Записи с меткой «ботнет»

«Лаборатория Касперского» объявляет о начале стратегического сотрудничества с Telefonica, одним из мировых телекоммуникационных лидеров, в рамках которого клиентам оператора будет предоставлен ряд услуг по защите от киберугроз. Telefonica знакома многим пользователям по своим коммерческим брендам O2, Movistar и Vivo.

По итогам соглашения в портфолио Telefonica появятся сервисы «Лаборатории Касперского», в основе которых лежит облачная инфраструктура Kaspersky Security Network.Инструменты обеспечения безопасности клиентов Telefonica построены на внутренних разработках оператора, опыте собственного центра Global CyberSOC, а также экспертизе других вендоров защитных решений, таких как «Лаборатория Касперского». С помощью такого широкого набора услуг и сервисов, включающего в себя решений для защиты от онлайн-мошенничества и DDoS-атак, корпоративные клиенты Telefonica получат более совершенную защиту от самых актуальных киберугроз.

Технологии «Лаборатории Касперского» дополняют услуги Telefonica по обеспечению безопасности своих клиентов новыми защитными инструментами. Среди них — мониторинг в режиме реального времени ботнетов, которые нацелены на пользователей онлайн-банкинга или платежных систем. Данный сервис не только позволяет выявлять подобные ботнеты, но также и блокировать их связь с командными центрами. Помимо этого специалистам по безопасности Telefonica будут направляться данные о новых угрозах в режиме реального времени, что позволит заранее провести соответствующую подготовку IT-инфраструктуры. Дополнительно «Лаборатория Касперского» будет предоставлять аналитические отчеты, описывающие релевантные угрозы для отдельных регионов и компаний с учетом вида их деятельности, а также проводить образовательные мероприятия, передавая свой опыт специалистам Telefonica.

«Такое стратегическое сотрудничество является для нас очередным шагом к лидирующей позиции на телекоммуникационном рынке. Подобные соглашения показывают, что мы обладаем уникальным набором услуг по выявлению угроз и являемся лучшим оператором в вопросе обеспечения IT-безопасности бизнеса и государственного сектора. Включение сервисов «Лаборатории Касперского» в наше портфолио отражает стремление Telefonica предоставлять самую инновационную защиту нашим клиентам и подтверждает нашу миссию быть прогрессивным оператором», — отметил Оливер Мартинез, управляющий директор по глобальной безопасности Telefonica.

«Мы с гордостью предоставляем Telefonica подписку на набор сервисов «Лаборатории Касперского» по выявлению угроз. Это сотрудничество стало одним из важных шагов в нашей стратегической работе с операторами. С таким мощным набором инструментов специалисты Telefonica будут гораздо лучше подготовлены к реагированию на угрозы, которые нацелены на их клиентов. Мы уверены, что теперь, в кооперации с «Лабораторией Касперского», компания сможет предложить гораздо более выгодные условия своим клиентам», — прокомментировал Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского».

«Безопасность следует рассматривать как цельную стратегию защиты, а не ограниченный набор механизмов выявления и предотвращения. Это единственный надежный способ остановить киберугрозы. Telefonica и «Лаборатория Касперского» разделяют этот подход, и мы уверены, что вместе сможем построить более конкурентоспособную и безопасную среду», — добавил Ованес Михайлов, руководитель регионального офиса «Лаборатории Касперского» в Иберии.

Этот шаг — логичное продолжение давнего сотрудничества «Лаборатории Касперского» с Telefonica: в 2006 году компания заключила соглашение с оператором на бразильском рынке.

На данный момент у «Лаборатории Касперского» имеется более 80 глобальных партнерских и технологических соглашений с ведущими IT и телекоммуникационными компаниями, включая Microsoft, IBM, Cisco, Juniuper Networks, Alcatel Lucent, Blue Coat, Check Point, D-Link, GFI, Gwava, Netgear, SonicWALL RSA, ZyXel, Alt-N, Parallels, Lenovo, Facebook, Qualcomm, Vertu и другими.

О Telefonica

Telefonica — испанская телекоммуникационная компания. Действуя главным образом на рынках Испании и Латинской Америки, Telefonica является одной из крупнейших компаний сектора традиционной и мобильной сотовой связи в мире, занимает четвертое место в мире по размеру клиентской базы и шестое по рыночной капитализации. Созданная в 1924 году Telefonica до 1997 года была единственным оператором телефонной связи в Испании и до сих пор занимает доминирующее положение на рынке. На глобальном уровне Telefonica владеет ощутимой долей рынка в 24 странах и располагает клиентской базой, насчитывающей 313 миллионов абонентов.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса Endpoint Security*. Вот уже более шестнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.

*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenueby Vendor) за 2012 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2013-2017 гг. и доли вендоров в 2012 г.» (Worldwide Endpoint Security 2013—2017 Forecast and 2012 Vendor Shares), опубликованный в августе 2013 года (IDC #242618). В основу рейтинга легли данные о выручке от продаж решений класса Endpoint Security в 2012 году.

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.

Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$BR1sdEIimgEE286WFpTgu4WlxHU5ytoD_yr_8rqaY0p$

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.


Служба новостей «Лаборатории Касперского»

Реклама

новости от «Лаборатории Касперского»

Впервые за много лет среднегодовое количество спама в мировом почтовом трафике не превысило отметку 70%. По итогам 2013 года «Лаборатория Касперского» отметила снижение доли спама на 2,5%, и в результате этот показатель составил 69,6%. В то же время в спаме уменьшилось количество легальной рекламы товаров и услуг, и выросло число мошеннических и вредоносных сообщений, а также так называемых «серых» рассылок.

Тенденция криминализации спама хорошо видна на примере популярных сообщений на тему путешествий и отдыха. Ранее спам этой категории составлял 5-10% всего потока нежелательной корреспонденции и полностью состоял из различных рекламных предложений. В 2013-м же году коммерческая реклама туров и билетов встречалась редко, однако эксперты «Лаборатории Касперского» зафиксировали большое количество вредоносных писем, эксплуатирующих тему туризма. Различные подделки под уведомления о забронированном номере в гостинице, туре, круизе или билете на самолет содержали вложения с вредоносными программами.

Помимо этого, были обнаружены письма, с помощью которых мошенники пытались «отмыть» деньги с украденных банковских карт. В сообщениях такого рода они обращались к сотрудникам гостиниц с просьбой снять деньги с карты за якобы забронированное проживание и посодействовать в переводе определенной суммы несуществующему турагенту. Разумеется, все эти средства в итоге обманными способами оказывались в руках злоумышленников.

Еще одной особенностью спама в прошедшем году стало заметное увеличение «серых» рассылок, имеющих полулегальный характер. Особенность этой категории спама заключается в том, что рассылка осуществляется не с ботнетов, а с собственных серверов распространителей. При этом в числе получателей оказываются не только официальные подписчики, но и не дававшие своего согласия пользователи, чьи контакты были получены, к примеру, из купленных баз адресов. Это явление ставит перед антиспам-индустрией новую задачу по фильтрации сообщений на основании репутации распространителя.

2013 год можно смело назвать годом суперкоротких спам-писем. Подавляющее большинство нежелательных сообщений, обнаруженных «Лабораторией Касперского» за 12 месяцев, – а именно 74,5% – «весили» не больше 1 Кб. Подобный «минимализм» позволяет спамерам рассылать больше сообщений с меньшими затратами трафика, а, кроме того, возможность создавать уникальные короткие фразы и менять их от письма к письму усложняет работу спам-фильтрам.

Наконец, в 2013 году «Лаборатория Касперского» отметила очевидный сдвиг в приоритетах фишеров: среди организаций, подвергшихся подобным атакам, стало больше тех, чья деятельность напрямую не связана с финансовыми данными пользователей. Так, в рейтинге категорий 100 самых атакуемых организаций за прошедший год выросла доля фишинговых атак на социальные сети (на 7,6%), поисковые порталы (на 1,8%), электронную почту (в 4 раза). Эта тенденция свидетельствует о том, что основная монетизация фишинга происходит за счет продажи украденных аккаунтов пользователей, которые в дальнейшем могут быть использованы для рассылки спама или вредоносного контента. Кроме того, сегодня при унификации различных сервисов аккаунт пользователя от электронной почты или страницы в социальной сети может так или иначе быть связан с его банковскими данными, а это дает злоумышленникам шанс получить уже прямую выгоду.

«2013 год показал, что спам меняется: традиционной рекламы остается в нем все меньше, а мошенничества и вредоносных программ становится больше. Причем если раньше злоумышленники рассчитывали в основном на неопытность пользователей, то по мере увеличения числа юзеров и роста их компьютерной грамотности мошенники начинают изобретать новые уловки. В такой ситуации даже опытному пользователю следует быть предельно внимательным», – отмечает Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского».

Подробнее о тенденциях в спаме в 2013 году, странах и регионах, из которых рассылается нежелательная корреспонденция, и вредоносных программах, распространяющихся в спам-рассылках, читайте в отчете «Лаборатории Касперского» по адресу: www.securelist.com/ru/analysis/208050828/Kaspersky_Security_Bulletin_Spam_v_2013_godu.

Обзор вирусной активности за 2013 год

Posted: Январь 23, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

22 января 2014 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор вирусной активности по итогам минувшего года. 2013 год можно назвать весьма непростым с точки зрения угроз информационной безопасности. Как и в 2012 году, одной из основных тенденций в сфере вирусной активности стало массовое распространение троянцев-шифровальщиков, от действия которых пострадали пользователи во многих странах мира. Заметно выросло число вредоносных программ, предназначенных для демонстрации на компьютерах жертв назойливой рекламы, также в четвертом квартале увеличилось количество троянцев, ориентированных на добычу электронных криптовалют, таких как Bitcoin и Litecoin. Значительно расширился и ассортимент вредоносных программ, угрожающих пользователям мобильной платформы Google Android.

Вирусная обстановка

Согласно статистическим данным, собранным в течение года с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто встречающимися угрозами на компьютерах пользователей стали троянцы семейства Trojan.Hosts. Так, самой распространенной вредоносной программой в период с 1 января по 31 декабря 2013 года оказался Trojan.Hosts.6815 — троянец, модифицирующий на инфицированном компьютере системный файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу. Второе место в годовом рейтинге угроз занимает рекламный троянец Trojan.LoadMoney.1 — это приложение-загрузчик, распространяемый серверами партнерской программы LoadMoney. Данная программа загружает и устанавливает на компьютер жертвы различное нежелательное ПО. На третьем месте по числу выявленных в течение года экземпляров расположился бэкдор BackDoor.IRC.NgrBot.42 — вредоносная программа, хорошо известная специалистам по информационной безопасности еще с 2011 года. Троянцы этого семейства поддерживают связь с удаленным управляющим сервером по протоколу IRC (Internet Relay Chat) и способны выполнять широчайший спектр команд злоумышленников. Деструктивный функционал BackDoor.IRC.NgrBot.42 позволяет уничтожить на инфицированном компьютере загрузочную запись в случае нарушения целостности троянца, также эта вредоносная программа способна блокировать доступ к сайтам антивирусных компаний, перехватывать логины и пароли, используемые для авторизации на различных веб-сайтах. BackDoor.IRC.NgrBot.42 инфицирует все подключенные к компьютеру съемные носители, после этого троянец скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на собственный исполняемый файл. Таким образом, при попытке открытия любой директории на зараженном устройстве пользователь запускает вредоносное приложение.

Двадцатка угроз, наиболее часто встречавшихся на компьютерах пользователей по итогам 2013 года (согласно статистическим данным лучащей утилиты Dr.Web CureIt!), показана в представленной ниже таблице.

Название %
1 Trojan.Hosts.6815 1.74
2 Trojan.LoadMoney.1 1.38
3 BackDoor.IRC.NgrBot.42 1.14
4 Trojan.Mods.2 0.94
5 Trojan.MayachokMEM.4 0.72
6 Trojan.Hosts.6838 0.71
7 Win32.HLLP.Neshta 0.70
8 Trojan.SMSSend.2363 0.69
9 Trojan.Packed.24524 0.64
10 Trojan.Redirect.140 0.64
11 Trojan.Mods.1 0.57
12 Trojan.Packed.24079 0.56
13 Trojan.DownLoader9.19157 0.52
14 Trojan.MayachokMEM.7 0.52
15 Trojan.InstallMonster.38 0.50
16 Win32.HLLW.Gavir.ini 0.47
17 Win32.Sector.22 0.46
18 Trojan.StartPage.48148 0.44
19 Trojan.Zekos 0.43
20 BackDoor.Maxplus.24 0.40

Ботнеты

В течение года специалисты компании «Доктор Веб» отслеживали активность нескольких бот-сетей, организованных злоумышленниками с использованием троянских программ и файловых вирусов. Одна из них во втором полугодии практически прекратила свое существование. В то же самое время отдельные ботнеты все еще не только продолжают действовать, но и активно наращивают свою численность.

Так, вирусные аналитики «Доктор Веб» еще с сентября 2011 года наблюдают за активностью двух бот-сетей, организованных злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12. Данный вирус обладает возможностью саморазмножения без участия пользователя. Попав на инфицированный компьютер, он заражает исполняемые файлы, кроме того, он обладает возможностью выполнять поступающие с удаленного сервера команды (в том числе на уничтожение операционной системы), а также осуществлять кражу паролей от популярных FTP-клиентов. Помимо прочего, Win32.Rmnet.12 позволяет злоумышленникам осуществлять так называемые веб-инжекты — встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм.

К концу апреля 2013 года общее количество компьютеров, на которых было когда-либо зафиксировано присутствие файлового вируса Win32.Rmnet.12, составило 9 232 024, увеличившись за первые три месяца на 2,5 млн. Безусловно, определенное число ПК постепенно «излечивалось» от угрозы, однако к ботнету непрерывно присоединялись все новые и новые инфицированные машины. В мае среднее число активно действующих ботов в обеих подсетях Win32.Rmnet.12 составляло 1 078 870 единиц, при этом к ботнету присоединялось в совокупности порядка 25 000 зараженных компьютеров ежесуточно. Динамика прироста численности двух отслеживаемых специалистами «Доктор Веб» подсетей Win32.Rmnet.12 показана на представленных ниже диаграммах.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 1-я подсеть
graph

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 2-я подсеть
graph

Другая широко распространенная бот-сеть, состоящая из компьютеров, зараженных файловым вирусом Win32.Rmnet.16 — обновленной версией вируса Win32.Rmnet.12 — прекратила свой рост в сентябре 2013 года. Если в декабре 2012 года общая численность данного ботнета составляла 259 458 зараженных ПК, то к 31 декабря 2013 года их количество не превышало 1966, и в настоящий момент оно продолжает постепенно сокращаться.

В мае 2013 года специалистами компании «Доктор Веб» были обнаружены еще два представителя семейства Rmnet — вредоносные модули, распространявшиеся вместе с файловыми вирусами Win32.Rmnet и получившие общее наименование Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, второй позволял отключить ряд установленных на зараженной машине антивирусных программ.

По данным на 22 мая 2013 года вредоносные модули Trojan.Rmnet.19 были обнаружены на 18 000 пользовательских компьютерах, однако численность зараженных машин от месяца к месяцу неуклонно снижалась, пока не достигла значения 5456 инфицированных ПК, при этом количество активно действующих ботов было даже немного ниже указанного значения. Динамику этого процесса иллюстрирует представленная ниже диаграмма.

Динамика изменения численности ботнета Trojan.Rmnet.19 в 2013 году
graph

Не менее интересен и ботнет, состоящий из рабочих станций, зараженных троянцем BackDoor.Bulknet.739. Эта вредоносная программа, предназначенная для массовой рассылки спама, была добавлена в вирусные базы Dr.Web еще в октябре 2012 года. В апреле был зафиксирован пик распространения этого троянца: ежечасно фиксировалось заражение порядка 100 компьютеров, и к концу мая общая численность ботнета превысила 17 000 зараженных ПК. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Таиланда. В течение лета количество подключенных к бот-сети инфицированных компьютеров то росло, то снижалось, однако к осени наметилась стойкая тенденция к сокращению числа заражений, и в декабре ботнет практически прекратил свое существование. Данный процесс наглядно продемонстрирован на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Bulknet.739 в 2013 году
graph

Весьма интересен с точки зрения своего функционального назначения ботнет, для формирования которого злоумышленники использовали троянскую программу BackDoor.Dande. Ее особенность заключается в том, что этот бэкдор работает только на компьютерах с установленным специализированным программным обеспечением, предназначенным для закупки медикаментов, которое используют в основном аптеки и фармацевтические компании. К таким приложениям относятся прежде всего программы «Аналит: Фармация» для платформы «1С», «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Троянец предназначен для кражи информации о заказах из этих прикладных программ и ее передачи злоумышленникам.

Несмотря на то, что данная угроза была добавлена в вирусные базы еще в 2011 году, ботнет BackDoor.Dande продолжает успешно действовать до сих пор. Если на начало 2013 года в этой бот-сети насчитывалось в целом порядка 3000 инфицированных машин, то к марту их общее количество достигло уже 3800. Однако в мае численность бот-сети неожиданно сократилась практически вдвое, в течение лета снижалась незначительными темпами и к осени стабилизировалась на отметке около 1000 зараженных ПК. Эти колебания можно проследить на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Dande в 2013 году
graph

Наконец, следует сказать несколько слов о троянце Backdoor.Flashback.39, способном заражать Apple-совместимые компьютеры, работающие под управлением операционной системы Mac OS X. В 2012 году с помощью этой вредоносной программы злоумышленники создали самую крупную в истории бот-сеть, насчитывавшую более 800 000 зараженных «маков». Тогда новость о серьезной угрозе для компьютеров Apple облетела многочисленные средства массовой информации. Казалось, что пользователи Mac OS X во всем мире как минимум проинформированы о потенциальной опасности, и вскоре на планете не останется ни одного инфицированного Apple-совместимого компьютера. Однако беспечность приверженцев технологий Apple, по всей видимости, отложила свой отпечаток на динамику распространения угрозы: согласно достоверной информации, которой располагают специалисты «Доктор Веб», на конец января 2013 года во всем мире все еще насчитывалось порядка 75 000 зараженных Apple-совместимых компьютеров. Их количество постепенно сокращалось, но все же достаточно медленными темпами: в мае число заражений Backdoor.Flashback.39 составляло порядка 55 000, а в июне снизилось до 45 000 инфицированных машин, затем скорость сокращения бот-сети заметно упала. По данным на 31 декабря 2013 года численность ботнета Backdoor.Flashback.39 составляет 28 829 зараженных Apple-совместимых компьютеров, и он по-прежнему остается крупнейшим в мире.

