Posts Tagged ‘троян’

Обзор вирусной активности за 2013 год

Posted: Январь 23, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы, Trojan
Метки: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

22 января 2014 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор вирусной активности по итогам минувшего года. 2013 год можно назвать весьма непростым с точки зрения угроз информационной безопасности. Как и в 2012 году, одной из основных тенденций в сфере вирусной активности стало массовое распространение троянцев-шифровальщиков, от действия которых пострадали пользователи во многих странах мира. Заметно выросло число вредоносных программ, предназначенных для демонстрации на компьютерах жертв назойливой рекламы, также в четвертом квартале увеличилось количество троянцев, ориентированных на добычу электронных криптовалют, таких как Bitcoin и Litecoin. Значительно расширился и ассортимент вредоносных программ, угрожающих пользователям мобильной платформы Google Android.

Вирусная обстановка

Согласно статистическим данным, собранным в течение года с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто встречающимися угрозами на компьютерах пользователей стали троянцы семейства Trojan.Hosts. Так, самой распространенной вредоносной программой в период с 1 января по 31 декабря 2013 года оказался Trojan.Hosts.6815 — троянец, модифицирующий на инфицированном компьютере системный файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу. Второе место в годовом рейтинге угроз занимает рекламный троянец Trojan.LoadMoney.1 — это приложение-загрузчик, распространяемый серверами партнерской программы LoadMoney. Данная программа загружает и устанавливает на компьютер жертвы различное нежелательное ПО. На третьем месте по числу выявленных в течение года экземпляров расположился бэкдор BackDoor.IRC.NgrBot.42 — вредоносная программа, хорошо известная специалистам по информационной безопасности еще с 2011 года. Троянцы этого семейства поддерживают связь с удаленным управляющим сервером по протоколу IRC (Internet Relay Chat) и способны выполнять широчайший спектр команд злоумышленников. Деструктивный функционал BackDoor.IRC.NgrBot.42 позволяет уничтожить на инфицированном компьютере загрузочную запись в случае нарушения целостности троянца, также эта вредоносная программа способна блокировать доступ к сайтам антивирусных компаний, перехватывать логины и пароли, используемые для авторизации на различных веб-сайтах. BackDoor.IRC.NgrBot.42 инфицирует все подключенные к компьютеру съемные носители, после этого троянец скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на собственный исполняемый файл. Таким образом, при попытке открытия любой директории на зараженном устройстве пользователь запускает вредоносное приложение.

Двадцатка угроз, наиболее часто встречавшихся на компьютерах пользователей по итогам 2013 года (согласно статистическим данным лучащей утилиты Dr.Web CureIt!), показана в представленной ниже таблице.

Название %
1 Trojan.Hosts.6815 1.74
2 Trojan.LoadMoney.1 1.38
3 BackDoor.IRC.NgrBot.42 1.14
4 Trojan.Mods.2 0.94
5 Trojan.MayachokMEM.4 0.72
6 Trojan.Hosts.6838 0.71
7 Win32.HLLP.Neshta 0.70
8 Trojan.SMSSend.2363 0.69
9 Trojan.Packed.24524 0.64
10 Trojan.Redirect.140 0.64
11 Trojan.Mods.1 0.57
12 Trojan.Packed.24079 0.56
13 Trojan.DownLoader9.19157 0.52
14 Trojan.MayachokMEM.7 0.52
15 Trojan.InstallMonster.38 0.50
16 Win32.HLLW.Gavir.ini 0.47
17 Win32.Sector.22 0.46
18 Trojan.StartPage.48148 0.44
19 Trojan.Zekos 0.43
20 BackDoor.Maxplus.24 0.40

Ботнеты

В течение года специалисты компании «Доктор Веб» отслеживали активность нескольких бот-сетей, организованных злоумышленниками с использованием троянских программ и файловых вирусов. Одна из них во втором полугодии практически прекратила свое существование. В то же самое время отдельные ботнеты все еще не только продолжают действовать, но и активно наращивают свою численность.

Так, вирусные аналитики «Доктор Веб» еще с сентября 2011 года наблюдают за активностью двух бот-сетей, организованных злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12. Данный вирус обладает возможностью саморазмножения без участия пользователя. Попав на инфицированный компьютер, он заражает исполняемые файлы, кроме того, он обладает возможностью выполнять поступающие с удаленного сервера команды (в том числе на уничтожение операционной системы), а также осуществлять кражу паролей от популярных FTP-клиентов. Помимо прочего, Win32.Rmnet.12 позволяет злоумышленникам осуществлять так называемые веб-инжекты — встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм.

К концу апреля 2013 года общее количество компьютеров, на которых было когда-либо зафиксировано присутствие файлового вируса Win32.Rmnet.12, составило 9 232 024, увеличившись за первые три месяца на 2,5 млн. Безусловно, определенное число ПК постепенно «излечивалось» от угрозы, однако к ботнету непрерывно присоединялись все новые и новые инфицированные машины. В мае среднее число активно действующих ботов в обеих подсетях Win32.Rmnet.12 составляло 1 078 870 единиц, при этом к ботнету присоединялось в совокупности порядка 25 000 зараженных компьютеров ежесуточно. Динамика прироста численности двух отслеживаемых специалистами «Доктор Веб» подсетей Win32.Rmnet.12 показана на представленных ниже диаграммах.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 1-я подсеть
graph

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 2-я подсеть
graph

Другая широко распространенная бот-сеть, состоящая из компьютеров, зараженных файловым вирусом Win32.Rmnet.16 — обновленной версией вируса Win32.Rmnet.12 — прекратила свой рост в сентябре 2013 года. Если в декабре 2012 года общая численность данного ботнета составляла 259 458 зараженных ПК, то к 31 декабря 2013 года их количество не превышало 1966, и в настоящий момент оно продолжает постепенно сокращаться.

В мае 2013 года специалистами компании «Доктор Веб» были обнаружены еще два представителя семейства Rmnet — вредоносные модули, распространявшиеся вместе с файловыми вирусами Win32.Rmnet и получившие общее наименование Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, второй позволял отключить ряд установленных на зараженной машине антивирусных программ.

По данным на 22 мая 2013 года вредоносные модули Trojan.Rmnet.19 были обнаружены на 18 000 пользовательских компьютерах, однако численность зараженных машин от месяца к месяцу неуклонно снижалась, пока не достигла значения 5456 инфицированных ПК, при этом количество активно действующих ботов было даже немного ниже указанного значения. Динамику этого процесса иллюстрирует представленная ниже диаграмма.

Динамика изменения численности ботнета Trojan.Rmnet.19 в 2013 году
graph

Не менее интересен и ботнет, состоящий из рабочих станций, зараженных троянцем BackDoor.Bulknet.739. Эта вредоносная программа, предназначенная для массовой рассылки спама, была добавлена в вирусные базы Dr.Web еще в октябре 2012 года. В апреле был зафиксирован пик распространения этого троянца: ежечасно фиксировалось заражение порядка 100 компьютеров, и к концу мая общая численность ботнета превысила 17 000 зараженных ПК. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Таиланда. В течение лета количество подключенных к бот-сети инфицированных компьютеров то росло, то снижалось, однако к осени наметилась стойкая тенденция к сокращению числа заражений, и в декабре ботнет практически прекратил свое существование. Данный процесс наглядно продемонстрирован на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Bulknet.739 в 2013 году
graph

Весьма интересен с точки зрения своего функционального назначения ботнет, для формирования которого злоумышленники использовали троянскую программу BackDoor.Dande. Ее особенность заключается в том, что этот бэкдор работает только на компьютерах с установленным специализированным программным обеспечением, предназначенным для закупки медикаментов, которое используют в основном аптеки и фармацевтические компании. К таким приложениям относятся прежде всего программы «Аналит: Фармация» для платформы «1С», «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Троянец предназначен для кражи информации о заказах из этих прикладных программ и ее передачи злоумышленникам.

