Записи с меткой «вирусописатели»

Dr.Web

7 ноября 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о распространении вредоносной программы, угрожающей пользователям SAP — комплекса программных решений для бизнеса. Данное вредоносное приложение является представителем широко распространенного семейства банковских троянцев Trojan.PWS.Ibank, способных похищать вводимые пользователем пароли и другую конфиденциальную информацию.

Специалисты компании «Доктор Веб» провели комплексное исследование этой угрозы. По сравнению с другими вредоносными программами семейства Trojan.PWS.Ibank, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников.

Модуль установки троянца обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить её исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ. При этом троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца, способен выполнять две новые команды (по сравнению с предыдущими версиями Trojan.PWS.Ibank) — одна из них активирует/дезактивирует блокировку банковских клиентов, другая — позволяет получить от управляющего сервера конфигурационный файл.

Еще одной важной отличительной особенностью троянца Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP — комплекса бизнес-приложений, предназначенных для управления предприятием. Данный программный комплекс включает множество модулей, в том числе, компоненты управления налогообложением, сбытом, товарооборотом, и потому оперирует конфиденциальной информацией, весьма чувствительной для коммерческих предприятий. Первая версия троянца, проверявшего наличие SAP в инфицированной системе, получила распространение еще в июне: она была добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690, текущая же имеет обозначение Trojan.PWS.Ibank.752. Напомним, что троянцы Trojan.PWS.Ibank обладают весьма широким набором вредоносных функций, среди которых можно отметить следующие:

  • похищение и передача злоумышленникам вводимых пользователем паролей;
  • воспрепятствование доступу к сайтам антивирусных компаний;
  • выполнение команд, поступающих от удаленного командного сервера;
  • организация на инфицированном компьютере прокси-сервера и VNC-сервера;
  • уничтожение по команде операционной системы и загрузочных областей диска.

Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем. Однако стоит отметить, что на сегодняшний день троянцы семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, что таким образом вирусописатели создают для себя некий «задел на будущее». Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем.

На сегодняшний день троянцы семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, что таким образом вирусописатели создают для себя некий «задел на будущее».

Источник

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, нам удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Обнаруженная специалистами «Доктор Веб» новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.

Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.

ИСТОЧНИК

Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям

Posted: 12 апреля, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, компьютеры, лечение, поиск, пользователи, программы, софт, срочно, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

screen

screen

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!

В 2012 году платформа Android окончательно стала главной мишенью для
вирусописателей и мошенников в мобильных сетях, а кибершпионаж и
программы слежения, разрабатываемые при участии государственных
структур, теперь очевидно нацелены и на мобильные устройства. К таким
выводам пришли эксперты «Лаборатории Касперского» по
результатам анализа развития мобильных угроз в прошедшем году.
Подробности анализа и основные события этого периода по традиции
представлены в итоговой статье ведущего антивирусного эксперта
«Лаборатории Касперского» Дениса Масленникова
«Мобильная вирусология», часть 6″.

Наиболее заметным в 2012 году стал рост разнообразных угроз для ОС
Android. Если в 2011 году эксперты «Лаборатории Касперского»
обнаружили около 5300 новых вредоносным программ для этой платформы, то
в 2012 году такое же число новых зловредов и даже больше они находили в
течение одного месяца. А в общей сложности за весь прошлый год аналитики
детектировали более 6 миллионов уникальных вредоносных программ для
Android. В результате такого взрывного роста активности вирусописателей
платформа стала абсолютным лидером в рейтинге распределения мобильных
атак: на долю Android в 2012 году пришлось 94% всех мобильных
вредоносных программ (для сравнения: в 2011 году этот показатель
составлял 65%). Распределение мобильных зловредов по платформам в период
с 2004 по 2012гг.