Динамика изменения численности ботнета Backdoor.Flashback.39 в 2013 году
graph

Троянцы-энкодеры

В 2013 году массовое распространение троянцев семейства Trojan.Encoder, шифрующих файлы на компьютерах пользователей и требующих деньги за их расшифровку, приобрело масштабы самого настоящего бедствия. В течение года вирусные базы Dr.Web пополнились более 200 новыми модификациями энкодеров, а география распространения этих угроз значительно расширилась. Наметились и некоторые изменения в используемых злоумышленниками технологиях: прежде всего, для шифрования файлов стали использоваться более сложные алгоритмы, вследствие чего расшифровать данные, пострадавшие от действия некоторых модификаций Trojan.Encoder, становится невозможно. Кроме того, поиск потенциальных жертв стал вестись более целенаправленно. Например, злоумышленники прикрепляли вредоносные файлы к анкетам соискателей на должность бухгалтера и рассылали такие письма в компании, предлагавшие соответствующие вакансии. В подобных случаях могли быть зашифрованы весьма важные для жертвы файлы, содержащие, например, бухгалтерские расчеты, что повышало для злоумышленников шанс получить выкуп.

Всего в течение 2013 года в компанию «Доктор Веб» обратилось более 6 700 жертв троянцев-шифровальщиков. Помимо российских пользователей, во многих случаях пострадавшими оказывались жители иных стран — преимущественно из Украины, других бывших республик СССР, из США, Италии и стран Латинской Америки, хотя россияне составляли все же подавляющее большинство. Статистика обращений жертв троянцев-энкодеров по странам представлена на следующей диаграмме.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-энкодеров по странам
graph

В среднем специалисты компании ежесуточно обрабатывали от 20 до 35 поступающих заявок на расшифровку файлов. Динамика обращений в службу технической поддержки компании «Доктор Веб» за помощью в расшифровке файлов в период с апреля по декабрь 2013 года показана на представленном ниже графике.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-шифровальщиков в 2013 году
graph

Наиболее распространенными модификациями шифровальщиков в 2013 году стали Trojan.Archivelock, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.293, Trojan.Encoder.225, Trojan.Encoder.263, Trojan.Encoder.145 и Trojan.Encoder.215. Так, наиболее распространенный шифровальщик — Trojan.Encoder.94 — известен специалистам еще с 2010 года. Он шифрует только некоторые типы файлов, расположенных на дисках компьютера, при этом у данного троянца насчитывается самое большое (более 400) количество модификаций. Другой весьма распространенный энкодер, Trojan.Archivelock, стал известен в апреле 2012 года. Его особенность заключается в том, что эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца, который помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты — восстановление удаленных файлов после этого становится невозможным. Среди пострадавших от этой угрозы большое количество составляют жители Испании и Франции.

Trojan.Encoder.102 (более 17% случаев заражения) — также довольно старая вредоносная программа, первые образцы которой известны с 2011 года. Весьма распространенной угрозой является Trojan.Encoder.225 — он может проникнуть на атакуемый компьютер вместе с использующими уязвимость CVE-2012-0158 RTF-файлами, вложенными в сообщения электронной почты. В процессе шифрования файлов троянец пытался выдать себя за обновление Windows, демонстрируя на экране соответствующее окно.

graph

Также в течение года было зафиксировано множество обращений от жертв троянских программ Trojan.Encoder.205 и Trojan.Encoder.215 — в совокупности они составляют более 8% от общего числа инцидентов. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. Обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Наиболее популярные модификации троянцев-шифровальщиков, получившие широкое распространение в 2013 году, представлены на следующей диаграмме.

Наиболее распространенные модификации троянцев-шифровальщиков в 2013 году
graph

Винлоки

Программы-блокировщики, нарушающие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за разблокировку Windows, в 2013 году постепенно утрачивали свою популярность у вирусописателей, окончательно уступив пальму первенства троянцам-шифровальщикам и более «продвинутым» вредоносным программам, подобным представителям семейства Trojan.Mayachok (они блокируют доступ к Интернету с использованием механизма веб-инжектов). Всего в течение минувшего года в службу технической поддержки компании «Доктор Веб» обратились 3087 пользователей, пострадавших от винлоков, что на 71% меньше показателей прошлого года. При этом наибольшее количество запросов пришлось на первое полугодие, а ближе к концу 2013 года их число постепенно снижалось.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-блокировщиков в 2013 году (в процентах от максимального показателя — 633 обращения)
graph

Как и в случае с троянцами-шифровальщиками, большинство пользователей, пострадавших от действия винлоков, проживает на территории России, на втором месте по количеству заражений — Украина, далее следуют Казахстан и Беларусь. Зафиксированы случаи проникновения блокировщиков на компьютеры жителей Франции и других стран Евросоюза.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-блокировщиков по странам
graph

Дела финансовые

Программное обеспечение, предназначенное для работы с системами дистанционного банковского обслуживания (ДБО) и проведения платежей, — постоянный объект внимания злоумышленников. Помимо распространения ранее известных банковских троянцев, в 2013 году были выявлены и новые угрозы. Так, в течение года продолжились атаки злоумышленников на платежные терминалы. Новый вариант вредоносной программы Trojan.Dexter (известен также под названиями Alina, BlackPOS, Dexter, Vskimmer) нанес многомиллионный ущерб банкам в 40 странах мира. Эта вредоносная программа работает подобно скиммеру — устройству, которое прикрепляется к банкомату и копирует данные магнитного слоя на пластиковой карте. Dexter же делает копию данных не с кардридера, а из памяти торгового терминала (point-of-sale, POS-терминала). Подобным образом были скомпрометированы сотни тысяч кредитных и дебетовых карт.

Осенью 2013 года специалистами компании «Доктор Веб» была обнаружена модификация троянца семейства Trojan.Ibank, представлявшая угрозу для пользователей систем SAP (Systems, Applications and Products), предназначенных для управления внутренними процессами предприятия (бухгалтерским учетом, торговлей, производством, финансами, управлением персоналом, управлением складами и т. д.). Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в ОС. Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем.

Также в ноябре компания «Доктор Веб» сообщала о зафиксированных случаях распространения банковского троянца BackDoor.Caphaw с использованием массовой рассылки спама через программу Skype. В целях заражения пользовательских компьютеров злоумышленники рассылали Skype-сообщения, используя для этого аккаунты уже инфицированных пользователей. Троянская программа обладает весьма обширным спектром возможностей, например, она отслеживает активность пользователя и пытается определить попытки соединения с различными системами онлайн-банкинга. В случае установки такого соединения BackDoor.Caphaw может внедрять в просматриваемые пользователем веб-страницы постороннее содержимое и перехватывать данные, вводимые им в различные формы.

Тренд сезона — рекламные троянцы и майнеры

В течение 2013 года в числе лидеров среди обнаруживаемых на компьютерах пользователей угроз неизменно встречались троянские программы, предназначенные для демонстрации пользователям различной рекламы. Поскольку значительное число подобных угроз распространяется с использованием партнерских программ, позволяющих злоумышленникам заработать на количестве установок рекламного ПО, их число неуклонно растет. Среди лидеров по количеству обнаружений неизменно присутствует троянец Trojan.LoadMoney.1 — приложение-загрузчик, генерируемое серверами партнерской программы Loadmoney и предназначенное для загрузки и установки на компьютер жертвы различного нежелательного ПО. Другой угрозой, помогающей злоумышленникам заработать на накрутке посещаемости веб-сайтов, стал обнаруженный в начале 2013 года троянец BackDoor.Finder. Основное предназначение этой вредоносной программы — подмена поисковой выдачи: при попытке пользователя зараженной машины обратиться к поиску на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com вместо веб-страницы с результатами поиска он увидит в окне браузера ссылки на указанные злоумышленниками интернет-ресурсы. Наибольшее распространение BackDoor.Finder получил на территории США, при этом абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Пенсильвания, на третьем — Алабама.

graph

Схожим функционалом обладают еще два обнаруженных в 2013 году троянца — Trojan.Mods.1 и Trojan.Zekos. Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы. Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов популярных браузеров и демонстрация вместо искомого сайта принадлежащей злоумышленникам веб-страницы. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-ресурсам большинства антивирусных компаний и серверам Microsoft.

Также к категории рекламных троянцев можно, безусловно, отнести вредоносную программу Trojan.Lyrics — она демонстрирует на экране назойливую рекламу и открывает в окне браузера веб-сайты сомнительного содержания без ведома пользователя. С помощью этой программы меломаны якобы получают возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т. е. превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах или на страницах социальных сетей. Если программа установлена на компьютере пользователя, при открытии в окне браузера веб-сайтов на экране начинают появляться назойливые всплывающие окна, а также всевозможные рекламные сообщения, демонстрируемые в совершенно неожиданных местах веб-страниц. Кроме того, при нажатии на различные ссылки троянец способен перенаправлять пользователя на нерекомендуемые и мошеннические сайты. Некоторые из подобных веб-ресурсов замечены в распространении другого вредоносного ПО, в частности поддельных антивирусов, детектируемых Dr.Web как представители семейства Trojan.Fakealert.

screenshot

Не остались в стороне от данных тенденций и пользователи операционной системы Mac OS X — для них злоумышленники разработали вредоносную программу Trojan.Yontoo.1, ориентированную на загрузку и установку модулей расширения для браузеров Safari, Chrome и Firefox. Назначение данных расширений заключается в демонстрации пользователю рекламы при просмотре веб-страниц.

Во второй половине 2013 года активизировались вирусописатели, избравшие для себя в качестве основного способа заработка добычу (майнинг) электронных криптовалют Bitcoin и Litecoin. Первой из таких угроз стал обнаруженный специалистами «Доктор Веб» троянец Trojan.BtcMine.221, распространявшийся с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах, а на самом деле предназначенный для добычи криптовалюты Litecoin (одного из аналогов популярного платежного средства Bitcoin), для чего он использует аппаратные ресурсы компьютера без ведома пользователя. Наибольшее количество инфицированных троянцем Trojan.BtcMine.221 рабочих станций (56 576) расположено на территории США, на втором месте — Бразилия с показателем 31 567 ботов, на третьем — Турция (25 077). Россия с показателем 22 374 зарегистрированных установки занимает четвертое место. Средний ежесуточный доход злоумышленников составил 1 454,53 долл. США. Распространение зараженных компьютеров по странам показано на представленной ниже иллюстрации.

screenshot

Вскоре был обнаружен еще один похожий троянец — Trojan.BtcMine.218. Он запомнился специалистам тем, что в его теле были обнаружены записи, содержащие имена разработчиков данного вредоносного приложения, которые те не удалили, вероятно, по забывчивости. Также в конце года была выявлена очередная модификация вредоносной программы семейства Trojan.Mods, получившая наименование Trojan.Mods.10. Злоумышленники включили в нее модуль, предназначенный для добычи электронной криптовалюты Bitcoin. Основное же предназначение троянца — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами.

Угрозы для Linux

Минувший год запомнится специалистам по информационной безопасности возросшим числом угроз, направленных на ОС Linux. Наиболее интересной среди них можно назвать троянскую программу Linux.Hanthie, также известную под наименованием Hand of Thief. Злоумышленники, продающие ее на подпольных форумах, позиционируют данного троянца как «бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит)». Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE. Linux.Hanthie встраивает в браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Wease специальный граббер, который позволяет перехватывать HTTP- и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также программа реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется. При попытке обращения к запущенным скриптам bind или bc троянец выводит в командной консоли Linux следующее сообщение:

screenshot

Другая вредоносная программа, Linux.Sshdkit, предназначена для взлома веб-серверов, работающих под управлением операционной системы Linux. Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Вскоре была обнаружена еще одна модификация данной угрозы — Linux.Sshdkit.6, в ней злоумышленники модифицировали метод определения адресов серверов, на которые троянец передает похищенную информацию с целью затруднить перехват вирусными аналитиками украденных паролей.

Троянец Linux.Fokirtor.1 — бэкдор для GNU/Linux, в мае 2013 года атаковавший серверы внутренней системы одного из крупных хостинг-провайдеров, пытаясь похитить конфиденциальную информацию клиентов. Поскольку целевая система была хорошо защищена, злоумышленники замаскировали бэкдор под серверные процессы (SSH и др.), чтобы скрыть подозрительный сетевой трафик или используемые вредоносные файлы от проверки службой безопасности. Сигнатура данной вредоносной программы также была добавлена в вирусные базы Dr.Web.

Помимо перечисленных выше угроз в 2013 году вирусные базы Dr.Web пополнились записями для нескольких модификаций Linux-троянцев, предназначенных для организации DDoS-атак — это семейство получило общее наименование Linux.DDoS. Кроме того, среди обнаруженных за истекшие 12 месяцев угроз для Linux следует перечислить следующие: Linux.Darlloz — червь, эксплуатирующий уязвимости в PHP, Linux.Cdorked — бэкдор, способный инфицировать веб-серверы, и троянец Linux.Trolomod, предназначенный для атак на http-серверы Apache.

Угрозы для Android

Что же касается мобильных угроз, то в 2013 году, как и в последние несколько лет, наибольшая опасность подстерегала владельцев устройств под управлением ОС Android. За прошедшие 12 месяцев вирусная база компании «Доктор Веб» пополнилась записями для 1547 новых вредоносных, нежелательных и потенциально опасных программ, достигнув объема в 2814 вирусных описаний. Таким образом, с момента появления в 2010 году первых вредоносных Android-приложений, число которых на тот момент насчитывало 30 единиц, их количество увеличилось почти в 94 раза.

Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web за период с 2010 по 2013 год
graph

Традиционно наибольшую угрозу для пользователей составили троянцы, отправляющие дорогостоящие СМС-сообщения и выполняющие подписку на платные услуги. К ним, в частности, относятся вредоносные программы многочисленного семейства Android.SmsSend, присоединившиеся к ним троянцы семейства Android.SmsBot, а также ряд других вредоносных приложений с аналогичными функциями.

Не меньшую опасность представляли Android-угрозы, направленные на кражу конфиденциальной информации пользователей. К таким угрозам, в частности, относятся вредоносные программы семейств Android.Spy и Android.SmsSpy, среди которых присутствует большое число банковских троянцев, способных красть аутентификационные данные, а также СМС-сообщения, в которых могут содержаться разнообразные ценные сведения.

screenshot

screenshot

Весьма показательным в связи с этим является продолжившееся увеличение числа предложений по оказанию различных незаконных услуг и сервисов, таких как создание и продажа вредоносных Android-приложений: к популярным и распространенным на черном рынке СМС-троянцам киберпреступники добавили и троянцев-шпионов, способных добавить хлопот многим пользователям.

screenshot

По сравнению с предыдущим годом, в пять раз выросло количество поддельных антивирусных приложений Android.Fakealert, которые обнаруживают на мобильных устройствах несуществующие угрозы и за определенную плату предлагают их владельцам произвести лечение.

screenshot screenshot

Кроме того, в минувшем году было обнаружено несколько уязвимостей ОС Android, использование которых могло способствовать распространению различных вредоносных приложений. Среди троянцев, в которых злоумышленниками были успешно применены найденные программные ошибки, — Android.Nimefas.1.origin, представлявший комплексную угрозу, а также троянец-шпион Android.Spy.40.origin.

Более подробно об этих и других угрозах можно ознакомиться в соответствующем обзоре мобильных угроз, опубликованном на сайте компании «Доктор Веб».

Сетевые мошенничества

Не дремлют и сетевые мошенники, различными способами выманивающие средства у пользователей Интернета. Киберпреступники в своих схемах монетизации часто используют социальную инженерию и иные приемы психологического воздействия на людей, попавших в стесненные жизненные обстоятельства (например, ищущих работу из-за недостатка финансовых средств либо по другой причине). Так, одним из весьма распространенных способов сетевого мошенничества в 2013 году стал обман пользователей сайтов, содействующих в трудоустройстве. Злоумышленники регистрируются на сайтах служб занятости (hh.ru, superjob.ru и т. п.) в качестве работодателей, получая при этом доступ к контактным данным потенциальных жертв, после чего отправляют им сообщения электронной почты с предложением вакансии от лица крупной российской или иностранной фирмы и ссылкой якобы на сайт работодателя. В письме злоумышленники указывают высокую сумму предлагаемого оклада с расчетом привлечь адресата на мошеннический сайт и втянуть в ложное анкетирование, на одном из этапов которого ему предлагают ввести в специальную форму номер мобильного телефона, а затем — полученный в ответном СМС-сообщении подтверждающий код. Отослав такое СМС, пользователь становится жертвой мошенничества: он оказывается подписанным на некую псевдоуслугу, а со счета его мобильного телефона будут регулярно сниматься денежные средства.

screenshot

В 2013 году сетевые жулики принялись строить самые настоящие мошеннические порталы с широчайшим спектром предложений. При каждой перезагрузке такого сайта в окне браузера демонстрируется новая веб-страница, рекламирующая очередную псевдоуслугу. Среди них — чудесное избавление от варикоза путем прослушивания аудиокурса, отбеливание зубов при помощи медитаций, «проверенные» методы избавления от прыщей, тысяча способов увеличения объема губ или груди без хирургического вмешательства, курс для девушек по соблазнению мужчин и, конечно же, дистанционная помощь женщинам, которым не удается завести ребенка. Следует отметить, что если большинство описанных выше «курсов» встречались нашим специалистам и раньше, то предложения забеременеть путем прослушивания компакт-диска появились в ассортименте сетевых жуликов относительно недавно.

screenshot

Еще одна тенденция 2013 года — появление в сети большого числа интернет-ресурсов, предлагающих лечение тяжелых заболеваний, таких как туберкулез, при помощи сушеных медведок — насекомых из отряда прямокрылых. Создатели подобных сайтов продают медведок оптом, причем по весьма внушительной цене — стоимость полного курса «лечения» может достигать 250 тысяч руб.