Несмотря на то, что данная угроза была добавлена в вирусные базы еще в 2011 году, ботнет BackDoor.Dande продолжает успешно действовать до сих пор. Если на начало 2013 года в этой бот-сети насчитывалось в целом порядка 3000 инфицированных машин, то к марту их общее количество достигло уже 3800. Однако в мае численность бот-сети неожиданно сократилась практически вдвое, в течение лета снижалась незначительными темпами и к осени стабилизировалась на отметке около 1000 зараженных ПК. Эти колебания можно проследить на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Dande в 2013 году
graph

Наконец, следует сказать несколько слов о троянце Backdoor.Flashback.39, способном заражать Apple-совместимые компьютеры, работающие под управлением операционной системы Mac OS X. В 2012 году с помощью этой вредоносной программы злоумышленники создали самую крупную в истории бот-сеть, насчитывавшую более 800 000 зараженных «маков». Тогда новость о серьезной угрозе для компьютеров Apple облетела многочисленные средства массовой информации. Казалось, что пользователи Mac OS X во всем мире как минимум проинформированы о потенциальной опасности, и вскоре на планете не останется ни одного инфицированного Apple-совместимого компьютера. Однако беспечность приверженцев технологий Apple, по всей видимости, отложила свой отпечаток на динамику распространения угрозы: согласно достоверной информации, которой располагают специалисты «Доктор Веб», на конец января 2013 года во всем мире все еще насчитывалось порядка 75 000 зараженных Apple-совместимых компьютеров. Их количество постепенно сокращалось, но все же достаточно медленными темпами: в мае число заражений Backdoor.Flashback.39 составляло порядка 55 000, а в июне снизилось до 45 000 инфицированных машин, затем скорость сокращения бот-сети заметно упала. По данным на 31 декабря 2013 года численность ботнета Backdoor.Flashback.39 составляет 28 829 зараженных Apple-совместимых компьютеров, и он по-прежнему остается крупнейшим в мире.

Динамика изменения численности ботнета Backdoor.Flashback.39 в 2013 году
graph

Троянцы-энкодеры

В 2013 году массовое распространение троянцев семейства Trojan.Encoder, шифрующих файлы на компьютерах пользователей и требующих деньги за их расшифровку, приобрело масштабы самого настоящего бедствия. В течение года вирусные базы Dr.Web пополнились более 200 новыми модификациями энкодеров, а география распространения этих угроз значительно расширилась. Наметились и некоторые изменения в используемых злоумышленниками технологиях: прежде всего, для шифрования файлов стали использоваться более сложные алгоритмы, вследствие чего расшифровать данные, пострадавшие от действия некоторых модификаций Trojan.Encoder, становится невозможно. Кроме того, поиск потенциальных жертв стал вестись более целенаправленно. Например, злоумышленники прикрепляли вредоносные файлы к анкетам соискателей на должность бухгалтера и рассылали такие письма в компании, предлагавшие соответствующие вакансии. В подобных случаях могли быть зашифрованы весьма важные для жертвы файлы, содержащие, например, бухгалтерские расчеты, что повышало для злоумышленников шанс получить выкуп.

Всего в течение 2013 года в компанию «Доктор Веб» обратилось более 6 700 жертв троянцев-шифровальщиков. Помимо российских пользователей, во многих случаях пострадавшими оказывались жители иных стран — преимущественно из Украины, других бывших республик СССР, из США, Италии и стран Латинской Америки, хотя россияне составляли все же подавляющее большинство. Статистика обращений жертв троянцев-энкодеров по странам представлена на следующей диаграмме.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-энкодеров по странам
graph

В среднем специалисты компании ежесуточно обрабатывали от 20 до 35 поступающих заявок на расшифровку файлов. Динамика обращений в службу технической поддержки компании «Доктор Веб» за помощью в расшифровке файлов в период с апреля по декабрь 2013 года показана на представленном ниже графике.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-шифровальщиков в 2013 году
graph

Наиболее распространенными модификациями шифровальщиков в 2013 году стали Trojan.Archivelock, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.293, Trojan.Encoder.225, Trojan.Encoder.263, Trojan.Encoder.145 и Trojan.Encoder.215. Так, наиболее распространенный шифровальщик — Trojan.Encoder.94 — известен специалистам еще с 2010 года. Он шифрует только некоторые типы файлов, расположенных на дисках компьютера, при этом у данного троянца насчитывается самое большое (более 400) количество модификаций. Другой весьма распространенный энкодер, Trojan.Archivelock, стал известен в апреле 2012 года. Его особенность заключается в том, что эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца, который помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты — восстановление удаленных файлов после этого становится невозможным. Среди пострадавших от этой угрозы большое количество составляют жители Испании и Франции.

Trojan.Encoder.102 (более 17% случаев заражения) — также довольно старая вредоносная программа, первые образцы которой известны с 2011 года. Весьма распространенной угрозой является Trojan.Encoder.225 — он может проникнуть на атакуемый компьютер вместе с использующими уязвимость CVE-2012-0158 RTF-файлами, вложенными в сообщения электронной почты. В процессе шифрования файлов троянец пытался выдать себя за обновление Windows, демонстрируя на экране соответствующее окно.

graph

Также в течение года было зафиксировано множество обращений от жертв троянских программ Trojan.Encoder.205 и Trojan.Encoder.215 — в совокупности они составляют более 8% от общего числа инцидентов. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. Обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Наиболее популярные модификации троянцев-шифровальщиков, получившие широкое распространение в 2013 году, представлены на следующей диаграмме.

Наиболее распространенные модификации троянцев-шифровальщиков в 2013 году
graph

Винлоки

Программы-блокировщики, нарушающие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за разблокировку Windows, в 2013 году постепенно утрачивали свою популярность у вирусописателей, окончательно уступив пальму первенства троянцам-шифровальщикам и более «продвинутым» вредоносным программам, подобным представителям семейства Trojan.Mayachok (они блокируют доступ к Интернету с использованием механизма веб-инжектов). Всего в течение минувшего года в службу технической поддержки компании «Доктор Веб» обратились 3087 пользователей, пострадавших от винлоков, что на 71% меньше показателей прошлого года. При этом наибольшее количество запросов пришлось на первое полугодие, а ближе к концу 2013 года их число постепенно снижалось.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-блокировщиков в 2013 году (в процентах от максимального показателя — 633 обращения)
graph

Как и в случае с троянцами-шифровальщиками, большинство пользователей, пострадавших от действия винлоков, проживает на территории России, на втором месте по количеству заражений — Украина, далее следуют Казахстан и Беларусь. Зафиксированы случаи проникновения блокировщиков на компьютеры жителей Франции и других стран Евросоюза.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-блокировщиков по странам
graph

Дела финансовые

Программное обеспечение, предназначенное для работы с системами дистанционного банковского обслуживания (ДБО) и проведения платежей, — постоянный объект внимания злоумышленников. Помимо распространения ранее известных банковских троянцев, в 2013 году были выявлены и новые угрозы. Так, в течение года продолжились атаки злоумышленников на платежные терминалы. Новый вариант вредоносной программы Trojan.Dexter (известен также под названиями Alina, BlackPOS, Dexter, Vskimmer) нанес многомиллионный ущерб банкам в 40 странах мира. Эта вредоносная программа работает подобно скиммеру — устройству, которое прикрепляется к банкомату и копирует данные магнитного слоя на пластиковой карте. Dexter же делает копию данных не с кардридера, а из памяти торгового терминала (point-of-sale, POS-терминала). Подобным образом были скомпрометированы сотни тысяч кредитных и дебетовых карт.