Согласно данным облачного сервиса мониторинга угроз Kaspersky Security
Network, который с весны 2012 года используется и в мобильных продуктах
«Лаборатории Касперского», наиболее популярными
Android-зловредами у злоумышленников оказались SMS-троянцы. Такие
зловреды нацелены, в основном, на пользователей из России. Вторую по
популярности группу зловредов составляют рекламные модули Plangton и
Hamob. К третьей группе относятся различные модификации Lotoor —
эксплойтов для получения прав доступа на смартфонах с ОС Android
различных версий. Кроме того, в 2012 году эксперты отметили достаточно
широкое распространение мобильных банковских троянцев. Большинство этих
угроз опять же были нацелены на платформу Android. Так, мобильные
банковские троянцы, перехватывающие SMS-сообщения с кодами авторизаций
банковских операций и отправляющие их прямиком в руки киберпреступников,
в 2012 году расширили географию своей «деятельности» и вслед
за европейскими странами появились и в России, где пользователей систем
онлайн-банкинга становится всё больше. В частности, в 2012 году эксперты
«Лаборатории Касперского» обнаружили мобильную версию
известного троянца Carberp, который распространялся через фишинговую
стартовую страницу сайта крупного российского банка.

Что касается мобильных ботнетов, то неожиданностью для экспертов в
области информационной безопасности они не стали, поскольку первые
образцы этой угрозы были обнаружены ещё 3 года назад. Однако в 2012 году
было зафиксировано широкое их распространение на платформе Android в
самых разных странах мира. Так, бот-программа Foncy смогла заразить
более 2000 устройств в Европе, а бэкдор RootSmart превратил в ботов
сотни тысяч смартфонов. Эти и другие подобные зловреды действовали по
одной схеме: работая в связке с SMS-троянцами, они рассылали без ведома
владельцев смартфонов сообщения на платные номера. Одни только создатели
Foncy смогли заработать по такой схеме около 100 тысяч евро.

Наконец, одним из самых важных открытий 2012 года стало подтверждение
факта, что программы для кибершпионажа собирают данные не только с
компьютеров, но и с мобильных устройств. В ходе расследования
кибершпионской операции «Красный октябрь» эксперты
«Лаборатории Касперского» получили доказательства того, что
вредоносные программы пытались собрать сведения об атакуемом мобильном
устройстве, списке контактов, хранящемся на нём, информацию из журнала
звонков, SMS-сообщений, календаря, заметок, историю интернет-сёрфинга и
разнообразные текстовые и графические файлы и документы. И это только в
рамках одной операции.

«По темпам роста мобильных угроз 2012 год продолжил тенденцию,
наметившуюся ещё в 2011-ом, но в значительной мере превзошёл результаты
годичной давности. Теперь мы с уверенностью можем говорить, что
индустрия мобильных киберпреступлений стала по-настоящему международной:
создатели вредоносных программ на протяжении всего года атаковали не
только привычных для них российских и китайских пользователей, но и
владельцев смартфонов во многих других странах. Кроме того, с
распространением систем для кибершпионажа и слежения подобные программы
пришли и в мобильную среду. И это действительно можно назвать началом
новой эпохи», — комментирует итоги года Денис Масленников.

ИСТОЧНИК

MiniDuke — новая вредоносная программа для кибершпионажа в государственных структурах по всему миру

«Лаборатория Касперского» опубликовала отчёт об исследовании
ряда инцидентов, произошедших на прошлой неделе и связанных с очередным
примером кибершпионажа против правительственных учреждений и научных
организаций по всему миру. В ходе атаки злоумышленники применили
сочетание сложных вредоносных кодов «старой школы»
вирусописательства и новых продвинутых технологий использования
уязвимостей в Adobe Reader — и всё это для того, чтобы получить
данные геополитического характера из соответствующих организаций.

Вредоносная программа MiniDuke* распространялась при помощи недавно
обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). По данным
исследования, проведенного «Лабораторией Касперского»
совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской
программы MiniDuke оказались государственные учреждения Украины,
Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий
киберпреступников пострадали исследовательский институт, два
научно-исследовательскийх центра и медицинское учреждение в США, а также
исследовательский фонд в Венгрии.