Получили широкое распространение и вполне традиционные методы сетевого мошенничества, например реклама всевозможных магических обрядов, для проведения которых доверчивым пользователям предлагается приобрести различные артефакты, в частности «волшебные свечи», «в которые специальным образом введены Энергии Любви, Гармонии, Счастья», или «цилиндры фараона», якобы созданные российскими учеными на основе древнеегипетских рукописей, чудом сохранившихся до наших дней. Кроме того, мошенники разработали несколько веб-страниц, предлагавших посетителям «скачать» излучение различных лекарств из специального «информационного центра», после чего доверчивым пользователям предлагалось дождаться окончания процесса записи «целебного излучения» на компакт-диск.

screenshot

Активно действовали сетевые мошенники и на различных сайтах знакомств. Представляясь иностранцами, киберпреступники ищут одиноких женщин, которым в процессе общения предлагают отправить по почте дорогой подарок (планшет, смартфон или ювелирное украшение). Однако поскольку презент представляет большую ценность, отправитель не рискует отсылать отправление обычной почтой, вместо этого он предпочитает воспользоваться услугами частной курьерской службы. За сайтами подобных служб обычно скрываются мошеннические веб-страницы: жертве сообщают, что отправитель не оплатил стоимость доставки посылки до получателя — эту сумму злоумышленники и предлагают выплатить жертве. Вполне естественно, что вскоре после оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении.

screenshot

Специалисты компании «Доктор Веб» призывают пользователей быть внимательнее, относиться с опаской к подозрительным предложениям, а также не доверять случайным знакомым в Интернете. Не следует вводить на подозрительных веб-сайтах номер телефона и подтверждающие коды, полученные в СМС-сообщениях. Сетевые мошенники обладают богатой фантазией, поэтому осторожность и здоровая подозрительность никогда не повредят.

Перспективы

Исходя из текущей ситуации, складывающейся в сфере информационной безопасности, можно предположить, что в 2014 году продолжится значительный рост количества угроз для мобильной платформы Android. В сентябре 2013 года специалистами компании «Доктор Веб» был обнаружен крупнейший в истории ботнет, состоящий из зараженных несколькими модификациями троянца Android.SmsSend мобильных устройств. Имеются достаточные основания считать, что этот ботнет был далеко не последним в истории, и возникновение новых мобильных бот-сетей — дело времени.

Появление в публичном доступе специальных программ-конструкторов, позволяющих даже неискушенным в программировании злоумышленникам создавать новые модификации троянцев-шифровальщиков, наверняка повлечет за собой рост количества заражений этими вредоносными программами. Вполне вероятно и заметное расширение географии распространения троянцев-энкодеров.

Одновременно с постепенным ростом ассортимента анонимных платежных систем, использующих в своей основе аналогичные Bitcoin криптовалюты, будут множиться и разновидности троянцев, использующих для их добычи аппаратные ресурсы компьютеров жертв. По всей видимости, злоумышленники будут все чаще задействовать для обеспечения связи вредоносных программ с управляющими серверами ресурсы сети Tor, а также возможности P2P-сетей. Заметно вырастет и количество рекламных троянцев, в том числе реализованных в виде надстроек к популярным браузерам.

Не нравится: под видом программы для взлома «ВКонтакте» распространяется зловред с кросс-платформенными возможностями

Posted: Ноябрь 27, 2013 in Антивирус, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Kaspersky Lab

Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.

Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.

Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса

Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.

Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.

«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».

На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.

Предновогодние хлопоты злоумышленников: «Лаборатория Касперского» предупреждает о возможных атаках с использованием нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.

DRWEB

 

Середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков: в октябре в службу технической поддержки компании «Доктор Веб» обратились сотни пострадавших от действий троянцев-энкодеров. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Google Android, которая давно уже находится под прицелом злоумышленников.

Вирусная обстановка

Согласно статистике, собранной в октябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, в списке выявленных угроз, как и прежде, лидирует Trojan.LoadMoney.1 — приложение-загрузчик, созданное организаторами партнерской программы Loadmoney. Также в лидерах списка — еще одна его модификация, Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815: это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы. Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей — троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11. Двадцатка наиболее актуальных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! в октябре, представлена в следующей таблице:

Название Кол-во %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

Ботнеты

Динамика прироста ботнета, образованного зараженными файловым вирусом Win32.Rmnet.12 компьютерами, в октябре осталась практически неизменной: ежесуточно к первой бот-сети подключалось в среднем порядка 15 000 вновь инфицированных ПК, ко второй — 11 000, что в целом соответствует показателям за сентябрь. Изменение численности обеих подсетей Win32.Rmnet.12 в октябре 2013 года можно проследить на представленных ниже графиках:

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (1-я подсеть)
screenshot

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (2-я подсеть)
screenshot

Продолжает уменьшаться количество компьютеров, на которых антивирусное ПО фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — если на начало октября таковых насчитывалось 4 640, то уже к концу месяца это число составило 3 851.

Практически неизменным остается размер ботнета BackDoor.Bulknet.739: по данным на 28 октября в этой сети числится 1 539 инфицированных компьютеров. В свою очередь, немного снизилась численность ботнета BackDoor.Dande, основным предназначением которого является кража конфиденциальной информации у представителей российских фармацевтических компаний. В конце сентября насчитывалось 1 232 рабочие станции, инфицированные этим троянцем, а в двадцатых числах октября это значение составило уже 1 105.

Постепенно снижается и количество Apple-совместимых компьютеров, инфицированных работающим под управлением Mac OS X троянцем BackDoor.Flashback.39. В конце сентября число заражений составляло 38 288, а спустя месяц количество инфицированных «маков» снизилось до 31 553.

Угрозы для Android

В минувшем месяце специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

screenshot screenshot

screenshot

Как и многие аналогичные вредоносные программы, эти троянцы способны перехватывать поступающие СМС-сообщения, в которых может содержаться различная ценная информация, включающая как одноразовые mTAN-пароли и иные финансовые реквизиты, так и личную или деловую переписку. Однако в данном случае наибольший интерес представляет троянец Android.Spy.40.origin, при создании которого была использована очередная ошибка ОС Android, позволяющая ему избежать обнаружения антивирусными программами. Для этого злоумышленникам было необходимо лишь определенным образом изменить структуру троянского apk-пакета, после чего он мог успешно обходить сканирование. Более подробная информация об этой угрозе содержится в соответствующей публикации на сайте нашей компании.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

screenshot screenshot

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять СМС-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Прочие события октября

Call-центр мошенников «блокирует» карты Сбербанка

Мошенники нашли очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых СМС-уведомлений.

При открытии карты клиентов предупреждают, что СМС-сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Пользователя в подобных случаях может насторожить следующее: ему не могут внятно объяснить причину блокировки карты, просят назвать конфиденциальные данные карты, предлагают подойти к ближайшему банкомату для выполнения сомнительной операции и т. п.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей СМС, который ведут крупные СМС-агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Gameover продолжается: Upatre распространяет шифровальщика CryptoLocker вместе с банковским троянцем Gameover ZeuS

Получила развитие ситуация, связанная с сообщением компании Dell SecureWorks от 10 октября этого года о распространении банковского троянца Gameover ZeuS при помощи троянца-загрузчика. Специалисты по информационной безопасности выяснили, что с этим же загрузчиком распространятся программа-шифровальщик CryptoLocker, вымогающая у владельцев зараженных компьютеров плату за расшифровку файлов.

Троянец из семейства Trojan.DownLoad — это файл небольшого размера, реализующий простую функцию загрузки других вредоносных программ на компьютер жертвы. Он маскируется под zip- или pdf-файл, и распространяется как вложение в спам-сообщения. Стоит пользователю открыть такое вложение, и на компьютер загружается вредоносное ПО, в первую очередь – банковские троянцы семейства Zbot/ZeuS, а теперь и CryptoLocker. Данный шифровальщик не только блокирует доступ к системе, но и вынуждает пользователя оплачивать расшифровку файлов.

Зарубежные эксперты исследовали образец такого спам-сообщения. Вредоносное вложение содержит загрузчик Trojan.DownLoad, скачивающий программу Trojan.PWS.Panda. Именно она фактически загружает CryptoLocker.

Таким образом, пользователь, компьютер которого заражен указанными вредоносными программами, рискует потерять не только учетные данные для онлайн-банкинга и деньги вследствие несанкционированных банковских операций, но и другие свои файлы, зашифрованные CryptoLocker. Самостоятельная расшифровка данных из-за сложности применяемого метода шифрования невозможна.

Троянец CryptoLocker детектируется антивирусом Dr.Web как Trojan.Encoder.304 (образец добавлен в вирусную базу 25 октября 2013 года).

Пользователи, установившие антивирус Dr.Web, защищены от данных угроз. Однако из-за большой комплексной опасности, которую представляют эти вредоносные программы, рекомендуется соблюдать дополнительные меры предосторожности: не открывать вложения в письмах, поступивших из недостоверных источников; избегать переходов по непроверенным ссылкам; регулярно делать резервные копии файлов; пользоваться лицензионным ПО и своевременно обновлять его.

Подробности октябрьских DDOS-атак на сайты российских банков

Представитель службы безопасности Центробанка России Артем Сычев сообщил о подробностях DDOS-атак, организованных в начале октября 2013 года на сайты ЦБ, Сбербанка, ВТБ, Альфа-банка, Газпромбанка и Россельхозбанка.

Бот-сеть из 400 компьютеров, находящихся в Европе, начинала каждую атаку в первой половине дня. В ряде случаев акция продолжалась в течение суток. Банки были атакованы последовательно: первым под удар попал сайт Сбербанка, последним — сайт ВТБ. Целью кибератак был скрипт, обрабатывающий публикацию курсов валют на сайте финансового учреждения. Угроз банковским сервисам в ходе атак выявлено не было, персональные данные и счета клиентов риску не подвергались. По словам Сычева, работа сайта Центробанка прерывалась всего на 7 минут.

О своей причастности к указанным кибератакам заявила группа «Кавказские анонимусы». В этой связи Сычев сообщил о «монетизации преступных действий в киберпространстве, приводящей к тому, что атаки становятся коммерчески выгодными. Распространена ситуация, когда заказчиками являются граждане России, а исполнителями — люди, находящиеся в Европе или Азии. Атакующие машины могут иметь зарубежные IP-адреса».

Dexter: новая тенденция угроз для владельцев банковских карт

Новый вариант вредоносной программы Dexter нанес многомиллионный ущерб большинству южноафриканских банков. Скомпрометированы сотни тысяч кредитных и дебетовых карт. Dexter заражает компьютеры с подключенными к ним торговыми терминалами (point-of-sale, POS-терминалами) для платежей в торговых сетях и ресторанах, похищает данные с пластиковых карт, загруженные в оперативную память компьютера, шифрует их и отправляет на сервер злоумышленников.

По данным зарубежных исследователей, Dexter был выявлен еще в 2012 году. Модификации обнаруженного троянца известны также под названиями Alina, BlackPOS, Vskimmer. За несколько месяцев были заражены сотни компьютеров торговых терминалов в 40 странах. Большинство зараженных систем находилось в Северной Америке и Великобритании.

Образцы указанного вредоносного ПО детектируются антивирусом Dr.Web как Trojan.Packed.23683, Trojan.Packed.23684 и Trojan.Packed.23685. Они добавлены в вирусную базу 27 сентября 2012 года.

Рассылка банковских троянцев семейства P2P Zeus: адрес известен

На многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 000 почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. Предполагается, что их реальный адрес — fraud@aexp.com, зарегистрированный на сервере с IP-адресом 190.213.190.211, относящемся к региону Тринидад и Тобаго. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь.

Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web).

Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Образцы троянцев Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909, распространявшиеся в указанной рассылке, добавлены в вирусную базу Dr.Web 9 и 10 октября 2013 года.

Вредоносная программа P2P Zeus детектируется Dr.Web как Trojan.PWS.Panda.4379. Этот банковский троянец опасен тем, что относится к числу наиболее распространенных. Он передает злоумышленникам данные для доступа к банковским сервисам, похищает ключи и пароли от различных программ, отслеживает нажатия клавиш, делает снимки экрана, объединяет зараженные устройства в бот-сети, выполняет поступающие с сервера злоумышленников команды, перенаправляет жертву на поддельные (фишинговые) сайты для кражи конфиденциальной информации. По мнению специалистов компании «Доктор Веб», указанная спам-кампания нацелена на клиентов различных банков. Чтобы избежать опасности, пользователям рекомендуется не открывать вложения в письмах, поступивших из подозрительных источников; не переходить по подозрительным ссылкам; защищать устройство при помощи антивирусных программ и своевременно обновлять ПО.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2013 00:00 — 31.10.2013 23:00
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2013 00:00 — 31.10.2013 23:00
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%

Куда идет DDoS: эксперты «Лаборатории Касперского» о тенденциях развития этого вида киберугроз

Специалисты «Лаборатории Касперского» подвели итоги
DDoS-активност

и в Рунете за последние 12 месяцев. Сравнив данные,
полученные с помощью защитного сервиса Kaspersky DDoS Prevention и
собственной системы мониторинга ботнетов во втором полугодии 2012 года и
первой половине 2013 года, эксперты выявили две тенденции: усиление
мощности атак и увеличение их продолжительности.

Так, во второй половине 2012 года средняя мощность атаки составляла 34
Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с. При этом
максимальная мощность атак в этом полугодии доходила до 60 Гб/с
«благодаря» набирающим в этому году популярность атакам типа
DNS Amplification. Для сравнения: максимальная мощность DDoS-атаки во
втором полугодии 2012 года составила всего лишь 196 Мб/с.

Продолжительность DDoS-атак в Рунете также выросла в текущем году. Если
в прошлом отчетном периоде специалисты «Лаборатории
Касперского» установили, что средняя атака на защищаемые сервисом
Kaspersky DDoS Prevention ресурсы длилась 7 часов, то в 2013 году они
отметили, что этот показатель вырос до 14 часов.

Как свидетельствуют данные, полученные экспертами «Лаборатории
Касперского» на основе срабатывания сервиса Kaspersky DDoS
Prevention, большинство ботов или хостов, атакующих веб-ресурсы Рунета,
расположены непосредственно на территории России (около 44%). Немалая
часть атак также «приходит» в русскоязычное
интернет-пространство из США (около 7,5%) и с Украины (чуть больше 5%).
В целом из 10 стран, занявших верхние строчки этого нерадостного
рейтинга, 7 находятся в Азии. Географическое распределение атакующих
хостов, ответственных за DDoS-атаки в Рунете во 1-ом полугодии 2013 года

Сегодня злоумышленники, чтобы обеспечить недоступность ресурса и
заработать деньги, используют различные виды атак, зачастую их
комбинируя. Большинство видов атак воздействуют только на конкретный
ресурс. Но в погоне за наживой злоумышленники готовы применить
инструмент, способный сделать в Интернете недоступным все, что угодно:
от отдельного провайдера до сегмента сети. Это своего рода виртуальное
оружие массового поражения.

Распространение атак типа DNS Amplification и усиление мощности и
размаха DDoS-инцидентов позволяет специалистам говорить о смене
тенденции: судя по всему, Рунет перестает быть своего рода
«заповедником», где мощные атаки были редки, а
интернет-провайдеры и хостеры могли обходиться без интеллектуального
контроля трафика. Отличие показателей по DDoS-активности в Рунете и в
остальном интернет-мире стремительно сокращается.

«В таких условиях компаниям, ведущим свой бизнес в Интернете,
может помочь наличие независимой от провайдера сети, подключение своего
веб-ресурса к нескольким провайдерам с каналами свыше 10 Гб и наличие
квалифицированных специалистов и высококачественного оборудования по
фильтрации мощных атак. Наиболее эффективную защиту от мощных атак типа
DNS Amplification дает фильтрация UDP-трафика для конкретного IP-адреса
на пограничном оборудовании вышестоящего провайдера. Основная сложность
здесь состоит в том, что пограничное оборудование многих провайдеров
таких функций просто не имеет, поэтому компаниям-клиентам они не
доступны. И если при планировании сетей провайдеры не будут учитывать
опасность DDoS-атак, ситуация будет лишь ухудшаться: мощности атак будут
расти, и мы продолжим наблюдать падение целых провайдерских сетей,
хостингов и даже сегментов Интернета», — считает Алексей
Афанасьев, руководитель проекта Kaspersky DDoS Prevention
«Лаборатории Касперского».

Подробный отчет о ситуации с DDoS-атаками в Рунете, обзор новых
тенденциях в этой сфере киберугроз, описание атак типа DNS Amplification
и наиболее яркие примеры DDoS-атак в Рунете — в статье Алексея
Афанасьева и Марии Гарнаевой, антивирусного эксперта «Лаборатории
Касперского», на сайте
www.securelist.com/ru/analysis/208050810/DDoS_ataki_pervogo_polugodiya_2013_goda.

Зловред зловреда везет: мобильные троянцы теперь распространяются и через сторонние мобильные ботнеты

Эксперты «Лаборатории Касперского» впервые зафиксировали
новый способ распространения мобильных троянцев — через мобильные
ботнеты, созданные на основе другой вредоносной программы. По крайней
мере, именно этот метод, среди прочих традиционных, избрали
злоумышленники, стоящие за самым сложным мобильным троянцем Obad с
широкими вредоносными функциями и хорошо зашифрованным кодом.

Использование сторонних мобильных ботнетов для распространения зловреда
резко увеличивает возможную «область поражения», чего трудно
добиться привычными способами типа традиционных спам-рассылок или
перенаправления на взломанные сайты. Чаще всего жертвами этого опасного
троянца становятся пользователи устройств на платформе Android в России
(более 83% случаев), Узбекистане, Казахстане, Белоруссии и на Украине.

Сам троянец Obad был обнаружен специалистами «Лаборатории
Касперского» в мае этого года. После внимательного изучения
эксперты не только полностью расшифровали код вредоносной программы, но
и проанализировали избранные злоумышленниками способы ее распространения
в мобильной среде Android. В частности, они выяснили, что создатели Obad
стали первыми, кто использовал для распространения своего троянца
возможности ботнетов, созданных на основе других мобильных зловредов.