Осенью 2013 года специалистами компании «Доктор Веб» была обнаружена модификация троянца семейства Trojan.Ibank, представлявшая угрозу для пользователей систем SAP (Systems, Applications and Products), предназначенных для управления внутренними процессами предприятия (бухгалтерским учетом, торговлей, производством, финансами, управлением персоналом, управлением складами и т. д.). Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в ОС. Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем.

Также в ноябре компания «Доктор Веб» сообщала о зафиксированных случаях распространения банковского троянца BackDoor.Caphaw с использованием массовой рассылки спама через программу Skype. В целях заражения пользовательских компьютеров злоумышленники рассылали Skype-сообщения, используя для этого аккаунты уже инфицированных пользователей. Троянская программа обладает весьма обширным спектром возможностей, например, она отслеживает активность пользователя и пытается определить попытки соединения с различными системами онлайн-банкинга. В случае установки такого соединения BackDoor.Caphaw может внедрять в просматриваемые пользователем веб-страницы постороннее содержимое и перехватывать данные, вводимые им в различные формы.

Тренд сезона — рекламные троянцы и майнеры

В течение 2013 года в числе лидеров среди обнаруживаемых на компьютерах пользователей угроз неизменно встречались троянские программы, предназначенные для демонстрации пользователям различной рекламы. Поскольку значительное число подобных угроз распространяется с использованием партнерских программ, позволяющих злоумышленникам заработать на количестве установок рекламного ПО, их число неуклонно растет. Среди лидеров по количеству обнаружений неизменно присутствует троянец Trojan.LoadMoney.1 — приложение-загрузчик, генерируемое серверами партнерской программы Loadmoney и предназначенное для загрузки и установки на компьютер жертвы различного нежелательного ПО. Другой угрозой, помогающей злоумышленникам заработать на накрутке посещаемости веб-сайтов, стал обнаруженный в начале 2013 года троянец BackDoor.Finder. Основное предназначение этой вредоносной программы — подмена поисковой выдачи: при попытке пользователя зараженной машины обратиться к поиску на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com вместо веб-страницы с результатами поиска он увидит в окне браузера ссылки на указанные злоумышленниками интернет-ресурсы. Наибольшее распространение BackDoor.Finder получил на территории США, при этом абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Пенсильвания, на третьем — Алабама.

graph

Схожим функционалом обладают еще два обнаруженных в 2013 году троянца — Trojan.Mods.1 и Trojan.Zekos. Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы. Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов популярных браузеров и демонстрация вместо искомого сайта принадлежащей злоумышленникам веб-страницы. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-ресурсам большинства антивирусных компаний и серверам Microsoft.

Также к категории рекламных троянцев можно, безусловно, отнести вредоносную программу Trojan.Lyrics — она демонстрирует на экране назойливую рекламу и открывает в окне браузера веб-сайты сомнительного содержания без ведома пользователя. С помощью этой программы меломаны якобы получают возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т. е. превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах или на страницах социальных сетей. Если программа установлена на компьютере пользователя, при открытии в окне браузера веб-сайтов на экране начинают появляться назойливые всплывающие окна, а также всевозможные рекламные сообщения, демонстрируемые в совершенно неожиданных местах веб-страниц. Кроме того, при нажатии на различные ссылки троянец способен перенаправлять пользователя на нерекомендуемые и мошеннические сайты. Некоторые из подобных веб-ресурсов замечены в распространении другого вредоносного ПО, в частности поддельных антивирусов, детектируемых Dr.Web как представители семейства Trojan.Fakealert.

screenshot

Не остались в стороне от данных тенденций и пользователи операционной системы Mac OS X — для них злоумышленники разработали вредоносную программу Trojan.Yontoo.1, ориентированную на загрузку и установку модулей расширения для браузеров Safari, Chrome и Firefox. Назначение данных расширений заключается в демонстрации пользователю рекламы при просмотре веб-страниц.

Во второй половине 2013 года активизировались вирусописатели, избравшие для себя в качестве основного способа заработка добычу (майнинг) электронных криптовалют Bitcoin и Litecoin. Первой из таких угроз стал обнаруженный специалистами «Доктор Веб» троянец Trojan.BtcMine.221, распространявшийся с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах, а на самом деле предназначенный для добычи криптовалюты Litecoin (одного из аналогов популярного платежного средства Bitcoin), для чего он использует аппаратные ресурсы компьютера без ведома пользователя. Наибольшее количество инфицированных троянцем Trojan.BtcMine.221 рабочих станций (56 576) расположено на территории США, на втором месте — Бразилия с показателем 31 567 ботов, на третьем — Турция (25 077). Россия с показателем 22 374 зарегистрированных установки занимает четвертое место. Средний ежесуточный доход злоумышленников составил 1 454,53 долл. США. Распространение зараженных компьютеров по странам показано на представленной ниже иллюстрации.

screenshot

Вскоре был обнаружен еще один похожий троянец — Trojan.BtcMine.218. Он запомнился специалистам тем, что в его теле были обнаружены записи, содержащие имена разработчиков данного вредоносного приложения, которые те не удалили, вероятно, по забывчивости. Также в конце года была выявлена очередная модификация вредоносной программы семейства Trojan.Mods, получившая наименование Trojan.Mods.10. Злоумышленники включили в нее модуль, предназначенный для добычи электронной криптовалюты Bitcoin. Основное же предназначение троянца — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами.

Угрозы для Linux

Минувший год запомнится специалистам по информационной безопасности возросшим числом угроз, направленных на ОС Linux. Наиболее интересной среди них можно назвать троянскую программу Linux.Hanthie, также известную под наименованием Hand of Thief. Злоумышленники, продающие ее на подпольных форумах, позиционируют данного троянца как «бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит)». Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE. Linux.Hanthie встраивает в браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Wease специальный граббер, который позволяет перехватывать HTTP- и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также программа реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется. При попытке обращения к запущенным скриптам bind или bc троянец выводит в командной консоли Linux следующее сообщение:

screenshot

Другая вредоносная программа, Linux.Sshdkit, предназначена для взлома веб-серверов, работающих под управлением операционной системы Linux. Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Вскоре была обнаружена еще одна модификация данной угрозы — Linux.Sshdkit.6, в ней злоумышленники модифицировали метод определения адресов серверов, на которые троянец передает похищенную информацию с целью затруднить перехват вирусными аналитиками украденных паролей.

Троянец Linux.Fokirtor.1 — бэкдор для GNU/Linux, в мае 2013 года атаковавший серверы внутренней системы одного из крупных хостинг-провайдеров, пытаясь похитить конфиденциальную информацию клиентов. Поскольку целевая система была хорошо защищена, злоумышленники замаскировали бэкдор под серверные процессы (SSH и др.), чтобы скрыть подозрительный сетевой трафик или используемые вредоносные файлы от проверки службой безопасности. Сигнатура данной вредоносной программы также была добавлена в вирусные базы Dr.Web.

Помимо перечисленных выше угроз в 2013 году вирусные базы Dr.Web пополнились записями для нескольких модификаций Linux-троянцев, предназначенных для организации DDoS-атак — это семейство получило общее наименование Linux.DDoS. Кроме того, среди обнаруженных за истекшие 12 месяцев угроз для Linux следует перечислить следующие: Linux.Darlloz — червь, эксплуатирующий уязвимости в PHP, Linux.Cdorked — бэкдор, способный инфицировать веб-серверы, и троянец Linux.Trolomod, предназначенный для атак на http-серверы Apache.

