ТОР-5 самых известных интернет-угроз и советы как с ними бороться

В январе 2010 отмечается рекордное число нового вредоносного ПО, огромный всплеск кибер-атак, а также высокий процент распространения вирусов через социальные сети (Facebook, Twitter, YouTube и т. д.). «Труд» составил рейтинг самых известных интернет-угроз с обзором и анализом вредоносных кодов. Это список тех кодов, которые особенно выделились в прошедшем году, использовали технологии социальной инженерии либо очень эффективно воздействовали на компьютеры.

1. eKAV антивирус один из популярнейших вирусов в прошедшие праздники

После некоторого времени работы появляется заставка якобы антивируса eKAV, который находит кучу зараженных объектов на компьютере с просьбой отправить смс, чтобы их вылечить, появляется время обратного отсчета до перезагрузки компьютера. Доступ в интернет блокируется, а также большая часть процессов как восстановление системы и запуск и установка антивирусов, в общем — все, что возможно и невозможно. Дополнительно выскакивают разные сообщения об ошибках запуска файлов.

Например, «отправьте смс с текстом k205114000 на номер 4460). Сама программа выглядит как окно проверки на вирусы с текстом вверху «Внимание! eKav antivirus обнаружил вредоносное ПО на вашем компьютере». Умные люди разгадали алгоритм, по которому создаётся код активации. Алгоритм прост до банальности. Берём текст, который нам предлагают выслать в теле смс (например, k205114000). Меняем первую букву k на цифру, стоящую после этой буквы. В нашем примере это цифра 2. В итоге код будет 2205114000. Далее добавляем к каждой цифре кода число 2. То, что получилось, записываем в ряд. При этом, если после добавления «двойки» получается 10, то записываем 1, если 11, то записываем 2. В нашем примере имеем новый код 4427336222. Полученный код вводим в окошко для ввода кода. Окошко исчезнет и после перезагрузки всё заработает.


2. Подмена сайта

Если вы зашли на один из любимых вами сайтов (Яндекс, Mail, вКонтакте, Odnoklassniki и д.р) и увидели просьбу подтвердить регистрацию при помощи SMS, возможно, ваш компьютер заражен вирусом. Как это выглядит? При попытке зайти на главную страницу предлагается ввести логин, пароль и отправить SMS на короткий номер. Страница похожа на ту, что используется обычно для входа на эти сайты. Распространяется этот вирус в основном через социальные сети.

Что с этим делать? Проверьте свой компьютер антивирусом. Если он не обнаружил вредоносный код, вы можете выполнить необходимые действия по исправлению проблемы вручную. Когда вы набираете адрес, например, yandex.ru, ваш компьютер определяет, к какому серверу нужно обратиться. В первую очередь он «просматривает» файл hosts (обычно этот файл находится в папке C:\WINDOWS\system32\drivers\etc), и, если в нем есть адрес сервера (IP-адрес) для указанного вами имени, то используется именно он. Если же подходящей записи нет, то нужный адрес сервера запрашивается у вашего провайдера.

SMS-вирус меняет содержимое файла hosts, дописывая туда адреса своих серверов так, чтобы они заменили адрес сервера Яндекс и других популярных интернет-сервисов. В результате вам кажется, что вы видите страницу и работаете с сайтом, но на самом деле это сервер злоумышленников. Для уничтожения последствий его работы, необходимо перейти в папку
C:\WINDOWS\system32\drivers\etc (возможно, что у вас система Windows установлена в папку, отличную от C:\WINDOWS — учитывайте это) и найти там файл с названием hosts. Откройте его с помощью блокнота (Notepad) и поищите в файле строки следующего вида:
127.0.0.1 yandex.ru
127.0.0.1 yandex.ru
или
91.189.113.143 mail.ru
91.189.113.143 mail.ru
91.189.113.143 yandex.ru
91.189.113.143 yandex.ru
91.189.113.143 vkontakte.ru
91.189.113.143 vkontakte.ru
91.189.113.143 odnoklasniki.ru
91.189.113.143 odnoklasniki.ru


ВАЖНО: адреса, т. е. 4 числа через точку, могут быть другими, например, не 91.189.113.143, а 83.133.122… или какие-то еще. Если такие строки в файле есть, то их следует удалить. ВАЖНО: строку «127.0.0.1 localhost» удалять не следует. После этого нужно просто сохранить файл, перезапустить браузер и оригинальные страницы станут загружаться.