Obad распространяется с мобильных ботнетов на базе другого
«популярного» в России и других странах СНГ троянца Opfake.
После активации на зараженном мобильном устройстве Opfake может по
команде, поступающей от сервера, начать рассылку SMS с вредоносной
ссылкой по всем контактам жертвы. Если пользователь перейдет по
предлагаемой ссылке, то на его устройство автоматически загрузится
вредоносная программа. Как правило, таким образом Opfake распространяет
ссылки на самого себя. Однако экспертами «Лаборатории
Касперского» были зафиксированы и массовые рассылки сообщений со
ссылками на Obad. Мощности ботнета на базе Opfake позволяют быстро и
резко увеличивать объемы подобных SMS-рассылок и, как следствие, число
инфицированных троянцем Obad мобильных устройств.

«Мы впервые сталкиваемся с тем, что для распространения мобильных
троянцев используются сторонние мобильные ботнеты. Это факт говорит о
том, что киберпреступники продолжают адаптировать отработанные приемы
заражения ПК для других набирающих популярность платформ, —
рассказывает Роман Унучек, ведущий антивирусный эксперт
«Лаборатории Касперского». — Всего за три месяца
исследований мы обнаружили 12 версий троянца Obad. Все они обладают
схожим функционалом, характеризуются высокой степенью зашифрованности
кода и используют уязвимость в ОС Android, которая позволяет зловреду
скрывать свое присутствие, что крайне усложняет его удаление. Однако
новый продукт Kaspersky Internet Security для Android
«хитрее» этого троянца и легко удаляет Obad из любой версии
Android».

Подробнее об использовании возможностей мобильных ботнетов для
распространения самого сложного мобильного троянца Obad, а также о
других способах попадания этого зловреда на смартфоны и планшеты на базе
Android читайте в аналитической статье Романа Унучека на сайте
www.securelist.com/ru/blog/207768923/Rasprostranenie_troyantsa_Obad_a_teper_i_mobilnye_botnety

Развитие информационных угроз в первом квартале 2013 года

Posted: Июнь 16, 2013 in Антивирус, Вконтакте, Касперский, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Цифры квартала

  • По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.
  • Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.
  • 40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.
  • Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Обзор ситуации

Первый квартал 2013 года оказался весьма богат на различные инциденты в области информационной безопасности. В рамках данного отчета мы расскажем о наиболее значимых из этих инцидентов.

Кибершпионаж и кибероружие

Red October

В самом начале 2013 года «Лаборатория Касперского» опубликовала большой отчет с результатами исследования глобальной операции по кибершпионажу, получившей название Red October. Целями этой атаки стали различные государственные структуры, дипломатические организации и компании в разных странах мира. Анализ файлов и восстановление схемы атаки заняли не один месяц, но в результате этого трудоемкого исследования нам удалось выявить немало любопытных фактов.

Атакующие были активны на протяжении последних пяти лет. Используемая ими многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации. Для контроля и управления зараженными системами они создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах. Инфраструктура серверов управления представляет собой цепочку прокси-серверов.

Помимо традиционных целей атак (рабочие станции) Red October способен воровать данные с мобильных устройств; собирать информацию с сетевого оборудования; осуществлять сбор файлов с USB-дисков; красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

В феврале компания FireEye опубликовала анализ новой вредоносной программы, проникавшей в систему с использованием 0-day уязвимости в Adobe Reader (CVE-2013-0640). Эксплуатирующий эту уязвимость эксплойт стал первым эксплойтом, способным обходить «песочницу» Acrobat Reader. Он загружал бэкдор, основным назначением которого была кража информации с зараженной системы. После получения образцов данного вредоносного ПО для анализа, мы назвали зловред «ItaDuke».

Через некоторое время мы обнаружили еще несколько похожих инцидентов, в которых использовалась та же уязвимость, однако зловреды были уже другими. Используемая злоумышленниками вредоносная программа получила имя «MiniDuke». Расследование этих инцидентов было проведено совместно с венгерской компанией CrySys Lab. Среди жертв MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, исследовательский фонд в Венгрии, а также исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США. Всего нам удалось обнаружить 59 жертв в 23 странах мира.

Одной из самых любопытных характеристик атак MiniDuke стало сочетание зловреда, код которого был написан с использованием нетривиального и сложного подхода «старой школы», и относительно новых, но уже зарекомендовавших себя технологий эксплуатации уязвимостей в Adobe Reader.

Атакующие рассылали вредоносные PDF-документы с эксплойтами для 9-й, 10-й и 11-й версий Adobe Reader. Документы содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. В случае удачной отработки эксплойта, на компьютер жертвы попадал уникальный для каждой системы бэкдор размером всего 20 Кб, написанный на Assembler.

В этой атаке злоумышленники использовали Twitter: для получения адреса C&C-сервера и последующей загрузки новых вредоносных модулей бэкдор искал специальные твиты от заранее созданных аккаунтов. Как только заражённая система устанавливала соединение с сервером управления, она начинала получать зашифрованные модули (бэкдоры) в составе GIF-файлов. Эти модули обладали достаточно тривиальным функционалом: копирование, перемещение и удаление файлов, создание директорий, загрузка новых вредоносных программ.

APT1

В феврале компания Mandiant опубликовала большой PDF-отчет об атаках некой группы китайских хакеров, получившей название APT1. Термин APT (Advanced Persistent Threat по-прежнему у всех на слуху. Иногда им характеризуют угрозы или атаки, которые «продвинутыми» можно назвать с очень большой натяжкой. Однако в случае атак группы APT1 данное определение более чем уместно — развернутая китайскими хакерами кампания была весьма масштабной и серьезной.

В начале отчета Mandiant заявляет, что APT1 предположительно является одним из подразделений армии КНР. Компания даже приводит возможный физический адрес подразделения, строит предположения о его численности и используемой инфраструктуре. Mandiant предполагает, что группа APT1 действует с 2006 года и за 6 лет ей удалось украсть терабайты данных, как минимум, из 141 организации. Пострадавшие организации расположены, по большей части, в англоязычных странах. Безусловно, такой масштаб атак невозможен без ощутимой поддержки сотен человек и развитой современной инфраструктуры.

Далеко не в первый раз на разных уровнях появляются обвинения Китая в осуществлении кибератак на государственные органы и организации разных стран мира. Нет ничего удивительного в том, что китайское правительство в достаточно резкой форме отвергло все предположения компании Mandiant.

Отметим, что до настоящего времени еще ни одна страна не взяла на себя ответственность за какую-либо шпионскую кибератаку или не призналась под давлением общественности и весомых доказательств в осуществлении кибершпионажа.

TeamSpy

В марте 2013 года была опубликована информация об очередной сложной атаке, целями которой стали политики самого высокого уровня и борцы за права человека в странах СНГ и Восточной Европы. Операция получила название «TeamSpy», так как для контроля компьютеров жертв атакующая сторона использовала программу TeamViewer, предназначенную для удаленного администрирования. Основной целью атакующих был сбор информации на компьютере пользователя, начиная от снятия скриншотов и заканчивая копированием файлов с расширением .pgp, в том числе паролей и ключей шифрования.

Хотя используемый в ходе операции TeamSpy набор инструментов, да и в целом сама операция, выглядят менее изощренными и профессиональными по сравнению с вышеупомянутой операцией Red October, атаки TeamSpy были небезуспешны.

Stuxnet 0.5

Инциденты, исследование которых занимает несколько месяцев упорного труда, в антивирусной индустрии происходят не так часто. И еще реже случаются события, интерес к которым не утихает и по прошествии почти трех лет — такие, как обнаружение Stuxnet. Несмотря на то, что этот червь исследовали многие антивирусные компании, по-прежнему остается немало модулей, которые изучены слабо или не исследованы вовсе. Не стоит также забывать о том, что у Stuxnet было несколько версий, самая ранняя из которых появилась в 2009 году. Эксперты не раз высказывали предположение о том, что существовали (или существуют) более ранние версии червя, однако до определенного времени доказательств этого ни у кого не было.

Но в итоге эти предположения подтвердились. В конце февраля компания Symantec опубликовала исследование новой «старой» версии червя: Stuxnet 0.5. Эта версия оказалась наиболее ранней из известных модификаций Stuxnet: она была активна между 2007 и 2009 годами. Помимо этого, данная версия обладает очень любопытными характеристиками:

  • Во-первых, она была создана на той же платформе, что и Flame — но не на Tilded, как последующие модификации Stuxnet.
  • Во-вторых, червь распространялся с помощью заражения файлов, создаваемых с помощью ПО Simatic Step 7 и не содержал никаких эксплойтов для продуктов Microsoft.
  • В-третьих, Stuxnet 0.5 перестал распространяться после 4 июля 2009 года.
  • И, наконец, именно в Stuxnet 0.5 присутствует полноценная реализация работы с ПЛК Siemens 417 (в последующих версиях червя данный функционал не был полным).

Результаты исследования версии Stuxnet 0.5 дополнили информацию об этой вредоносной программе. Скорее всего, эта информация будет пополняться и в дальнейшем. То же самое можно сказать и об обнаруженных после Stuxnet образцах кибероружия или средств для кибершпионажа — мы знаем о них далеко не всё.

Целевые атаки

Атаки на тибетских и уйгурских активистов

В первом квартале 2013 года продолжились целевые атаки на тибетских и уйгурских активистов. Для достижения своих целей атакующие использовали все возможные средства — были атакованы пользователи Mac OS X, Windows и Android.

В январе-феврале мы обнаружили существенное увеличение числа целевых атак на уйгуров — пользователей Mac OS X. Все эти атаки использовали уязвимость CVE-2009-0563, которая была закрыта компанией Microsoft почти 4 года назад. Эксплойт к этой уязвимости рассылался в документах MS Office, которые легко распознать благодаря обозначенному в свойствах автору — «captain». В случае успешного исполнения эксплойт осуществляет загрузку бэкдора для Mac OS X в виде Mach-O файла. Это маленький бэкдор, который имеет очень ограниченные функциональные возможности: он устанавливает другой бэкдор и программу для кражи личных данных (контактов).

Атаки на тех же тибетских активистов были зафиксированы нами и в середине марта 2013 года. На этот раз атакующие использовали упомянутый выше эксплойт CVE-2013-0640 (ранее использованный в атаках ItaDuke) для обхода «песочницы» в Acrobat Reader X и заражения целевых компьютеров.

В конце марта 2013 года в данную волну попали также и пользователи Android-устройств. После взлома электронного ящика известного тибетского активиста, от его имени началась рассылка писем с вложениями в виде APK-файла, который оказался вредоносной программой для Android (продукты «Лаборатории Касперского» распознают ее как Backdoor.AndroidOS.Chuli.a). Зловред тайно сообщает на командный сервер об успешном заражении, а затем начинает собирать хранящуюся на устройстве информацию: контакты, журналы вызовов, SMS-сообщения, данные GPS, информацию об устройстве. Потом зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. Проведенное нами исследование командного сервера указывает как минимум на то, что атакующие говорят по-китайски.

Буквально через несколько дней после публикации результатов нашего расследования исследовательская организация The Citizen Lab опубликовала материалы своего исследования похожего инцидента. Целью атаки также были лица, так или иначе связанные с Тибетом и тибетскими активистами, а используемая вредоносная программа имела схожий функционал (кража персональной информации), но являлась зараженной версией мессенджера Kakao Talk.

Взломы корпоративных сетей

Первый квартал оказался, к сожалению, богатым на взломы корпоративной инфраструктуры и утечки паролей. Среди пострадавших компаний — Apple, Facebook, Twitter, Evernote и другие.

В начале февраля Twitter официально заявил, что злоумышленникам удалось украсть данные (в том числе, и хэши паролей) о 250 000 пользователей социальной сети. Через две недели сотрудники Facebook сообщили в блоге, что компьютеры нескольких сотрудников компании при посещении сайта для мобильных разработчиков были заражены с помощью эксплойтов. Компания заявляет, что это была не обычная атака, а именно целевая, и ее задачей являлось проникновение в корпоративную сеть Facebook. К счастью, по словам представителей компании, Facebook удалось избежать утечек какой-либо пользовательской информации.

Буквально через несколько дней корпорация Apple заявила, что на нескольких сотрудников компании была произведена точно такая же атака при посещении сайта для мобильных разработчиков. По информации Apple никаких утечек данных при этом не произошло.

А в начале марта компания Evernote заявила, что 50 млн. паролей будут сброшены для защиты данных пользователей. К такому решению Evernote подтолкнул взлом их внутренней сети и попытки злоумышленников получить доступ к хранящимся там данным.

В 2011 году мы стали свидетелями массовых взломов сетей различных компаний и массовых утечек пользовательских данных. Кому-то могло показаться, что подобные атаки сошли на нет, но это не так: злоумышленники по-прежнему заинтересованы во взломе крупных компаний и получении конфиденциальных (в том числе пользовательских) данных.

Мобильные зловреды

Отчет, посвященный развитию угроз для смартфонов, планшетов и прочих мобильных устройств в 2012 году, мы опубликовали в феврале 2013 года. По нашим данным, в 2012 году Android стал основной целью вирусописателей, а число угроз в течение года стремительно росло. Продолжился ли рост числа мобильных зловредов в первом квартале 2013 года? Да, безусловно.

Немного статистики

Январь, по традиции, стал месяцем затишья у мобильных вирусописателей — «всего лишь» 1263 новых вариантов зловредов. Но в течение двух последующих месяцев мы обнаружили более 20 тысяч новых образцов вредоносного ПО для мобильных устройств. В феврале было обнаружено 12 044 модификации мобильных зловредов; в марте — 9443. Для сравнения: за весь 2012 год нами было найдено 40 059 самплов вредоносных программ для мобильных устройств.

SMS-троянцы, занимающиеся несанкционированной отправкой SMS-сообщений на короткие платные номера, по-прежнему остаются наиболее распространенной категорией мобильного вредоносного ПО — на их долю приходится 63,6% от всех атак.

99,9% обнаруженных новых мобильных зловредов нацелены на Android.

По данным KSN TOP 20 популярных у злоумышленников мобильных вредоносных и потенциально нежелательных программ для Android выглядит следующим образом.

Место Название % от всех атак
1 Trojan-SMS.AndroidOS.FakeInst.a 29,45%
2 Trojan.AndroidOS.Plangton.a 18,78%
3 Trojan-SMS.AndroidOS.Opfake.a 12,23%
4 Trojan-SMS.AndroidOS.Opfake.bo 11,49%
5 Trojan-SMS.AndroidOS.Agent.a 3,43%
6 Trojan-SMS.AndroidOS.Agent.u 2,54%
7 RiskTool.AndroidOS.AveaSMS.a 1,79%
8 Monitor.AndroidOS.Walien.a 1,60%
9 Trojan-SMS.AndroidOS.FakeInst.ei 1,24%
10 Trojan-SMS.AndroidOS.Agent.aq 1,10%
11 Trojan-SMS.AndroidOS.Agent.ay 1,08%
12 Trojan.AndroidOS.Fakerun.a 0,78%
13 Monitor.AndroidOS.Trackplus.a 0,75%
14 Adware.AndroidOS.Copycat.a 0,69%
15 Trojan-Downloader.AndroidOS.Fav.a 0,66%
16 Trojan-SMS.AndroidOS.FakeInst.ee 0,55%
17 HackTool.AndroidOS.Penetho.a 0,54%
18 RiskTool.AndroidOS.SMSreg.b 0,52%
19 Trojan-SMS.AndroidOS.Agent.aa 0,48%
20 HackTool.AndroidOS.FaceNiff.a 0,43%

Первую строчку занимает Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Этот зловред нацелен в основном на русскоговорящих пользователей, пытающихся скачать с сомнительных сайтов какое-либо ПО для своих Android-устройств. Часто на таких сайтах под видом полезного софта злоумышленники распространяют вредоносные программы.

Второе место занимает рекламный троянец Trojan.AndroidOS.Plangton.a (18,78%). Основной ареал его распространения — европейские страны, где он используется разработчиками бесплатного ПО для монетизации продукта за счет показа рекламы.

Третью и четвертую позиции заняли SMS-троянцы из семейства Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) и Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Первые модификации зловредов семейства Opfake маскировались под новую версию популярного мобильного браузера Opera. Сегодня вредоносные программы из этого семейства выдают себя за различные новые версии популярного софта (Skype, Angry Birds и т.д.).

Инциденты

В мобильном сегменте среди наиболее интересных вирусных инцидентов в первом квартале 2013 года хотелось бы остановиться на двух:

  • новый зловред под названием Perkele или Perkel, охотящийся за mTAN,
  • ботнет MTK.

О еще одном важном инциденте — целевых атаках на пользователей Android — мы рассказали выше.

Perkel

В первой половине марта известный журналист Брайан Кребс (Brian Krebs) обнаружил на русскоязычных андерграундных форумах информацию о новом банковском троянце для мобильных устройств, якобы нацеленном на пользователей из 69 стран и уже заразившем немалое количество устройств по всему миру. Кребс предположил, что этот троянец создан русскоговорящими вирусописателями, поскольку набор инструментов для его создания распространяется через русскоязычные форумы.

Такие новости, безусловно, привлекают внимание и специалистов из антивирусных компаний, но до определенного момента самих образцов вредоносного ПО ни у кого не было.

Через несколько дней первые модификации Perkel были обнаружены. После проведенного нами анализа выяснилось, что в группе вредоносных программ, основной целью которых является кража содержащих mTAN банковских SMS, действительно произошло пополнение. Функционал Perkel обычен для программ этой группы, за двумя исключениями:

  1. Для коммуникаций с командным сервером и загрузки украденной информации (помимо SMS с mTAN зловред также собирает информацию о самом устройстве) Perkel, как правило, использует не SMS, а HTTP.
  2. Зловред способен самообновляться, загружая новую копию себя с удаленного сервера.

Ботнет MTK

В середине января появились сообщения о существовании миллионного ботнета, созданного на базе Android-устройств, принадлежащих, в основном, китайским пользователям. Оказалось, что за ботнет ответственна распространенная в Китае вредоносная программа («Лаборатория Касперского» детектирует ее как Trojan.AndroidOS.MTK). Распространяется она через неофициальные китайские магазины приложений в комплекте со взломанными популярными играми. Помимо кражи информации о смартфоне, пользовательских контактов и сообщений, зловреды данного семейства занимаются накруткой популярности различных приложений. Для этого троянцы осуществляют скрытую загрузку и установку приложений на мобильное устройство жертвы, а также ставят максимальную оценку этому ПО на сайте магазина. После этого они сообщают о проделанных действиях на удаленный сервер. Приложений для Android становится все больше, и зачастую им сложно завоевывать популярность у пользователей. Именно поэтому такие нелегальные способы накрутки становятся все более распространенными.