Угрозы для Android

Что же касается мобильных угроз, то в 2013 году, как и в последние несколько лет, наибольшая опасность подстерегала владельцев устройств под управлением ОС Android. За прошедшие 12 месяцев вирусная база компании «Доктор Веб» пополнилась записями для 1547 новых вредоносных, нежелательных и потенциально опасных программ, достигнув объема в 2814 вирусных описаний. Таким образом, с момента появления в 2010 году первых вредоносных Android-приложений, число которых на тот момент насчитывало 30 единиц, их количество увеличилось почти в 94 раза.

Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web за период с 2010 по 2013 год
graph

Традиционно наибольшую угрозу для пользователей составили троянцы, отправляющие дорогостоящие СМС-сообщения и выполняющие подписку на платные услуги. К ним, в частности, относятся вредоносные программы многочисленного семейства Android.SmsSend, присоединившиеся к ним троянцы семейства Android.SmsBot, а также ряд других вредоносных приложений с аналогичными функциями.

Не меньшую опасность представляли Android-угрозы, направленные на кражу конфиденциальной информации пользователей. К таким угрозам, в частности, относятся вредоносные программы семейств Android.Spy и Android.SmsSpy, среди которых присутствует большое число банковских троянцев, способных красть аутентификационные данные, а также СМС-сообщения, в которых могут содержаться разнообразные ценные сведения.

screenshot

screenshot

Весьма показательным в связи с этим является продолжившееся увеличение числа предложений по оказанию различных незаконных услуг и сервисов, таких как создание и продажа вредоносных Android-приложений: к популярным и распространенным на черном рынке СМС-троянцам киберпреступники добавили и троянцев-шпионов, способных добавить хлопот многим пользователям.

screenshot

По сравнению с предыдущим годом, в пять раз выросло количество поддельных антивирусных приложений Android.Fakealert, которые обнаруживают на мобильных устройствах несуществующие угрозы и за определенную плату предлагают их владельцам произвести лечение.

screenshot screenshot

Кроме того, в минувшем году было обнаружено несколько уязвимостей ОС Android, использование которых могло способствовать распространению различных вредоносных приложений. Среди троянцев, в которых злоумышленниками были успешно применены найденные программные ошибки, — Android.Nimefas.1.origin, представлявший комплексную угрозу, а также троянец-шпион Android.Spy.40.origin.

Более подробно об этих и других угрозах можно ознакомиться в соответствующем обзоре мобильных угроз, опубликованном на сайте компании «Доктор Веб».

Сетевые мошенничества

Не дремлют и сетевые мошенники, различными способами выманивающие средства у пользователей Интернета. Киберпреступники в своих схемах монетизации часто используют социальную инженерию и иные приемы психологического воздействия на людей, попавших в стесненные жизненные обстоятельства (например, ищущих работу из-за недостатка финансовых средств либо по другой причине). Так, одним из весьма распространенных способов сетевого мошенничества в 2013 году стал обман пользователей сайтов, содействующих в трудоустройстве. Злоумышленники регистрируются на сайтах служб занятости (hh.ru, superjob.ru и т. п.) в качестве работодателей, получая при этом доступ к контактным данным потенциальных жертв, после чего отправляют им сообщения электронной почты с предложением вакансии от лица крупной российской или иностранной фирмы и ссылкой якобы на сайт работодателя. В письме злоумышленники указывают высокую сумму предлагаемого оклада с расчетом привлечь адресата на мошеннический сайт и втянуть в ложное анкетирование, на одном из этапов которого ему предлагают ввести в специальную форму номер мобильного телефона, а затем — полученный в ответном СМС-сообщении подтверждающий код. Отослав такое СМС, пользователь становится жертвой мошенничества: он оказывается подписанным на некую псевдоуслугу, а со счета его мобильного телефона будут регулярно сниматься денежные средства.

screenshot

В 2013 году сетевые жулики принялись строить самые настоящие мошеннические порталы с широчайшим спектром предложений. При каждой перезагрузке такого сайта в окне браузера демонстрируется новая веб-страница, рекламирующая очередную псевдоуслугу. Среди них — чудесное избавление от варикоза путем прослушивания аудиокурса, отбеливание зубов при помощи медитаций, «проверенные» методы избавления от прыщей, тысяча способов увеличения объема губ или груди без хирургического вмешательства, курс для девушек по соблазнению мужчин и, конечно же, дистанционная помощь женщинам, которым не удается завести ребенка. Следует отметить, что если большинство описанных выше «курсов» встречались нашим специалистам и раньше, то предложения забеременеть путем прослушивания компакт-диска появились в ассортименте сетевых жуликов относительно недавно.

screenshot

Еще одна тенденция 2013 года — появление в сети большого числа интернет-ресурсов, предлагающих лечение тяжелых заболеваний, таких как туберкулез, при помощи сушеных медведок — насекомых из отряда прямокрылых. Создатели подобных сайтов продают медведок оптом, причем по весьма внушительной цене — стоимость полного курса «лечения» может достигать 250 тысяч руб.

Получили широкое распространение и вполне традиционные методы сетевого мошенничества, например реклама всевозможных магических обрядов, для проведения которых доверчивым пользователям предлагается приобрести различные артефакты, в частности «волшебные свечи», «в которые специальным образом введены Энергии Любви, Гармонии, Счастья», или «цилиндры фараона», якобы созданные российскими учеными на основе древнеегипетских рукописей, чудом сохранившихся до наших дней. Кроме того, мошенники разработали несколько веб-страниц, предлагавших посетителям «скачать» излучение различных лекарств из специального «информационного центра», после чего доверчивым пользователям предлагалось дождаться окончания процесса записи «целебного излучения» на компакт-диск.

screenshot

Активно действовали сетевые мошенники и на различных сайтах знакомств. Представляясь иностранцами, киберпреступники ищут одиноких женщин, которым в процессе общения предлагают отправить по почте дорогой подарок (планшет, смартфон или ювелирное украшение). Однако поскольку презент представляет большую ценность, отправитель не рискует отсылать отправление обычной почтой, вместо этого он предпочитает воспользоваться услугами частной курьерской службы. За сайтами подобных служб обычно скрываются мошеннические веб-страницы: жертве сообщают, что отправитель не оплатил стоимость доставки посылки до получателя — эту сумму злоумышленники и предлагают выплатить жертве. Вполне естественно, что вскоре после оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении.

screenshot

Специалисты компании «Доктор Веб» призывают пользователей быть внимательнее, относиться с опаской к подозрительным предложениям, а также не доверять случайным знакомым в Интернете. Не следует вводить на подозрительных веб-сайтах номер телефона и подтверждающие коды, полученные в СМС-сообщениях. Сетевые мошенники обладают богатой фантазией, поэтому осторожность и здоровая подозрительность никогда не повредят.

Перспективы

Исходя из текущей ситуации, складывающейся в сфере информационной безопасности, можно предположить, что в 2014 году продолжится значительный рост количества угроз для мобильной платформы Android. В сентябре 2013 года специалистами компании «Доктор Веб» был обнаружен крупнейший в истории ботнет, состоящий из зараженных несколькими модификациями троянца Android.SmsSend мобильных устройств. Имеются достаточные основания считать, что этот ботнет был далеко не последним в истории, и возникновение новых мобильных бот-сетей — дело времени.

Появление в публичном доступе специальных программ-конструкторов, позволяющих даже неискушенным в программировании злоумышленникам создавать новые модификации троянцев-шифровальщиков, наверняка повлечет за собой рост количества заражений этими вредоносными программами. Вполне вероятно и заметное расширение географии распространения троянцев-энкодеров.

