Записи с меткой «файлы»

Kaspesky Labs support logo

Утилиты для борьбы с вирусами: Неделя №49 (2 декабря 2013)

Уважаемые пользователи,

Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю №49 (2 Декабря 2013):

Название утилиты Версия Статус
TDSSKiller 3.0.0.19 18 Ноября 2013
XoristDecryptor 2.3.22.0 19 Ноября 2013
RectorDecryptor 2.6.10.0 Обновлена (Последнее обновление — 25 Ноября 2013)
RakhniDecryptor 1.3.0.0 Обновлена (Последнее обновление — 29 Ноября 2013)
CapperKiller 1.0.10.0 10 Июня 2013
KidoKiller 3.4.14 25 Мая 2010
FippKiller 1.0.2 23 Июля 2012
RannohDecryptor 1.1.0.0 30 Апреля 2012
SalityKiller 1.3.6.0 12 Ноября 2010
VirutKiller 1.0.11.0 19 Ноября 2011
XpajKiller 1.6.6.0 25 Февраля 2013
ZbotKiller 1.3.0.0 27 Августа 2010
RadminerFlashRestorer 1.0.0 08 Февраля 2013
klwk 12.0.0.20 08 Февраля 2013
KatesKiller 1.2.2 21 Декабря 2009
PMaxKiller 1.0.1 08 Февраля 2013
DigitaCure 1.3 08 Февраля 2013
CleanAutoRun 1.2.0.0 03 Февраля 2013
Kaspersky Virus Removal Tool 11.0.0.1245 11 Марта 2013
Kaspersky Rescue Disk + WindowsUnlocker 10.0.32.17 20 Марта 2013
Flashfake Removal Tool 1.1 13 Апреля 2012

Подробную информацию вы можете найти на Портале технической поддержки.

Реклама

«Доктор Веб»: обзор вирусной активности за май 2013 года

Posted: Июнь 7, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

3 июня 2013 года

В начале мая был обнаружен опасный троянец, подменяющий открываемые пользователями в окне браузера веб-страницы. Другая вредоносная программа, также добавленная в вирусные базы в мае, атаковала пользователей социальных сетей Facebook, Google Plus и Twitter. В конце месяца специалисты «Доктор Веб» перехватили еще один управляющий сервер ботнета Rmnet, с помощью которого был выявлен факт распространения двух новых компонентов этого файлового вируса. Также в мае были обнаружены и новые вредоносные объекты, угрожающие пользователям мобильной платформы Android, — в основном программы-шпионы.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, абсолютным лидером по числу заражений в мае стал троянец Trojan.Hosts.6815 (2,53% от общего количества инфицированных компьютеров), на втором месте расположился троянец Trojan.Mods.1, подменяющий содержимое просматриваемых пользователем веб-страниц — об этой вредоносной программе подробно рассказано в опубликованном на сайте Dr.Web новостном материале. Всего в течение месяца лечащей утилитой Dr.Web CureIt! было обнаружено 15 830 экземпляров этого троянца, что составляет 1,95% от общего числа выявленных угроз. По-прежнему велико число случаев обнаружения вредоносных программ семейства Trojan.Mayachok в оперативной памяти компьютеров пользователей, также на инфицированных ПК достаточно часто встречается бэкдор BackDoor.IRC.NgrBot.42 и различные модификации троянцев семейства Trojan.Redirect. Двадцатка наиболее распространенных майских угроз, по данным лечащей утилиты Dr.Web CureIt!, приведена в представленной ниже таблице.

Название %
Trojan.Hosts.6815 2.55
Trojan.Mods.1 2.01
Trojan.MayachokMEM.7 1.50
BackDoor.IRC.NgrBot.42 1.41
Trojan.Redirect.147 1.36
Trojan.Redirect.140 1.35
Trojan.Hosts.6838 1.22
Trojan.Mods.2 1.01
Trojan.Packed.24079 0.97
Trojan.DownLoader8.48947 0.85
Trojan.Zekos 0.85
Trojan.PWS.Stealer.1932 0.74
Win32.HLLP.Neshta 0.71
BackDoor.Gurl.2 0.69
Trojan.Hosts.6708 0.59
Trojan.SMSSend.2363 0.51
Trojan.Packed.142 0.49
Trojan.Packed.142 0.44
Trojan.Packed.142 0.42
Trojan.DownLoader9.19157 0.41

Ботнеты

Специалисты компании «Доктор Веб» в настоящее время взяли под контроль две подсети ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, каждая из которых имеет собственный управляющий сервер. В мае 2013 года общее количество активно действующих ботов в первой бот-сети Win32.Rmnet.12 составило 619 346 единиц, во второй — 459 524, при этом за последние 10 суток к первому ботнету присоединилось еще 116 617 инфицированных машин, а ко второму — 143 554. Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тысяч инфицированных машин соответственно. Вот как выглядит динамика прироста данных ботнетов за период с 19 по 29 мая 2013 года:

В то же самое время прирост бот-сети Win32.Rmnet.16 идет чрезвычайно медленными темпами: всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Таким образом, можно сделать вывод, что файловый вирус Win32.Rmnet.16 сегодня не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 года компания «Доктор Веб» сообщила о перехвате контроля над одним из управляющих серверов ботнета, созданного с использованием троянца BackDoor.Bulknet.739. Данная вредоносная программа предназначена для массовой рассылки спама и имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. Если на начало апреля к данному управляющему серверу обращалось всего порядка 7 000 инфицированных компьютеров, то на конец мая количество активно действующих ботов выросло до значения 17 242, при этом динамику роста ботнета в период с 19 по 29 мая можно проследить на представленном ниже графике.

В конце мая специалистам «Доктор Веб» удалось установить контроль еще над одним управляющим сервером бот-сети Rmnet. В этой подсети был выявлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй позволяет отключать на зараженной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG. Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на контролируемом специалистами «Доктор Веб» управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин. Динамику прироста бот-сети можно проследить с помощью представленной ниже диаграммы.

Более подробную информацию о данной угрозе можно получить из опубликованного компанией «Доктор Веб» новостного материала.

Продолжает действовать и ботнет BackDoor.Dande — этот троянец заражает только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов: информацию из этих приложений и ворует вышеупомянутый троянец. В настоящий момент специалистам «Доктор Веб» известно о двух подсетях BackDoor.Dande: в одной действует 331 зараженная машина, в другой насчитывается 1 291 инфицированный компьютер.

Несмотря на то, что с момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, прошло уже больше года, данная бот-сеть продолжает действовать и сегодня: на текущий момент в ней насчитывается 65 987 инфицированных «маков».

В феврале 2013 года компания «Доктор Веб» сообщала об обнаружении троянца Linux.Sshdkit, атакующего работающие под управлением ОС Linux серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец транслирует на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Угроза месяца: Trojan.Facebook.311

Пользователи социальных сетей уже неоднократно становились мишенью киберпреступников и распространителей вредоносных программ. Так, в середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311, представляющей собой написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Распространялись эти вредоносные плагины с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом «обновления безопасности для просмотра видео».

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить конфигурационный файл, содержащий соответствующий набор команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить «лайки», размещать сообщения на стене, отправлять личные сообщения и т. д. При этом вредоносная программа обладает функционалом для работы не только в социальной сети Facebook, но и для взаимодействия с социальными сетями Twitter и Google Plus, — в частности, она наделена функцией рассылки спама. С более подробным исследованием данной угрозы можно ознакомиться в новости на сайте «Доктор Веб».

Атака на пользователей Skype

23 мая многочисленные интернет-СМИ сообщили о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, поступали от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая в свою очередь закачивала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троянец рассылает сообщения по контакт-листам месседжеров Skype, Windows Messenger, QIP, Google Talk и Digsby.

Сигнатура троянца Trojan.SkypeSpam.11 была добавлена в вирусные базы Dr.Web еще 22 мая.

Угрозы для Android

Для мобильной платформы Android май оказался весьма неспокойным периодом: на протяжении всего месяца специалистами компании «Доктор Веб» фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Так, вредоносная программа Android.Pincer.2.origin, обнаруженная в середине месяца, является довольно опасным троянцем, предназначенным для перехвата входящих СМС-сообщений и переадресации их на удаленный сервер. Авторами Android.Pincer.2.origin предусмотрена возможность отслеживать сообщения, поступающие c определенного номера, для чего троянцу посредством СМС поступает соответствующая команда. Распространяемая злоумышленниками под видом установщика сертификата безопасности, данная вредоносная программа может представлять серьезную опасность для владельцев мобильных Android-устройств, т. к. среди перехватываемых ею сообщений могут находиться как проверочные (одноразовые) mTAN-коды систем «Банк-Клиент», так и другая конфиденциальная информация. Более подробно об этой угрозе можно узнать, прочитав соответствующую публикацию на сайте «Доктор Веб».

В мае также был обнаружен очередной троянец-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Аналогично предшественникам, новая вредоносная программа, добавленная в вирусную базу как Android.AccSteal.1.origin, распространялась под видом приложения из категории «для взрослых» и после запуска загружала на удаленный сервер следующую информацию: имя учетной записи Google Mail, IMEI-идентификатор и название модели мобильного устройства, а также номер сотового телефона пользователя.

Примечательно, что в отличие от других подобных вредоносных программ, троянец действительно выполняет ожидаемую от него функцию, а именно позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне. Учитывая, что Android.AccSteal.1.origin распространяется при помощи веб-сайта, страницы которого имитируют уже устаревший внешний вид каталога Google Play, такое поведение можно объяснить желанием злоумышленников вызвать как можно меньше подозрений со стороны пользователей, но при этом обеспечить достаточно высокий процент успешного сбора их персональной информации.

Киберпреступники не обошли стороной и китайских пользователей: троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из популярных китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об СМС-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троянец способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2013 00:00 — 30.05.2013 18:00
1 Trojan.PWS.Panda.3734 1.49%
2 Trojan.PWS.Panda.4379 1.20%
3 Trojan.Oficla.zip 0.90%
4 Trojan.Packed.196 0.80%
5 Trojan.Inject2.23 0.75%
6 Win32.HLLM.MyDoom.54464 0.63%
7 Trojan.DownLoader9.17531 0.58%
8 Trojan.PWS.Stealer.2877 0.54%
9 Trojan.PWS.Panda.655 0.54%
10 Trojan.PWS.Stealer.946 0.53%
11 Trojan.Packed.666 0.53%
12 Exploit.CVE2012-0158.28 0.49%
13 Trojan.PWS.Stealer.2833 0.46%
14 Win32.HLLM.MyDoom.33808 0.44%
15 Trojan.PWS.Stealer.2824 0.39%
16 Trojan.PWS.Stealer.2861 0.39%
17 Trojan.PWS.Stealer.2864 0.37%
18 Exploit.CVE2012-0158.27 0.34%
19 BackDoor.IRC.NgrBot.42 0.34%
20 VBS.Rmnet.2 0.32%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2013 00:00 — 30.05.2013 18:00
1 SCRIPT.Virus 0.71%
2 Adware.Downware.915 0.71%
3 Tool.Unwanted.JS.SMSFraud.26 0.50%
4 Win32.HLLW.MyBot 0.48%
5 Adware.InstallCore.115 0.47%
6 Adware.Downware.179 0.45%
7 Adware.InstallCore.114 0.45%
8 Adware.Downware.1157 0.44%
9 Adware.InstallCore.101 0.36%
10 Tool.Unwanted.JS.SMSFraud.29 0.33%
11 Adware.Webalta.11 0.33%
12 Adware.Downware.1132 0.32%
13 Tool.Unwanted.JS.SMSFraud.10 0.31%
14 Trojan.Hosts.6708 0.30%
15 BackDoor.IRC.NgrBot.42 0.28%
16 Trojan.DownLoader9.19157 0.28%
17 Tool.Skymonk.11 0.28%
18 Trojan.Hosts.6838 0.28%
19 Win32.HLLW.Shadow 0.27%
20 Win32.HLLW.Autoruner.59834 0.26%

ИСТОЧНИК

Dr.Web

22 апреля 2013 года

Глядя на современную статистику распространения вредоносных программ, можно смело сказать, что троянцы-шифровальщики семейства Trojan.Encoder занимают в ней весьма высокие позиции. Компания «Доктор Веб» — российский разработчик средств защиты информации — предупреждает пользователей о массовом распространении двух новых модификаций этих троянцев – Trojan.Encoder.205 и Trojan.Encoder.215. Опасны они тем, что вымогают у пользователей тысячи долларов за расшифровку файлов. Специалисты «Доктор Веб» предлагают бесплатные рекомендации, которые помогут жертвам устранить последствия заражения этими вредоносными программи и расшифровать файлы.