Отзыв сертификатов TurkTrust

В первом квартале 2013 года произошел очередной инцидент с корневыми сертификатами. Компании Microsoft, Mozilla и Google одновременно объявили об отзыве двух корневых сертификатов удостоверяющего центра TurkTrust из базы, поставляемой в составе их веб-браузеров.

Как оказалось, удостоверяющий центр TurkTrust еще в августе прошлого года выписал двум организациям вместо обычных SSL-сертификатов вторичные корневые сертификаты. Их можно использовать для создания SSL-сертификатов для любого веб-ресурса в интернете, причем браузеры посетителей ресурса будут воспринимать эти сертификаты как доверенные.

В декабре корпорация Google обнаружила, что один из выписанных от лица сервиса TurkTrust SSL- сертификатов для *.google.com был задействован в атаках типа «man-in-the middle» («человек посередине»). Естественно, факт атаки на сервисы Google не исключает того, что другие сертификаты, выписанные этим же путем, могли быть задействованы в атаках на сервисы других компаний.

Очередной серьезный инцидент, связанный с корневыми сертификатами и вопросами доверия к ним, показал, что проблема вредоносного использования легальных сертификатов по-прежнему актуальна. Но на данный момент вредоносное использование таких сертификатов выявляется уже после атаки, потому что эффективных способов предотвращать подобные инциденты пока нет.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

В первом квартале 2013 года решения «Лаборатории Касперского» отразили 821 379 647 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 91,44%
2 Trojan.Script.Generic 2,79%
3 AdWare.Win32.Bromngr.b 1,91%
4 Trojan.Script.Iframer 0,73%
5 Exploit.Script.Blocker 0,70%
6 Trojan.JS.Redirector.xa 0,33%
7 Hoax.SWF.FakeAntivirus.i 0,22%
8 Trojan.Win32.Generic 0,17%
9 AdWare.Win32.MegaSearch.am 0,13%
10 Trojan-Downloader.Win32.Generic 0,09%
11 Exploit.Script.Blocker.u 0,07%
12 AdWare.Win32.IBryte.heur 0,05%
13 Exploit.JS.Retkid.a 0,05%
14 Exploit.Script.Generic 0,05%
15 Hoax.HTML.FraudLoad.i 0,04%
16 Exploit.Win32.CVE-2011-3402.c 0,04%
17 Packed.Multi.MultiPacked.gen 0,04%
18 Trojan-Clicker.HTML.Agent.bt 0,04%
19 WebToolbar.Win32.BetterInstaller.gen 0,03%
20 Trojan.JS.Redirector.xb 0,03%

*Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
**Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в TOP 20 детектируемых объектов вновь заняли вредоносные ссылки из черного списка. По сравнению с четвертым кварталом 2012 года их доля выросла на 0,5%, и в итоге на такие ссылки приходится 91,4% всех срабатываний веб-антивируса. Также заметим, что использование средств KSN для доставки моментальных апдейтов на компьютеры пользователей через «облако» позволило нам заблокировать 6,6% вредоносных ссылок. Эти ссылки вели на недавно взломанные или созданные злоумышленниками сайты, на которые уже стали переходить пользователи.

По-прежнему в первой пятерке детектируемых объектов вердикты Trojan.Script.Generic (2-е место) и Trojan.Script.Iframer (4-е место). Эти вредоносные объекты блокируются при попытках осуществления drive-by атак, которые сегодня являются одним из наиболее распространенных методов заражения компьютеров пользователей.

Седьмое место занимает Hoax.SWF.FakeAntivirus.i. По сути, это фальшивый антивирус, который размещается на различных сайтах сомнительного содержания. При посещении таких сайтов в окне пользовательского браузера проигрывается флэш-анимация, имитирующая работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством опаснейших вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать ПО.

Уже несколько месяцев подряд в TOP 20 оказывается Hoax.HTML.FraudLoad.i — в первом квартале он занял 15-ое место. С этой угрозой сталкиваются в основном любители скачивать фильмы, сериалы и программное обеспечение с сомнительных ресурсов. Как Hoax.HTML.FraudLoad детектируются веб-страницы, на которых пользователи якобы могут скачать нужный контент, но для этого им необходимо предварительно отправить платное SMS-сообщение или ввести номер своего мобильного телефона для оформления платной подписки. Если пользователь выполняет указанные требования, то вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

На 16-е место попал эксплойт Exploit.Win32.CVE-2011-3402.c. Он эксплуатирует уязвимость в библиотеке win32k.sys (TrueType Font Parsing Vulnerability). Отметим, что эта же уязвимость использовалась для распространения червя Duqu.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

81% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. За последние полгода этот показатель уменьшился на 5% пунктов: на 3% в первом квартале 2013 года и на 2% — в четвертом квартале 2012 года.

 
Распределение по странам веб-ресурсов, на которых размещены
вредоносные программы, первый квартал 2013 г.

В рейтинге стран по количеству вредоносных хостингов Россия (19%, -6%) и США (25%, +3%) вновь поменялись местами — США вернули утраченную ранее первую позицию. Доли остальных стран по сравнению с четвертым кварталом практически не изменились.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса.

 
20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**, первый квартал 2013 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

По сравнению с четвертым кварталом 2012 года первая десятка стран, жители которых чаще других сталкиваются с вредоносными программами, практически не изменилась — она по-прежнему состоит из стран, ранее входивших в состав СССР. Россия (57%) занимает третье место в этом списке. Однако некоторые изменения произошли во второй десятке: в первом квартале 2013 года в рейтинг вошли Тунис (43,1%), Алжир (39%). Единственная западноевропейская страна, которая попала в TOP 20, — Италия (39,9%, 16-е место).

Все страны можно разбить на несколько групп.

  1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В первом квартале 2013 года в эту категорию стран с показателем 60,4% попал только Таджикистан.
  2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 13 стран из TOP 20 (столько же, сколько и в четвертом квартале 2012). За исключением Вьетнама, Туниса и Шри-Ланки, замыкающих список группы, в нее входят страны постсоветского пространства, в частности, Армения (59,5%), Россия (57%), Казахстан (56,8%) Азербайджан (56,7%), Белоруссия (49,9%) и Украина (49%).
  3. Группа риска. В эту группу с показателями 21-40% попали 102 страны, в том числе Италия (39,9%), Германия (36,6%), Франция (35,8%), Бельгия (33,8%), Судан (33,1%), Испания (32,5%), Катар (31,9%), США (31,6%), Ирландия (31,5%), Англия (30,2%), ОАЭ (28,7%) и Нидерланды (26,9%).
  4. Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2013 года вошли 28 стран с показателями 12,5-21%. Меньше всего (менее 20%) процент пользователей, атакованных при просмотре страниц в интернете, в африканских странах, где интернет слабо развит. Исключением являются Япония (15,6%) и Словакия (19,9%).


Риск заражения через интернет компьютеров пользователей в разных странах, первый квартал 2013 года

В среднем 39,1% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке во время серфинга в интернете. Отметим, что средняя доля атакованных машин по сравнению с четвертым кварталом 2012 года увеличилась на 1,5%.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В первом квартале 2013 года наши антивирусные решения успешно заблокировали 490 966 403 попыток локального заражения компьютеров пользователей, участвующих в Kaspersky Security Network.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 DangerousObject.Multi.Generic 18,51%
2 Trojan.Win32.Generic 16,04%
3 Trojan.Win32.AutoRun.gen 13,60%
4 Virus.Win32.Sality.gen 8,43%
5 Exploit.Win32.CVE-2010-2568.gen 6,93%
6 Trojan.Win32.Starter.yy 5,11%
7 Net-Worm.Win32.Kido.ih 3,46%
8 HiddenObject.Multi.Generic 3,25%
9 Trojan.Win32.Hosts2.gen 3,17%
10 Virus.Win32.Nimnul.a 3,13%
11 Virus.Win32.Generic 3,09%
12 Net-Worm.Win32.Kido.ir 2,85%
13 Trojan.Script.Generic 2,54%
14 AdWare.Win32.Bromngr.b 2,51%
15 Exploit.Java.CVE-2012-1723.gen 2,38%
16 Trojan.Win32.Starter.lgb 2,38%
17 Trojan-Downloader.Win32.Generic 2,13%
18 AdWare.Win32.Bromngr.h 2,11%
19 Hoax.Win32.ArchSMS.gen 2,09%
20 Trojan-Dropper.VBS.Agent.bp 1,97%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

В этом рейтинге, как и прежде, с большим отрывом лидируют три вердикта.

Вредоносные программы DangerousObject.Multi.Generic, обнаруженные с помощью «облачных» технологий, оказались в первом квартале 2013 года на 1-м месте с показателем 18,51% — это на 1,8% больше, чем в четвертом квартале 2012 года. «Облачные» технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке «Лаборатории Касперского» уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На втором месте Trojan.Win32.Generic (16%) — вердикт, выдаваемый эвристическим анализатором при проактивном детектирования множества вредоносных программ. На третьем — Trojan.Win32.AutoRun.gen (13,6%). Так детектируются вредоносные программы, использующие автозапуск.

Рекламные программы семейства AdWare.Win32.Bromngr дебютировали в рейтинге в 4-м квартале 2012 года на 8-м месте. В первом квартале 2013 года они заняли сразу две позиции в TOP 20 (14-е и 18-е места). Все модификации данных рекламных модулей представляют собой библиотеки DLL, которые являются надстройками к популярным браузерам (Internet Explorer, Mozilla Firefox, Google Chrome). Как и подавляющее большинство подобных программ, этот модуль изменяет поисковые настройки пользователя, стартовую страницу, а также периодически показывает во всплывающих окнах различную рекламу.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (31,4%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 0,8% меньше, чем в прошлом квартале.

 
TOP 20 стран* по уровню зараженности компьютеров**, первый квартал 2013 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже четыре квартала подряд первые двадцать позиций в этом рейтинге занимают страны Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — вновь уменьшилась, на этот раз на 11,8%, и составила 67,8%. (По итогам третьего квартала 2012 года этот показатель составлял 90,9%.)

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): по итогам первого квартала 2013 года данная группа теперь состоит всего лишь из двух стран: Бангладеш (67,8%) и Вьетнам (60,2%).
  2. Высокий уровень заражения (41-60%): 41 страна мира, в том числе Ирак (50,9%), Сирия (45,5%), Мьянма (44,5%), Ангола (42,3%) и Армения (41,4%).
  3. Средний уровень заражения (21-40%): 60 стран, в том числе Китай (37,6%), Катар (34,6%), Россия (34,3%) Украина (33,6%), Ливан (32,4%), Хорватия (26,1%), Испания (26%), Италия (23,8%), Франция (23,4%), Кипр (23,3%).
  4. Наименьший уровень заражения (до 21%): 31 страна, среди которых Бельгия (19,3%), США (19%), Великобритания (18,6%), Австралия (17,5%), Германия (17,7%), Эстония (17,8%), Нидерланды (16,2%), Швеция (14,6%), Дания (12,1%) и Япония (9,1%).


Риск локального заражения компьютеров в разных странах, первый квартал 2013 г.

В десятку самых безопасных по уровню локального заражения стран попали:

Япония 9,10%
Дания 12,10%
Финляндия 13,60%
Швеция 14,60%
Чехия 14,80%
Швейцария 15,10%
Ирландия 15,20%
Нидерланды 16,20%
Новая Зеландия 16,60%
Норвегия 16,80%

По сравнению с четвертым кварталом 2012 года в этом списке появилось две новых страны — Нидерланды и Норвегия, которые вытеснили Люксембург и Пуэрто-Рико.

Уязвимости

В первом квартале 2013 года на компьютерах пользователей KSN было обнаружено 30 901 713 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее распространенных уязвимостей представлены в таблице ниже.

Secunia ID Название Последствия эксплуатации Процент пользова-телей, у которых обнаружена уязвимость* Дата публикации Уровень опасности
1 SA 50949 Oracle Java Multiple Vulnerabilities DoS-атака Доступ к системе Раскрытие конфиденциальных данных Манипулирование данными 45,26% 17.10.2012 Highly Critical
2 SA 51771 Adobe Flash Player / AIR Integer Overflow Vulnerability Доступ к системе 22,77% 08.01.2013 Highly Critical
3 SA 51090 es Adobe Shockwave Player Multiple Vulnerabiliti Доступ к системе 18,19% 24.10.2012 Highly Critical
4 SA 51280 Oracle Java Two Code Execution Vulnerabilities Доступ к системе 17,15% 10.01.2013 Extremely Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Доступ к системе 16,32% 07.12.2011 Extremely Critical
6 SA 51692 VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities Доступ к системе 14,58% 28.12.2012 Highly Critical
7 SA 51226 Apple QuickTime Multiple Vulnerabilities Доступ к системе 14,16% 08.11.2012 Highly Critical
8 SA 43853 Google Picasa Insecure Library Loading Vulnerability Доступ к системе 12,85% 25.03.2011 Highly Critical
9 SA 46624 Winamp AVI / IT File Processing Vulnerabilities Доступ к системе 11,30% 03.08.2012 Highly Critical
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities «Доступ к системе Раскрытие конфиденциальных данных
Обход системы безопасности «
11,21% 28.10.2010 Extremely Critical

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Наиболее распространенным оказались уязвимости в Java, которые были обнаружены на 45,26% всех компьютеров. А замкнула рейтинг достаточно старая, но крайне опасная уязвимость в Adobe Flash Player. Хотя эта уязвимость была обнаружена еще в октябре 2010 года, мы до сих пор находим ее на 11,21% уязвимых компьютеров пользователей.

Первые пять позиций занимают уязвимости в продуктах Oracle и Adobe, и, как уже было сказано выше, за Adobe также последняя строчка рейтинга. Позиции с 6-й по 9-ю распределились между уязвимостями в популярных программных продуктах от разных компаний.


Производители продуктов с уязвимостями из TOP 10, первый квартал 2013 года

Эксплуатация любой уязвимости из TOP 10 фактически приводит к исполнению произвольного кода в системе.


Распределение уязвимостей из TOP 10 по типу воздействия на систему, первый квартал 2013 г.

Подобные уязвимости всегда пользуются популярностью у злоумышленников, и использующие их эксплойты стоят на «черном» рынке дороже большинства других.

Источник

Dr.Web

«Доктор Веб» представляет обзор вирусной активности в апреле 2013 года

13.05.2013

13 мая 2013 года

Апрель 2013 года запомнился профессионалам в области информационной безопасности целым рядом весьма интересных событий. В начале месяца специалистами «Доктор Веб» была перехвачена стремительно растущая бот-сеть, состоящая из рабочих станций, зараженных вредоносной программой BackDoor.Bulknet.739. В середине месяца была обнаружена новая модификация одного из самых распространенных современных троянцев — Trojan.Mayachok, а также зафиксирован значительный рост объемов вредоносного спама, эксплуатирующего тему террористических актов в Бостоне. Неспокойно было и на рынке мобильных устройств: более пяти миллионов пользователей ОС Android могло пострадать в результате распространения 28 инфицированных приложений с официального сайта магазина приложений Google Play.

Вирусная обстановка

Согласно статистическим данным, собранным с использованием утилиты Dr.Web CureIt!, в истекшем месяце снизилось количество заражений пользовательских компьютеров вредоносными программами семейства Trojan.Hosts. Данные троянцы, проникая на компьютер жертвы, изменяют содержимое системного файла hosts, отвечающего за преобразование сетевых адресов. Тем не менее число заражений программами Trojan.Hosts в апреле составило более 4,78% от общего количества случаев инфицирования, что в численном выражении составляет порядка 40 000 обнаруженных экземпляров троянца. Наиболее распространенные модификации Trojan.Hosts перечислены в представленной ниже таблице:

Модификация Trojan.Hosts %
Trojan.Hosts.6815 1,84
Trojan.Hosts.6838 0,99
Trojan.Hosts.6708 0,42
Trojan.Hosts.6814 0,19
Trojan.Hosts.6897 0,18
Trojan.Hosts.6613 0,16
Trojan.Hosts.6809 0,15
Trojan.Hosts.5587 0,14
Trojan.Hosts.5268 0,14
Trojan.Hosts.6722 0,14
Trojan.Hosts.7154 0,13
Trojan.Hosts.6466 0,11
Trojan.Hosts.6294 0.10
Trojan.Hosts.7703 0.09

Аналитики «Доктор Веб» связывают столь широкое распространение данной угрозы с многочисленными случаями взломов веб-сайтов, о которых компания сообщала в одном из мартовских новостных материалов.

Одним из наиболее распространенных троянцев в апреле 2013 года согласно данным утилиты Dr.Web CureIt! оказалась вредоносная программа Trojan.Mods.1 (ранее известная как Trojan.Redirect.140), основное предназначение которой заключается в перенаправлении браузеров пользователей на принадлежащие злоумышленникам веб-страницы. Также широкое распространение имеет бэкдор BackDoor.IRC.NgrBot.42 и троянская программа Trojan.Zekos, подробную информацию о которой компания «Доктор Веб» публиковала в одном из апрельских новостных материалов. Данный троянец, способный работать как в 32-разрядных, так и в 64-разрядных версиях ОС Windows, перехватывает на инфицированном компьютере DNS-запросы для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari и др. В результате при попытке перейти на какой-либо интернет-ресурс вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу, при этом в адресной строке браузера будет демонстрироваться правильный URL. Вирусописатели используют этот метод, чтобы заставить потенциальную жертву ввести в предложенное ими поле номер телефона и подтверждающий код, полученный в ответном СМС, и подписать таким образом на платную услугу.