Одновременно с постепенным ростом ассортимента анонимных платежных систем, использующих в своей основе аналогичные Bitcoin криптовалюты, будут множиться и разновидности троянцев, использующих для их добычи аппаратные ресурсы компьютеров жертв. По всей видимости, злоумышленники будут все чаще задействовать для обеспечения связи вредоносных программ с управляющими серверами ресурсы сети Tor, а также возможности P2P-сетей. Заметно вырастет и количество рекламных троянцев, в том числе реализованных в виде надстроек к популярным браузерам.

Dr.Web


ГЛАВНЫЕ НОВОСТИ

12 декабря 2013 года
Выпуск лечащей утилиты Dr.Web CureIt! 9.0
Компания «Доктор Веб» сообщает о выпуске девятой версии лечащей утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе с установленным антивирусом другого производителя. Внесенные изменения сделали утилиту более быстрой и эффективной. В Dr.Web CureIt! 9.0 используются самые актуальные технологии и новшества, уже включенные в продукты Dr.Web для Windows, что повышает надежность защиты от самых современных угроз.
Комментировать новость

12 декабря 2013 года
Технические работы на серверах «Доктор Веб»
«Доктор Веб» сообщает о предстоящих технических работах на серверах, обслуживающих сайты компании. Работы будут проводиться в ночь на 15 декабря 2013 года, в 00:00–05:00 по московскому времени.
Комментировать новость

12 декабря 2013 года
Под видом «полезных» приложений скрывается добытчик криптовалюты
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — информирует о распространении троянской программы Trojan.BtcMine.221, предназначенной для добычи (майнинга) криптовалюты Litecoin. Троянец распространяется под видом различных приложений – например, надстройки к браузеру, якобы помогающей пользователю в подборе товара при совершении покупок в интернет-магазинах.
Комментировать новость

11 декабря 2013 года
Trojan.Zadved.1 демонстрирует навязчивую рекламу
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о распространении вредоносной программы Trojan.Zadved.1, представляющей собой плагин к браузерам, который якобы должен защищать пользователя от вредоносных и потенциально опасных сайтов. На самом деле это приложение выполняет прямо противоположную функцию: троянец предназначен для подмены поисковой выдачи, перенаправления пользователя на сайты рекламодателей по щелчку мыши в окне браузера и демонстрации назойливой рекламы.
Комментировать новость

9 декабря 2013 года
Мобильные угрозы в ноябре 2013 года
Специалисты компании «Доктор Веб» — российского производителя антивирусных средств защиты информации — продолжают на регулярной основе анализировать поступающую от пользователей Dr.Web для Android статистическую информацию. В ноябре антивирусный сканер Dr.Web на мобильных устройствах под управлением Android запускался порядка 20,5 млн. раз, при этом в процессе сканирования было обнаружено 3,2 млн. угроз. В сутки при помощи Dr.Web обнаруживается 300 000 вредоносных программ для этой мобильной платформы.

Обнаружен вирус, имитирующий страницы «ВКонтакте» и «Одноклассников»

 Троянец Trojan.Zekos блокирует доступ к сайтам социальных сетей и подменяет их фальшивыми страницами, имитирующими настоящие.

Вместо страницы своего профиля «ВКонтакте» или в «Одноклассниках» пользователь видит поддельную веб-страницу, похожую по дизайну на оригинальную, с сообщением о том, что профиль заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. На поддельной странице даже указано настоящее имя ее владельца. Вот примеры текстов таких сообщений, которые приводят специалисты антивирусной компании Doctor Web:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

Обнаружен вирус, имитирующий страницы «ВКонтакте» и «Одноклассников»

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

Обнаружен вирус, имитирующий страницы «ВКонтакте» и «Одноклассников»

После выполнения инструкций компьютер пользователя заражают вирусом, который перехватывает DNS-запросы и вместо запрошенных пользователем сайтов показывает сайты, принадлежащие злоумышленникам. При этом адрес сайта остается правильным.

Источник

Не нравится: под видом программы для взлома «ВКонтакте» распространяется зловред с кросс-платформенными возможностями

Posted: Ноябрь 27, 2013 in Антивирус, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Kaspersky Lab

Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.

Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.

Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса

Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.

Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.

«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».

На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.

Предновогодние хлопоты злоумышленников: «Лаборатория Касперского» предупреждает о возможных атаках с использованием нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 — выполнение поступающих от злоумышленников команд, и, главное, перехват нажимаемых пользователем клавиш (кейлоггинг).

Проникнув на инфицируемый компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.

screenshot

После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.

Сигнатура данной вредоносной программы добавлена в вирусные базы, и потому BackDoor.Saker.1 не представляет опасности для пользователей антивирусного ПО Dr.Web.

Источник

Грабитель виртуальный, ущерб материальный

Возможность оплачивать практически любой товар или услугу через
Интернет, не выходя из дома, упростила жизнь, а сервисы онлайн-банкинга
избавили от утомительных очередей. Однако растущая популярность
онлайн-платежей играет на руку киберпреступникам: чем больше людей
удаленно управляют финансами, тем больше потенциальных жертв и тем выше
прибыль от криминальной деятельности. Эксперты «Лаборатории
Касперского» рассказали обо всех опасностях, связанных с
выполнением интернет-платежей, а также о том, как должна проходить
безопасная онлайн-транзакция в статье «Защита от виртуальных
грабителей».

Нацеленным на кражу финансовой информации злоумышленникам выгоднее
нападать на серверы платежных систем, поскольку они содержат огромное
количество ценных данных. Но на практике получить к ним доступ почти
невозможно, поэтому преступники выбирают своей целью пользователей таких
систем, не всегда подготовленных к атакам. В рамках одной операции могут
быть заражены десятки тысяч компьютеров, что в итоге обеспечит
грабителям желанную прибыль.

На вооружении злоумышленников целый арсенал методов, ключевым элементом
которого является социальная инженерия. Классический прием выманивания
финансовой информации у пользователей — фишинг. Получая поддельное
письмо от имени крупного банка с просьбой под разными предлогами
предоставить конфиденциальные данные или заходя на поддельный сайт,
копирующий внешний вид официальной страницы платежной системы,
пользователь может, сам того не зная, передать финансовую информацию
преступникам. Пример фишингового веб-ресурса, маскирующегося под
платежную систему PayPal

Однако существует и ряд изощренных троянских программ, которые заражают
компьютер и приступают к краже финансовой информации пользователя,
применяя разнообразные техники: перехват клавиатурного ввода, создание
снимков экрана с введенной информацией, внедрение в запущенный процесс
браузера и другие. Особенно популярным является метод веб-инжектирования
— модификация HTML-страницы, которую в итоге получает пользователь
от онлайн-системы. Так, банковский троянец Carberp дополняет
веб-страницу входа в личный кабинет новыми полями, запрашивая у жертвы
информацию о кредитной карточке. А троянец Zeus и его функциональный
аналог SpyEye комбинируют сразу все озвученные выше методы, добавляя к
этому технику обхода дополнительных уровней защиты операций в
современных банковских системах, включая одноразовые пароли и
USB-токены.

«Банки и платежные системы прилагают значительные усилия для
защиты своих клиентов, но этого все равно недостаточно для того, чтобы
пользователь мог не беспокоиться о сохранности своих денег. Нужно быть
осмотрительным при проведении платежей, — комментирует ведущий
антивирусный эксперт «Лаборатории Касперского» Сергей
Голованов. — Но кроме того, компьютер пользователя должен быть
защищен специальным ПО от кражи платежных данных злоумышленниками. И в
данном случае речь идет не только об антивирусной защите компьютера,
необходима проверка легитимности веб-ресурса и обеспечение безопасного
соединения с ним. А это целая серия защитных механизмов, реализуемая
модулем безопасных платежей в решениях класса Internet Security и
выше».