Троянцы-шифровальщики за последние годы стали весьма распространенной категорией угроз. Во многом благодаря выгодной для злоумышленников модели монетизации, аналогичной той, что использовалась при массовом распространении Trojan.Winlock. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры требуют у жертвы оплатить их расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.

Троянец Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 – начали массово распространяться в конце марта — начале апреля 2013 года. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. По данным на пятницу, 19 апреля 2013 года в службу технической поддержки компании «Доктор Веб» уже обратилось 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы троянца Trojan.Encoder.215, при этом заявки продолжают поступать.

Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране следующее сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.», при этом жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com.

В последнее время наблюдается распространение еще одной модификации данной угрозы, отличающейся от предшественниц другим текстом и адресом электронной почты (на 19 апреля служба технической поддержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).

Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем, этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Если вы стали жертвой указанных вредоносных программ, воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никаких файлов на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
  • к тикету приложите зашифрованный троянцем файл;
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

В первой половине октября 2012 года был замечен резкий всплеск активности троянцев-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троянец Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype.

Вирусная обстановка

Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы троянца BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троянец Trojan.Mayachok.17994, а вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз следует отметить многочисленные модификации троянцев семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 года), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201. Десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, показана в представленной ниже таблице.

Угроза %
Trojan.MayachokMEM.4 2,34
BackDoor.IRC.NgrBot.42 2,18
Exploit.CVE2012-1723.13 1,64
Trojan.Mayachok.17994 1,47
Trojan.Mayachok.1 1,29
Java.Downloader.697 1,18
Trojan.SMSSend.2363 0,96
Win32.HLLP.Neshta 0,93
Trojan.Mayachok.17986 0,82
Win32.Sector.22 0,71

Распределение обнаруженных в течение месяца угроз по классам показано на следующей диаграмме:

screen

Ботнеты

Специалисты компании «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, широко известный ботнет Backdoor.Flashback.39, который составляют инфицированные компьютеры под управлением операционной системы Mac OS X, в течение месяца сократился очень незначительно: по данным на 30 октября популяция этого троянца составляет 105730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109372. Прирост бот-сети Backdoor.Flashback.39 практически остановился, однако владельцы Apple-совместимых компьютеров, судя по всему, не торопятся проводить антивирусную проверку своих машин, чтобы окончательно избавиться от данного троянца.

Как и предполагалось ранее, в начале октября бот-сеть Win32.Rmnet.12 преодолела по числу зараженных ПК пятимиллионную отметку, а к концу месяца достигла пяти с половиной миллионов инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Динамика изменения численности этого ботнета показана на приведенном ниже графике:

screen

Как уже упоминалось ранее, файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета. При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).

Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться — динамику этого процесса можно проследить на представленной ниже диаграмме. Общая численность сети на 30 октября 2012 года составила 254838 инфицированных ПК, что на 16373 компьютера больше по сравнению с показателями на начало месяца.

screen

Вредоносный спам

В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.

screen

Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97. Мы подробно рассказывали о подобных вредоносных рассылках в одном из своих новостных материалов, но по-прежнему рекомендуем пользователям проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Наконец, в последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.

Угрозы для Android

С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Напомним, что эти троянцы представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для троянца Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троянец не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.

Угроза месяца: Trojan.GBPBoot.1

Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование Trojan.GBPBoot.1.

С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 можно назвать довольно примитивным: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа прежде всего тем, что имеет возможность серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи. Более подробно узнать о внутреннем устройстве троянца Trojan.GBPBoot.1 можно из опубликованного компанией «Доктор Веб» информационного материала.

Другие угрозы октября

В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. С подробной информацией об этой угрозе можно ознакомиться в соответствующей статье, опубликованной на сайте news.drweb.com.

Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения, подробно описанным в опубликованной на сайте Dr.Web обзорной статье.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2012 00:00 — 31.10.2012 23:00
1 Trojan.Necurs.97 1.40%
2 Trojan.Oficla.zip 1.20%
3 JS.Redirector.145 1.13%
4 Trojan.PWS.Stealer.946 0.84%
5 JS.Redirector.150 0.80%
6 Win32.HLLM.MyDoom.54464 0.58%
7 Exploit.CVE2010-3333.6 0.53%
8 BackDoor.Andromeda.22 0.53%
9 Trojan.PWS.Panda.786 0.47%
10 Trojan.DownLoader6.56603 0.47%
11 Win32.HLLM.MyDoom.33808 0.42%
12 Trojan.Siggen4.25819 0.42%
13 BackDoor.Kuluoz.3 0.38%
14 Trojan.Packed.18626 0.36%
15 Trojan.DownLoader7.6770 0.31%
16 Win32.HLLM.Beagle 0.31%
17 Win32.HLLM.Netsky.35328 0.29%
18 Trojan.PWS.UFR.2334 0.29%
19 Trojan.Winlock.6566 0.27%
20 SCRIPT.Virus 0.24%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2012 00:00 — 31.10.2012 23:00
1 Adware.Downware.533 0.82%
2 SCRIPT.Virus 0.51%
3 Tool.Unwanted.JS.SMSFraud.10 0.38%
4 Adware.Downware.179 0.34%
5 Tool.Skymonk.6 0.31%
6 Trojan.Fraudster.329 0.31%
7 Trojan.Fraudster.296 0.30%
8 Adware.Downware.426 0.29%
9 Win32.HLLW.Autoruner.59834 0.27%
10 Win32.HLLW.Shadow 0.27%
11 Tool.Unwanted.JS.SMSFraud.15 0.26%
12 Trojan.Fraudster.320 0.26%
13 Trojan.Fraudster.344 0.25%
14 Trojan.Fraudster.347 0.25%
15 Adware.InstallCore.53 0.25%
16 Trojan.Siggen4.23472 0.24%
17 JS.IFrame.317 0.23%
18 Exploit.CVE2012-1723.13 0.23%
19 Trojan.SMSSend.2363 0.23%
20 Adware.Downware.316 0.23%

Евгений Касперский: «Пора дать отпор кибероружию»

Евгений Касперский, генеральный директор «Лаборатории
Касперского», назвал международное сотрудничество и
усовершенствование технологий защиты основными условиями выживания в
эпоху гонки кибервооружений. В своей речи на конференции ITU Telecom
World 2012 (http://world2012.itu.int/) в Дубае Евгений рассказал об
опасностях кибероружия и о подходе компании к обеспечению защиты
критически важных промышленных систем.

«В долгосрочной перспективе кибероружие, несомненно, причинит вред
всем: и нападающим, и жертвам, и просто сторонним наблюдателям. В
отличие от традиционного вооружения, элементы кибероружия могут быть
легко перепрограммированы противником. Выживание в таких условиях может
гарантировать только новая, более совершенная парадигма безопасности для
критически важных информационных систем»,  — подчеркнул
Евгений Касперский.      Основные тезисы доклада
Евгения Касперского
*  Традиционное вредоносное ПО уже оказывает
побочное воздействие на критически важную инфраструктуру
(http://www.securelist.com/ru/threats/detect?chapter=117)
*  Причиной
таких инцидентов, как отключение энергоснабжения в США и Канаде в 2003
году, становятся сбои в работе ПО и отсутствие возможности отслеживать
реальное состояние энергосистем.
*  Продолжающаяся гонка
кибервооружений делает проблему защиты критической инфраструктуры еще
более серьезной:
*  В 2010 и 2011 годах были обнаружены червь Stuxnet
(http://www.securelist.com/ru/blog?topic=199193773) и троянец Duqu
(http://www.securelist.com/ru/blog?topic=199193785);
*  В течение 2012
года уже обнаружены вредоносные программы Gauss
(http://www.securelist.com/ru/blog/207764132/Gauss_gosudarstvennyy_kibershpionazh_plyus_bankovskiy_troyanets)
и Flame
(http://www.securelist.com/ru/blog/207763998/Flame_chasto_zadavaemye_voprosy),
а также miniFlame
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya).

*  Кибероружие универсально, оно не знает границ. Его воздействие на
критически важные промышленные системы может быть разрушительным.

*  Надлежащая защита уязвимых промышленных систем должна стать
приоритетом номер один.

В ходе своего выступления Евгений Касперский описал основные меры,
обеспечивающие защиту промышленных систем управления. Новая, надёжная
система для получения достоверной информации о работе промышленного
объекта должна стать первым шагом на пути к эффективной защите от
кибероружия. Именно поэтому «Лаборатория Касперского» в
настоящее время работает над созданием безопасной операционной системы,
способной стать доверенным узлом в промышленной системе
управления.

Узнайте больше о позиции «Лаборатории Касперского» в
отношении безопасности промышленных систем управления, а также о
требованиях к безопасной операционной системе:

в блог-посте Евгения Касперского:
http://eugene.kaspersky.ru/2012/10/16/secure-os-for-industrial-control-system-scada/
(http://eugene.kaspersky.ru/2012/10/16/secure-os-for-industrial-control-system-scada/).

в аналитической статье, подготовленной департаментом защиты промышленных
систем «Лаборатории Касперского», на сайте:
www.securelist.com/ru/analysis/208050772/Bezopasnost_klyuchevykh_sistem_informatsionnoy_infrastruktury_tochka_doveriya
(http://www.securelist.com/ru/analysis/208050772/Bezopasnost_klyuchevykh_sistem_informatsionnoy_infrastruktury_tochka_doveriya).

«Кибероружие угрожает не только государствам и компаниям, но и
простым людям. Мы не можем позволить кибервооружению остановить
технологический прогресс. Наша цель — не допустить, чтобы
киберугрозы влияли на работу критически важных информационных систем. И
эта задача должна решаться при участии всех заинтересованных сторон, на
международном уровне», — заявил в финале своего выступления
Евгений Касперский.

Массовое заражение веб-сайтов является одной из самых больших проблем в современной IT-безопасности. О том, насколько велика эта проблема, можно судить, например, по числу запросов в наш отдел технической поддержи, касающихся предупреждений о вредоносных веб-сайтах. Владельцы веб-сайтов обычно жалуются на то, что наш продукт ошибочно блокирует доступ к их порталу, и это, очевидно, ложное срабатывание, поскольку они не размещают никакого вредоносного контента. К сожалению, в большинстве случаев они не правы: на их сайтах действительно можно найти вредоносные скрипты, внедренные киберпреступниками в PHP-, JS- или HTML-код. Эти скрипты обычно перенаправляют пользователей на вредоносные URL-ссылки, с которых загружаются вредоносные программы и исполняются на компьютере пользователя. В большинстве случаев процесс исполнения вредоносного кода абсолютно невидим пользователю: ему кажется, что веб-сайт работает как обычно. Вредоносный код незаметно укрепляется на атакуемом компьютере, используя уязвимости в установленном ПО (Java, Flash, программах просмотра PDF-файлов, плагинах к браузерам и т.д.). Этот метод называется drive-by загрузка и подробно описывался на Securelist.