В представленной ниже таблице приведены наиболее распространенные угрозы, обнаруженные лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в апреле 2013 года:

1 Trojan.Mods.1 3.07
2 Trojan.Hosts.6815 1.84
3 BackDoor.IRC.NgrBot.42 1.28
4 Trojan.Hosts.6838 0.99
5 Trojan.Zekos 0.87
6 Win32.HLLW.Phorpiex.54 0.76
7 Trojan.SMSSend.2363 0.73
8 Win32.HLLP.Neshta 0.72
9 Trojan.Packed.23938 0.58
10 Trojan.Packed.142 0.56
11 BackDoor.Andromeda.22 0.56
12 Trojan.StartPage.48148 0.56
13 Trojan.Packed.23971 0.55
14 Trojan.MulDrop4.25343 0.54
15 BackDoor.Gurl.2 0.52
16 Win32.Sector.22 0.47
17 Trojan.Hosts.6708 0.42
18 Trojan.PWS.Panda.2401 0.37
19 Trojan.PWS.Stealer.1932 0.35
20 Exploit.CVE2012-1723.13 0.33

Ботнеты

В начале апреля специалисты компании «Доктор Веб» смогли установить контроль над одним из управляющих серверов бот-сети, состоящей из инфицированных троянцем BackDoor.Bulknet.739 компьютеров. Эта вредоносная программа предназначена для массовой рассылки спама и способна выполнять набор получаемых от злоумышленников команд — в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

В первые дни к контролируемому специалистами «Доктор Веб» управляющему серверу ежечасно обращалось порядка 100 уникальных компьютеров, инфицированных BackDoor.Bulknet.739. Собранная вирусными аналитиками статистика оказала существенную помощь в исследовании данной угрозы, с подробным описанием которой вы можете ознакомиться в опубликованной нами статье.

Динамика роста ботнета, образованного файловым вирусом Win32.Rmnet.12, в апреле осталась прежней: за месяц к бот-сети присоединилось 569 274 инфицированных компьютера, а общая численность инфицированных машин достигла 9 232 024. Динамику данного процесса можно проследить на представленной ниже диаграмме:

Ботнет, образованный «родственным» файловым вирусом Win32.Rmnet.16, отметился значительным замедлением роста своей численности по сравнению с показателями прошлых месяцев: в апреле число инфицированных ПК увеличилось всего лишь на 500 с небольшим единиц, достигнув значения в 262 604 зараженные машины (в конце марта это значение составляло 262 083). Следует отметить, что это — самый низкий показатель прироста ботнета Win32.Rmnet.16 за последний год. Аналогичная динамика наблюдается и в отношении бот-сети BackDoor.Finder: в апреле ее численность выросла всего лишь на 114 узлов, а количество заражений не превышало 1-3 в сутки. Если подобная динамика сохранится и в дальнейшем, можно будет говорить о том, что темпы распространения данных угроз снизились до остаточных величин и рост упомянутых ботнетов почти полностью прекратился.

Угроза месяца

Одной из наиболее интересных угроз, исследованных аналитиками «Доктор Веб» в апреле 2013 года, можно назвать нового представителя весьма распространенного и широко известного семейства троянцев Trojan.Mayachok. Несмотря на то, что в настоящий момент специалистам известно более 1 500 модификаций данной угрозы, Trojan.Mayachok.18607 отличается от других представителей этого семейства тем, что его разработчики, по всей видимости, решили полностью переписать код троянца, сохранив общие принципы его работы.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое.

Основная цель злоумышленников — заставить жертву ввести в соответствующее поле номер мобильного телефона. После этого пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость которых составляет 20 рублей в сутки. Услуга подписки предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки».

Более подробный технический обзор троянца Trojan.Mayachok.18607 представлен в опубликованной компанией «Доктор Веб» аналитической статье.

Энкодеры атакуют

Троянцы-кодировщики являются одной из наиболее опасных угроз в мире современных информационных технологий. В апреле 2013 года широкое распространение получили две модификации данных троянских программ: Trojan.Encoder.205 и Trojan.Encoder.215. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Затем энкодеры требуют у жертвы оплатить расшифровку файлов, причем сумма «выкупа» может достигать нескольких тысяч долларов.

Эти троянцы распространяются в основном с использованием вредоносных рассылок и способны нанести значительный ущерб своим жертвам — уже сейчас от действий этих двух версий энкодеров пострадало несколько сотен пользователей. Более подробную информацию о методах борьбы с этой категорией угроз можно почерпнуть в опубликованном компанией «Доктор Веб» новостном материале.

Угрозы для Android

Второй весенний месяц 2013 года в очередной раз утвердил за операционной системой Android статус основной цели, на которую направлено особое внимание киберпреступников, интересующихся мобильными платформами. На протяжении всего апреля специалисты компании «Доктор Веб» фиксировали появление новых вредоносных Android-приложений, информация о которых оперативно вносилась в вирусные базы Dr.Web.

Одним из центральных событий, связанных с Android-угрозами в прошедшем месяце, стало обнаружение в официальном каталоге Google Play ряда программ, которые содержали вредоносный рекламный модуль Android.Androways.1.origin. Данный модуль был создан злоумышленниками под видом вполне стандартной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих продуктах, интегрируя в них данный модуль. Как и многие легальные рекламные платформы, Android.Androways.1.origin способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могут отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого «обновления», пользователи рискуют стать жертвами мошенников, установив вместо ожидаемого приложения одного из троянцев семейства Android.SmsSend.

Кроме того, модуль Android.Androways.1.origin способен выполнять ряд команд, поступающих с удаленного сервера, а также загружать на него конфиденциальную информацию, такую как номер сотового телефона, код оператора и IMEI мобильного устройства. Более подробно об этой угрозе вы можете прочитать в нашем новостном сообщении.

В разнообразии вредоносных программ, созданных для ОС Android, очень давно и отчетливо выделяются троянские приложения, направленные, в первую очередь, против китайских пользователей. Отличительной особенностью большинства подобных программ является то, что они распространяются в легитимных приложениях и играх, которые были модифицированы злоумышленниками. Что же касается источников распространения таких угроз, то по-прежнему очень популярными среди вирусописателей являются различные китайские интернет-площадки: форумы, каталоги и сборники программного обеспечения. В апреле специалистами компании «Доктор Веб» было обнаружено сразу несколько подобных вредоносных программ. Среди них – Android.Uapush.2.origin, Android.MMarketPay.3.origin, Android.DownLoader.17.origin, несколько представителей семейства троянцев-шпионов Android.Infostealer, а также ряд СМС-троянцев.

Android.Uapush.2.origin представляет собой троянскую программу, основная цель которой — показ различных рекламных сообщений в нотификационной панели операционной системы, однако она обладает и другими функциями. В частности, Android.Uapush.2.origin производит сбор информации об имеющихся закладках в браузере мобильного устройства, сведений о совершенных звонках, контактах в телефонной книге и некоторых конфиденциальных данных из популярного китайского мессенджера QQ. В дальнейшем полученные сведения загружаются троянцем на удаленный сервер.

Вредоносная программа Android.MMarketPay.3.origin, обнаруженная в начале апреля, является очередной модификацией троянца, о котором компания «Доктор Веб» сообщала в прошлом году. Как и ее предшественник, Android.MMarketPay.3.origin предназначен для выполнения автоматических покупок приложений в электронном каталоге Mobile Market, принадлежащем оператору связи China Mobile. Эта вредоносная программа предпринимает ряд действий по обходу ограничительных мер, установленных в данном каталоге, поэтому может представлять весьма серьезную угрозу финансовому положению китайских Android-пользователей, скупая различные приложения без их ведома.

Что же касается Android.DownLoader.17.origin, то это — троянец-загрузчик, способный скачивать из сети Интернет другие приложения. После того как apk-пакет загружен, Android.DownLoader.17.origin предпринимает попытку выполнить его установку. Данный троянец был обнаружен в большом количестве игр и приложений, которые размещались сразу на нескольких китайских интернет-площадках, из чего можно сделать вывод о том, что создавшие его злоумышленники имеют далеко идущие планы по его применению. В частности, с помощью этого троянца можно осуществить искусственное увеличение рейтинга определенных приложений, либо незаконно «накрутить» счетчик установок программ, расположенных на сайтах партнеров. На иллюстрации ниже продемонстрирована информация о некоторых модифицированных приложениях, которые содержат Android.DownLoader.17.origin.

Вредоносные программы Android.Infostealer.4.origin, Android.Infostealer.5.origin и Android.Infostealer.6.origin, обнаруженные в апреле, принадлежат к семейству троянцев-шпионов, которые предназначены для сбора различной конфиденциальной информации, такой как IMEI мобильного устройства, номер телефона, список установленных приложений и т. п. и отправки этих сведений на принадлежащий злоумышленникам сервер.

В прошедшем месяце киберпреступники не обошли стороной и другие восточноазиатские страны, а именно Южную Корею и Японию. В конце апреля вирусные базы Dr.Web пополнились записью для вредоносной программы Android.SmsSpy.27.origin, представляющей собой троянца-шпиона. Данный троянец распространялся под видом локализованных японской и корейской версий темы оформления телефонов Vertu и предназначался для кражи входящих СМС-сообщений, содержимое которых пересылалось вредоносной программой на удаленный сервер злоумышленников.

Вредоносные файлы, обнаруженные в почтовом трафике в апреле

 01.04.2013 00:00 — 30.04.2013 23:00
1 Trojan.PWS.Panda.3734 1.30%
2 Trojan.Inject2.23 1.11%
3 JS.Redirector.155 0.95%
4 Trojan.Necurs.97 0.88%
5 Trojan.Packed.196 0.77%
6 Win32.HLLM.MyDoom.54464 0.72%
7 Trojan.PWS.Stealer.2877 0.65%
8 Win32.HLLM.MyDoom.33808 0.51%
9 Trojan.Packed 0.51%
10 SCRIPT.Virus 0.39%
11 Trojan.Oficla.zip 0.37%
12 BackDoor.Comet.152 0.37%
13 Trojan.PWS.Stealer.2830 0.37%
14 Trojan.PWS.Panda.547 0.35%
15 Win32.HLLM.Beagle 0.32%
16 Trojan.PWS.Panda.2401 0.30%
17 Trojan.MulDrop2.64582 0.26%
18 Trojan.PWS.Stealer.1932 0.25%
19 Trojan.PWS.Panda.655 0.25%
20 Trojan.Siggen5.13188 0.21%

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей

 01.04.2013 00:00 — 30.04.2013 23:00
1 SCRIPT.Virus 0.68%
2 Adware.Downware.915 0.65%
3 Tool.Unwanted.JS.SMSFraud.26 0.55%
4 Adware.Downware.179 0.47%
5 Adware.InstallCore.99 0.39%
6 JS.Redirector.189 0.38%
7 JS.IFrame.387 0.37%
8 Trojan.Packed.24079 0.36%
9 Adware.InstallCore.101 0.36%
10 Trojan.Redirect.140 0.34%
11 Adware.Webalta.11 0.34%
12 Tool.Unwanted.JS.SMSFraud.10 0.33%
13 JS.Redirector.188 0.33%
14 JS.Redirector.175 0.31%
15 Trojan.Fraudster.394 0.31%
16 Win32.HLLW.Shadow 0.30%
17 Win32.HLLW.Autoruner.59834 0.29%
18 Tool.Skymonk.11 0.29%
19 Adware.Downware.1109 0.28%
20 Trojan.Fraudster.407 0.27%

Первый месяц 2013 года не преподнес сюрпризов — видимо, сказались долгие новогодние каникулы, на время которых вирусописатели перебрались в теплые края. Основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok, а также появление новых угроз как для операционной системы Windows, так и для мобильной платформы Android.

Вирусная обстановка

В январе 2013 года в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Напомним, что Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 года, стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. Иными словами, этот троянец заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows. Основное функциональное назначение этой вредоносной программы — блокировка доступа в Интернет и демонстрация в окне браузера предложения скачать «обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном СМС код. Таким образом пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.

screen

screen

screen

Поскольку вредоносный объект, подменяющий просматриваемые пользователем веб-страницы, находится в оперативной памяти компьютера, переустановка браузеров, использование служебной программы «Восстановление системы» и даже запуск Windows в режиме защиты от сбоев не позволяют избавиться от троянца. Наиболее эффективным методом лечения заражения является только сканирование инфицированного компьютера с помощью лечащих утилит Dr.Web CureIt! и Dr.Web LiveCD. Подробный технический анализ данной угрозы приведен в опубликованной нами статье.

Соответственно, среди обнаруженных утилитой Dr.Web CureIt! угроз велико количество детектов троянца Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 000 случаев), также в январе на компьютерах пользователей часто выявлялся троянец Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend, велико число заражений троянской программой BackDoor.IRC.NgrBot.42. Сводные данные о 20 наиболее распространенных угрозах, обнаруженных в январе 2013 года на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, представлены в опубликованной ниже таблице:

Название %
Trojan.MayachokMEM.4 4.85
Trojan.Mayachok.2 2.39
Trojan.SMSSend.2363 2.26
Trojan.Mayachok.18550 1.50
BackDoor.IRC.NgrBot.42 0.94
Trojan.BhoSiggen.6713 0.87
Trojan.StartPage.48148 0.85
Trojan.DownLoader7.16737 0.75
Win32.HLLP.Neshta 0.71
Trojan.Hosts.5268 0.66
Win32.HLLW.Phorpiex.54 0.64
Trojan.Mayachok.18024 0.60
Trojan.Mayachok.18397 0.59
Win32.Sector.22 0.54
Trojan.Mayachok.17994 0.53
Trojan.Mayachok.1 0.47
Win32.HLLW.Gavir.ini 0.46
Trojan.Click2.47013 0.46
BackDoor.Butirat.245 0.45
Trojan.Mayachok.18566 0.45

Ботнет BlackEnergy возрождается

В январе 2013 года специалистами компании «Доктор Веб» было зафиксировано появление новой модификации вредоносной программы BlackEnergy, получившей наименование BackDoor.BlackEnergy.36. О ликвидации бот-сети BlackEnergy — крупнейшего ботнета, предназначенного для рассылки спама — летом 2012 года сообщили многие мировые СМИ. В период своей максимальной активности бот-сеть BlackEnergy рассылала более 18 миллиардов писем в день, однако благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.

Однако уже в январе 2013 года злоумышленники предприняли попытку создания новой бот-сети с использованием вредоносной программы BackDoor.BlackEnergy.36. Основных отличий этой модификации троянца от его предыдущих редакций два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром. В первое время злоумышленники не отдавали ботам каких-либо команд, вероятно, ожидая, пока растущий ботнет достигнет определенных размеров, однако вскоре с использованием бот-сети была предпринята попытка DDoS-атаки на один из популярнейших в российском Интернете развлекательных ресурсов. Троянец был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda. Более подробную информацию об этой угрозе можно почерпнуть из опубликованного на сайте drweb.com новостного материала.

Угрозы для Android

Большая популярность мобильных устройств под управлением ОС Android привела к закономерному увеличению интереса злоумышленников к персональной информации, хранимой на таких устройствах. Наметившаяся в 2012 году тенденция к увеличению числа вредоносных и потенциально опасных приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом нового 2013 года.

Так, в начале января был обнаружен очередной Android-троянец, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств. Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе троянца. Примечательно, что злоумышленники попытались разнообразить «каталог», предлагая к загрузке сразу несколько различных «приложений», однако во всех случаях это была одна и та же вредоносная программа. В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме: после запуска он уведомлял пользователя о выполнении предварительной настройки, однако через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троянец скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер. Полученные сведения в дальнейшем могут быть использованы злоумышленниками для организации новых спам-кампаний или для продажи на черном рынке.

screen

Также в январе специалистами «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Напомним, что коммерческие шпионские программы позволяют контролировать самые разнообразные функции мобильных устройств: отслеживать СМС-переписку, входящие и исходящие телефонные звонки, получать GPS-координаты пользователя и т. д. Помимо легального применения, очень часто такое программное обеспечение может быть использовано без ведома владельца устройства, поэтому его конфиденциальная информация может подвергаться существенному риску. Большое число новых семейств коммерческих шпионских приложений, обнаруженных в январе, говорит о том, что на подобные услуги имеется достаточный спрос, и число таких программ в ближайшее время будет стабильно увеличиваться.

screen

Другие угрозы января

В начале января 2013 года специалистами компании «Доктор Веб» была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троянец встраивается в процессы наиболее популярных браузеров (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant), после чего перехватывает обращения пользователей к сайтам различных поисковых систем (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, http://www.wiki.com, http://www.alexa.com или yandex.com) и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки. Подробнее об этой вредоносной программе можно прочитать в опубликованной на нашем сайте статье.

Также в январе был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.ButiratBackDoor.Butirat.245. Данный троянец способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов. Дополнительные сведения о данной угрозе можно получить в размещенном на сайте drweb.com новостном материале.

Вредоносные файлы, обнаруженные в почтовом трафике в январе

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.Redirector.162 1.11%
2 Trojan.PWS.Stealer.1932 0.73%
3 Win32.HLLM.MyDoom.54464 0.64%
4 Trojan.Oficla.zip 0.58%
5 BackDoor.Andromeda.22 0.54%
6 Trojan.PWS.Panda.547 0.47%
7 Trojan.PWS.Panda.655 0.47%
8 Win32.HLLM.MyDoom.33808 0.45%
9 Trojan.Winlock.7048 0.45%
10 Trojan.Packed.23728 0.41%
11 Win32.HLLM.Beagle 0.36%
12 Trojan.Inject.64560 0.36%
13 Win32.HLLM.Netsky.35328 0.26%
14 VBS.Rmnet.2 0.26%
15 Trojan.PWS.Stealer.715 0.26%
16 Win32.HLLM.Graz 0.26%
17 Trojan.PWS.Panda.2401 0.26%
18 BackDoor.Bebloh.21 0.24%
19 Trojan.PWS.Panda.786 0.24%
20 Win32.HLLM.Netsky.18401 0.24%

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.IFrame.363 0.75%
2 Tool.Unwanted.JS.SMSFraud.26 0.73%
3 SCRIPT.Virus 0.56%
4 Adware.Downware.774 0.47%
5 Tool.Unwanted.JS.SMSFraud.10 0.42%
6 Adware.Downware.179 0.41%
7 JS.IFrame.387 0.40%
8 Tool.Unwanted.JS.SMSFraud.30 0.38%
9 Adware.InstallCore.53 0.34%
10 Trojan.Fraudster.394 0.34%
11 Adware.Webalta.11 0.33%
12 Tool.Skymonk.11 0.32%
13 Trojan.SMSSend.2363 0.30%
14 JS.Redirector.175 0.29%
15 Trojan.Hosts.6613 0.28%
16 Win32.HLLW.Shadow 0.28%
17 Win32.HLLW.Autoruner.59834 0.27%
18 Adware.Downware.804 0.26%
19 Trojan.Fraudster.245 0.25%
20 JS.IFrame.356 0.25%

6 февраля 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о новой волне распространения вредоносных программ среди пользователей популярной социальной сети Facebook. На этот раз для своих целей злоумышленники задействуют встроенное приложение, позволяющее размещать на страницах Facebook произвольный HTML-код. Для распространения троянцев используются фейковые тематические группы, в которых размещаются замаскированные под видеоролик ссылки на вредоносное приложение.