«Это очень необычная кибератака, — поясняет Евгений
Касперский, генеральный директор «Лаборатории Касперского».
— Я хорошо помню, что подобный стиль программирования в
вредоносном ПО использовался в конце 1990-х-начале 2000-х. Пока не очень
понятно, почему эти вирусописатели «проснулись» через 10 лет
и присоединились к «продвинутым» киберпреступникам. Эти
элитные писатели вредоносных программ старой закалки успешные в создании
сложных вирусов сейчас совмещают свои способности с новыми методами
ухода от защитных технологий для того, чтобы атаковать государственные
учреждения и научные организации в разных странах».

«Созданный специально для этих атак бэкдор MiniDuke написан на
Ассемблере и чрезвычайно мал — всего 20 Кб, — добавляет
Евгений Касперский. — Сочетание опыта «олдскульных»
вирусописателей с новейшими эксплойтами и хитрыми приёмами социальной
инженерии — крайне опасная смесь».

В ходе исследования эксперты «Лаборатории Касперского»
пришли к следующим выводам:
* Авторы MiniDuke до сих пор продолжают
свою активность, последний раз они модифицировали вредоносную программу
20 февраля 2013 года. Для проникновения в системы жертв киберпреступники
использовали эффективные приёмы социальной инженерии, с помощью которых
рассылали вредоносные PDF-документы. Эти документы представляли собой
актуальный и хорошо подобранный набор сфабрикованного контента. В
частности, они содержали информацию о семинаре по правам человека
(ASEM), данные о внешней политике Украины, а также планы стран-участниц
НАТО. Все эти документы содержали эксплойты, атакующие 9, 10 и 11 версии
программы Adobe Reader. Для создания этих эксплойтов был использован тот
же инструментарий, что и при недавних атаках, о которых сообщала
компания FireEye. Однако в составе MiniDuke эти эксплойты использовались
для других целей и содержали собственный вредоносный код.
* При
заражении системы на диск жертвы попадал небольшой загрузчик, размером
всего 20 Кб. Он уникален для каждой системы и содержит бэкдор,
написанный на Ассемблере. Кроме того, он умеет ускользать от
инструментов анализа системы, встроенных в некоторые среды, в частности
в VMWare. В случае обнаружения одного из них бэкдор приостанавливал свою
деятельность с тем, чтобы скрыть своё присутствие в системе. Это говорит
о том, что авторы вредоносной программы имеют четкое представление о том
методах работы антивирусных компаний.
* Если атакуемая система
соответствует заданным требованиям, вредоносная программа будет (втайне
от пользователя) использовать Twitter для поиска специальных твитов от
заранее созданных акаунтов. Эти аккаунты были созданы операторами
бэкдора MiniDuke, а твиты от них поддерживают специфические тэги,
маркирующие зашифрованные URL-адреса для бэкдора. Эти URL-адреса
предоставляют доступ к серверам управления, которые, в свою очередь,
обеспечивают выполнение команд и установку бэкдоров на заражённую
систему через GIF-файлы.
* По результатам анализа стало известно, что
создатели MiniDuke используют динамическую резервную систему
коммуникации, которая также может ускользать от антивирусных средств
защиты — если Twitter не работает или аккаунты неактивны,
вредоносная программа может использовать Google Search для того чтобы
найти зашифрованные ссылки к новым серверам управления. Как только
заражённая система устанавливает соединение с сервером управления, она
начинает получать зашифрованные бэкдоры через GIF-файлы, которые
маскируются под картинки на компьютере жертвы. После загрузки на машину,
эти бэкдоры могут выполнять несколько базовых действий: копировать,
перемещать или удалять файлы, создавать каталоги, останавливать процессы
и, конечно, загружать и исполнять новые вредоносные программы.

* Бэкдор выходит на связь с двумя серверами — в Панаме и Турции
— для того чтобы получить инструкции от киберпреступников.