В настоящей статье мы хотим сфокусировать внимание читателя на том, что может помочь администраторам веб-сайтов распознать вредоносное ПО и удалить его с веб-сайтов.

  • Что происходит? Симптомы заражения вредоносным ПО
  • Что искать? Примеры вредоносного кода
  • Как это случилось? Направления и методы атак
  • Для чего это делается? Цели киберпреступников
  • Как справиться с заражением веб-сайта? Методы удаления
  • Как предотвратить заражение веб-сайта? Основы безопасности при администрировании веб-ресурса

Симптомы заражения

Как узнать, что ваш веб-сайт оказался заражён? Наиболее очевидные симптомы таковы:

  • пользователи жалуются на то, что веб-сайт блокируется браузером и/или антивирусными программами
  • веб-сайт внесён в чёрный список Google или в другую базу вредоносных URL-адресов
  • произошли серьёзные изменения в объёме трафика и/или в рейтингах поисковых систем
  • веб-сайт не работает как следует, выдаёт ошибки и предупреждения
  • после посещения веб-сайта компьютер ведёт себя странно.

Зачастую вредоносный код остаётся незамеченным в течение долгого времени, особенно в случае заражения очень сложными зловредами. Такое вредоносное ПО обычно сильно обфусцировано, чтобы ввести в заблуждение и администраторов веб-сайтов, и антивирусные программы; оно всё время меняет доменные имена, на которые перенаправляет пользователей, обходя таким образом чёрные списки. Если нет ни одного из приведенных симптомов, это хороший показатель чистоты вашего сервера, хотя, увы, не 100%-ный; поэтому, оставайтесь бдительными к любой подозрительной активности.

Самым очевидным признаком заражения любым вредоносным ПО является присутствие вредоносного/подозрительного кода в одном или нескольких файлах — преимущественно в формате HTML, PHP или JS, а с некоторых пор и ASP/ASPX. Этот код найти нелегко, требуется владение по меньшей мере основами программирования и разработки веб-сайтов. Для того чтобы читатель лучше понял, как выглядит вредоносный код, мы приводим несколько примеров самого обычного заражения веб-страниц.

Пример 1: простая переадресация

Самым старым и самым простым методом, используемым киберпреступниками, является добавление простого HTML iframe-тега в код HTML-файлов на сервере. Адрес, используемый для загрузки вредоносного веб-сайта в IFrame, указан в качестве атрибута SRC; атрибут VISIBILITY со значением “hidden” делает фрейм невидимым для пользователя, посещающего веб-сайт.

 
Рисунок 1: Вредоносный IFrame внутри HTML-кода веб-сайта

Другой метод выполнения вредоносного скрипта в браузере пользователя — это внедрение ссылки на этот скрипт в HTML-файл в качестве атрибута src в тегах script или img:

 
Рисунок 2: Примеры вредоносных ссылок

Последнее время все чаще встречаются случаи, когда вредоносный код динамически генерируется и внедряется в HTML-код вредоносными JS- или PHP-скриптами. В таких случаях код видим только в представлении исходного кода страницы из браузера, но не в физических файлах на сервере. Киберпреступники могут дополнительно определять условия, когда вредоносный код должен генерироваться: например, только когда пользователь перешёл на сайт с определённых поисковых систем или открыл веб-сайт в конкретном браузере.

Чтобы обмануть и владельца веб-сайта, и антивирусное ПО, а также затруднить анализ вредоносного кода, киберпреступники используют разнообразные методы обфускации кода.

Пример 2: «Ошибка 404: страница не найдена»

В этом примере вредоносный код внедряется в шаблон сообщения, которое выводится, когда указанный объект не был найден на сервере (всем известная «ошибка 404»). Кроме того, в файлы index.html / index.php внедряется ссылка на какой-либо несуществующий элемент, чтобы незаметно вызывать эту ошибку при каждом посещении пользователем заражённой веб-страницы. Этот метод может спровоцировать некоторую неразбериху: человек, ответственный за веб-сайт, получает сообщение, что некое антивирусное решение пометило веб-сайт как заражённый; после поверхностной проверки оказывается, что вредоносный код был найден в объекте, которого по всей видимости не существует; это приводит к соблазну предположить (ошибочно), что это была ложная тревога.

 
Рисунок 3. Trojan.JS.Iframe.zs — вредоносный скрипт в шаблоне сообщения об ошибке 404

В этом конкретном случае вредоносный код был обфусцирован. После деобфускации можем видеть, что целью скрипта является внедрение тэга IFRAME, который будет использован для перенаправления пользователей на вредоносный URL-адрес.

 
Рисунок 4. Trojan.JS.Iframe.zs — вредоносный код после деобфускации

Пример 3: выборочное внедрение вредоносного кода

Аналогичный код может генерироваться и присоединяться динамически (т.е. в зависимости от конкретных условий) ко всем HTML-файлам, расположенным на сервере, используя вредоносный PHP-скрипт, загруженный на тот же сервер. Скрипт, показанный в следующем примере, проверяет параметр UserAgent (который отсылается браузером пользователя, а также поисковыми ботами) и не добавляет вредоносный код, если веб-сайт сканируется ботом или если посетители сайта пользуются браузерами Opera, Chrome или Safari. Таким образом, пользователи браузеров, неуязвимых к конкретному эксплойту, используемому для атаки, не будут перенаправляться на этот эксплойт. Также стоит заметить, что комментарии в коде намеренно вводят в заблуждение, наводя на мысль о том, что данный скрипт имеет какое-то отношение к статистике бота.

 
Рисунок 5. Trojan.PHP.Iframer.e — код, заражающий PHP-скрипт

Этот метод может также использоваться в обратном направлении: киберпреступники могут внедрять ссылки, ведущие к нелегальному, сомнительному или вредоносному контенту (спаму, шпионскому ПО, пиратскому ПО, фишинговым ресурсам) только если на веб-сайт зашёл поисковый бот. Целью такой атаки является так называемая чёрная оптимизация — механизм поднятия позиции киберкриминального ресурса в поисковой выдаче. Такое вредоносное ПО обычно направлено на популярные веб-порталы с высоким рейтингом, и его довольно сложно обнаружить, поскольку вредоносный код никогда не показывается обычному пользователю. В результате вредоносные веб-сайты получают высокий рейтинг в поисковых системах и оказываются в верхних строчках поисковой выдачи.

Пример 4: хитрая обфускация

Заражающие PHP-скрипты могут также принимать другие формы. Ниже даются два примера, обнаруженные и описанные в нашем блоге несколько месяцев назад (здесь и здесь).

 
Рисунок 6. Trojan-Downloader.PHP.KScript.a —заражающий PHP-скрипт

 
Рисунок 7. Trojan.PHP.Injector.c — заражающий PHP-скрипт

Первый из этих примеров (Trojan-Downloader.PHP.JScript.a) внедряет вредоносный JavaScript в код HTML-файлов сразу за одним из определённых закрывающих тэгов (например, script, div, table, form, p, body). Содержимое внедряемого скрипта написано далеко не простым кодом — оно представлено в виде чисел и хранится в двух массивах — $tr и $tc. Деобфускация выполняется «на лету». Код, генерируемый таким образом, также обфусцирован, но другим способом:

 
Рисунок 8. Trojan.JS.Redirector.px — вредоносный JavaScript, внедрённый в HTML-файл

На первый взгляд можно подумать, что этот скрипт имеет какое-то отношение к цветам, отображаемом на веб-сайте. К сожалению, это впечатление полностью ошибочно — скрипт конвертирует значения, которые хранятся в массиве div_colors, в символы ASCII и затем собирает вредоносный URL-адрес, который дописывается в HTML-файл при помощи функций document.write() или document.createElement().

Второй PHP-скрипт (Trojan.PHP.Injecter.c) написан ещё более хитро: во вредоносном URL-адресе использованы «невидимые» символы — пробелы и знаки табуляции. Если принять пробел за ноль, а знак табуляции — за единицу, получим двоичный код; каждый 8-битный кусочек этого кода — это числовое представление ASCII-символа.

Пример 5: заражённые JavaScript

Рассмотренные выше вредоносные заражающие PHP-скрипты были загружены киберпреступниками на сервер с использованием уязвимостей в системах управления контентом (CMS) или краденых данных для доступа к FTP-серверу. Другой метод — заражение легитимных JS-файлов, уже существующих на сервере. Из всего многообразия примеров следует упомянуть по крайней мере три разных сценария, которые были широко распространены последние несколько месяцев.

В первом случае производится динамическое внедрение следующего кода в HTML-файлы:

 
Рисунок 9. Trojan.JS.Iframe.zs — вредоносный Iframe, динамически внедряемый в HTML

Скрипт, отвечающий за добавление этого кода, помещается в один или несколько JS-файлов на сервере:

 
Рисунок 10. Trojan.JS.Iframe.zs — скрипт, внедряющий Iframe — после деобфускации

В следующем случае для обфускации используется шестнадцатеричное представление ASCII-символов. Все JS-файлы на сервере заражены аналогичным кодом:

 
Рис 11. Trojan-Downloader.JS.Agent.gnm — вредоносный код, внедренный в JS-файлы

При другом популярном сценарии наряду со стандартными методами обфускации в код включены комментарии на латыни — видимо, для того, чтобы скрипт выглядел для администратора легитимным и вызывающим доверие. Тем не менее, эти комментарии являют собой всего лишь случайные фрагменты из известного классического текста Lorem Ipsum.

 
Рис 12. Trojan-Downloader.JS.Twetti.t — вредоносный код, внедряемый в JS-файлы

Наконец, известен случай массового заражения зловредом, при котором используются случайные доменные имена. В случае заражения этим зловредом вы можете обнаружить на своём веб-сайте следующий код:

 
Рис 13. Обфусцированная версия кода, который перенаправляет на сгенерированный случайным образом домен

Пример 6: «gootkit» и обфускация файла целиком

Обфусцированный вредоносный код легко обнаружить среди остального чистого кода, и поэтому недавно киберпреступникам в голову пришла идея обфусцировать содержимое файла целиком, делая таким образом нечитабельным как внедренный, так и легитимный код. Отделить легитимный код от вредоносного невозможно, и вылечить файл можно только после его дешифровки.

 
Рис. 14. Файл, обфусцированный зловредом “gootkit”

Избавиться от первого уровня обфускации несложно, для этого нужно просто поменять функцию eval() на alert() — или print() в случае с консолью — и запустить ее на исполнение. Второй уровень несколько сложнее: в данном случае доменное имя используется в качестве ключа для шифрования кода.

 
Рис. 15: «gootkit» — второй уровень обфускации

После дешифровки можно видеть вредоносный код, идущий за оригинальным содержимым файла:

 
Рис. 16: «gootkit» — деобфусцированный код

Иногда вредоносная часть оказывается второй версией вредоносных программ, о которых шла речь в предыдущем примере, и используется для генерации псевдослучайного доменного имени для переадресации.

Пример 7: .htaccess

Вместо заражения скриптов и HTML-кода киберпреступники могут использовать возможности некоторых файлов, например .htaccess. В таких файлах администратор может определять права доступа к определенным папкам на сервере, а также при определенных обстоятельствах перенаправлять пользователей на другие URL-адреса (например, в случае если пользователь заходит с браузера мобильного устройства, он перенаправляется на мобильную версию веб-сайта). Нетрудно догадаться, каким образом киберпреступники используют подобный функционал…

 
Рис17: вредоносный .htaccess

В приведенном выше примере все пользователи, оказавшиеся на этом веб-сайте, пройдя по ссылке в большинстве крупных поисковых систем (параметр HTTP_REFERER), перенаправляются на вредоносную URL-ссылку. Помимо этого, в этом файле .htaccess определено достаточно большое количество браузеров и ботов, для которых перенаправление не производится (параметр HTTP_USER_AGENT). Перенаправление не происходит также в случае, если веб-страница читается из кеша (referer == cache) или загружается повторно с того же компьютера (параметр cookie).