Подготовленная экспертами статья «Защита от виртуальных
грабителей» является результатом тщательного исследования всех
актуальных угроз, подстерегающих пользователя и его платежные данные во
время совершения онлайн-платежей, и способов защиты от них. Ознакомиться
с полной версией статьи можно, пройдя по ссылке: www.securelist.com/ru.

Зловред зловреда везет: мобильные троянцы теперь распространяются и через сторонние мобильные ботнеты

Эксперты «Лаборатории Касперского» впервые зафиксировали
новый способ распространения мобильных троянцев — через мобильные
ботнеты, созданные на основе другой вредоносной программы. По крайней
мере, именно этот метод, среди прочих традиционных, избрали
злоумышленники, стоящие за самым сложным мобильным троянцем Obad с
широкими вредоносными функциями и хорошо зашифрованным кодом.

Использование сторонних мобильных ботнетов для распространения зловреда
резко увеличивает возможную «область поражения», чего трудно
добиться привычными способами типа традиционных спам-рассылок или
перенаправления на взломанные сайты. Чаще всего жертвами этого опасного
троянца становятся пользователи устройств на платформе Android в России
(более 83% случаев), Узбекистане, Казахстане, Белоруссии и на Украине.

Сам троянец Obad был обнаружен специалистами «Лаборатории
Касперского» в мае этого года. После внимательного изучения
эксперты не только полностью расшифровали код вредоносной программы, но
и проанализировали избранные злоумышленниками способы ее распространения
в мобильной среде Android. В частности, они выяснили, что создатели Obad
стали первыми, кто использовал для распространения своего троянца
возможности ботнетов, созданных на основе других мобильных зловредов.

Obad распространяется с мобильных ботнетов на базе другого
«популярного» в России и других странах СНГ троянца Opfake.
После активации на зараженном мобильном устройстве Opfake может по
команде, поступающей от сервера, начать рассылку SMS с вредоносной
ссылкой по всем контактам жертвы. Если пользователь перейдет по
предлагаемой ссылке, то на его устройство автоматически загрузится
вредоносная программа. Как правило, таким образом Opfake распространяет
ссылки на самого себя. Однако экспертами «Лаборатории
Касперского» были зафиксированы и массовые рассылки сообщений со
ссылками на Obad. Мощности ботнета на базе Opfake позволяют быстро и
резко увеличивать объемы подобных SMS-рассылок и, как следствие, число
инфицированных троянцем Obad мобильных устройств.

«Мы впервые сталкиваемся с тем, что для распространения мобильных
троянцев используются сторонние мобильные ботнеты. Это факт говорит о
том, что киберпреступники продолжают адаптировать отработанные приемы
заражения ПК для других набирающих популярность платформ, —
рассказывает Роман Унучек, ведущий антивирусный эксперт
«Лаборатории Касперского». — Всего за три месяца
исследований мы обнаружили 12 версий троянца Obad. Все они обладают
схожим функционалом, характеризуются высокой степенью зашифрованности
кода и используют уязвимость в ОС Android, которая позволяет зловреду
скрывать свое присутствие, что крайне усложняет его удаление. Однако
новый продукт Kaspersky Internet Security для Android
«хитрее» этого троянца и легко удаляет Obad из любой версии
Android».

Подробнее об использовании возможностей мобильных ботнетов для
распространения самого сложного мобильного троянца Obad, а также о
других способах попадания этого зловреда на смартфоны и планшеты на базе
Android читайте в аналитической статье Романа Унучека на сайте
www.securelist.com/ru/blog/207768923/Rasprostranenie_troyantsa_Obad_a_teper_i_mobilnye_botnety

Очередная волна троянцев-шифровальщиков — Вирусная рассылка для жителей Казахстана

Posted: Июнь 27, 2013 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, люди, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

20 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о росте количества пользователей, пострадавших от действия троянцев-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225: только за последнее время за помощью в восстановлении файлов, пострадавших от действия этого троянца, в антивирусную лабораторию «Доктор Веб» обратилось более 160 человек.

Троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, троянцы семейства Trojan.Encoder, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией по восстановлению данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Троянцы-шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который в свою очередь скачивает с управляющего сервера Trojan.Encoder. Троянец Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe.

screen

В июне 2013 года был отмечен значительный всплеск количества случаев заражения вредоносными программами семейства Trojan.Encoder, при этом от последней модификации Trojan.Encoder.225 пострадало более 160 пользователей из России и Украины, обратившихся за помощью в компанию «Доктор Веб». Этот троянец написан на языке Delphi и имеет три версии. В предыдущей модификации троянца для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации троянца, в настоящий момент ведется работа.

Что касается наиболее распространенного троянца-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций — более 350. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке. Жертвами Trojan.Encoder.94 за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений от пользователей, пострадавших в результате заражения троянцами-шифровальщиками. Благодаря тому, что злоумышленники непрерывно усложняют механизмы шифрования, вирусным аналитикам приходится решать все более сложные математические задачи в условиях возрастающего потока заявок от жертв энкодеров. В связи с большим числом запросов на лечение и заметно возросшей нагрузкой на антивирусную лабораторию с 19 июня 2013 года помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов компании «Доктор Веб».

Если вы стали жертвой одной из таких вредоносных программ, ни в коем случае не переводите деньги киберпреступникам и не пытайтесь самостоятельно устранить последствия заражения (не переустанавливайте операционную систему и не удаляйте никаких файлов на вашем компьютере), т. к. при этом существует высокая вероятность безвозвратной потери данных. Не забывайте о необходимости своевременного резервного копирования хранящейся на жестких дисках вашего компьютера информации. Если вы являетесь зарегистрированным пользователем антивирусных продуктов «Доктор Веб», отправьте несколько зашифрованных файлов в антивирусную лабораторию, воспользовавшись соответствующей формой и выбрав категорию «Запрос на лечение», после чего дождитесь ответа вирусного аналитика и в точности следуйте его инструкциям.

С более подробной информацией о методах противодействия троянцам-энкодерам можно ознакомиться по адресу legal.drweb.com/encoder.

25 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о массовой вредоносной рассылке, представляющей серьезную опасность для жителей Казахстана. Получатели почтовых сообщений рискуют стать жертвами вредоносной программы BackDoor.Shell.218, открывающей удаленный доступ к инфицированному компьютеру.

Специалистами компании «Доктор Веб» 13, 17 и 23 июня 2013 года была зафиксирована массовая почтовая рассылка, ориентированная в первую очередь на жителей Казахстана. В качестве отправителя электронных сообщений значилось «Web-приложение «Кабинет налогоплательщика» <web-application-cabinet@mail.ru>», а само послание содержало следующий текст: «В целях разъяснения норм налогового законодательства и налогового администрирования Налоговый комитет МФ РК направляет Вам письмо разъясняющего характера».

Письмо содержало вложение в виде архива, при попытке открытия которого запускалось вредоносное приложение. Из ресурсов данной программы извлекалось основное тело троянца и сохранялось во временную папку под именем winlogon.exe, после чего данное приложение запускалось на исполнение и демонстрировало на экране инфицированного компьютера документ в формате .DOC.

Троянская программа детектируется антивирусным ПО «Доктор Веб» как BackDoor.Shell.218. Этот троянец относится к категории приложений, открывающих злоумышленникам возможность удаленного управления инфицированной системой: он позволяет выполнять различные команды в командной строке Windows, делать снимки экрана и даже выключать компьютер.

Особо стоит отметить, что основные адресаты рассылки — сотрудники бухгалтерий различных компаний. Именно для этой категории пользователей поступление письма из налоговых органов — безусловный повод его прочитать и не задумываясь открыть любое вложение. При этом именно бухгалтерские компьютеры чаще всего используются для проведения онлайн-платежей в системах «Банк-Клиент». Доступ к таким компьютерам — заветная мечта киберпреступников, промышляющих хищениями денежных средств со счетов предприятий. Именно такой доступ к компьютеру жертвы и открывает злоумышленникам BackDoor.Shell.218.

