Записи с меткой «Backdoor»

Обзор вирусной активности за 2013 год

Posted: Январь 23, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

22 января 2014 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор вирусной активности по итогам минувшего года. 2013 год можно назвать весьма непростым с точки зрения угроз информационной безопасности. Как и в 2012 году, одной из основных тенденций в сфере вирусной активности стало массовое распространение троянцев-шифровальщиков, от действия которых пострадали пользователи во многих странах мира. Заметно выросло число вредоносных программ, предназначенных для демонстрации на компьютерах жертв назойливой рекламы, также в четвертом квартале увеличилось количество троянцев, ориентированных на добычу электронных криптовалют, таких как Bitcoin и Litecoin. Значительно расширился и ассортимент вредоносных программ, угрожающих пользователям мобильной платформы Google Android.

Вирусная обстановка

Согласно статистическим данным, собранным в течение года с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто встречающимися угрозами на компьютерах пользователей стали троянцы семейства Trojan.Hosts. Так, самой распространенной вредоносной программой в период с 1 января по 31 декабря 2013 года оказался Trojan.Hosts.6815 — троянец, модифицирующий на инфицированном компьютере системный файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу. Второе место в годовом рейтинге угроз занимает рекламный троянец Trojan.LoadMoney.1 — это приложение-загрузчик, распространяемый серверами партнерской программы LoadMoney. Данная программа загружает и устанавливает на компьютер жертвы различное нежелательное ПО. На третьем месте по числу выявленных в течение года экземпляров расположился бэкдор BackDoor.IRC.NgrBot.42 — вредоносная программа, хорошо известная специалистам по информационной безопасности еще с 2011 года. Троянцы этого семейства поддерживают связь с удаленным управляющим сервером по протоколу IRC (Internet Relay Chat) и способны выполнять широчайший спектр команд злоумышленников. Деструктивный функционал BackDoor.IRC.NgrBot.42 позволяет уничтожить на инфицированном компьютере загрузочную запись в случае нарушения целостности троянца, также эта вредоносная программа способна блокировать доступ к сайтам антивирусных компаний, перехватывать логины и пароли, используемые для авторизации на различных веб-сайтах. BackDoor.IRC.NgrBot.42 инфицирует все подключенные к компьютеру съемные носители, после этого троянец скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на собственный исполняемый файл. Таким образом, при попытке открытия любой директории на зараженном устройстве пользователь запускает вредоносное приложение.

Двадцатка угроз, наиболее часто встречавшихся на компьютерах пользователей по итогам 2013 года (согласно статистическим данным лучащей утилиты Dr.Web CureIt!), показана в представленной ниже таблице.

Название %
1 Trojan.Hosts.6815 1.74
2 Trojan.LoadMoney.1 1.38
3 BackDoor.IRC.NgrBot.42 1.14
4 Trojan.Mods.2 0.94
5 Trojan.MayachokMEM.4 0.72
6 Trojan.Hosts.6838 0.71
7 Win32.HLLP.Neshta 0.70
8 Trojan.SMSSend.2363 0.69
9 Trojan.Packed.24524 0.64
10 Trojan.Redirect.140 0.64
11 Trojan.Mods.1 0.57
12 Trojan.Packed.24079 0.56
13 Trojan.DownLoader9.19157 0.52
14 Trojan.MayachokMEM.7 0.52
15 Trojan.InstallMonster.38 0.50
16 Win32.HLLW.Gavir.ini 0.47
17 Win32.Sector.22 0.46
18 Trojan.StartPage.48148 0.44
19 Trojan.Zekos 0.43
20 BackDoor.Maxplus.24 0.40

Ботнеты

В течение года специалисты компании «Доктор Веб» отслеживали активность нескольких бот-сетей, организованных злоумышленниками с использованием троянских программ и файловых вирусов. Одна из них во втором полугодии практически прекратила свое существование. В то же самое время отдельные ботнеты все еще не только продолжают действовать, но и активно наращивают свою численность.

Так, вирусные аналитики «Доктор Веб» еще с сентября 2011 года наблюдают за активностью двух бот-сетей, организованных злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12. Данный вирус обладает возможностью саморазмножения без участия пользователя. Попав на инфицированный компьютер, он заражает исполняемые файлы, кроме того, он обладает возможностью выполнять поступающие с удаленного сервера команды (в том числе на уничтожение операционной системы), а также осуществлять кражу паролей от популярных FTP-клиентов. Помимо прочего, Win32.Rmnet.12 позволяет злоумышленникам осуществлять так называемые веб-инжекты — встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм.