Подобные зловреды позволяют проводить и более избирательные заражения — например, могут быть исключены конкретные IP-адреса, и при просмотре веб-сайтов из определенного диапазона IP-адресов — например, принадлежащих компании по информационной безопасности — выдача вредоносных результатов отсутствует.

Векторы атак и технологии заражения

Независимо от используемых технологий, киберпреступникам необходимо найти способ доставки вредоносных файлов на сервер или модификации файлов, уже существующих на сервере. Наиболее примитивным методом получения доступа к серверу является взлом пароля доступа. Для этого киберпреступники могут использовать так называемую атаку методом перебора или ее ограниченную версию — атаку «перебора по словарю» (словарную атаку). Такая тактика обычно требует большого количества времени и ресурсов, поэтому редко используется при массовых заражениях веб-сайтов. Среди более популярных сценариев — эксплуатация уязвимостей и вредоносное ПО для кражи паролей.

Использование уязвимостей системы управления контентом/ системы электронной коммерции

Большинство современных платформ управления веб-контентом (такие как система управления контентом (CMS), электронная коммерция, панели управления и т.д.) неидеальны и имеют уязвимости, позволяющие другим лицам без аутентификации загружать файлы на сервер. И хотя поиск таких уязвимостей разработчики ведут постоянно, выпуск патчей занимает большое количество времени; помимо этого, многие пользователи продолжают использовать старые версии программ с большим количеством ошибок. Чаще всего уязвимости находят, естественно, в самых популярных платформах, таких как WordPress, Joomla и osCommerce.

Известный пример такой уязвимости — TimThumb, которая широко использовалась киберпреступниками в разнообразных сценариях drive-by загрузки. TimThumb — PHP-модуль для изменения размера изображений и создания так называемых графических миниатюр, включенный в большинство CMS-шаблонов, находящихся в открытом доступе. Уязвимость позволяет записывать файлы, находящиеся на удаленной машине, на сервер, в директорию для кеша. Еще один пример — уязвимость SQL injection в Plesk Panel (версии 10 и старше), обнаруженная в феврале 2012 года, позволяющая читать базы данных и красть пароли, которые — до недавнего времени — хранились в явном виде. Полученные таким образом регистрационные данные, вероятно, использовались при недавней массовой веб-эпидемии http://www.securelist.com/en/blog/208193624/Who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen.

Использование шпионского ПО для кражи учетных данных для доступа к серверу по FTP

В наиболее распространенных веб-заражениях (например, Gumblar и Pegel) успешным оказался другой метод. На первом этапе киберпреступники распространяют вредоносные программы, разработанные специально для поиска и кражи имен пользователей и паролей к FTP-аккаунтам посредством проверки настроек FTP-клиентов или сканирования сетевого трафика. После нахождения зловредом этих регистрационных данных на зараженном компьютере администратора сайта программа устанавливает соединение с FTP-сервером и загружает вредоносные скрипты или записывает вместо оригинальных файлов их зараженные версии. Само собой разумеется, что до тех пор пока компьютер владельца аккаунта заражен, файлы, хранящиеся на сервере, будут снова и снова заражаться даже после смены регистрационных данных и восстановления всего контента из чистой резервной копии.

Цели киберпреступников

Какова цель заражения веб-сайтов?

  • переадресация пользователей на эксплойты для незаметной установки вредоносных программ на их компьютерах;
  • переадресация пользователей на спам, фишинговый и другой вредоносный, нелегальный или нежелательный контент;
  • перехват/кража посещений сайта / поисковых запросов.
  • продвижение вредоносных/нелегальных веб-сайтов и веб-сайтов, содержащих спам (черная оптимизация);
  • использование ресурсов сервера для нелегальной активности.

По сути здесь нет ничего нового: при заражении веб-сайтов киберпреступниками движет стремление получить непрямую прибыль.

Методы устранения вредоносного кода

Что делать, если ваш сайт атаковали хакеры?

Во-первых, если вы наблюдаете симптомы, которые говорят о возможном заражении, необходимо незамедлительно деактивировать веб-сайт до устранения проблемы. Это действительно исключительно важно, поскольку каждый момент промедления играет на руку киберпреступникам, позволяя заразить еще больше компьютеров и распространить заражение по всему интернету. Следует проверить журналы сервера на наличие подозрительной активности, например странные запросы с IP-адресов, находящихся в странах, нехарактерных для посетителей сайта, и т.п. — это может быть полезно для обнаружения зараженных файлов и определения, как именно киберпреступники получили доступ к серверу.

Но каким же образом бороться с вредоносным кодом?

Резервная копия

Самый быстрый и надежный способ восстановления всего содержимого сервера — с использованием чистой резервной копии. Чтобы сделать это эффективно, необходимо также произвести полную переустановку ПО, работающего на сервере (системы управления контентом / CMF, системы электронной коммерции и т.п.). Разумеется, для этого необходимо использовать самые последние, полностью обновленные версии. После этих действий на сервере не должно остаться никаких зараженных файлов — при условии, что вы стерли все содержимое перед восстановлением, а резервная копия была создана еще до начала атаки.

Автоматическая проверка

Если чистая резервная копия отсутствует, вам ничего не остается как начать бороться с вредоносным ПО. К счастью, существует ряд автоматизированных решений, которые помогут отыскать вредоносный код — включая антивирусные продукты и онлайн-сканеры веб-сайтов, например http://sucuri.net/. Ни одно из них не является идеальным, но в случае с хорошо известным/обычным вредоносным ПО все они могут быть весьма полезными. Начнем с того, что можно проверить веб-сайт при помощи нескольких онлайн-сканеров. Некоторые из них не только определят, действительно ли ваш сайт заражен, но и укажут на вредоносный код в ваших файлах. Затем можно произвести полную антивирусную проверку всех файлов на сервере.

Если вы владелец сервера или если на сервере работает защитное решение, на использование которого у вас есть права, вы можете выполнить проверку на стороне сервера. Убедитесь в том, что вы создали копию ваших файлов, так как некоторые антивирусные сканеры не лечат зараженные файлы, а удаляют их! Можно также загрузить содержимое вашего сервера на локальный компьютер и осуществить его проверку при помощи антивирусного решения для стационарного компьютера. Второй вариант предпочтительней, поскольку в составе большинства современных антивирусных программ для стационарных компьютеров есть хорошо развитый эвристический модуль. Вредоносные программы, поражающие веб-сайты, в высшей степени полиморфны: и если при борьбе с ним сигнатурный анализ практически бесполезен, эвристика позволяет их с легкостью детектировать.

Удаление вручную

Если автоматическая проверка не дала результатов и сообщения о заражении вашего сайта поступают по-прежнему, единственный способ избавиться от зловреда — найти его вручную и удалить весь вредоносный код. Эта непростая задача может занять значительное количество времени, поскольку необходимо проверить каждый файл — будь то HTML, JS, PHP или файл конфигурации — на наличие вредоносных скриптов. Примеры, приведенные выше, — всего лишь небольшая часть разнообразных зловредов для веб-сайтов, поэтому высока вероятность того, что вредоносный код на вашем сайте будет частично или полностью отличаться от этих образцов. И тем не менее большинство современных вредоносных программ для веб-сайтов имеют некоторые общие черты, и эти черты помогут в определении проблемы.

Более всего необходимо уделить внимание тем частям кода, которые выглядят неясными или нечитаемыми. Обфускация кода — технология, часто используемая вирусописателями, — довольно необычна для любого другого ПО, связанного с веб-сайтами. Если вы не обфусцировали код сами, у вас есть все основания иметь относительно него подозрения. Но будьте аккуратны — вредоносным окажется не весь обфусцированный код!

Аналогичным образом, не любой вредоносный скрипт обфусцирован, поэтому имеет смысл искать теги IFRAME в явном виде и другие ссылки на внешние ресурсы во всех ваших файлах. Некоторые из них могут иметь отношение к рекламным объявлениям и статистике, но не попадитесь на удочку специально сформированных URL, которые могут сбивать с толку, имея вид адресов известных и доверенных порталов. Не забывайте проверять код шаблонных сообщений об ошибках, а также все файлы .htaccess.

Полезными инструментами для поиска вредоносного кода на сервере, несомненно, являются grep и find — утилиты, работающие в режиме командной строки, по умолчанию включаемые практически во все системы на основе Unix. Ниже приведены примеры их использования в диагностике наиболее распространенных заражений:

grep -iRs “iframe” *
grep -iRs “eval” *
grep -iRs “unescape” *
grep -iRs “base64_decode” *
grep -iRs “var div_colors” *
grep -iRs “var _0x” *
grep -iRs “CoreLibrariesHandler” *
grep -iRs “pingnow” *
grep -iRs “serchbot” *
grep -iRs “km0ae9gr6m” *
grep -iRs “c3284d” *
find . -iname “upd.php”
find . -iname “*timthumb*”

Описание grep (из руководства Linux): печать строк, соответствующих шаблону; опция -i означает игнорировать регистр; -R означает рекурсивный поиск, а -s предотвращает показ сообщений об ошибках. Первая из перечисленных команд ищет в файлах тэги IFRAME; три остальные ищут наиболее явные признаки обфускации; остальные ищут особые строки, связанные с крупнейшими известными заражениями веб-сайтов.

Что касается find, в руководстве Linux указано: поиск файлов в иерархической структуре папок; «.» (точка) указывает на текущую директорию (так что запускать данные команды следует из корневой директории или домашнего (home) каталога на сервере), параметр -iname определяет файл, который следует искать. Можно использовать регулярные выражения для поиска всех файлов, соответствующих неким критериям.

Разумеется, всегда нужно знать, что именно искать — не все результаты будут указывать на заражение. Неплохо проверить подозрительные части кода антивирусным сканером или попробовать поискать их в google. Очень вероятно, что вы найдете некоторые ответы — как для вредоносного, так и для чистого кода. Если вы по-прежнему не уверены, заражен ли файл, лучше всего деактивировать веб-сайт (на всякий случай) и до принятия каких-либо действий обратиться за советом к специалисту.

Очень важно!

Помимо очистки файлов на сервере необходимо обязательно произвести полную антивирусную проверку всех компьютеров, используемых для загрузки и управления контентом на сервере и сменить все данные для доступа ко всем аккаунтам на сервере(FTP, SSH, панели управления и т.д.), которые вы поддерживаете.

Основы безопасности для веб-сайтов

К сожалению, в большинстве случаев удаления вредоносного кода недостаточно для того, чтобы избавиться от заражения раз и навсегда. Если ваш веб-сайт заражен, возможно, это говорит о существовании уязвимостей, которые позволили киберпреступникам внедрить вредоносные скрипты на сервер; и если вы оставите без внимания эту проблему, в ближайшем будущем вас ждут новые заражения. Чтобы это предотвратить, необходимо принять соответствующие меры для защиты сервера и компьютера/компьютеров, используемых для администрирования сервера.

