Компания ESET представляет отчет о наиболее активных угрозах мая 2013 года. Месяц был отмечен ростом активности семейства банковских троянов ZeuS, а также фишинговой атакой с использованием одного из сервисов Google. В минувшем месяце в мире было зафиксировано повышение активности семейства ZBot (ZeuS), рейтинг которого составил 1,36%. Под общим названием Win32/Spy.Zbot нами детектируются все возможные модификации этой троянской программы, включая Citadel и Gameover. Пиковая активность ZeuS пришлась на 2 мая, когда уровень его распространенности достиг 4,83%.
Главной целью злоумышленников, использующих ZeuS, является кража аутентификационных данных пользователей от различных сервисов, включая онлайн-банкинг. Похищенная таким образом информация используется для перевода денежных средств на подставные счета, с которых они оперативно обналичиваются «мулами» – лицами, готовыми снимать средства сомнительного происхождения за небольшой процент. Отметим, что внушительное количество модификаций ZeuS обусловлено утечкой исходных кодов этого трояна в 2011 году.
Что касается других угроз из глобальной десятки, то рост продемонстрировали Win32/Bundpil (3,46%) и Win32/Dorkbot (2,22%), вирус Win32/Ramnit (1,62%), а также троянская программа Win32/Qhost (1,53%). Червь Win32/Bundpil, который распространяется через съемные носители, сохранил за собой первое место и даже увеличил активность по сравнению с апрелем.
Рост активности червя Win32/Dorkbot связана с майской спам-кампанией по распространению вредоносного ПО. Пользователям рассылались сообщения с вредоносными ссылками, при переходе по которым возникал риск установки трояна Win32/PowerLoader, загружавшего на компьютер Win32/Dorkbot.
Для маскировки вредоносных ссылок в письмах использовался сервис Google URL Shortener, благодаря которому укороченные адреса начинались с ”http://goo.gl/”. Согласно статистике переходов по вредоносным ссылкам, участвовавшим в этой кампании, одним из лидеров по числу жертв атаки стала Россия.
Встраиваемые в веб-страницы вредоносные элементы, которые детектируются под общими названиями HTML/ScrInject (2,47%) и HTML/Iframe (1,90%), в мае подверглись спаду. HTML/ScrInject теряет позиции последние два месяца; те же два месяца падает активность INF/Autorun (2,77%) и Win32/Conficker (1,95%).
Рейтинг угроз по России не сильно изменился по сравнению с апрелем. Стоит отметить, что троянская программа Win32/Qhost, которая демонстрировала спад с начала этого года, в мае испытала подъем – ее рейтинг составил 12,40%. Кроме того, рост показали вредоносные Java-скрипты с общим обнаружением JS/Iframe (2,84%). Все прочие угрозы снизили активность.
Троян Win32/Agent.UPF, о котором мы подробно писали в прошлом отчете, заметно снизил активность – в этом месяце его уровень распространенности составил 1,55%. Также отметим, что троян Win32/StartPage, который присутствовал в нашем рейтинге предыдущие два месяца, в мае значительно сдал позиции и покинул десятку наиболее активных угроз.
В мае общая доля России в мировом объеме вредоносного ПО составила 8,14%.
Глобальный рейтинг наиболее активных угроз выглядит следующим образом:
|
Угроза
|
Уровень распространенности
|
Динамика
|
|
Win32/Bundpil
|
3,46%
|
+
|
|
INF/Autorun
|
2,77%
|
-
|
|
Win32/Sality
|
2,52%
|
-
|
|
HTML/ScrInject
|
2,47%
|
-
|
|
Win32/Dorkbot
|
2,22%
|
+
|
|
Win32/Conficker
|
1,95%
|
-
|
|
HTML/IFrame
|
1,90%
|
-
|
|
Win32/Ramnit
|
1,62%
|
+
|
|
Win32/Qhost
|
1,53%
|
+
|
|
Win32/Spy.Zbot
|
1,36%
|
+
|
Статистика угроз по России:
|
Угроза
|
Уровень распространенности
|
Динамика
|
|
Win32/Qhost
|
12,40%
|
+
|
|
HTML/ScrInject
|
3,54%
|
-
|
|
JS/IFrame
|
2,84%
|
+
|
|
Win32/Spy.Ursnif
|
2,26%
|
-
|
|
Win32/Bicololo
|
2,09%
|
-
|
|
Win32/Dorkbot
|
2,03%
|
-
|
|
HTML/IFrame
|
1,65%
|
-
|
|
INF/Autorun
|
1,62%
|
-
|
|
Win32/Agent.UPF
|
1,55%
|
-
|
|
Win32/Conficker
|
0,92%
|
-
|