К концу апреля 2013 года общее количество компьютеров, на которых было когда-либо зафиксировано присутствие файлового вируса Win32.Rmnet.12, составило 9 232 024, увеличившись за первые три месяца на 2,5 млн. Безусловно, определенное число ПК постепенно «излечивалось» от угрозы, однако к ботнету непрерывно присоединялись все новые и новые инфицированные машины. В мае среднее число активно действующих ботов в обеих подсетях Win32.Rmnet.12 составляло 1 078 870 единиц, при этом к ботнету присоединялось в совокупности порядка 25 000 зараженных компьютеров ежесуточно. Динамика прироста численности двух отслеживаемых специалистами «Доктор Веб» подсетей Win32.Rmnet.12 показана на представленных ниже диаграммах.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 1-я подсеть
graph

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 2-я подсеть
graph

Другая широко распространенная бот-сеть, состоящая из компьютеров, зараженных файловым вирусом Win32.Rmnet.16 — обновленной версией вируса Win32.Rmnet.12 — прекратила свой рост в сентябре 2013 года. Если в декабре 2012 года общая численность данного ботнета составляла 259 458 зараженных ПК, то к 31 декабря 2013 года их количество не превышало 1966, и в настоящий момент оно продолжает постепенно сокращаться.

В мае 2013 года специалистами компании «Доктор Веб» были обнаружены еще два представителя семейства Rmnet — вредоносные модули, распространявшиеся вместе с файловыми вирусами Win32.Rmnet и получившие общее наименование Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, второй позволял отключить ряд установленных на зараженной машине антивирусных программ.

По данным на 22 мая 2013 года вредоносные модули Trojan.Rmnet.19 были обнаружены на 18 000 пользовательских компьютерах, однако численность зараженных машин от месяца к месяцу неуклонно снижалась, пока не достигла значения 5456 инфицированных ПК, при этом количество активно действующих ботов было даже немного ниже указанного значения. Динамику этого процесса иллюстрирует представленная ниже диаграмма.

Динамика изменения численности ботнета Trojan.Rmnet.19 в 2013 году
graph

Не менее интересен и ботнет, состоящий из рабочих станций, зараженных троянцем BackDoor.Bulknet.739. Эта вредоносная программа, предназначенная для массовой рассылки спама, была добавлена в вирусные базы Dr.Web еще в октябре 2012 года. В апреле был зафиксирован пик распространения этого троянца: ежечасно фиксировалось заражение порядка 100 компьютеров, и к концу мая общая численность ботнета превысила 17 000 зараженных ПК. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Таиланда. В течение лета количество подключенных к бот-сети инфицированных компьютеров то росло, то снижалось, однако к осени наметилась стойкая тенденция к сокращению числа заражений, и в декабре ботнет практически прекратил свое существование. Данный процесс наглядно продемонстрирован на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Bulknet.739 в 2013 году
graph

Весьма интересен с точки зрения своего функционального назначения ботнет, для формирования которого злоумышленники использовали троянскую программу BackDoor.Dande. Ее особенность заключается в том, что этот бэкдор работает только на компьютерах с установленным специализированным программным обеспечением, предназначенным для закупки медикаментов, которое используют в основном аптеки и фармацевтические компании. К таким приложениям относятся прежде всего программы «Аналит: Фармация» для платформы «1С», «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Троянец предназначен для кражи информации о заказах из этих прикладных программ и ее передачи злоумышленникам.

Несмотря на то, что данная угроза была добавлена в вирусные базы еще в 2011 году, ботнет BackDoor.Dande продолжает успешно действовать до сих пор. Если на начало 2013 года в этой бот-сети насчитывалось в целом порядка 3000 инфицированных машин, то к марту их общее количество достигло уже 3800. Однако в мае численность бот-сети неожиданно сократилась практически вдвое, в течение лета снижалась незначительными темпами и к осени стабилизировалась на отметке около 1000 зараженных ПК. Эти колебания можно проследить на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Dande в 2013 году
graph