Установите на файл атрибут «только для чтения» — это поможет избежать его изменения простыми вирусами. Для этого надо нажать на имени файла правой кнопкой мыши, выбрать пункт меню «Свойства», установить галочку «Только чтение» и нажать Ok.

Данный вирус вносит изменения в настройки компьютера, но не находится постоянно активным в памяти. Если вы знаете или предполагаете, в какой программе находится вирус (она может называться, например, vkontakte.exe или reiting.exe), то вы можете ее удалить или больше не запускать.


3. 250 000 долларов за голову разработчика

Нет никаких сомнений, что Conficker. C за последние двенадцать месяцев стал самым несносным вирусом. Впервые он появился 31 декабря 2008 года и провел весь год, вызывая серьезные инфекции в компаниях и у домашних пользователей. Conficker (также известен как Downup, Downadup и Kido) — один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows 7 и Windows Server 2008 R2). На январь 2010 вирус поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса.

В предупреждении заражения вирусом и его уничтожении с заражённых компьютеров принимали участие такие корпорации, как Microsoft, Dr. Web, ESET, Kaspersky Lab, Panda Security, F-Secure, AOL и другие. Тем не менее, опасность сохраняется по сей день, так как вирус постоянно мутирует, поэтому, чтобы предупредить заражение компьютера, нужно регулярно обновлять систему и антивирусные базы сигнатур. Также каждый пользователь должен знать, что если компьютер уже инфицирован вирусом — обновление может не помочь. Вот почему для полного удаления червя рекомендуется использовать специальные утилиты confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools самых свежих версий.


4. Остерегайтесь подлой свинки, со смешным закрученным хвостиком и розовым пятачком

Очередной способ увода ICQ, который сейчас свирепствует на просторах Интернета. Изощренным путем крадет у вас заветный номерок. Если к вам «постучались», посмотрите, нету ли в профиле у нового гостя таких данных: H1N1 Infected. «Вирус» не молчит, может и пообщаться с вами, предложив при этом скачать файл под названием Piggy. Вы открываете файл и видите примерно милую розовую свинку, которая сообщает вам, что «вы заражены». Автоматически производится рассылка с вашего номера на все контакты и пароль на вашем аккаунте меняется. Для удаления этой гадости можно использовать антивирус. А для восстановления пароля — алгоритм. Заходим в информацию своего номера или на сайте icq или прямо в клиенте. Нажимаем обновить, видим в графе «О себе» набор ноликов и единиц:
01011001100101101 010010110100001001100000101101000010110110001011011000101101000


Далее разделяем эту запись на блоки по 10 цифр, каждый блок будет равен цифре:
0100110010: 1
0101100000: 2
0101100010: 3
0101100100: 4
0101100110: 5
0101101000: 6
0101101010: 7
0101101100: 8
0101101110: 9
0100110000: 0
В итоге для вышеприведенной записи пароль будет 57606886. Главное как войдёте, не забудьте сменить пароль.


5. Уроки шифровки

Trojan. Encoder.19 — троянская программа, которая шифрует пользовательские файлы. Инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10 $ за программу расшифровщик. Для распространения использует сайты, или ссылки с коротким временем работы.

Опасности подвергаются файлы с расширением: *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls, которые троянец переносит в папки: C:\Documents and Settings\Local Settings\Application Data\CDD, C:\Documents and Settings\Local Settings\Application Data\FLR. В то же время оригинальные файлы заменяются сообщением «FileError_22001». На сегодняшний день этим троянцем заражаются около 100 пользователей в сутки.
Зашифрованные Trojan. Encoder файлы имеют двойное расширение. Например, s7300653.jpg_crypt_.rar.

Для блокировки доступа к документам троянец упаковывает их в Zip-архив с паролем, используя шифрование по стойкому к взлому алгоритму AES-256. Данный алгоритм принят в качестве стандарта шифрования правительством США и является одним из наиболее распространённых на сегодняшний день. Теперь пользователи, пострадавшие от новой модификации Trojan. Encoder, смогут самостоятельно разархивировать зашифрованные файлы любым архиватором, в функционал которого входит возможность распаковки Zip-архивов. Для этого достаточно использовать следующий пароль:
HF8374-SF3GV-DFGT3G-343G2-VBBRT-34RGD-SE4GBB-4534V


Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года от этих вирусов пострадали миллионы россиян.

В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловы х менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

Компания «Доктор Веб» считает необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

из Интернета