С полной версией отчёта «Лаборатории Касперского» и
рекомендациями по защите от MiniDuke можно ознакомиться на сайте
www.securelist.com/ru. *Система «Лаборатории Касперского»
детектирует и нейтрализует вредоносную программу MiniDuke,
классифицируемую как HEUR:Backdoor.Win32.MiniDuke.gen и
Backdoor.Win32.Miniduke. Технологии «Лаборатории
Касперского» также детектируют эксплойты, использующиеся в
PDF-документах и классифицируемые как Exploit.JS.Pdfka.giy.

Киберугрозы в марте 2012 года: «бестелесный» бот и первый банковский троянец для Android

«Лаборатория Касперского» провела анализ киберугроз в марте
2012 года. В прошедшем месяце эксперты компании обнаружили уникальную
атаку, в ходе которой злоумышленники использовали вредоносную программу,
способную функционировать без создания файлов на зараженной системе
— «бестелесный» бот. В ходе исследования было
установлено, что заражению подвергались посетители сайтов некоторых
российских онлайн-СМИ, использующих на своих страницах тизеры сети,
организованной при помощи технологий AdFox. Cхема атаки была нацелена на
хищение конфиденциальных данных пользователей для доступа к системам
онлайн-банкинга ряда крупных российских банков. «Мы впервые за
несколько лет столкнулись с этой редкой разновидностью зловредов —
так называемыми «бестелесными» вредоносными программами,
— поясняет главный антивирусный эксперт «Лаборатории
Касперского» Александр Гостев. — И то, что они функционируют
исключительно в оперативной памяти зараженного компьютера, значительно
усложняет процесс их обнаружения с помощью антивируса».

Эксперты «Лаборатории Касперского» продолжают расследование
истории троянской программы Duqu, которое длится уже шесть месяцев. В
марте экспертам компании удалось установить, что фреймворк Duqu был
написан на C и скомпилирован с помощью MSVC 2008. Также в прошедшем
месяце был обнаружен новый драйвер, практически аналогичный тем, которые
ранее использовались в Duqu. Это означает, что после четырех месяцев
перерыва авторы троянца вновь вернулись к работе.

В марте российские правоохранительные органы совместно с
исследовательской группой Group-IB завершили расследование преступной
деятельности группы лиц, участвовавших в краже денег с использованием
известного банковского троянца Carberp. Пресс-служба Управления
«К», сообщила, что в группу входило восемь человек, жертвами
злоумышленников были клиенты десятков российских банков и было
совершенно хищений на сумму около 60 млн рублей. Результатом
расследования стал арест злоумышленников. Однако пока автор троянца и
владельцы партнерских сетей для его распространения остаются на свободе.
Троянец Carberp продолжает продаваться на специализированных форумах.

В течение всего месяца наблюдалась небывалая активность вредоносных
программ под MAC OS. При проведении одной из мартовских атак
злоумышленники рассылали в спаме эротические картинки формата .JPG и
замаскированные под картинки исполняемые вредоносные файлы. Еще одна
новинка марта: вредоносные программы, использующие Twitter в качестве
северов управления. Для распространения данных вредоносных программ
злоумышленники взломали 200 000 блогов, работающих под управлением
WordPress.

Сегмент мобильных угроз пополнился в марте кардинально новым банковским
троянцем для ОС Android. Ранее существовали троянцы, ворующие мобильные
коды аутентификации транзакций (mTAN), которые посылаются банком на
телефон клиента в SMS-сообщениях. В середине месяца был обнаружен
зловред, который нацелен не только на кражу SMS, содержащих
mTANы, но и на кражу непосредственно самих данных (логин/пароль)
для идентификации пользователя в системе онлайн-банкинга. Эксперты
полагают, что к созданию новой вредоносной программы причастны
русскоязычные вирусописатели.

С полной версией отчета о развитии киберугроз в марте 2012 года можно
ознакомиться на сайте www.securelist.com/ru.