Наконец, следует сказать несколько слов о троянце Backdoor.Flashback.39, способном заражать Apple-совместимые компьютеры, работающие под управлением операционной системы Mac OS X. В 2012 году с помощью этой вредоносной программы злоумышленники создали самую крупную в истории бот-сеть, насчитывавшую более 800 000 зараженных «маков». Тогда новость о серьезной угрозе для компьютеров Apple облетела многочисленные средства массовой информации. Казалось, что пользователи Mac OS X во всем мире как минимум проинформированы о потенциальной опасности, и вскоре на планете не останется ни одного инфицированного Apple-совместимого компьютера. Однако беспечность приверженцев технологий Apple, по всей видимости, отложила свой отпечаток на динамику распространения угрозы: согласно достоверной информации, которой располагают специалисты «Доктор Веб», на конец января 2013 года во всем мире все еще насчитывалось порядка 75 000 зараженных Apple-совместимых компьютеров. Их количество постепенно сокращалось, но все же достаточно медленными темпами: в мае число заражений Backdoor.Flashback.39 составляло порядка 55 000, а в июне снизилось до 45 000 инфицированных машин, затем скорость сокращения бот-сети заметно упала. По данным на 31 декабря 2013 года численность ботнета Backdoor.Flashback.39 составляет 28 829 зараженных Apple-совместимых компьютеров, и он по-прежнему остается крупнейшим в мире.

Динамика изменения численности ботнета Backdoor.Flashback.39 в 2013 году
graph

Троянцы-энкодеры

В 2013 году массовое распространение троянцев семейства Trojan.Encoder, шифрующих файлы на компьютерах пользователей и требующих деньги за их расшифровку, приобрело масштабы самого настоящего бедствия. В течение года вирусные базы Dr.Web пополнились более 200 новыми модификациями энкодеров, а география распространения этих угроз значительно расширилась. Наметились и некоторые изменения в используемых злоумышленниками технологиях: прежде всего, для шифрования файлов стали использоваться более сложные алгоритмы, вследствие чего расшифровать данные, пострадавшие от действия некоторых модификаций Trojan.Encoder, становится невозможно. Кроме того, поиск потенциальных жертв стал вестись более целенаправленно. Например, злоумышленники прикрепляли вредоносные файлы к анкетам соискателей на должность бухгалтера и рассылали такие письма в компании, предлагавшие соответствующие вакансии. В подобных случаях могли быть зашифрованы весьма важные для жертвы файлы, содержащие, например, бухгалтерские расчеты, что повышало для злоумышленников шанс получить выкуп.

Всего в течение 2013 года в компанию «Доктор Веб» обратилось более 6 700 жертв троянцев-шифровальщиков. Помимо российских пользователей, во многих случаях пострадавшими оказывались жители иных стран — преимущественно из Украины, других бывших республик СССР, из США, Италии и стран Латинской Америки, хотя россияне составляли все же подавляющее большинство. Статистика обращений жертв троянцев-энкодеров по странам представлена на следующей диаграмме.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-энкодеров по странам
graph

В среднем специалисты компании ежесуточно обрабатывали от 20 до 35 поступающих заявок на расшифровку файлов. Динамика обращений в службу технической поддержки компании «Доктор Веб» за помощью в расшифровке файлов в период с апреля по декабрь 2013 года показана на представленном ниже графике.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-шифровальщиков в 2013 году
graph

Наиболее распространенными модификациями шифровальщиков в 2013 году стали Trojan.Archivelock, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.293, Trojan.Encoder.225, Trojan.Encoder.263, Trojan.Encoder.145 и Trojan.Encoder.215. Так, наиболее распространенный шифровальщик — Trojan.Encoder.94 — известен специалистам еще с 2010 года. Он шифрует только некоторые типы файлов, расположенных на дисках компьютера, при этом у данного троянца насчитывается самое большое (более 400) количество модификаций. Другой весьма распространенный энкодер, Trojan.Archivelock, стал известен в апреле 2012 года. Его особенность заключается в том, что эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца, который помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты — восстановление удаленных файлов после этого становится невозможным. Среди пострадавших от этой угрозы большое количество составляют жители Испании и Франции.

Trojan.Encoder.102 (более 17% случаев заражения) — также довольно старая вредоносная программа, первые образцы которой известны с 2011 года. Весьма распространенной угрозой является Trojan.Encoder.225 — он может проникнуть на атакуемый компьютер вместе с использующими уязвимость CVE-2012-0158 RTF-файлами, вложенными в сообщения электронной почты. В процессе шифрования файлов троянец пытался выдать себя за обновление Windows, демонстрируя на экране соответствующее окно.

graph

Также в течение года было зафиксировано множество обращений от жертв троянских программ Trojan.Encoder.205 и Trojan.Encoder.215 — в совокупности они составляют более 8% от общего числа инцидентов. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. Обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Наиболее популярные модификации троянцев-шифровальщиков, получившие широкое распространение в 2013 году, представлены на следующей диаграмме.

