Conficker — где и сколько
Некоммерческая организация Shadowserver Foundation, один из основателей и участников Рабочей группы по борьбе с Conficker (CWG), обновила и систематизировала статистику по распространению этого сетевого червя.
» Нажмите, для открытия спойлера | Press to open the spoiler «
Бездействие Conficker (в классификации ЛК Net-Worm.Win32.Kido) отвлекло от него внимание интернет-сообщества в пользу более актуальных проблем. Однако потенциальную угрозу рано скидывать со счетов, ибо дремлющая армия Conficker насчитывает, по данным CWG, более 6 млн. участников сетевых процессов, готовых подчиниться чужой недоброй воле. Понятно, что статистика по IP-адресам с признаками заражения, публикуемая CWG, отражает ориентировочный верхний предел и не учитывает, например, возможность повторного инфицирования. Использование NAT, DHCP и портативных устройств тоже затрудняет оценку истинных масштабов заражения.
Исследователи Shadowserver проанализировали данные CWG о распространении Conficker и с июля пристально следят за изменением ситуации. Они составили сравнительные таблицы распределения трех основных вариантов червя (А+В и С) по региональным доменным зонам и ASN-сетям. Для каждого ASN-участника был введен также показатель серьезности угрозы — процент зараженных IP от всего адресного пространства. Актуальные результаты для 183 региональных TLD и 500 наиболее неблагополучных ASN публикуются на динамически обновляемой странице
. Присутствие Conficker демонстрируют более 12 тыс. ASN-сетей, но в динамической таблице учтены только те из них, в которых найдено не менее 10 IP-очагов потенциальной угрозы.
Согласно результатам анализа, число заражений вариантами А и В растет, а С — уменьшается. В настоящее время наибольшее количество инфицированных ASN-сетей обнаружено в доменной зоне .ru — более 1 тысячи. В США их около 600, на Украине — более 400, в Румынии, Бразилии и Южной Корее более 200. Лидером по числу зараженных IP является главная ASN-сеть Китая, Chinanet, но 1 миллион — лишь немногим более 1% ее адресного пространства. Высокий процент поражения — 10-20% и выше — наблюдается, как правило, в небольших сетях.
Из российских ASN в TOP 500 попали номера многих региональных провайдеров, а также питерского филиала ОАО «Северо-Западный Телеком», ВолгаТелеком, Уралсвязьинформ, ЦентрТелеком, ВымпелКом, ЮТК, НКС, Транстелеком, Ростелеком, Corbina, Синтерра, DiNet, столичного Scartel, DiNet, SkyNet, Комкор, МГТС, МСС, МТС, NetByNet, московского «Комстар-директ», Искрателеком.
В качестве дополнительной информации на динамической странице приведен перечень бесплатного инструментария для обнаружения и лечения Conficker, предоставляемого разными производителями.
Источник: securelist_com
Эволюция продолжается...
Совсем недавно мы писали в нашем блоге о том, что создатели поддельных антивирусов начинают ориентироваться на изменения, происходящие на рынке антивирусных продуктов.
Мой коллега Вячеслав написал целую статью, посвященную этой тематике, в которой по данным нашей статистики можно увидеть значительный рост числа фальшивых антивирусов.
А на прошлой неделе мы отметили начало нового этапа в написании таких вредоносных программ.
Исследуя Trojan.Win32.FraudPack.acjl, мы обратили внимание на интерфейс зловреда:
» Нажмите, для открытия спойлера | Press to open the spoiler «
В данном “продукте” есть 2 основные особенности:
Интерфейс — практически точная копия интерфейса бесплатной версии одного из настоящих антивирусов (см. скиншот ниже).
Неопытный пользователь мог бы достаточно легко перепутать легальную программу с поддельной.
Название «продукта» позаимствовано у другого настоящего бесплатного антивируса.
Другими словами, авторы фальшивых антивирусов, создавая свои поделки, стремятся копировать внешний вид настоящих антивирусов.
По предварительной оценке ФБР, мошенники, занимающиеся продажей фальшивых антивирусов, получили от своих жертв более $150 млн.
К сожалению, когда авторы таких фальшивок начнут делать совершенно точные графические копии настоящих антивирусов, число их жертв еще больше увеличится. И стать ими уже могут не только начинающие, но и более опытные пользователи.
Источник: securelist_com