  • Использование стойких паролей. Несмотря на тривиальность этого совета, это действительно основа безопасности сервера. Необходимо не только менять пароли после каждого инцидента и/или атаки на сервер — они должны меняться на регулярной основе, например ежемесячно. Хороший пароль должен соответствовать особым критериям, о которых можно узнать на нашем веб-сайте www.kaspersky.com/passwords;
  • Регулярное обновление. Необходимо также не забывать о регулярных обновлениях. Киберпреступники часто эксплуатируют уязвимости в ПО независимо от цели вредоносной программы — направлена ли она на пользователей ПК или на веб-сайты. Все программы, с помощью которых вы управляете вашим сервером / контентом сайта, должны быть самых последних версий, а каждое обновление безопасности должно устанавливаться сразу же по его выходе. Использование актуальных версий ПО и своевременная установка всех необходимых патчей поможет снизить риск атаки с использованием эксплойтов. Регулярно обновляемый список известных уязвимостей можно найти на сайте http://cve.mitre.org/;
  • Регулярное создание резервных копий. Имея в запасе чистую копию серверного контента, вы сэкономите массу времени и усилий, не говоря о том, что свежие резервные копии могут, помимо лечения заражения, оказаться очень полезны и в решении других проблем;
  • Регулярная проверка файлов. Даже при отсутствии явных симптомов заражения рекомендуется периодическое сканирование всех файлов на сервере на предмет выявления вредоносного кода;
  • Обеспечение безопасности ПК. Поскольку значительное количество вредоносного ПО для веб-сайтов распространяется через заражённые ПК, безопасность стационарного компьютера, используемого для управления вашим веб-сайтом, является одним из приоритетных аспектов безопасности веб-сайта. Непрерывная поддержка чистоты и безопасности вашего компьютера существенно увеличивает вероятность того, что ваш веб-сайт также будет в безопасности и защищен от вирусов.
  • Обязательными (но не достаточными) должны быть следующие действия:
    • удаление неиспользуемых программ;
    • деактивация ненужных сервисов и модулей;
    • настройка соответствующих политик для отдельных пользователей и групп пользователей;
    • установка адекватных прав доступа к определенным файлам и директориям;
    • отключение показа файлов и каталогов веб-сервера;
    • ведение журналов событий, регулярно проверяемых на наличие подозрительной активности;
    • использование шифрования и безопасных протоколов.

Вредоносное ПО, предназначенное для заражения веб-сайтов, может стать настоящим кошмаром для веб-администраторов и интернет-пользователей. Киберпреступники непрерывно развивают свои технологии, открывая новые эксплойты. Зловреды стремительно распространяются через интернет, поражая серверы и рабочие станции. Справедливо сказать, что надежного способа полностью устранить данную угрозу не существует. Однако каждый владелец веб-сайта и каждый интернет-пользователь может сделать интернет безопаснее, соблюдая основные правила безопасности и постоянно поддерживая безопасность и чистоту своих веб-сайтов и компьютеров.

ИСТОЧНИК

Цифры квартала

  • По данным KSN, во втором квартале 2012 года продукты «Лаборатории Касперского» обнаружили и обезвредили более 1 млрд вредоносных объектов.
  • Зафиксировано распространение вредоносных программ с 89,5  миллионов URL.
  • Обнаружено 14 900 файлов вредоносных программ под Android.
  • Обзор ситуации

Вредоносное ПО для мобильных устройств

Во втором квартале 2012 г. по сравнению с показателями первого квартала практически втрое увеличилось количество Android-троянцев. За три месяца в нашу коллекцию было добавлено более 14 900 вредоносных программ.


Количество обнаруженных модификаций вредоносного ПО для Android OS

Столь активное развитие Android-зловредов говорит о том, что все больше вирусописателей переключаются на разработку вредоносных программ под мобильные устройства. Как и в случае с windows-зловредами, развитие мобильных вредоносных программ привело к формированию черного рынка услуг по их распространению. Основными каналами распространения являются неофициальные магазины приложений и партнерские программы. Нельзя не отметить, что мобильные вредоносные программы становятся все сложнее: злоумышленники активно развивают технологию обфускации и защиты кода, усложняющие анализ зловредов.

Практически половина (49%) обработанных «Лабораторией Касперского» во втором квартале 2012 вредоносных файлов — это различные многофункциональные троянцы, которые крадут с телефона данные (имена контактов, почтовые адреса, телефоны и т.д.), а также могут загружать дополнительные модули с серверов злоумышленников.

Четверть обнаруженных вредоносных программ для Android OS приходится на SMS-троянцев. Эти зловреды выкачивают деньги со счетов жертв, отправляя без ведома хозяев мобильных устройств SMS на платные номера. Пару лет назад такие программы можно было встретить лишь в республиках бывшего СССР, в  Юго-Восточной Азии и Китае. Сейчас же они расползаются по всему миру: во втором квартале 2012 г. мы защитили от SMS-зловредов пользователей в 47 странах.

18% обнаруженных во втором квартале Android-зловредов — бэкдоры, дающие злоумышленникам возможность полного контроля над зараженным устройством. На основе таких программ создаются мобильные ботнеты.


Распределение обнаруженных в Q2 вредоносных программ под Android OS по поведениям

Пока что среди вредоносных программ под Android доля Trojan-Spy невелика – лишь два процента. Однако именно эти программы представляют наибольшую опасность для пользователей. Ведь они охотятся за самой ценной информацией, открывающей злоумышленникам доступ к банковским счетам пользователей.

В июне эксперты «Лаборатории Касперского» обнаружили новую версию мобильной вредоносной программы, занимающейся кражей входящих SMS. Программа маскировалась под Android Security Suite Premium. Однако примечателен этот троянец по другой причине: все серверы управления этой вредоносной программой были зарегистрированы на одного человека. Конечно, это были фальшивые данные, но точно такие же данные были использованы и для регистрации ряда управляющих доменов Zbot (ZeuS). Отсюда можно сделать вывод, что кража SMS нацелена именно на получение кодов авторизации банковских транзакций и зловред относится к семейству Trojan-Spy.AndroidOS.Zitmo.

Мас-зловреды

Количество обнаруженных Mac-зловредов по сравнению с первым кварталом 2012 г. уменьшилось: в наши антивирусные базы были добавлены записи, детектирующие 50 вредоносных программ для Mac OS X.

После обнаружения в прошлом квартале ботнета FlashFake, состоявшего более чем из 700 000 Mаc-компьютеров, компания Apple активнее занялась вопросами безопасности своей операционной системы. Примерами могут служить и выпуски критических патчей для Oracle Java одновременно с их windows-версиями, и анонсированные функции защиты следующей версии Mac OS X: настроенная по умолчанию установка программ только из официального магазина плюс использование песочницы для программ, загруженных из магазина, автоматическая установка обновлений и т.д.


Количество новых записей для платформы Mac OS X, добавленных в антивирусные базы ЛК.
Второй квартал 2012

Прогноз, согласно которому атаки на Mac-пользователей продолжатся во втором квартале, оправдался. В конце июня 2012 года наши антивирусные радары зафиксировали новую целевую атаку, направленную против уйгурских Mac-пользователей в Китае. В отличие от предыдущей атаки злоумышленники не использовали для доставки зловреда на атакуемые компьютеры никаких эксплойтов. На этот раз определенному кругу лиц были разосланы письма с zip-архивом. Архив содержал jpg-файл и приложение для Mac, имеющее иконку текстового документа. Это классический пример социальной инженерии. Основным компонентом атаки стал исполняемый файл, замаскированный под текстовый документ, — бэкдор для Mac OS Х, работающий как на архитектуре i386, так и на PowerPC, и детектируемый нашими продуктами как Backdoor.OSX.MaControl.b. Был обнаружен также Windows-бэкдор, который использовался в этой же атаке.

Бэкдор выполняет множество функций, в частности позволяет получать файлы с зараженной машины. Данные с конфигурацией серверов управления зашифрованы достаточно простым способом, поэтому удалось установить, что сервер управления находится в Китае.

Продукты компании Apple пользуются популярностью у многих влиятельных политических деятелей и крупных бизнесменов, и информация, хранящаяся на устройствах этих людей, представляет интерес для определенной категории злоумышленников. Это означает, что APT-атаки, нацеленные на Mac-пользователей, продолжатся. Эволюция целевых атак может пойти по пути развития кроссплатформенных зловредов, которые будут иметь похожий код и работать под несколькими наиболее распространенными операционными системами.

Утечка данных LinkedIn и пароли

Во втором квартале в заголовки новостей в связи с утечкой базы хешей паролей попали несколько популярных онлайн-сервисов. Одной из самых громких стала новость о том, что часть базы (6,5 миллионов хешей паролей) популярной социальной сети LinkedIn, попала в открытый доступ. 6 июня, через день после публикации этой информации, компания подтвердила утечку и сообщила, что в результате быстро принятых мер опубликованные пароли от учетных записей были аннулированы и пользователи должны были создать новые пароли.

К сожалению, к моменту публикации этого заявления больше половины паролей уже были извлечены из базы хешей. Почему так быстро? Все дело в том, что LinkedIn почему-то хранила хеши без так называемой соли – строки случайных символов, добавляемой к исходному паролю перед хешированием. Так как эта технология не использовалась, то SHA-1 хеши были очень быстро подобраны с помощью перебора по предварительно посчитанным хешам популярных паролей из словарей. Столь быстрый подбор паролей стал возможен еще и потому, что пароли более половины пользователей были очень простыми, и подобрать их не составило большого труда. После инцидента LinkedIn сообщила, что теперь для хранения паролей используется хеш и соль.

Для того чтобы не стать жертвой подобной атаки, пользователям в первую очередь стоит использовать действительно длинные и сложные пароли, которые затруднительно подобрать по словарю. И нельзя забывать, использование одного и того же пароля для разных сервисов резко увеличивает возможный ущерб при его краже.

Администраторам сайтов мы советуем для хранения паролей использовать как минимум хеш и соль. Однако использование быстрого алгоритма хеширования (например, SHA-1 или MD5) и соли при тех мощностях, которые сейчас при подборе паролей дают GPU, может не спасти от легкого взлома. Более эффективным решением будет использование таких алгоритмов, как PBKDF2 (Password-Based Key Derivation Function 2) или bcrypt, которые не только используют соль по умолчанию, но и позволяют замедлить процесс подбора паролей.

Flame – продолжение истории о кибершпионаже

Наиболее заметным событием, связанным с кибершпионажем, стало обнаружение червя Flame.

«Лаборатория Касперского» проводила исследование по запросу Международного союза электросвязи (МСЭ) о содействии в поиске неизвестной вредоносной программы, которая удаляла конфиденциальные данные с компьютеров, расположенных в странах Ближнего Востока. В процессе поиска мы и обнаружили новый образец вредоносного ПО, который был назван нами Worm.Win32.Flame.

Хотя Flame имеет иной функционал, чем уже известные образцы кибероружия Duqu и Stuxnet, у этих вредоносных программ много общего: география атак, узкая целевая направленность в сочетании с использованием специфических уязвимостей в ПО. Это ставит Flame в один ряд с ними и другим кибернетическим супероружием, развертываемым на Ближнем Востоке неизвестными злоумышленниками.

Flame значительно превосходит по сложности Duqu и представляет собой весьма хитрый набор инструментов для проведения атак. Размер зловреда — почти 20 мегабайт. Это троянская программа-бэкдор, имеющая также черты, свойственные червям:  она может распространяться по локальной сети и через съемные носители при получении соответствующего приказа хозяина. Самым опасным способом распространения Flame является репликация в уже зараженной локальной сети под видом обновлений Windows. При этом код был подписан сертификатами, которые изначально были выписаны компанией Microsoft. Нелегитимное использование цифровой подписи было обнаружено Microsoft, после чего сертификат был немедленно отозван. Компания сразу же опубликовала информационное сообщение об угрозе (security advisory) и выпустила обновление KB2718704.

С зараженных компьютеров, расположенных на Ближнем Востоке (в Иране, Судане, Сирии и т.д.) Flame крадет различную информацию, в том числе видео- и аудиофайлы, а также чертежи AutoCAD.