Наиболее распространенные модификации троянцев-шифровальщиков в 2013 году
graph

Винлоки

Программы-блокировщики, нарушающие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за разблокировку Windows, в 2013 году постепенно утрачивали свою популярность у вирусописателей, окончательно уступив пальму первенства троянцам-шифровальщикам и более «продвинутым» вредоносным программам, подобным представителям семейства Trojan.Mayachok (они блокируют доступ к Интернету с использованием механизма веб-инжектов). Всего в течение минувшего года в службу технической поддержки компании «Доктор Веб» обратились 3087 пользователей, пострадавших от винлоков, что на 71% меньше показателей прошлого года. При этом наибольшее количество запросов пришлось на первое полугодие, а ближе к концу 2013 года их число постепенно снижалось.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-блокировщиков в 2013 году (в процентах от максимального показателя — 633 обращения)
graph

Как и в случае с троянцами-шифровальщиками, большинство пользователей, пострадавших от действия винлоков, проживает на территории России, на втором месте по количеству заражений — Украина, далее следуют Казахстан и Беларусь. Зафиксированы случаи проникновения блокировщиков на компьютеры жителей Франции и других стран Евросоюза.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-блокировщиков по странам
graph

Дела финансовые

Программное обеспечение, предназначенное для работы с системами дистанционного банковского обслуживания (ДБО) и проведения платежей, — постоянный объект внимания злоумышленников. Помимо распространения ранее известных банковских троянцев, в 2013 году были выявлены и новые угрозы. Так, в течение года продолжились атаки злоумышленников на платежные терминалы. Новый вариант вредоносной программы Trojan.Dexter (известен также под названиями Alina, BlackPOS, Dexter, Vskimmer) нанес многомиллионный ущерб банкам в 40 странах мира. Эта вредоносная программа работает подобно скиммеру — устройству, которое прикрепляется к банкомату и копирует данные магнитного слоя на пластиковой карте. Dexter же делает копию данных не с кардридера, а из памяти торгового терминала (point-of-sale, POS-терминала). Подобным образом были скомпрометированы сотни тысяч кредитных и дебетовых карт.

Осенью 2013 года специалистами компании «Доктор Веб» была обнаружена модификация троянца семейства Trojan.Ibank, представлявшая угрозу для пользователей систем SAP (Systems, Applications and Products), предназначенных для управления внутренними процессами предприятия (бухгалтерским учетом, торговлей, производством, финансами, управлением персоналом, управлением складами и т. д.). Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в ОС. Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем.

Также в ноябре компания «Доктор Веб» сообщала о зафиксированных случаях распространения банковского троянца BackDoor.Caphaw с использованием массовой рассылки спама через программу Skype. В целях заражения пользовательских компьютеров злоумышленники рассылали Skype-сообщения, используя для этого аккаунты уже инфицированных пользователей. Троянская программа обладает весьма обширным спектром возможностей, например, она отслеживает активность пользователя и пытается определить попытки соединения с различными системами онлайн-банкинга. В случае установки такого соединения BackDoor.Caphaw может внедрять в просматриваемые пользователем веб-страницы постороннее содержимое и перехватывать данные, вводимые им в различные формы.

Тренд сезона — рекламные троянцы и майнеры

В течение 2013 года в числе лидеров среди обнаруживаемых на компьютерах пользователей угроз неизменно встречались троянские программы, предназначенные для демонстрации пользователям различной рекламы. Поскольку значительное число подобных угроз распространяется с использованием партнерских программ, позволяющих злоумышленникам заработать на количестве установок рекламного ПО, их число неуклонно растет. Среди лидеров по количеству обнаружений неизменно присутствует троянец Trojan.LoadMoney.1 — приложение-загрузчик, генерируемое серверами партнерской программы Loadmoney и предназначенное для загрузки и установки на компьютер жертвы различного нежелательного ПО. Другой угрозой, помогающей злоумышленникам заработать на накрутке посещаемости веб-сайтов, стал обнаруженный в начале 2013 года троянец BackDoor.Finder. Основное предназначение этой вредоносной программы — подмена поисковой выдачи: при попытке пользователя зараженной машины обратиться к поиску на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com вместо веб-страницы с результатами поиска он увидит в окне браузера ссылки на указанные злоумышленниками интернет-ресурсы. Наибольшее распространение BackDoor.Finder получил на территории США, при этом абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Пенсильвания, на третьем — Алабама.

graph

Схожим функционалом обладают еще два обнаруженных в 2013 году троянца — Trojan.Mods.1 и Trojan.Zekos. Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы. Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов популярных браузеров и демонстрация вместо искомого сайта принадлежащей злоумышленникам веб-страницы. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-ресурсам большинства антивирусных компаний и серверам Microsoft.

