный сектор жесткого диска – Rookit.Win32.Fisp.a. Для рапространения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот зловред попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте. Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте. Фрагмент NSIS-скрипта зловреда Trojan-Downloader.NSIS.Agent.jd

В ноябре 2010 мы опубликовали блогпост о новой разновидности программы-вымогателя Gpcode. Сегодня «Лаборатория Касперского» обнаружила новый вариант зловреда в виде обфусцированного выполняемого файла. Дальнейшая информация доступна в техническом описании. Благодаря Kaspersky Security Network, угроза была автоматически обнаружена как UDS:DangerousObject.Multi.Generic. Было добавлено специфическое детектирование; теперь зловред распознается как Trojan-Ransom.Win32.Gpcode.bn. Заражение происходит при посещении вредоносного сайта (drive-by

13 января мой коллега Вячеслав Закоржевский опубликовал блогпост об опасностях, связанных с использованием взломанных программ и генераторов ключей, в котором рассказал о зловредах, предназначенных для кражи регистрационных ключей к популярным программным продуктам и паролей к онлайн-играм. Несколько дней назад мы обнаружили новую вредоносную программу, названную ее авторами Kaspersky Trial Resetter и выдающую себя за утилиту

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было заблокировано 70 465 949 попыток заражения через веб, обнаружено и обезврежено 252 187 961 вредоносных программ.

В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4, которые используют 0-day уязвимость CVE: 2010-3888 для повышения привилегий в системах Windows.

В прошедшем месяце наибольшую опасность для пользователей представляли drive-by загрузки.

Обнаружена троянец-вымогатель, перезаписывающий MBR и требующий денег для получения пароля, необходимого для восстановления оригинального MBR

Мы получили несколько сообщений, в которых пользователи из разных стран просят нас помочь им справиться с заражениями вредоносной программой, которая очень похожа на троянца-шифровальщика GpCode образца 2008 года.

«Лаборатория Касперского» предлагает вниманию пользователей октябрьские рейтинги вредоносных программ. В целом месяц прошёл относительно спокойно, однако хочется обратить внимание на несколько интересных событий. В начале октября был обнаружен вирус Virus.Win32.Murofet, которым были заражены многие PE-файлы. Его основная особенность заключается в генерировании ссылок с помощью специального алгоритма, который основывается на текущих времени и дате на инфицированном