С целью распространения вредоносного ПО киберпреступники создали в социальной сети Facebook множество тематических групп с названием  или Mega Videos: на 5 февраля 2013 года их общая численность достигала нескольких сотен. В каждой из подобных групп злоумышленники разместили замаскированную под видеоролик ссылку на встроенное приложение социальной сети, позволяющее встраивать в веб-страницу произвольный HTML-код. Посетитель группы, желая просмотреть провокационное видео, щелкал мышью на миниатюре видеоролика, активируя тем самым заранее созданный киберпреступниками сценарий. В результате этого действия на экране отображалось диалоговое окно с предложением обновить встроенный в браузер видеопроигрыватель, причем оформление данного окна копирует дизайн страниц социальной сети Facebook.

Если пользователь соглашается установить обновление, на его компьютер загружается самораспаковывающийся архив, содержащий вредоносную программу Trojan.DownLoader8.5385. При этом троянец (как и другие загружаемые им компоненты) имеет легитимную цифровую подпись, выданную на имя фирмы Updates LTD компанией Comodo, поэтому в процессе своей установки вредоносные приложения не вызывают подозрений у операционной системы.

screen

Trojan.DownLoader8.5385 — это традиционный троянец-загрузчик, основная задача которого заключается в скачивании на инфицированный компьютер и запуске другого вредоносного ПО. В данном случае троянец загружает плагины для браузеров Google Chrome и Mozilla Firefox, предназначенные для массовой рассылки приглашений в различные группы Facebook, а также для автоматической установки пометок Like в данной социальной сети. Среди прочего эти вредоносные надстройки имеют следующие функциональные возможности:

  • получать данные о пользователях Facebook, занесенных в список друзей жертвы,
  • устанавливать пометку Like на странице социальной сети или на внешней ссылке,
  • открывать доступ к фотоальбому на заданной странице,
  • вступать в группы,
  • рассылать пользователям из списка друзей приглашения о вступлении в группу,
  • публиковать ссылки на «стене» пользователей,
  • изменять статус,
  • открывать окна чата,
  • присоединяться к страницам мероприятий,
  • рассылать пользователям приглашения на мероприятия,
  • публиковать комментарии к постам,
  • получать и отправлять предложения.

Конфигурационный файл со всеми необходимыми для работы плагинов данными загружается на зараженный ПК с принадлежащего злоумышленникам сервера. Указанные плагины детектируются антивирусным ПО Dr.Web как Trojan.Facebook.310.

Помимо этого Trojan.DownLoader8.5385 устанавливает на инфицированный компьютер вредоносную программу BackDoor.IRC.Bot.2344, способную объединять зараженные рабочие станции в ботнеты. Этот троянец реализует функции бэкдора и способен выполнять различные команды, передаваемые ему с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat), для чего бот подключается к специально созданному злоумышленниками чат-каналу. Среди директив, которые способен выполнять BackDoor.IRC.Bot.2344, можно отметить следующие:

  • выполнение команд командного интерпретатора CMD,
  • возможность загружать файл с заданного URL и помещать его в указанную локальную папку,
  • проверять, запущен ли указанный в команде процесс,
  • передавать на удаленный сервер список запущенных процессов, полученный с использованием стандартной утилиты tasklist.exe,
  • останавливать указанный процесс,
  • запускать произвольное приложение,
  • загружать с указанного URL и устанавливать плагин для браузера Google Chrome.

Таким образом можно сделать вывод, что текущая политика безопасности встроенных приложений Facebook способствует распространению троянских программ. Все указанные вредоносные программы добавлены в вирусные базы и потому не представляют опасности для пользователей антивирусной продукции Dr.Web. Компания «Доктор Веб» призывает проявлять осмотрительность при посещении групп в социальной сети Facebook и устанавливать на свой компьютер только обновления, загруженные из доверенных источников.

24 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о широком распространении новой вредоносной программы семейства BackDoor.Butirat. Очередная модификация этой известной угрозы, получившая наименование BackDoor.Butirat.245, использует принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов злоумышленников. Скорее всего, это делается для того, чтобы повысить «живучесть» вредоносной программы при отключении одного из управляющих центров.

Напомним, что троянцы-бэкдоры семейства BackDoor.Butirat способны загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP и др.).

screen

Принцип, используемый данным троянцем для заражения компьютера жертвы, также не отличается оригинальностью: BackDoor.Butirat создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows осуществлялся его автоматический запуск.

Отличительной особенностью модификации BackDoor.Butirat.245 является принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов, в то время как в предыдущих версиях адрес командного центра был жестко прописан в самой вредоносной программе. Как и в случае с недавно добавленными в базы новыми модификациями вредоносной программы BackDoor.BlackEnergy, при исследовании BackDoor.Butirat.245 специалистов «Доктор Веб» ждал сюрприз: троянец автоматически генерирует имена управляющих доменов третьего уровня. В то же время соответствующий домен второго уровня зарегистрирован хорошо известной компанией, традиционно игнорирующей любые сообщения и жалобы. Вероятно, вирусописатели полагали, что смогут таким способом повысить «живучесть» вредоносной программы в случае отключения одного из управляющих центров.

Сигнатура данной угрозы успешно добавлена в вирусные базы, и потому BackDoor.Butirat.245 не представляет опасности для пользователей антивирусного ПО Dr.Web.

ИСТОЧНИК

«Доктор Веб» запускает просветительский проект по борьбе с банковскими троянцами

18 января 2013 года

Вы уверены, что знаете все о новейших угрозах компьютерной безопасности? Это легко проверить всего за несколько минут при помощи небольшого теста в рамках нового просветительского проекта компании «Доктор Веб». Вы сможете не только ответить на интересные вопросы, но и почерпнуть новую важную информацию, о которой вы, возможно, ничего не знали.

Стремительно растет количество новых вредоносных программ. Тысячами в час появляются новые модификации троянцев, преимущественно направленных на хищения денежных средств. Пользователи систем дистанционного банковского обслуживания (ДБО) и различных платежных онлайн-систем зачастую даже не подозревают, какой опасности они подвергают собственные деньги или финансы целой компании.

Мы предлагаем вам пройти наш краткий тест из пяти вопросов об угрозах со стороны новых банковских троянцев и убедиться, что вы знаете, где и как вас может подстерегать опасность, или почерпнуть новые важные сведения об этом — наш тест сопровождается детальным рассказом о деятельности этих вредоносных программ.

Получить более подробную информацию о вредоносных программах, предназначенных для кражи финансов, вы можете также с помощью специального буклета, подготовленного специалистами «Доктор Веб». Ссылка на буклет распространяется вместе с бесплатными лицензиями Dr.Web для корпоративной защиты и для домашнего использования — для вашего ПК и мобильного устройства — которые может получить каждый участник проекта.

Для всех пострадавших от компьютерных преступлений, а также для тех, кто хочет знать, что делать в случае кражи данных интернет-мошенниками, на нашем сайте представлен «Правовой уголок». Предупрежден — значит вооружен!

Будьте бдительны и повышайте свои знания о новых угрозах вместе с Dr.Web.

Пройдите тест прямо сейчас!

ИСТОЧНИК

Ботнет BlackEnergy возрождается

17 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередной троянской программы семейства BackDoor.BlackEnergy. В июле 2012 года в средствах массовой информации появились публикации о ликвидации основных управляющих серверов ботнета на основе данного троянца, однако в течение еще нескольких месяцев бот-сеть BlackEnergy проявляла остаточную активность, которая практически полностью прекратилась лишь осенью 2012 года. И вот в январе 2013 года появилась новая модификация этой угрозы.

Напомним, что BackDoor.BlackEnergy — сложная многокомпонентная троянская программа, в основном предназначенная для рассылки спама. С использованием этого приложения злоумышленникам удалось создать одну из самых крупных в мире бот-сетей для рассылки почтовых сообщений: в пик активности на его долю приходилось до 18 миллиардов писем в день. Троянцы семейства BackDoor.BlackEnergy используют для своей работы подгружаемые модули и конфигурационный файл в формате xml, получаемый с управляющего сервера.

screen

Владельцами новой версии троянца, получившей обозначение BackDoor.BlackEnergy.36, являются, по всей видимости, те же злоумышленники, которые эксплуатировали предыдущие модификации данной вредоносной программы. Об этом, в частности, говорит тот факт, что BackDoor.BlackEnergy.36 использует для шифрования данных тот же ключ, что применялся в некоторых бот-сетях BlackEnergy, командные центры которых были ликвидированы летом 2012 года.

Основных отличий BackDoor.BlackEnergy.36 от предыдущих редакций этой вредоносной программы два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.

К настоящему времени специалисты «Доктор Веб» зафиксировали несколько управляющих серверов BackDoor.BlackEnergy.36, с использованием которых злоумышленники пытаются построить новый ботнет для массового распространения спама. Аналитики продолжают внимательно следить за развитием ситуации, в то время как сигнатура BackDoor.BlackEnergy.36 была добавлена в вирусные базы Dr.Web, благодаря чему этот троянец более не опасен для пользователей, установивших на своих компьютерах наше антивирусное ПО.

ИСТОЧНИК

14 января 2013 года

Компания «Доктор Веб» представляет обзор вирусной активности в 2012 году. Прошедший год запомнится, прежде всего, крупнейшей в истории эпидемией троянской программы Backdoor.Flashback.39 для «маков». Это событие всколыхнуло мировую общественность и во многом подорвало веру пользователей в «непогрешимость» операционной системы от Apple. Кроме того, за прошедшие двенадцать месяцев значительно выросло количество разновидностей троянцев-энкодеров, а также число заражений этими вредоносными программами. Одна из крупнейших на сегодняшний день бот-сетей, состоящая из персональных компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысила рекордную шестимиллионную отметку. К сожалению, значительно возросло разнообразие угроз для мобильной платформы Google Android.

Крупнейший ботнет для Mac OS X

Появление троянской программы Backdoor.Flashback.39, из-за которой разразилась самая настоящая эпидемия среди Apple-совместимых компьютеров, можно назвать, пожалуй, самым ярким событием 2012 года в сфере информационной безопасности. Впервые это вредоносное ПО было обнаружено специалистами компании «Доктор Веб» еще в конце марта 2012 года, а информационное сообщение о выявлении крупнейшего в истории ботнета, работающего под управлением Mac OS X, было опубликовано 4 апреля. Еще в конце марта в вирусную лабораторию стали поступать сообщения о распространении троянцев для Mac OS X с использованием уязвимости Java, именно тогда и возникло предположение о том, что Backdoor.Flashback.39 способен объединять «маки» в бот-сети. Аналитики «Доктор Веб» изучили алгоритм, используемый этим троянцем для генерации имен управляющих серверов, и зарегистрировали несколько таких имен. Результат превзошел все ожидания: уже в первые сутки стало понятно, что количество зараженных «маков» превысило 600 000 и продолжает стремительно расти. География распространения инфекции также была весьма обширной:

География распространения
География распространения Backdoor.Flashback.39

За последующие 10 дней размер бот-сети достиг максимальной отметки в 670 000 с лишним одновременно работающих инфицированных компьютеров (более 800 000 уникальных компьютеров с учетом «излечившихся») и постепенно пошел на спад. Опубликованный компанией «Доктор Веб» пресс-релиз с описанием данной угрозы наделал много шума в мировой прессе и вызвал широчайший общественный резонанс. Миф о том, что Mac OS X является одной из самых защищенных операционных систем в мире, был в одночасье разрушен.

Основной причиной эпидемии стало то обстоятельство, что корпорация Apple выпустила обновление безопасности для собственной реализации Java спустя два месяца после аналогичного обновления, опубликованного корпорацией Oracle, что позволило злоумышленникам безнаказанно распространять вредоносное ПО в течение длительного времени. Другая причина — это, безусловно, слепая вера пользователей продукции Apple в абсолютную защищенность платформы Mac OS X: в пользу этого суждения говорил, в частности, тот факт, что число инфицированных «маков» продолжало увеличиваться даже после того, как компания «Доктор Веб» сообщила на весь мир об этой угрозе.

Динамика изменения численности бот-сети в 2012 году

Исследования, проведенные аналитиками компании «Доктор Веб», позволили определить версии платформы Mac OS X, которые инфицировала вредоносная программа, версии ядра ОС, а также ряд других характеристик ботнета, исходя из анализа обращений этой вредоносной программы к управляющим серверам. Результаты этих исследований по данным на апрель 2012 года показаны на представленных ниже иллюстрациях.

Распредение запросов по версии ядра операционной системы

graph

graph

В декабре 2012 года рост бот-сети Backdoor.Flashback.39 практически полностью остановился, однако окончательно она не побеждена — во всем мире еще насчитывается несколько десятков тысяч инфицированных «маков».

Поскольку популярность системной платформы от Apple постепенно растет, а пользователи этой ОС не привыкли использовать антивирусное программное обеспечение, Mac OS X становится лакомым куском для многочисленных злоумышленников. Вряд ли среднестатистический правонарушитель пройдет мимо богато обставленной квартиры, хозяева которой по идеологическим соображениям не желают запирать входную дверь на замок.

Файловые вирусы и другие ботнеты

Файловый вирус Win32.Rmnet.12, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2011 года, за истекшие 12 месяцев побил все мыслимые рекорды, образовав бот-сеть, состоящую из шести с половиной миллионов инфицированных узлов. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению, то есть, он умеет копировать сам себя и бесконтрольно распространяться без участия пользователя. Этот вирус заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей от популярных FTP-клиентов, – эти пароли могут быть использованы для организации сетевых атак. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду и на уничтожение операционной системы. Его вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты), перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Вот почему этот вирус представляет существенную опасность для пользователей.

Наибольшее распространение данный вирус получил в странах юго-восточной Азии, таких как Индонезия, Бангладеш, Вьетнам, Индия и Пакистан. Однако имеется значительное число инфицированных машин и в России.

Первоначально число заражений вирусом Win32.Rmnet.12 было относительно невелико, однако с каждым месяцем количество инфицированных ПК увеличивалось, пока к концу года не достигло рекордной отметки в 6,5 миллионов. Динамику этого процесса можно проследить с помощью представленного ниже графика.

graph

Поскольку тенденций к снижению роста данной угрозы не наблюдается, можно предположить, что вирус Win32.Rmnet.12 продолжит свое распространение. Если расширение ботнета будет продолжаться прежними темпами, то в 2013 году общая численность зарегистрированных в сети инфицированных компьютеров превысит 10 миллионов.

Одной из наиболее распространенных модификаций файлового вируса Win32.Rmnet.12 является его «родной брат» Win32.Rmnet.16. Основное отличие данной вредоносной программы от ее предшественницы заключается том, что она использует цифровую подпись, которой подписывается IP-адрес управляющего сервера. Также вирусописатели обновили основные функциональные модули приложения.

graph

Ботнет, состоящий из инфицированных Win32.Rmnet.16 рабочих станций, наиболее распространен на территории Великобритании и Австралии. Однако численность этой бот-сети значительно скромнее по сравнению с Win32.Rmnet.12. Число случаев заражения в течение 2012 года также постепенно росло, однако гораздо менее высокими темпами, о чем свидетельствует представленная ниже диаграмма.

graph

Исходя из имеющейся в распоряжении специалистов «Доктор Веб» статистики можно предположить, что прирост численности ботнета Win32.Rmnet.16 будет понемногу сокращаться, а его общий объем вряд ли превысит миллион инфицированных узлов, если, конечно, лавинообразному росту заражений не поспособствуют какие-либо непредвиденные обстоятельства. Напомним, что специалисты компании «Доктор Веб» полностью контролируют вирусные сети Win32.Rmnet.12 и Win32.Rmnet.16.

Еще в ноябре 2011 года компания «Доктор Веб» сообщила о появлении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у российских фармацевтических компаний и аптек. BackDoor.Dande — сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать его вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего по формальным признакам ее становится невозможно отличить от незараженной библиотеки. Троянец крадет данные из так называемых «систем электронного заказа», к которым относятся специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие.

Несмотря на то, что троянец впервые был добавлен в вирусные базы Dr.Web более года назад, к концу декабря 2012 года бот-сеть BackDoor.Dande продолжала действовать. С учетом того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов (а при ее отсутствии самоудаляется), можно с уверенностью говорить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На 19 декабря 2012 года в ботнете BackDoor.Dande числился 3 031 инфицированный компьютер. Изменение численности данной бот-сети показано на представленном ниже графике.

graph

Троянцы-кодировщики

2012 год можно, пожалуй, назвать периодом наибольшего распространения троянцев-энкодеров: по приблизительным подсчетам в прошлом году от действия этих вредоносных программ пострадали тысячи человек по всему земному шару. В течение года в вирусные базы Dr.Web было добавлено множество новых модификаций троянцев данного типа. Динамика поступления запросов в службу технической поддержки компании «Доктор Веб» от пользователей, пострадавших в результате действия троянцев-кодировщиков, показана на представленном ниже графике:

graph

Появление первых версий троянцев-кодировщиков было зафиксировано еще в 2009 году. Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, изображения и архивы, после чего шифруют их. За расшифровку файлов злоумышленники требуют заплатить определенную денежную сумму.