На сегодняшний день Flame является одной из самых сложных киберугроз. Программа имеет большой размер и невероятно сложную структуру и очень хорошо показывает, как могут проводиться шпионские операции в XXI веке.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные, рассматриваемые в этой главе, получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

Во втором квартале 2012 года было отражено 434 143 004 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 145 007 уникальных модификаций вредоносных и потенциально нежелательных программ.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 85,80%
2 Trojan.Script.Iframer 3,90%
3 Trojan.Script.Generic 2,70%
4 Exploit.Script.Blocker 0,60%
5 Trojan.JS.Popupper.aw 0,40%
6 Trojan.Win32.Generic 0,40%
7 Trojan-Downloader.JS.Iframe.cxk 0,30%
8 Trojan-Downloader.JS.Expack.sn 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.Script.Generic 0,20%
11 Trojan-Downloader.JS.Agent.gqu 0,20%
12 Trojan-Downloader.Win32.Generic 0,20%
13 Hoax.HTML.FraudLoad.h 0,10%
14 Trojan-Downloader.SWF.FameGake.a 0,10%
15 Trojan.JS.Iframe.aaw 0,10%
16 Trojan.JS.Agent.bxw 0,10%
17 AdWare.Win32.IBryte.x 0,10%
18 AdWare.Win32.ScreenSaver.i 0,10%
19 Trojan-Downloader.JS.Agent.grd 0,10%
20 Trojan-Downloader.JS.JScript.ag 0,10%

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первую строчку в рейтинге неизменно занимают вредоносные ссылки из черного списка. По сравнению с предыдущим кварталом их доля выросла на 1,5% и в итоге они составляют 85,8% от всех детектов. В список в первую очередь попадают различные сайты, на которые перенаправляются пользователи. Напомним, что чаще всего на вредоносные сайты пользователи попадают со взломанных легитимных ресурсов с внедренными вредоносными скриптами (drive-by атака). Кроме того, пользователи сами переходят по опасным ссылкам, например при поиске различного пиратского контента. Значительная часть обнаруженных Malicious URL по-прежнему приходится на сайты, связанные с эксплойт-паками.

13 позиций в рейтинге занимают вредоносные программы, которые эксплуатируют бреши в программном обеспечении и используются для доставки вредоносных программ на компьютер пользователя, в их числе две программы, обнаруженные эвристиками: Exploit.Script.Blocker и Exploit.Script.Generic.

Продолжает уменьшаться в рейтинге количество рекламных программ, детектируемых как AdWare: во втором квартале таких программ только две. Эти программы работают как расширения для браузеров: добавляют новую поисковую панель и меняют начальную страницу. Сами по себе они являются легальными программами, за установку которых их создатели платят деньги партнерам-распространителям. Однако находятся распространители, которые готовы получать таким образом деньги, не спрашивая разрешения пользователя на установку.

Приложения, в которых злоумышленники используют уязвимости

Большинство атак через интернет осуществляется с помощью эксплойтов, которые используют ошибки в ПО, – для того чтобы запуск вредоносной программы произошел  без ведома пользователя.

Какие же приложения чаще всего используют эксплойты? Ответ представлен на диаграмме: это Adobe Acrobat Reader, Java, Android Root и Adobe Flash Player. Пользователям в первую очередь стоит обновить именно эти программы, а еще лучше — озаботиться их автоматическим обновлением.


Приложения, уязвимости в которых использовали веб-эксплойты
Второй квартал 2012

Страны, на ресурсах которых размещены вредоносные программы

Для определения географического положения источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического положения данного IP-адреса (GEOIP).

85% веб-ресурсов (на 1% больше, чем в прошлом квартале), используемых для распространения вредоносных программ, во втором квартале 2012 года были размещены в десяти странах мира.


Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам.
Второй квартал 2012

Состав TOP 10 не претерпел изменений, в него вошли те же страны, что и в прошлом квартале. За прошедшие три месяца заметно выросла доля хостингов, расположенных в США (+7%). Это произошло в первую очередь за счет уменьшения доли остальных стран десятки: России (-1,5%), Германии (-1,9%), Голландии (-1,2%), Англии (-1%) и Франции (-1,7%). Россия заняла в этом рейтинге второе место (14%), вытеснив на третью позицию Голландию (12%).

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи в каждой стране сталкивались со срабатыванием веб-антивируса.


20 стран, где пользователи подвергаются наибольшему риску заражения через интернет*. Второй квартал 2012 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В TOP 20 преобладают страны — республики бывшего СССР, а также страны Африки и Юго-Восточной Азии.

Все страны можно разбить на несколько групп.

  1. Группа повышенного риска. В эту группу с результатом 41-60% вошли 18 стран из TOP 20, в том числе Россия (59,5%), Казахстан (54%), Украина (47,3%), Индия (48%), Индонезия (42,2%) и Малайзия (41,8%).
  2. Группа риска. В эту группу с показателями 21-40% попали 103 страны, в том числе Испания (37,8%), Италия (34,8%), Канада (36%), США (35,7%) и Англия (31,6%).
  3. Группа самых безопасных при серфинге в интернете стран. В эту группу вошли 16 стран с показателями 12,3-20%.

Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, на Тайване (15,2%), в Японии (18,1%), Дании (18,9%), Люксембурге (19,7%) и Чехии (20%). Отметим, что в эту группу входят и страны Южной Африки, однако в них не все благополучно с точки зрения локальных заражений.


Риск заражения через интернет компьютеров пользователей в странах мира.
Второй квартал 2012 г.

В среднем 39,7% компьютеров всех пользователей KSN, т.е. четыре из десяти компьютеров в мире, в течение квартала хотя бы раз подвергались атаке при серфинге в интернете. Отметим, что средний процент атакованных машин по сравнению с предыдущим кварталом увеличился на 11 процентных пунктов.

Локальные угрозы

Здесь мы анализируем статистические данные, полученные на основе работы модуля антивируса, сканирующего файлы на жестком диске в момент их создания или при обращении к ним, и статистику по сканированию различных съемных носителей информации.

Объекты, обнаруженные на компьютерах пользователей

Во втором квартале 2012 года наши антивирусные решения успешно заблокировали 1 041 194 194 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего при попытке запуска на компьютерах пользователей с помощью on-access scanner было зафиксировано 383 667 уникальных модификаций вредоносных и потенциально нежелательных программ.

Объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 Trojan.Win32.AutoRun.gen 17,80%
2 Trojan.Win32.Generic 17,.40%
3 DangerousObject.Multi.Generic 16,10%
4 Trojan.Win32.Starter.yy 7,40%
5 Virus.Win32.Sality.bh 6,70%
6 Virus.Win32.Virut.ce 5,40%
7 Net-Worm.Win32.Kido.ih 5,10%
8 Virus.Win32.Sality.aa 4,20%
9 HiddenObject.Multi.Generic 3,60%
10 Virus.Win32.Nimnul.a 3,10%
11 Trojan.WinLNK.Runner.bl 2,20%
12 Worm.Win32.AutoRun.hxw 2,00%
13 Trojan.Win32.Hosts2.gen 1,40%
14 Virus.Win32.Sality.ag 1,40%
15 Worm.Win32.Mabezat.b 1,00%
16 AdWare.Win32.GoonSearch.b 0,80%
17 AdWare.Win32.BHO.aqbp 070%
18 Trojan-Dropper.Script.Generic 0,50%
19 AdWare.Win32.HotBar.dh 0,30%
20 Trojan-Downloader.WMA.Wimad.ag 0,30%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODSантивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Первую строчку в рейтинге с показателем 17,8% занял обновленный эвристический детект зловредов, распространяющихся через съемные носители информации, чаще всего флешки. Появление этого вердикта на первой строке говорит о том, что количество съемных носителей информации, на которых были обнаружены следы работы вредоносных программ, очень велико.

Вторую строчку рейтинга занимает вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ, — Trojan.Win32.Generic (17,4%).

Вредоносные программы, обнаруженные с помощью «облачных» технологий (16,1%) спустились с первой на третью строчку рейтинга. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании «в облаке» уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Generic.

16-е, 17-е и 20-е место заняли рекламные программы. Здесь появился один новичок – семейство AdWare.Win32.GoonSearch (0,8%). Эти программы являются надстройкой для IE, однако зафиксированы случаи их появления на компьютерах без согласия пользователей, при этом программы противодействуют антивирусным средствам.

Net-Worm.Win32.Kido (5,1%) продолжает терять свои позиции в рейтинге. В то же время рейтинг пополнился еще одним представителем файловых инфекторов: во втором квартале помимо вирусов Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a и Trojan.Win32.Starter.yy в рейтинг попал и небезызвестный Virus.Win32.Virut.ce (5,4%), создающий из зараженных машин крупный ботнет, через который распространяются другие вредоносные программы.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Полученные цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. На 36,5% компьютеров всех пользователей KSN в мире, предоставляющих нам информацию, хотя бы раз был найден вредоносный файл (на компьютере или на съемном носителе, подключенном к нему) – по сравнению с прошлым кварталом на 5,7% меньше.


TOP 20: процент компьютеров пользователей, на которых были обнаружены вредоносные программы, от общего количества пользователей ЛК в стране*. Второй квартал 2012 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Первая двадцатка практически полностью состоит из стран Африки и Юго-Восточной Азии. В Бангладеш наши продукты столкнулись с вредоносными программами на 98 из 100 компьютеров, на которых они установлены.

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): 20 стран, преимущественно и из азиатского региона (Индия, Вьетнам, Монголия и др.), Ближнего Востока (Ирак, Афганистан) и Африки (Судан, Ангола, Нигерия, Камерун и др.).
  2. Высокий уровень заражения (41-60%): 51 страна, в том числе Индонезия (58,3%), Казахстан (46,1%), Китай(43,9%), Эквадор (43,8%), Россия (42,6%) и ОАЭ (42,3%).
  3. Средний уровень заражения (21-40%): 43 страны, в том числе Турция, Мексика, Израиль, Латвия, Португалия, Италия, США, Австралия, Франция.
  4. Наименьший уровень заражения: 23 страны, среди которых Канада, Новая Зеландия, Пуэрто-Рико, 13 европейских стран (в том числе Норвегия, Финляндия, Голландия, Ирландия, Германия, Эстония), а также Япония и Гонконг.


Риск локального заражения компьютеров в странах мира.
Второй квартал 2012 г.

В десятку стран, самых безопасных по уровню локального заражения, попали:

Место Страна % уникальных пользователей
1 Дания 12%
2 Реюньон 13,4%
3 Чехия 13,6%
4 Япония 14,6%
5 Люксембург 15%
6 Швеция 15%
7 Швейцария 16,2%
8 Финляндия 16,3%
9 Германия 17,2%
10 Голландия 17,7%

Дания, Люксембург, Чехия и Япония одновременно находятся в списке самых безопасных стран при серфинге в интернете. Но даже в Дании мы обнаружили вредоносные объекты на 12 компьютерах из 100.

Уязвимости

Во втором квартале 2012 года на компьютерах пользователей KSN было обнаружено 31 687 277 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 9 различных уязвимостей.

TOP 10 уязвимостей представлена в таблице ниже.

Secunia
ID
уникальный
идентификатор
уязвимости
Название
и ссылка
на описание
уязвимости
Возможности,
которые
дает
использование
уязвимости
злоумышленникам
Процент
пользо-
вателей,
у которых
была
обнаружена
уязвимость*
Дата
публи-
кации
Уро-
вень
опас-
ности
уязви-
мости
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. Манипулирование данными. DoS-атака « 31,40% 4/10/2012 Highly Critical
2 SA 48281 Adobe Flash Player Two Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. « 20,90% 4/10/2012 Highly Critical
3 SA 48500 VLC Media Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 19,30% 3/21/2012 Highly Critical
4 SA 49472 Oracle Java Multiple Vulnerabilities «DoS-атака. Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Cross-Site Scripting. Получение доступа к конфиденциальным данным. Манипулирование данными. « 16,50% 7/18/2012 Highly Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 14,40% 1/11/2012 Extremely Critical
6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. DoS –атака (отказ в обслуживании). XSS. « 13,50% 7/13/2011 Highly Critical
7 SA 49086 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,40% 5/10/2012 Highly Critical
8 SA 47447 Apple QuickTime Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,30% 6/29/2012 Highly Critical
9 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 9,80% 2/15/2012 Highly Critical
10 SA 49388 Adobe Flash Player Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Обход системы защиты. « 9,20% 6/18/2012 Highly Critical

*За 100% взяты пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость

На первом месте, как и в прошлом квартале, находится уязвимость в продукте Java от компании Oracle. Она была обнаружена на 31% уязвимых компьютеров. Всего же в нашем рейтинге присутствуют 2 уязвимости в Java.