Также к категории рекламных троянцев можно, безусловно, отнести вредоносную программу Trojan.Lyrics — она демонстрирует на экране назойливую рекламу и открывает в окне браузера веб-сайты сомнительного содержания без ведома пользователя. С помощью этой программы меломаны якобы получают возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т. е. превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах или на страницах социальных сетей. Если программа установлена на компьютере пользователя, при открытии в окне браузера веб-сайтов на экране начинают появляться назойливые всплывающие окна, а также всевозможные рекламные сообщения, демонстрируемые в совершенно неожиданных местах веб-страниц. Кроме того, при нажатии на различные ссылки троянец способен перенаправлять пользователя на нерекомендуемые и мошеннические сайты. Некоторые из подобных веб-ресурсов замечены в распространении другого вредоносного ПО, в частности поддельных антивирусов, детектируемых Dr.Web как представители семейства Trojan.Fakealert.

screenshot

Не остались в стороне от данных тенденций и пользователи операционной системы Mac OS X — для них злоумышленники разработали вредоносную программу Trojan.Yontoo.1, ориентированную на загрузку и установку модулей расширения для браузеров Safari, Chrome и Firefox. Назначение данных расширений заключается в демонстрации пользователю рекламы при просмотре веб-страниц.

Во второй половине 2013 года активизировались вирусописатели, избравшие для себя в качестве основного способа заработка добычу (майнинг) электронных криптовалют Bitcoin и Litecoin. Первой из таких угроз стал обнаруженный специалистами «Доктор Веб» троянец Trojan.BtcMine.221, распространявшийся с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах, а на самом деле предназначенный для добычи криптовалюты Litecoin (одного из аналогов популярного платежного средства Bitcoin), для чего он использует аппаратные ресурсы компьютера без ведома пользователя. Наибольшее количество инфицированных троянцем Trojan.BtcMine.221 рабочих станций (56 576) расположено на территории США, на втором месте — Бразилия с показателем 31 567 ботов, на третьем — Турция (25 077). Россия с показателем 22 374 зарегистрированных установки занимает четвертое место. Средний ежесуточный доход злоумышленников составил 1 454,53 долл. США. Распространение зараженных компьютеров по странам показано на представленной ниже иллюстрации.

screenshot

Вскоре был обнаружен еще один похожий троянец — Trojan.BtcMine.218. Он запомнился специалистам тем, что в его теле были обнаружены записи, содержащие имена разработчиков данного вредоносного приложения, которые те не удалили, вероятно, по забывчивости. Также в конце года была выявлена очередная модификация вредоносной программы семейства Trojan.Mods, получившая наименование Trojan.Mods.10. Злоумышленники включили в нее модуль, предназначенный для добычи электронной криптовалюты Bitcoin. Основное же предназначение троянца — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами.

Угрозы для Linux

Минувший год запомнится специалистам по информационной безопасности возросшим числом угроз, направленных на ОС Linux. Наиболее интересной среди них можно назвать троянскую программу Linux.Hanthie, также известную под наименованием Hand of Thief. Злоумышленники, продающие ее на подпольных форумах, позиционируют данного троянца как «бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит)». Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE. Linux.Hanthie встраивает в браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Wease специальный граббер, который позволяет перехватывать HTTP- и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также программа реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется. При попытке обращения к запущенным скриптам bind или bc троянец выводит в командной консоли Linux следующее сообщение:

screenshot

Другая вредоносная программа, Linux.Sshdkit, предназначена для взлома веб-серверов, работающих под управлением операционной системы Linux. Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Вскоре была обнаружена еще одна модификация данной угрозы — Linux.Sshdkit.6, в ней злоумышленники модифицировали метод определения адресов серверов, на которые троянец передает похищенную информацию с целью затруднить перехват вирусными аналитиками украденных паролей.

Троянец Linux.Fokirtor.1 — бэкдор для GNU/Linux, в мае 2013 года атаковавший серверы внутренней системы одного из крупных хостинг-провайдеров, пытаясь похитить конфиденциальную информацию клиентов. Поскольку целевая система была хорошо защищена, злоумышленники замаскировали бэкдор под серверные процессы (SSH и др.), чтобы скрыть подозрительный сетевой трафик или используемые вредоносные файлы от проверки службой безопасности. Сигнатура данной вредоносной программы также была добавлена в вирусные базы Dr.Web.