В течение длительного времени от действий троянцев-кодировщиков страдали в основном пользователи на территории России и стран бывшего СССР, однако весной 2012 года вредоносные программы семейства Trojan.Encoder вышли на зарубежные просторы. Одним из первых троянцев-вымогателей, ориентированных на западную аудиторию, стал Trojan.Encoder.94. Троянец имел англоязычный интерфейс, однако случаи заражения были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Первые обращения пострадавших от Trojan.Encoder.94 зарубежных пользователей были зафиксированы 9–10 апреля 2012 года. Вскоре в службу технической поддержки компании «Доктор Веб» стали обращаться пользователи из Латинской Америки (Бразилии и Аргентины), а также таких европейских стран как Франция, Бельгия, Швейцария, Нидерланды, Хорватия, Словения, Венгрия и Румыния.

К концу года ситуация с троянцами-шифровальщиками кардинально изменилась: если в 2011 году подобные вредоносные программы все еще были ориентированы в основном на русскоязычную аудиторию, то уже к декабрю 2012, по мнению аналитиков «Доктор Веб», соотношение «российских» и «зарубежных» энкодеров составляло примерно 50/50. Основной всплеск распространения шифровальщиков, ориентированных на западный рынок, пришелся на апрель-май 2012 года, однако к осени их число несколько уменьшилось. Основываясь на имеющейся статистике можно предположить, что в наступающем году число энкодеров, направленных на зарубежных пользователей ПК, будет стремительно расти. В целом 2013 год можно будет, по всей видимости, назвать «годом энкодеров» — распространенность этой категории угроз вполне может принять масштабы эпидемии.

Винлоки

Троянцы-вымогатели, парализующие нормальную работу операционной системы и требующие у пользователя заплатить определенную сумму за ее разблокировку, известны уже давно. В течение 2012 года появлялись новые модификации винлоков, но динамику их распространения нельзя было назвать чрезмерно высокой. Всего в течение года в службу технической поддержки «Доктор Веб» обратилось более 10 000 пользователей, пострадавших от действия троянцев-блокировщиков, всем им была оказана квалифицированная помощь. Динамику таких запросов можно отследить с помощью представленного ниже графика.

graph

Осенью 2012 года было зафиксировано распространение троянцев-блокировщиков, получивших общее наименование «мультилокеры», — исходя из заголовка, демонстрировавшегося на входной странице используемых ими управляющих серверов. Такие троянцы не содержат каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы мультилокеры загружают с удаленного сервера. Соответственно, это позволяет злоумышленникам оперативно настраивать демонстрируемые на экране инфицированного компьютера текст, изображения, а также менять код разблокировки.

Запустившись на зараженном ПК, троянцы-мультилокеры блокируют возможность загрузки ряда приложений и системных утилит. Кроме того, некоторые модификации этих вредоносных программ способны перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, как правило, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

screen

Специалистами компании «Доктор Веб» были зафиксированы случаи распространения подобных угроз в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии, США и нескольких других странах. Для получения оплаты злоумышленники обычно используют ваучерные платежные системы Ukash, Moneypack и Paysafecard. Анализ троянцев-вымогателей, поступивших в течение года в вирусную лабораторию «Доктор Веб», говорит о том, что вирусописатели понемногу отказываются от винлоков традиционной архитектуры, в то же время прослеживается тенденция к усложнению их конструкции и росту функциональных возможностей. Можно предположить, что подобные троянцы будут с определенной периодичностью появляться на свет и в следующем году, а ареал их распространения продолжит расширяться.

Наиболее важные события в сфере информационной безопасности

2012 год запомнится пользователям множеством важных и интересных событий в сфере информационной безопасности. Так, этот год был отмечен значительным ростом числа взломов веб-сайтов с целью распространения вредоносного ПО. Первая волна хакерских атак была зафиксирована еще в начале года, когда оказалось взломано от нескольких десятков до сотен тысяч сайтов. На скомпрометированных ресурсах злоумышленники размещали содержащие уязвимость сценарии, с помощью которых, в частности, распространялся известнейший троянец для Mac OS X Backdoor.Flashback.39. Еще одна волна взлома интернет-ресурсов пришлась на середину августа: в российском сегменте Интернета было скомпрометировано несколько тысяч сайтов с целью распространения троянцев для мобильных платформ. Данная тенденция продолжала прослеживаться до конца года: уже в декабре были зафиксированы случаи взлома популярных порталов, в частности, официального сайта далай-ламы. Злоумышленники ставили своей целью заразить компьютеры посетителей этих сайтов вредоносными программами для ОС Windows и Mac OS X.

В минувшем году киберпреступники весьма активно использовали в своих целях различные уязвимости Java. Так, весной 2012 года злоумышленники распространяли с использованием уязвимости CVE-2012-0507 вредоносные программы семейства Trojan.Carberp и бэкдор для Mac OS X Backdoor.Flashback.39. В июле средства массовой информации сообщили об использовании уязвимости CVE-2012-1723 в популярном среди злоумышленников наборе эксплойтов BlackHole. А уже 26 августа была обнаружена очередная критическая уязвимость Java, которая стала использоваться злоумышленниками в направленных атаках на компьютеры, работающие под управлением Mac OS X, Linux и Windows. Аналитики компании «Доктор Веб» полагают, что ситуация на тот момент складывалась критическая: на день публикации первой новости об обнаружении эксплоита злоумышленникам было широко известно о критической уязвимости Java 7, а обновление Java-машины планировалось только на середину октября. Следовательно, примерно 2 месяца вредоносное ПО имело бы возможность потоком идти через эту «незалатанную дыру» в Java, а также перенаправлять пользователей на вредоносные ресурсы посредством взломанных сайтов, которые на первый взгляд совершенно безобидны. Действия компании Oracle в данной ситуации не были оперативными, из-за чего вредоносное ПО проникло на компьютеры незащищенных пользователей. Тем не менее, с выходом очередного обновления Java в сентябре 2012 специалисты в области компьютерной безопасности обнаружили еще несколько критических уязвимостей этой платформы. Кроме того, в начале ноября появились сообщения об обнаружении zero-day уязвимости в программе Adobe Reader (версиях 10 и 11). С помощью этой уязвимости злоумышленникам удавалось запускать на компьютере жертвы вредоносное приложение. Сам содержащий уязвимость файл киберпреступники распространяли в Интернете, а также рассылали по электронной почте.

Весьма резонансным событием в сфере информационной безопасности стало обнаружение специалистами одной из антивирусных компаний вредоносной программы Win32.HLLW.Flame — сложного многокомпонентного вредоносного приложения, прозванного специалистами «Доктор Веб» за рекордный размер (более 6 МБ) «троянским слоном». Эта программа обладает весьма обширными функциональными возможностями, однако «в дикой природе» практически не встречается. По мнению аналитиков «Доктор Веб», опасность этого троянца, растиражированная многочисленными публикациями в интернете и в СМИ, несколько преувеличена.

Еще одним немаловажным событием в мире информационных технологий стала ликвидация в июле 2012 ботнета BackDoor.BlackEnergy. Это была крупнейшая бот-сеть, ориентированная на массовую рассылку спама, а также проведение DDoS-атак, и прекращение ее деятельности достаточно быстро привело к снижению объемов спам-трафика начиная с июля 2012 года. Вместе с тем, несмотря на уничтожение главных управляющих центров BackDoor.BlackEnergy, специалисты «Доктор Веб» зафиксировали несколько более мелких командных серверов этой сети, которые продолжали свою деятельность и после опубликованных в прессе заявлений об уничтожении данной бот-сети. Тем не менее, уже спустя несколько месяцев прекратили свое существование и эти серверы, поэтому в настоящий момент мы действительно можем говорить о полной и безоговорочной ликвидации ботнета BackDoor.BlackEnergy.

Мошенничество в Интернете

Не дремлют и сетевые мошенники, всеми силами стремящиеся нажиться на доверчивости простых пользователей. Так, в начале мая злоумышленники устроили атаку на пользователей Facebook. Заглянув на свою страницу в этой социальной сети, пользователь обнаруживал в новостной ленте ссылку на программу Profile Visitor, якобы способную фиксировать и демонстрировать на специальной странице посетителей его профиля. Ссылка, как правило, публиковалась от имени одного из друзей пользователя и вела на страницу встроенного приложения Facebook, для активации которого требовалось разрешить программе публиковать контент от имени пользовательской учетной записи. Как только ничего не подозревающая жертва нажимала на кнопку «Разрешить», на стене ее профиля и в новостной ленте всех ее друзей появлялась ссылка на данное приложение, размещенная от ее имени. Однако даже если пользователь не разрешал программе Profile Visitor какие-либо публикации, все, кто зарегистрирован в списке его друзей, получали «отметку» на «фотографии», представляющей собой рекламный баннер-ссылку приложения Profile Visitor. С помощью этого баннера пользователь перенаправлялся на различные мошеннические сайты.

В конце того же месяца многие российские пользователи стали жертвами массовой рассылки электронных писем, отправленных от имени Сбербанка. Послания с темой «Сообщение об увеличении задолженности» получило множество пользователей. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружался файл .SCR — в RAR- или ZIP-архиве либо в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказывались зашифрованными, а за их расшифровку злоумышленники требовали заплатить определенную сумму.

screen

В июне письма с вредоносным содержимым чаще всего отправлялись якобы от имени почтовых служб UPS и EMS. В сообщениях говорилось о том, что служба не смогла доставить пользователю почтовое сообщение, а за подробностями злоумышленники советовали обратиться к вложенному в сообщение файлу, в котором, как правило, скрывалась троянская программа.

В то же самое время сетевые мошенники освоили новый способ обмана пользователей, озадаченных поиском работы. Преследуя свои корыстные цели, злоумышленники создавали на специализированных ресурсах учетную запись несуществующей компании с громким и запоминающимся названием. Затем по электронной почте мошенники отправляли соискателям сообщение, в котором предлагалось занять некую вымышленную вакансию, например, «инженера по подбору оборудования». Для этого потенциальной жертве следовало пройти «онлайн-собеседование» на определенном сайте, созданном специально для этой цели. «Онлайн-собеседование», как правило, состояло из нескольких десятков примитивных вопросов, а после прохождения «теста» жертве предлагалось отправить СМС-сообщение «с личным кодом результата» на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. На самом деле, таким образом пользователь соглашался с условиями «псевдоподписки» — услуги по предоставлению доступа к информации, за оказание которой со счета его мобильного телефона регулярно списывалась определенная сумма.

Наиболее интересные угрозы года

Одной из наиболее ярких тенденций четвертого квартала стало резкое снижение числа заражений пользовательских компьютеров троянской программой Trojan.Mayachok.1, уверенно возглавлявшей список наиболее опасных угроз с начала 2012 года. Связано это, прежде всего, с тем, что вирусописатели начали активно модифицировать эту троянскую программу: если на начало года было известно лишь несколько ее версий, то к концу декабря в базах Dr.Web насчитывалось уже более 1 000 соответствующих записей. Изменениям подвергся и код вредоносной программы, и — отчасти — ее функционал, при этом если в начале года новые версии Trojan.Mayachok появлялись не чаще раза в месяц, то в октябре-ноябре модификации данного троянца детектировались практически каждый день, однако их различия в целом были незначительными. Напомним, что вредоносные программы Trojan.Mayachok обладают возможностью встраивать в просматриваемые пользователем веб-страницы постороннее содержимое. Например, блокировать таким образом доступ к Интернету и требовать плату за его разблокировку. Можно предположить, что новые версии троянцев этого семейства будут появляться и в дальнейшем.

В конце июня специалистами компании «Доктор Веб» был проведен анализ вредоносной программы Trojan.Hottrend, которую можно назвать самым маленьким из известных на сегодняшний день банковских троянцев. Размер её составляет всего 20 КБ. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.

Одним из самых интересных троянцев, исследованных вирусными аналитиками компании «Доктор Веб» в 2012 году, является вредоносная программа под названием BackDoor.DaVinci.1. Главной отличительной особенностью этого троянского приложения является то, что оно способно работать как в операционной системе Microsoft Windows, так и в Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ. Эта вредоносная программа представляет собой многокомпонентный бэкдор, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для сокрытия работы приложения в операционной системе.

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных брандмауэров, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то, что впервые в данной платформе используются руткит-технологии для сокрытия файлов и процессов.

Ну а наиболее оригинальным подходом к заражению компьютеров отличился троянец Trojan.KillFiles.9055, распространявшийся по электронной почте в сообщениях с призывами присоединиться к протестным акциям 5 марта 2012 года. Примечателен тот факт, что тело троянца располагалось непосредственно в макросе, встроенном в приложенный к письму документ Word. Вредоносная программа сохранялась на диск и выполнялась в момент открытия документа. Запустившись на компьютере жертвы, Trojan.KillFiles.9055 вызывал зависание ОС Windows. Одновременно троянец менял содержимое всех обнаруженных на диске С файлов (с расширением .msc .exe .doc .xls .rar .zip .7z) на «цифровой мусор» и помечал их на удаление после перезагрузки системы, вследствие чего Windows приходила в нерабочее состояние. Затем троянец отправлял на удаленный сервер злоумышленников сообщение о том, что операционная система успешно уничтожена.

Android под атакой: «легкие» деньги, доступ к конфиденциальной информации и усложнение угроз

Как и ожидалось, число угроз, ориентированных на ОС Android, в 2012 году продолжило неуклонно расти, что неудивительно: мобильные устройства под управлением этой операционной системы продолжают занимать все более прочное положение на рынке. Так, согласно последнему исследованию компании IDC, в третьем квартале 2012 года три четверти поставляемых смартфонов работали именно на этой платформе. На представленной ниже диаграмме отображено процентное распределение вредоносных программ для Android.

screen

Наиболее распространенной и массированной угрозой по-прежнему остаются троянцы семейства Android.SmsSend, появившиеся еще в 2010 году. Основная функция этих вредоносных программ — отправка дорогостоящих СМС-сообщений и подписка пользователей на различные контент-услуги. Подавляющее большинство троянцев Android.SmsSend с технологической точки зрения является примитивными разработками, однако простота создания и высокая окупаемость побуждают киберпреступников выпускать бесчисленные модификации этих вредоносных программ.

Одной из наиболее заметных тенденций 2012 года стало существенное увеличение числа троянских программ-шпионов для ОС Android. Так, весьма показательным стало появление целого ряда троянцев, которые начиная с середины 2012 года атаковали японских пользователей. Все эти вредоносные программы, среди которых были Android.EmailSpy.origin, Android.MailSteal.1.origin и Android.Maxbet.1.origin, распространялись при помощи спам-писем, содержавших ссылку, которая вела на загрузку якобы полезного приложения. Программы-шпионы предназначались для кражи персональной информации, такой как адреса электронной почты. Были обнаружены и новые представители банковских троянцев, в частности, Android.SpyEye.2.origin, Android.Panda.2.origin и Android.FakeSber.1.origin. Последний особенно интересен тем, что предназначался для атаки на клиентов одного из крупнейших российских банков, в то время как другие вредоносные программы данного типа раньше представляли угрозу лишь для зарубежных пользователей. Это свидетельствует о том, что география применения таких вредоносных программ постепенно расширяется. Несмотря на то, что банковские троянцы для ОС Android все еще встречаются нечасто, они представляют серьезную опасность из-за точечного и хорошо спланированного характера атак. Появление первой подобной вредоносной программы в России может стать отправной точкой к увеличению инцидентов с их участием.

В прошедшем году продолжил расширяться рынок коммерческого шпионского ПО: на протяжении всего года в вирусные базы Dr.Web вносились не только новые модификации известных приложений для кибершпионажа и мониторинга, но также целый ряд новых семейств.

В 2013 году стоит ожидать увеличения количества подобных потенциально опасных программ, а также различных троянцев-шпионов. Весьма вероятной представляется угроза со стороны APT-кампаний (атак с перебором различных видов угроз и уязвимостей до получения результата), в которых будут использоваться Android-троянцы. В целом же можно говорить о том, что все большее число Android-угроз, так или иначе участвующих в краже конфиденциальной информации, применяется в узконаправленных атаках. Эта тенденция в ближайшем будущем сохранится.

Одной из наиболее опасных вредоносных программ для мобильных Android-устройств в 2012 году стал троянец Android.SmsSend.186.origin. От большинства других представителей этого семейства он отличался весьма продвинутыми методами сокрытия вредоносного функционала. Во-первых, при его распространении был использован дроппер, не требующий для работы никаких специальных разрешений. Во-вторых, после установки Android.SmsSend.186.origin заставлял пользователя предоставить ему права администратора мобильного устройства, а после их получения на некоторых версиях ОС Android его было очень сложно удалить. Вполне вероятно, что в 2013 году появятся новые вредоносные программы, в той или иной степени противостоящие попыткам своего удаления, а также использующие различные техники для сокрытия своего присутствия в системе от пользователей.

Вредоносные программы, использующие уязвимости ОС Android для повышения системных привилегий, в прошедшем году не проявляли сколь-нибудь заметной активности. Причиной этого мог стать постепенный переход пользователей на более новые версии Android, в которых соответствующие уязвимости были исправлены, а также усиление безопасности платформы в целом. Однако нельзя исключать, что в 2013 году могут появиться новые вредоносные приложения, которые будут использовать неизвестные ранее уязвимости.

Последняя версия ОС Android 4.2, вышедшая относительно недавно, содержит ряд улучшений, направленных на борьбу с вредоносным ПО. В частности, добавлена функция проверки приложений, основанная на рейтинге их безопасности, а также введена ограничивающая мера для приложений, имеющих возможность отправлять СМС-сообщения на премиум-номера — теперь пользователи имеют возможность выбора: разрешить или запретить отправку таких СМС. Однако эффективность этих нововведений можно будет полноценно оценить лишь тогда, когда обновленная версия операционной системы станет использоваться на существенном количестве мобильных устройств. Учитывая огромный рынок совместимого с ОС Android оборудования, можно предположить, что злоумышленники найдут способы обхода новых защитных функций.

Прогнозы и перспективы

Исходя из анализа угроз, поступивших в вирусную лабораторию компании «Доктор Веб» в течение 2012 года, можно спрогнозировать основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.

  • Будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры.
  • Значительно увеличится и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз.
  • Продолжится рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).
  • Возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в ОС Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.
  • Будет расти число и усложняться функционал банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры.
  • В целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет ассортимент троянцев-шпионов.
  • Возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы. Увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.

АНАЛИТИКА