Пять из 10 позиций рейтинга по-прежнему занимают продукты компании Adobe: проигрыватели Flash Playerи Shockwave и популярное приложение для чтения pdf-документов Reader.

Единственным новичком рейтинга стала уязвимость в бесплатном медиаплеере VLC.


Производители уязвимых продуктов из TOP 10 уязвимостей.
Второй квартал 2012

Все уязвимости из TOP10 дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. Три уязвимости позволяют проводить атаки типа «отказ в обслуживании», а также предоставляют злоумышленнику возможность получить доступ к конфиденциальной информации. В рейтинг также попали уязвимости, которые дают возможность манипулировать данными, обходить систему защиты и проводить XSS-атаки.


Распределение уязвимостей из TOP 10 по типу воздействия на систему.
Второй квартал 2012 г.

Заключение

Во втором квартале 2012 года продолжился стремительный рост количества Android-зловредов. За три месяца в нашу коллекцию было добавлено почти 15 тысяч вредоносных dex-файлов. Зловреды для Andoid OS эволюционируют и на качественном уровне: вирусописатели придумывают различные приемы, чтобы усложнить их анализ и детектирование. Это говорит о росте числа вирусописателей, которые переключаются на разработку вредоносных программ для мобильных устройств. К тому же развивается черный рынок услуг по распространению мобильных вредоносных программ, что в ближайшем будущем приведет к увеличению числа атак на пользователей мобильных устройств,  при этом атаки станут более изощренными.

Утечки данных крупных сервисов, которые в результате деятельности различных хактивистов стали регулярными, в прошедшем квартале привели к раскрытию паролей миллионов пользователей. К сожалению, огромное количество пользователей использует одну и ту же комбинацию логина и пароля ко многим сайтам, что увеличивает риск потери ценных данных. Однако стоит заметить, что в быстрой расшифровке хранящихся в базах паролей при таких атаках повинны как сами пользователи, которые любят простые пароли, так и администраторы сайтов, использующие простые техники шифрования. Проблема не нова, и существует несколько способов ее решения. Хочется надеяться, что из-за  регулярных взломов администраторы все же станут использовать более надежные алгоритмы хранения паролей.

В следующем квартале нас ждут две крупные хакерские конференции — BlackHat и Defcon, где по традиции демонстрируется ряд новых техник атак, которые достаточно оперативно находят практическое применение в киберпреступном мире. Так что можно ожидать использования злоумышленниками новых техник уже в третьем квартале.

Основной же темой второго квартала 2012 стало обнаружение кибершпионской программы Flame. Помимо огромного размера и широкого спектра инструментов по извлечению информации с зараженных машин, Flame использует интересный способ распространения в локальной сети через создание поддельного сервера обновлений Windows. К тому же код, аналогичный части коду Flame, был обнаружен в одной из версий нашумевшего червя Stuxnet, датированной 2009 годом. Это говорит о том, что разработчики этих программ связаны друг с другом.

Ситуация с кибероружием напоминает ящик пандоры, который уже невозможно закрыть. Многие страны мира официально заявили о том, что будут разрабатывать доктрины, касающиеся действий в киберпространстве, и создавать специальные подразделения. Следовательно, история кибероружия не ограничится Duqu и Flame. Главной же сложностью в этой ситуации является отсутствие какого-либо сдерживающего фактора в виде международного регулирования в этой сфере.

ИСТОЧНИК

Лжеантивирус — компьютерная программа, которая делает вид, что удаляет вредоносное программное обеспечение, либо, действительно удаляя вредоносное ПО, взамен устанавливает своё.[1] В последние годы (2008—2011) лжеантивирусы стали немалой угрозой персональным компьютерам.[2] В первую очередь это связано с тем, что в США частично взяли под контроль индустрию spyware и adware[3], а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Да и «хороших» антивирусов стало достаточно много, чтобы сложно было запомнить их все: так, VirusTotal на конец 2011 года располагает 43 антивирусами.[4]

Содержание

Распространение

В отличие от «нигерийских писем», которые играют на алчности и сострадании, лжеантивирусы играют на страхе,[5] и пользователь сам проводит программу сквозь системы безопасности, встроенные в браузер и ОС.[2] Сайт, например, может сообщить, что компьютер заражён, и спровоцировать пользователя купить или установить программу. Реже встречаются лжеантивирусы, которые распространяются маскировкой под обычный документ[6] или через эксплойт[6][7]. Существуют браузерные «антивирусы», имитирующие окна ОС (например, «Мой компьютер»), окна и звуки настоящих антивирусов. Избавиться от них помогут обычные плагины для блокировки рекламы наподобие AdBlockPlus.

Чтобы как можно больше людей скачало программу, разработчики полагаются на агрессивную рекламу и даже могут «отравить» поисковые результаты[8], в том числе по темам, не связанным с компьютерной безопасностью (например, по текущим новостям).[9][10] Названия делают похожими на настоящие антивирусы: например, некий Security Essentials 2010 явно имитировал Microsoft Security Essentials. В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, и 11 тыс. доменов принадлежат лжеантивирусам.[11] В 2011 тот же Google исключил из поиска домен co.cc, дешёвый хостинг, который облюбовали в том числе и распространители псевдоантивирусов.

Лжеантивирусы часто распространяются через партнёрские сети, которые за каждую удачную инсталляцию получают деньги. Иногда ответственными за механизмы распространения оказываются именно «партнёрки».[12] Обнаружили, что партнёрская сеть, распространявшая Antivirus XP 2008, получила за свою работу около 150 тыс. $.[13]

Вред

Распространитель лжеантивируса может получать выгоду разными путями.

  • Обычным вредоносным поведением наподобие кражи аккаунтов, блокировки ОС, эксплуатации вычислительной мощи компьютера и т. д.
  • Программа может в «демонстрационном режиме» имитировать обнаружение вирусов и выдавать предупреждения о том, что ОС не защищена, а для исправления попросить зарегистрировать.[14][15] Чтобы была видимость заражения, лжеантивирус может устанавливать настоящие вирусы, а затем находить их, искусственно дестабилизировать ОС, переставлять критические настройки и даже имитировать «синие экраны».[2]
  • Просить деньги на псевдоблаготворительность.[16]
  • Антивирусная программа может быть самая настоящая (обычно основанная на ClamAV). Вот только цена такой программы, как правило, больше, чем у антивируса Касперского. Продают лицензию обычно поквартально — чтобы сравнить цены, приходится вчитываться в условия и подключать арифметику.

Простейшие признаки лжеантивируса

  • Настоящий антивирус не может гарантировать «стопроцентное излечение». Вирус должен попасться «в диком виде», кто-то из интернет-активистов отсылает его антивирусным специалистам, те исследуют его — и только после этого вирус попадает в базу. На это нужно время.
  • Обычный резидентный антивирус, сканируя диск, никогда не вызывает срабатывание UAC. Если же при особых операциях (установка, обновление исполняемых модулей) UAC всё же сработал — его окно не может быть жёлтым (неподписанная программа).
  • Разработчик истинного антивируса должен предлагать связь по самым разным каналам — почта, ICQ и Skype для тех, у кого компьютер работает, и телефон — для тех, у кого он заблокирован.
  • Серьёзные разработчики никогда не просят деньги за удаление вирусов. Даже у Касперского есть бесплатные варианты антивируса — Kaspersky AVP Tool и Kaspersky Rescue Disc. Деньги просят за дополнительные функции: брандмауэр, резидентный монитор, оперативное обновление и т. д.
  • Лечение или демонстрация через веб — признак лжеантивируса![17] Лечение через веб невозможно: веб-браузеры устроены так, чтобы сайт вообще не имел доступа к лежащим на компьютере файлам. А качество антивируса никак не коррелирует с его красотой.
  • Лжеантивирус могут выдать и «крючки» в лицензионном соглашении: либо это «развлекательная программа», либо оплата идёт за «техподдержку ClamAV»…

Rogue Security Sofware — это тип вредоносного программного обеспечения, который именует себя антивирусным, однако таковым не является. Как правило, такие программы после установки имитируют сканирование компьютера на предмет угроз и генерируют фальшивые сообщения о найденных зараженных объектах. Конечной целью такой «имитации» является выманивание денег у пользователя, так как после «сканирования» компьютера для удаления «найденных» зараженных объектов необходимо приобрести лицензию для программы.
В этом разделе представлены описания известного уже Rogue Security Software. Для Вашего удобства список программного обеспечения расположен по латинскому алфавиту.

 

Вирусные приложения

заражение вирусными программами

Антивирусная программа

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Антивирусная программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Содержание

Целевые платформы антивирусного ПО

На данный момент антивирусное программное обеспечение разрабатывается в основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, также как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью. Например, известное видео «Mac or PC» шуточно показывает преимущество Mac OS над Windows и большим антивирусным иммунитетом Mac OS по сравнению с Windows[1].

Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие как Windows Mobile, iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.

Классификация антивирусных продуктов

Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.

По используемым технологиям антивирусной защиты:

По функционалу продуктов:

  • Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
  • Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)

По целевым платформам:

  • Антивирусные продукты для ОС семейства Windows
  • Антивирусные продукты для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.)
  • Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)

Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:

  • Антивирусные продукты для защиты рабочих станций
  • Антивирусные продукты для защиты файловых и терминальных серверов
  • Антивирусные продукты для защиты почтовых и Интернет-шлюзов
  • Антивирусные продукты для защиты серверов виртуализации
  • и др.
4422 A-Fast Antivirus 27
8485 Advanced Antispyware Solution 6
4421 AKM Antivirus 2010 Pro 10
4558 Antimalware Doctor (Personal Antimalware Center) 9
8353 Antimalware PC Safety 6
4418 AntiSpyware Soft 9
4481 Antivir Solution Pro 6
3550 Antivirus 10
3675 Antivirus 7 8
8249 Antivirus Protection 2012 7
8045 Antivirus Smart Protection 2
3548 Antivirus Soft 7
4411 Antivirus Suite 8
4428 AntivirusGT 3
3538 APcSafe 2
3257 APcSecure 4
7574 AV Protection 2011 1
7575 AV Security 2012 5
8352 Best Virus Protection 8
4426 ByteDefender 7
3685 CleanUP Antivirus 4
7576 Cloud AV 2012 4
4417 Control Components 4
4416 Digital Protection 5
3559 ErrorFix 7
3544 GuardWWW 8
8252 Home Malware Cleaner 3
7968 Internet Security 2012 14
7926 Internet Security Guard 9
8044 Malware Protection Center 4
4419 My Security Engine 15
3542 MyPcSecure 8

Лжеантивирусы

В 2009 началось активное распространение т.н. лжеантивирусов – программного обеспечения, не являющегося антивирусным (т.е. не имеющего реального функционала для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.

Работа антивируса

Говоря о системах Майкрософт, обычно антивирус действует по схеме: — поиск, в базе данных антивирусного ПО, сигнатур вирусов — если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина и процесс блокируется — зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации, и оставляет систему уязвимой.