Помимо перечисленных выше угроз в 2013 году вирусные базы Dr.Web пополнились записями для нескольких модификаций Linux-троянцев, предназначенных для организации DDoS-атак — это семейство получило общее наименование Linux.DDoS. Кроме того, среди обнаруженных за истекшие 12 месяцев угроз для Linux следует перечислить следующие: Linux.Darlloz — червь, эксплуатирующий уязвимости в PHP, Linux.Cdorked — бэкдор, способный инфицировать веб-серверы, и троянец Linux.Trolomod, предназначенный для атак на http-серверы Apache.

Угрозы для Android

Что же касается мобильных угроз, то в 2013 году, как и в последние несколько лет, наибольшая опасность подстерегала владельцев устройств под управлением ОС Android. За прошедшие 12 месяцев вирусная база компании «Доктор Веб» пополнилась записями для 1547 новых вредоносных, нежелательных и потенциально опасных программ, достигнув объема в 2814 вирусных описаний. Таким образом, с момента появления в 2010 году первых вредоносных Android-приложений, число которых на тот момент насчитывало 30 единиц, их количество увеличилось почти в 94 раза.

Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web за период с 2010 по 2013 год
graph

Традиционно наибольшую угрозу для пользователей составили троянцы, отправляющие дорогостоящие СМС-сообщения и выполняющие подписку на платные услуги. К ним, в частности, относятся вредоносные программы многочисленного семейства Android.SmsSend, присоединившиеся к ним троянцы семейства Android.SmsBot, а также ряд других вредоносных приложений с аналогичными функциями.

Не меньшую опасность представляли Android-угрозы, направленные на кражу конфиденциальной информации пользователей. К таким угрозам, в частности, относятся вредоносные программы семейств Android.Spy и Android.SmsSpy, среди которых присутствует большое число банковских троянцев, способных красть аутентификационные данные, а также СМС-сообщения, в которых могут содержаться разнообразные ценные сведения.

screenshot

screenshot

Весьма показательным в связи с этим является продолжившееся увеличение числа предложений по оказанию различных незаконных услуг и сервисов, таких как создание и продажа вредоносных Android-приложений: к популярным и распространенным на черном рынке СМС-троянцам киберпреступники добавили и троянцев-шпионов, способных добавить хлопот многим пользователям.

screenshot

По сравнению с предыдущим годом, в пять раз выросло количество поддельных антивирусных приложений Android.Fakealert, которые обнаруживают на мобильных устройствах несуществующие угрозы и за определенную плату предлагают их владельцам произвести лечение.

screenshot screenshot

Кроме того, в минувшем году было обнаружено несколько уязвимостей ОС Android, использование которых могло способствовать распространению различных вредоносных приложений. Среди троянцев, в которых злоумышленниками были успешно применены найденные программные ошибки, — Android.Nimefas.1.origin, представлявший комплексную угрозу, а также троянец-шпион Android.Spy.40.origin.

Более подробно об этих и других угрозах можно ознакомиться в соответствующем обзоре мобильных угроз, опубликованном на сайте компании «Доктор Веб».

Сетевые мошенничества

Не дремлют и сетевые мошенники, различными способами выманивающие средства у пользователей Интернета. Киберпреступники в своих схемах монетизации часто используют социальную инженерию и иные приемы психологического воздействия на людей, попавших в стесненные жизненные обстоятельства (например, ищущих работу из-за недостатка финансовых средств либо по другой причине). Так, одним из весьма распространенных способов сетевого мошенничества в 2013 году стал обман пользователей сайтов, содействующих в трудоустройстве. Злоумышленники регистрируются на сайтах служб занятости (hh.ru, superjob.ru и т. п.) в качестве работодателей, получая при этом доступ к контактным данным потенциальных жертв, после чего отправляют им сообщения электронной почты с предложением вакансии от лица крупной российской или иностранной фирмы и ссылкой якобы на сайт работодателя. В письме злоумышленники указывают высокую сумму предлагаемого оклада с расчетом привлечь адресата на мошеннический сайт и втянуть в ложное анкетирование, на одном из этапов которого ему предлагают ввести в специальную форму номер мобильного телефона, а затем — полученный в ответном СМС-сообщении подтверждающий код. Отослав такое СМС, пользователь становится жертвой мошенничества: он оказывается подписанным на некую псевдоуслугу, а со счета его мобильного телефона будут регулярно сниматься денежные средства.