Специалисты компании «Доктор Веб» призывают пользователей не открывать вложения в сообщения электронной почты, полученные от подозрительных отправителей, а также поддерживать базы установленного на компьютере антивирусного ПО в актуальном состоянии.

Dr.Web

23 апреля 2013 года

Компания «Доктор Веб» – российский производитель антивирусных средств защиты информации – сообщает о том, что в официальном каталоге Google Play были найдены 28 приложений, содержащих вредоносный рекламный модуль, способный загружать троянцев для мобильной платформы Android. Суммарное число установок этих программ, а, соответственно, и потенциальных жертв достигает нескольких миллионов.

Реклама в Android-приложениях уже давно и успешно применяется различными разработчиками для монетизации своих трудов: это легальный и весьма удобный способ окупить затраченные на создание программ средства и время. Тем не менее, предприимчивые киберпреступники еще в 2011 году решили использовать в своих целях возможности рекламных сетей для мобильных устройств, а именно распространять с их помощью троянские программы. До сих пор наиболее популярными среди них являются троянцы семейства Android.SmsSend, предназначенные для отправки дорогостоящих СМС-сообщений и подписки пользователей на платные контент-услуги. Об одном из таких инцидентов компания «Доктор Веб» сообщала совсем недавно. Кроме того, в последнее время расширяется список вредоносных программ, распространяемых таким образом.

Несмотря на то, что существующие рекламные сети для мобильных Android-устройств, такие как Google AdMob, Airpush, Startapp и пр., вполне успешно удовлетворяют потребности мошенников, последние решили пойти дальше и создали себе в помощь собственную рекламную платформу. На первый взгляд она ничем не отличается от остальных, представленных на рынке: сеть предлагает Android-разработчикам весьма заманчивые условия использования рекламного API, обещая высокий и стабильный доход, а также удобство управления и контроля учетных записей. Не удивительно, что некоторые разработчики приложений серьезно заинтересовались новой платформой.

Как и во многих других Adware-модулях, для отображения рекламных сообщений в этом рекламном API используется push-метод, когда в панель состояния мобильного Android-устройства выводится то или иное информационное уведомление. Однако помимо заявленных функций данная платформа содержит ряд скрытых возможностей.

Так, в push-уведомлениях от мошеннической рекламной сети может демонстрироваться информация о необходимости установки важного обновления для тех или иных приложений. В случае если ничего не подозревающий пользователь соглашается на установку такого «обновления», рекламный модуль выполняет загрузку некоего apk-пакета и помещает его на карту памяти в каталог загрузок /mnt/sdcard/download. Этот модуль может также создать на главном экране мобильного устройства ярлык, связанный с только что загруженным ПО, и в дальнейшем при нажатии пользователя на этот ярлык будет инициирован процесс установки соответствующей ему программы.

Проведенное специалистами компании «Доктор Веб» исследование показало, что загружаемые таким образом apk-файлы являются представителями семейства троянских программ Android.SmsSend. Дальнейший анализ позволил выявить источник, откуда происходила загрузка данных троянцев: им оказались сервера, на IP-адресах которых зарегистрированы различные поддельные каталоги приложений. В частности, в трех проанализированных приложениях мошенническая рекламная платформа использует связь с управляющим сервером по адресу 188.130.xxx.xx, а в остальных двадцати пяти – связь осуществляется через управляющий сервер с адресом 91.226.xxx.xx. Данные адреса еще несколько дней назад были оперативно внесены в модуль Родительского контроля антивируса Dr.Web и успешно им блокируются.

Ниже представлен полный список команд с управляющих серверов, которые может принимать и выполнять вредоносная рекламная платформа:

  • news – показать push-уведомление
  • showpage – открыть веб-страницу в браузере
  • install – скачать и установить apk
  • showinstall – показать push-уведомление с установкой apk
  • iconpage – создать ярлык на веб-страницу
  • iconinstall – создать ярлык на загруженный apk
  • newdomen – сменить адрес управляющего сервера
  • seconddomen – запасной адрес сервера
  • stop – прекратить обращаться к серверу
  • testpost – посылает запрос повторно
  • ok – ничего не делать

Помимо выполнения данных команд, мошеннический модуль способен также собирать и отправлять на командный сервер следующую информацию: imei мобильного устройства, код оператора и номер imsi сотового телефона.

Особая опасность этого рекламного API заключается в том, что содержащие его приложения были обнаружены в официальном каталоге Google Play, который де-факто считается наиболее безопасным источником Android-программ. Из-за того, что многие пользователи привыкли доверять безопасности Google Play, число установок пораженных данным рекламным модулем программ весьма велико. Из-за ограничений, накладываемых компанией Google на статистическую информацию о числе загрузок приложений из ее каталога, нельзя с абсолютной точностью назвать общее число потенциальных жертв, однако на основании имеющихся в распоряжении специалистов «Доктор Веб» сведений справедливо утверждать, что возможное число пострадавших может достигать более чем 5,3 миллиона пользователей. Это крупнейший и наиболее массовый со времен ввода антивирусной системы Google Bouncer случай заражения вредоносными приложениями, которые находились в каталоге Google Play.

Принимая во внимание вредоносный функционал исследованного рекламного API, а также обнаруженную связь с сайтами, распространяющими вредоносное ПО для Android, специалисты компании «Доктор Веб» отнесли данный модуль к adware-системам, созданным киберпреступниками именно для вредоносных целей. В антивирусные базы он внесен под именем Android.Androways.1.origin и не представляет угрозы для пользователей антивируса Dr.Web для Android.

Спам в марте 2013 года: Уго Чавес «на службе» у мошенников

После значительного роста количества спама в феврале в первый весенний
месяц объем почтового мусора стабилизировался на уровне в 70,1%. Однако
радости от этого пользователи не почувствовали, поскольку наряду с этим
доля вредоносных вложений в незапрошенной электронной корреспонденции
существенно увеличилась и достигла 4%.

В марте спамеры традиционно старались использовать тему праздников для
привлечения внимания к своим письмам, не упуская при этом из виду и
«горячие» новости. К ним, безусловно, относятся сообщения о
смерти президента Венесуэлы Уго Чавеса. Одними из первых на трагическое
известие отреагировали интернет-мошенники, которые стали активно
использовать в электронных рассылках темы, связанные с Боливарианской
Республикой. Так, одно из мошеннических писем было разослано от имени
начальника морского порта Венесуэлы, который якобы просил помочь ему
сохранить деньги, полученные от продажи дизельного топлива Южному
Судану. При этом в первом письме мошенники не обещают адресату
конкретную сумму за содействие, и только в ходе дальнейшей переписки
предлагается денежное вознаграждение.

В другой рассылке распространялось письмо якобы от начальника службы
безопасности и по совместительству близкого друга Уго Чавеса. Как
всегда, «нигерийские» мошенники не ограничивают полет своей
фантазии: «друг» имеет доступ к деньгам, которые покойный
президент хранил на банковском счету своей тайной возлюбленной, и теперь
готов предложить получателю письма 25% от общей суммы за помощь в выводе
средств.

На этом опасности для пользователей в почте не ограничиваются. После
некоторого затишья злоумышленники, распространяющие вредоносные
программы по электронной почте, возобновили рассылку писем —
подделок под уведомление о бронировании отелей и авиабилетов. В
частности, в марте была зарегистрирована новая рассылка подделок под
уведомление о бронировании номера в Atlantic Hotel. В письме, написанном
от лица менеджера отеля, злоумышленники благодарили получателя за
бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013
года. Если получатель открывал приложенное к письму «уведомление о
бронировании», происходило заражение компьютера троянцем, который
используется для вымогания денежных средств или финансовой информации.