4413 New Antivirus 2010 4
5343 PC Defender 5
3540 PcSecureNet 2
3259 PcsSecure 7
7573 Privacy Protection 1
3560 ProtectDefender 2
3561 RegistryFox 2
3565 RegTool 5
4423 RST Antivirus 2010 12
3543 SafePcAv 1
7927 Security Defender 2
8207 Security Scanner 2012 1
5008 Security Tool 9
8206 Smart Anti-Malware Protection 4
8272 Smart Fortress 2012 16
8473 SMART HDD 25
7966 Smart Protection 2012 0
3261 SpyDocPro 5
3568 SpyEraser 3
7925 System Check 5
7577 System Fix 5
5411 ThinkPoint 4
4992 Total PC Defender 2
4414 User Antivirus 2010 2
3676 User Protection 4
3673 Vista Antivirus 2010 11
4427 Win Antispyware Center 5
8476 Windows Activity Debugger 2
8513 Windows Antibreaking System 2
8446 Windows Antihazard Center 1
8529 Windows Antivirus Patch 0
8585 Windows Antivirus Rampart 2

Базы антивирусов

Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах — как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться. Более сложные вирусы используют возможность заражения файлов. Например, известны случаи, как некие даже антивирусные программы, будучи зараженными, сами становились причиной заражения других чистых программ и файлов. Поэтому более современные антивирусы имеют возможность защиты своих файлов от изменения и проверяют их на целостность по специальному алгоритму. Таким образом, вирусы усложнились, как и усложнились способы борьбы с ними. Сейчас можно увидеть вирусы, которые занимают уже не десятки килобайт, а сотни, а порой могут быть и размером в пару мегабайт. Обычно такие вирусы пишут в языках программирования более высокого уровня, поэтому их легче остановить. Но по прежнему существует угроза от вирусов, написанных на низкоуровневых машинных кодах наподобие ассемблера. Сложные вирусы заражают операционную систему, после чего она становится уязвимой и нерабочей.

8328 Windows Attacks Defender 1
8327 Windows Attacks Preventor 1
8489 Windows Care Taker 1
8516 Windows Cleaning Tools 1
8514 Windows Component Protector 1
8527 Windows Crucial Scanner 0
8484 Windows Custodian Utility 0
8586 Windows Defence Counsel 2
8553 Windows Efficiency Accelerator 0
8517 Windows Efficiency Reservoir 1
8325 Windows Firewall Constructor 0
8475 Windows First-Class Protector 1
8203 Windows Functionality Checker 3
8528 Windows Guard Solutions 1
8413 Windows Managing System 0
8588 Windows Multi Control System 2
4952 Windows PC Defender 6
8552 Windows Performance Adviser 0
8351 Windows Personal Doctor 2
8554 Windows Premium Guard 0
8590 Windows Private Shield 2
8589 Windows Pro Safety 1
8255 Windows Pro Scanner 2
8204 Windows Protection Master 2
8530 Windows Protection Unit 0
8551 Windows Safety Toolkit 1
8253 Windows Shield Tool 2
8486 Windows Shielding Utility 1
8248 Windows Smart Partner 3
8250 Windows Smart Warden 0
8444 Windows Software Saver 4
8271 Windows Stability Guard 2

8515 Windows Stability Maximizer 0
8254 Windows Telemetry Center 2
8326 Windows Threats Destroyer 1
8469 Windows Trouble Taker 0
8587 Windows Ultimate Security Patch 1
8474 Windows Warding System 0
4425 XJR Antivirus 4
7602 XP Antivirus 2012 (MultiFakeAV) 4
3666 XP Antivirus Pro 6
4412 Your Protection 2

ИСТОЧНИК ЧИТАТЬ ПОДРОБНЕЕ 

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

ВЗЯТА С САЙТА ВИКИПЕДИЯ

Doctor Web Logo

Компания «Доктор Веб» информирует о распространении вредоносной программы-червя Win32.HLLW.Autoruner.64548, способной заражать RAR-архивы. Червь «умеет» загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносную функциональность.

Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.

Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, который Win32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.

Цифра недели: 1800 раз в минуту подвергаются веб-атакам интернет-пользователи

Находясь в Интернете, пользователи в среднем подвергаются атакам 108 035
раз в час или 1800 раз в минуту. Всего же в 2011 году для проведения
веб-атак злоумышленники воспользовались 4 073 646 доменами. Такова
статистика 1, полученная с помощью облачной системы мониторинга угроз
KSN по итогам прошедшего года.

Интернет стал неотъемлемой частью повседневной жизни: мы работаем в
Сети, совершаем покупки, пользуемся услугами интернет-банкинга, общаемся
с друзьями, играем в онлайн-игры. Однако Интернет является основным
источником проникновения вредоносных программ на компьютеры
пользователей. При этом развлекательные сайты представляют намного
больше возможностей для заражения, нежели сайты для взрослых.

«Лаборатория Касперского» проанализировала ресурсы с самым
большим количеством вредоносных ссылок и выяснила, что на первом месте
оказались различные развлекательные сайты, содержащие видеоконтент (31%
вредоносных ссылок). Второе место заняли поисковые системы —
пользователи периодически переходят по вредоносным ссылкам прямо на
страницах выдачи крупнейших поисковиков (22% ссылок могут угрожать
безопасности ПК). С незначительным отставанием расположились социальные
сети (21%). На четвертом и пятом местах оказались сайты с контентом
«для взрослых» и различные рекламные сети.
«Злоумышленники активно используют различные легальные сайты для
распространения своих творений. Для этого они создают странички-приманки
в социальных сетях, рассылают спам через личные сообщения и активно
комментируют популярные ролики, фотографии и записи, вставляя в свои
послания ссылки на зловредов», — объясняет ведущий
антивирусный эксперт «Лаборатории Касперского» Юрий
Наместников. (http://www.kaspersky.ru/press_gallery_infografika#21)
Краткая статистика интернет-угроз

В результате более половины пользователей в России сталкивались со
срабатыванием антивируса за прошедший год. Однако если соблюдать
основные правила интернет-безопасности, можно существенно снизить риск
столкновения с вредоносными программами: не переходить по ссылкам в
сообщениях от неизвестных отправителей, всегда проверять подлинность
адреса в строке браузера при вводе персональных данных, использовать
только лицензионное ПО.

Для удобства при работе онлайн и сохранения полной безопасности
интернет-пользователей в антивирусных пакетах, таких как Kaspersky
CRYSTAL, реализован максимальный уровень защиты. Решение позволяет
сканировать входящий и исходящий трафик, проверять репутацию ссылок и
веб-страницы на наличие вредоносного кода, блокировать фишинговые ссылки
для предотвращения кражи личных данных, защищать от спама, запускать
сайты в «Безопасной среде». 1 Kaspersky Security Bulletin.
Статистика за 2011 год.

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .

Служба новостей «Лаборатории Касперского»

Россия, 123060, Москва, 1-й Волоколамский проезд, д.10, корпус 1
Тел./Факс: +7 (495) 797 87 00
WWW: http://www.kaspersky.ru
FTP: ftp://ftp.kaspersky.ru
Электронная почта: webmaster@kaspersky.com

Rootkit.Win32.Stuxnet.a — Securelist.

Технические детали

Руткит, который запускает вредоносный код в системе пользователя. Выполнен в виде драйвера режима ядра NT (kernel mode driver). Имеет размер 26616 байт.

Инсталляция

Копирует свой исполняемый файл как:

%System%\drivers\mrxcls.sys

Для автоматического запуска при следующем старте системы руткит создает следующий ключ реестра службы:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls]
"Description"="MRXCLS"
"DisplayName"="MRXCLS"
"ErrorControl"=dword:00000000
"Group"="Network"
"ImagePath"="\\??\\%System%\Drivers\\mrxcls.sys"
"Start"=dword:00000001
"Type"=dword:00000001

Создает файл:

%System%\drivers\mrxnet.sys – 17400 байт, определяется как Rootkit.Win32.Stuxnet.b

Для автоматического запуска созданного файла при следующем старте системы руткит создает следующий ключ реестра службы:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet]
"Description"="MRXNET"
"DisplayName"="MRXNET"
"ErrorControl"=dword:00000000
"Group"="Network"
"ImagePath"="\\??\\%System%\Drivers\\mrxnet.sys"
"Start"=dword:00000001
"Type"=dword:00000001

Так же создает файлы:

%windir%\inf\mdmcpq3.pnf  - 4633 байт.
%windir%\inf\mdmeric3.pnf  - 90 байт.
%windir%\inf\oem6c.pnf  - 323848 байт.
%windir%\inf\oem7a.pnf – 498176 байт.

которые содержат код и данные руткита в зашифрованном виде.

Читать далее

Dr.Web® — инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз..

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обнаружении уязвимостей, с использованием которых возможно заражение троянскими программами устройств под управлением платформы Mac OS X. Она по праву считается одной из самых надежных ОС в мире, но злоумышленникам все же удалось использовать известные уязвимости Java с целью распространения угроз для данной платформы.

Первыми злоумышленниками, решившими использовать уязвимости Java для заражения компьютеров под управлением Mac OS X, оказались создатели троянской программы BackDoor.Flashback, распространяемой, как известно, через зараженные сайты. Напомним, что установщик этого вредоносного ПО обычно маскируется под программу-инсталлятор Adobe Flash Player. Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль троянца, и, если это не удается, прекращает свою работу.

Теперь злоумышленники пошли другим путем: при открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, если запрос сделан из-под MacOS с определенной версией браузера, пользователю отдается веб-страница, загружающая несколько java-апплетов. Сама страница демонстрирует в окне браузера надпись «Loading…. Please wait…».

Normal
0

false
false
false

RU
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:»Обычная таблица»;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:»»;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:»Times New Roman»,»serif»;}

Пострадавшим от действий блокировщиков Windows

Инструкция по разблокировке системы

 

Если вредоносная программа заблокировала доступ к операционной системе, при помощи этой инструкции вы можете решить проблему самостоятельно.

Если название вируса-блокировщика неизвестно

1. Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

  • Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.
  • Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.
  • Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер, в поле Текст — текст сообщения.

2. Если сгенерированные коды не подошли — попробуйте определить название вируса по изображениям, представленным на сайте http://www.drweb.com/unlocker. Под каждым изображением окна блокировщика указано название соответствующей вредоносной программы. Найдя нужный баннер, запомните название и выберите его в списке известных блокировщиков (возможные варианты дальнейших действий см. ниже).

Если вы точно знаете название вируса, который заблокировал систему

В среднем левом окне на странице разблокировки в выпадающем списке выберите имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Обратите внимание, что, кроме получения готовых кодов, возможны и другие варианты действий:

  • Win+D to unlock — нажмите комбинацию клавиш Windows+D для разблокировки;
  • any 7 symbols — введите любые 7 символов;
  • воспользуйтесь генератором выше или use generator above — используйте для получения кода разблокировки форму Номер-Текст в правой части окна;
  • используйте форму или Пожалуйста, воспользуйтесь формой — используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Если вам удалось подобрать код разблокировки

1. После ввода кода разблокировки очень часто в системе остаются следы присутствия вирусных инфекций.
Для лечения воспользуйтесь нашей утилитой Dr.Web CureIt!, которую можно скачать по ссылке http://freedrweb.com.
Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.

2. Во избежание повторных заражений мы рекомендуем вам приобрести лицензионный антивирус Dr.Web. Помните, что при использовании бесплатных или «пиратских» продуктов вы не только лишены технической поддержки, но и в любой момент можете оказаться вообще без защиты (например, в случае блокировки «ключа»). Оптимальный вариант для обеспечения безопасности ПК — Dr.Web Security Space, средство комплексной защиты от интернет-угроз, усиленной брандмауэром: http://products.drweb.com/home/security_space.

Если ничего не помогло

Если все попытки разблокировать систему не увенчались успехом, вы можете обратиться в службу технической поддержки компании «Доктор Веб» для получения бесплатной помощи в восстановлении работоспособности системы.