screenshot

В 2013 году сетевые жулики принялись строить самые настоящие мошеннические порталы с широчайшим спектром предложений. При каждой перезагрузке такого сайта в окне браузера демонстрируется новая веб-страница, рекламирующая очередную псевдоуслугу. Среди них — чудесное избавление от варикоза путем прослушивания аудиокурса, отбеливание зубов при помощи медитаций, «проверенные» методы избавления от прыщей, тысяча способов увеличения объема губ или груди без хирургического вмешательства, курс для девушек по соблазнению мужчин и, конечно же, дистанционная помощь женщинам, которым не удается завести ребенка. Следует отметить, что если большинство описанных выше «курсов» встречались нашим специалистам и раньше, то предложения забеременеть путем прослушивания компакт-диска появились в ассортименте сетевых жуликов относительно недавно.

screenshot

Еще одна тенденция 2013 года — появление в сети большого числа интернет-ресурсов, предлагающих лечение тяжелых заболеваний, таких как туберкулез, при помощи сушеных медведок — насекомых из отряда прямокрылых. Создатели подобных сайтов продают медведок оптом, причем по весьма внушительной цене — стоимость полного курса «лечения» может достигать 250 тысяч руб.

Получили широкое распространение и вполне традиционные методы сетевого мошенничества, например реклама всевозможных магических обрядов, для проведения которых доверчивым пользователям предлагается приобрести различные артефакты, в частности «волшебные свечи», «в которые специальным образом введены Энергии Любви, Гармонии, Счастья», или «цилиндры фараона», якобы созданные российскими учеными на основе древнеегипетских рукописей, чудом сохранившихся до наших дней. Кроме того, мошенники разработали несколько веб-страниц, предлагавших посетителям «скачать» излучение различных лекарств из специального «информационного центра», после чего доверчивым пользователям предлагалось дождаться окончания процесса записи «целебного излучения» на компакт-диск.

screenshot

Активно действовали сетевые мошенники и на различных сайтах знакомств. Представляясь иностранцами, киберпреступники ищут одиноких женщин, которым в процессе общения предлагают отправить по почте дорогой подарок (планшет, смартфон или ювелирное украшение). Однако поскольку презент представляет большую ценность, отправитель не рискует отсылать отправление обычной почтой, вместо этого он предпочитает воспользоваться услугами частной курьерской службы. За сайтами подобных служб обычно скрываются мошеннические веб-страницы: жертве сообщают, что отправитель не оплатил стоимость доставки посылки до получателя — эту сумму злоумышленники и предлагают выплатить жертве. Вполне естественно, что вскоре после оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении.

screenshot

Специалисты компании «Доктор Веб» призывают пользователей быть внимательнее, относиться с опаской к подозрительным предложениям, а также не доверять случайным знакомым в Интернете. Не следует вводить на подозрительных веб-сайтах номер телефона и подтверждающие коды, полученные в СМС-сообщениях. Сетевые мошенники обладают богатой фантазией, поэтому осторожность и здоровая подозрительность никогда не повредят.

Перспективы

Исходя из текущей ситуации, складывающейся в сфере информационной безопасности, можно предположить, что в 2014 году продолжится значительный рост количества угроз для мобильной платформы Android. В сентябре 2013 года специалистами компании «Доктор Веб» был обнаружен крупнейший в истории ботнет, состоящий из зараженных несколькими модификациями троянца Android.SmsSend мобильных устройств. Имеются достаточные основания считать, что этот ботнет был далеко не последним в истории, и возникновение новых мобильных бот-сетей — дело времени.

Появление в публичном доступе специальных программ-конструкторов, позволяющих даже неискушенным в программировании злоумышленникам создавать новые модификации троянцев-шифровальщиков, наверняка повлечет за собой рост количества заражений этими вредоносными программами. Вполне вероятно и заметное расширение географии распространения троянцев-энкодеров.

Одновременно с постепенным ростом ассортимента анонимных платежных систем, использующих в своей основе аналогичные Bitcoin криптовалюты, будут множиться и разновидности троянцев, использующих для их добычи аппаратные ресурсы компьютеров жертв. По всей видимости, злоумышленники будут все чаще задействовать для обеспечения связи вредоносных программ с управляющими серверами ресурсы сети Tor, а также возможности P2P-сетей. Заметно вырастет и количество рекламных троянцев, в том числе реализованных в виде надстроек к популярным браузерам.

Не нравится: под видом программы для взлома «ВКонтакте» распространяется зловред с кросс-платформенными возможностями

Posted: Ноябрь 27, 2013 in Антивирус, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Kaspersky Lab

Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.

Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.

Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса

Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.

Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.

«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».

На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.

Предновогодние хлопоты злоумышленников: «Лаборатория Касперского» предупреждает о возможных атаках с использованием нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.