В географическом распределении спам-потоков в марте обострилась борьба
между США и Китаем, которые с переменным успехом оказываются на верхней
строчке рейтинга государств, с территории которых распространяется
больше всего незапрошенной электронной корреспонденции. В прошлом месяце
в этой «схватке» победителем вышла Поднебесная, на долю
которой приходится четверть всего почтового мусора. В то же время вклад
США увеличился лишь незначительно (+0,4%), и в итоге эта страна
откатилась на вторую позицию. Страны-источники спама в мире

В Рунете также произошла рокировка. Прежний лидер, Индия, получила
«серебро», а ее место занял Тайвань, поднявшийся с третьей
позиции. Россия же, как и в глобальном рейтинге, постепенно сдает
позиции и в марте переместилась с 6-й на 8-ю строчку.

«Март стал месяцем стабильности для спама. Это отразилось не
только на доли почтового мусора, но и на распределении основных его
источников, прежде всего США и Китае, на долю которых приходится до 43%
всех нежелательных сообщений, — прокомментировала Татьяна
Щербакова, старший спам-аналитик «Лаборатории Касперского».
— В апреле мы ожидаем уменьшение количества рассылок, использующих
тематику различных праздников для рекламы товаров и услуг, но в то же
время весьма вероятно появление русскоязычного «пасхального»
спама. Одновременно, из-за двукратного увеличения в марте доли
фишинговых писем пользователям также следует быть более осмотрительными
с почтой. Это в первую очередь касается владельцев аккаунтов в соцсетях,
на которых приходится треть всех фишинговых атак».

Ознакомиться с полной версией спам-отчета за март 2013 года можно на
сайте www.securelist.com/ru.

Dr.Web

17 апреля 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — зафиксировала случаи распространения поддельного антивирусного приложения для ОС Android, осуществляемого при помощи рекламных сообщений, которые демонстрируются в различных программах и предлагают проверить мобильное устройство на наличие вирусных угроз. Пользователи, согласившиеся на такое предложение, рискуют загрузить троянца, принадлежащего к семейству Android.Fakealert.

Отображаемые в Android-приложениях рекламные сообщения уже давно используются злоумышленниками для распространения различных вредоносных программ. Это весьма эффективный и относительно недорогой способ охватить широкую аудиторию пользователей, поэтому неудивительно, что мошенники решили применить данный метод вновь. Обнаруженная специалистами компании «Доктор Веб» реклама предлагает владельцам мобильных Android-устройств проверить операционную систему на наличие вредоносных программ и в случае согласия выполняет переадресацию на веб-сайт, откуда пользователи могут загрузить «антивирус», являющийся на самом деле троянцем Android.Fakealert.4.origin.

Троянцы семейства Android.Fakealert известны с октября 2012 года. Они представляют собой программы, которые выдают себя за полноценные антивирусные приложения и имитируют обнаружение тех или иных угроз. Чтобы избавиться от якобы найденных вредоносных программ, пользователь должен заплатить определенную сумму. Подобная схема не является новой и хорошо знакома владельцам персональных компьютеров.

После установки и запуска Android.Fakealert.4.origin уведомляет пользователя об обнаружении угрозы, однако, как и следовало ожидать, при попытке устранить ее предлагает приобрести полнофункциональную версию программы.

Помимо предупреждения о заражении в своем главном меню Android.Fakealert.4.origin также может выводить соответствующее уведомление в нотификационной панели операционной системы.

Компания «Доктор Веб» призывает пользователей мобильных Android-устройств критически относиться к разного рода рекламным сообщениям, которые могут встретиться в приложениях, а также играх, и при необходимости использовать надежные и зарекомендовавшие себя антивирусные решения.

Dr.Web

Специалисты компании «Доктор Веб» – российского производителя антивирусных средств защиты информации – обнаружили новую и крайне оригинальную версию вредоносной программы Trojan.Mayachok. Троянцы этого семейства уже насчитывают порядка 1500 различных модификаций, причем некоторые из них являются самыми распространенными на компьютерах пользователей по статистике Dr.Web. Trojan.Mayachok.18607 позволяет встраивать в просматриваемые пользователями веб-страницы постороннее содержимое, благодаря чему злоумышленники получают возможность зарабатывать на жертвах этой вредоносной программы, подписывая их на различные платные услуги.

В процессе изучения архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор Веб» сложилось впечатление, что автор попытался переписать код этой вредоносной программы «с чистого листа», опираясь на логику семейства Trojan.Mayachok. То есть, не исключено, что у популярных среди злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии. В 32-разрядных версиях Windows Trojan.Mayachok.18607 встраивается в предварительно запущенный процесс explorer.exe, после чего пытается встроиться в другие процессы. В архитектуре вредоносной программы предусмотрен механизм восстановления целостности троянца в случае его удаления или повреждения.

В 64-разрядных версиях Windows троянец действует несколько иначе: Trojan.Mayachok.18607 видоизменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, запускает свой исполняемый файл и еще одну копию самого себя, после чего удаляет файл дроппера. Троянец периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.

В момент запуска Trojan.Mayachok.18607 определяет наличие на инфицированном компьютере антивирусных программ, проверяя имена активных процессов, а также пытается определить, не запущен ли он в виртуальной среде. Завершив установку в инфицированной системе, Trojan.Mayachok.18607 пытается встроиться во все процессы Windows, в том числе, в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл. После этого Trojan.Mayachok.18607 устанавливает соединение с управляющим сервером и отправляет злоумышленникам информацию об инфицированном компьютере. Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы.

Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое. Например, на сайте социальной сети «ВКонтакте» пользователю может быть продемонстрировано сообщение:

На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.

Проверка системного файла hosts, в который некоторые троянцы вносят изменения (что может служить одним из признаков заражения), также не принесет должного результата: Trojan.Mayachok.18607 не модифицирует данный файл. При этом троянец располагает вариантами поддельных веб-страниц для многих интернет-ресурсов, в частности, пользователи социальной сети «Одноклассники» могут получить сообщение следующего содержания:

Вы пытаетесь зайти из необычного места. Если вы пытаетесь войти из привычного места, возможно, провайдер сменил ваш IP.

После ввода номера мобильного телефона пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость подписки составляет 20 рублей в сутки. Услуга предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки»: с номера 6681 жертве приходит СМС с текстом «Для подтверждения ответьте DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)». Стоимость ответного сообщения составляет 304.79 руб.

На том же IP-адресе, где располагается сайт vkmediaget.com, платные услуги которого монетизирует троянец Trojan.Mayachok.18607, располагаются и другие интернет-ресурсы, например, odmediaget.com (для пользователей соцсети odnoklassniki.ru) — имена и оформление таких веб-страниц специально подобраны с целью ввести пользователей в заблуждение. Кроме того, на данном сервере расположен сайт mediadostupno.com, якобы предоставляющий услуги анонимайзера. В данном случае, как и во множестве аналогичных, сайт используется как прикрытие для одобрения предоставляемой подписки со стороны контент-провайдера и подключения мобильных платежей.

Сигнатура данной угрозы присутствует в вирусных базах Dr.Web. Если вы пострадали от действий троянца Trojan.Mayachok.18607, проверьте ваш компьютер с помощью антивируса, или воспользуйтесь бесплатной лечащей утилитой Dr.Web CureIt!

Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям

Posted: Апрель 12, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, компьютеры, лечение, поиск, пользователи, программы, софт, срочно, угрозы, Trojan
Метки: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

screen

screen

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!