За сентябрь 2013 года Dr.Web для Android зафиксировал более 11 миллионов случаев срабатывания антивирусного монитора при выявлении вредоносного или сомнительного ПО и более 4 миллионов случаев обнаружения вредоносных программ при сканировании мобильных устройств по требованию пользователей.

Анализ собранной с использованием Антивируса Dr.Web для Android статистики показал: в сентябре 2013 года пользователи запускали сканирование около 17 000 000 раз, при этом наличие вредоносного или сомнительного ПО было зафиксировано более 4 000 000 раз. А поскольку в случае выявления на мобильном устройстве сразу нескольких угроз они отображаются в программном продукте списком в одном окне, реальное количество обнаруженных вредоносных программ несколько выше указанной цифры.

Если сканер запускается по требованию пользователя, то монитор работает постоянно, защищая устройство в непрерывном режиме. В отличие от сканера, в период с 1 по 30 сентября 2013 года резидентный монитор Антивируса Dr.Web для Android при обнаружении вредоносных или нежелательных программ, а также при попытках скопировать или установить их на защищаемое устройство сработал около 11 500 000 раз. При этом ежесуточно фиксировалось порядка 450 000 случаев срабатывания монитора. Пик выявления угроз для мобильной платформы Android пришелся на 21 сентября 2013 года — в этот день произошло 489 357 срабатываний антивирусного монитора. Активность резидентного монитора Антивируса Dr.Web для Android по количеству срабатываний в сентябре 2013 года представлена на диаграмме ниже.

screenshot

Весьма примечательно географическое распределение пользователей, на устройствах которых фиксировалось срабатывание монитора Антивируса Dr.Web для Android. Подавляющее их большинство (более 3 500 000 случаев) проживает на территории России, на втором месте с показателем 1 800 000 неожиданно оказалась Саудовская Аравия, третью позицию со значением 1 700 000 занимает Ирак. Украина с показателем 670 000 срабатываний — лишь на четвертом месте. Географическое распределение выявленных случаев заражения работающих под управлением платформы Google Android мобильных устройств в сентябре 2013 года показано на следующей иллюстрации.

Географическое распределение случаев заражения, выявленных резидентным монитором Dr.Web для Android
screenshot

Статистика распределения пользователей по странам и регионам, связанная с обнаружением угроз при помощи антивирусного сканера Dr.Web для Android, показывает в целом схожую картину, с незначительными отличиями: зафиксировано 145 564 случаев обнаружения вредоносного ПО у пакистанских пользователей, 113 281 — у пользователей из Малайзии и 103 192 у жителей Вьетнама. Интересный факт: несмотря на то, что жители Японии составляют весьма существенную долю от общего количества пользователей Dr.Web для Android (9,45%), случаи обнаружения вредоносных программ на их устройствах достаточно редки: всего за истекший месяц было выявлено лишь 54 767 срабатываний антивирусного монитора и 4 324 случая обнаружения вредоносного ПО антивирусным сканером. По общему числу заражений Япония находится на 54-м месте среди других стран: косвенно это может свидетельствовать о высокой степени осведомленности японских пользователей в отношении ситуации в сфере информационной безопасности, а также о высокой культуре использования ими приложений для мобильной ОС Android.

Наиболее распространенной угрозой для операционной системы Android, как и прежде, остаются троянцы семейства Android.SmsSend. На втором месте по количеству известных модификаций находятся троянцы семейства Android.SmsSpy, на третьем — программы-шпионы семейства Android.Spy. Кроме того, весьма распространены троянские программы Android.DownLoader, Android.Backdoor, Android.Gingersploit, Android.Basebridge и Android.Fakealert, а также всевозможные рекламные инструменты, например, not a virus Tool.SMSSend, not a virus Tool.Rooter и not a virus Adware.Airpush. Приведенная выше статистика показывает: вредоносные программы представляют серьезную опасность для пользователей платформы Google Android, поэтому владельцам мобильных устройств стоит всерьез задуматься о выборе надежных средств для их защиты. Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации.

Источник

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 — выполнение поступающих от злоумышленников команд, и, главное, перехват нажимаемых пользователем клавиш (кейлоггинг).

Проникнув на инфицируемый компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.

screenshot

После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.

Сигнатура данной вредоносной программы добавлена в вирусные базы, и потому BackDoor.Saker.1 не представляет опасности для пользователей антивирусного ПО Dr.Web.

Источник

Dr.Web

«Доктор Веб» представляет обзор вирусной активности в апреле 2013 года

13.05.2013

13 мая 2013 года

Апрель 2013 года запомнился профессионалам в области информационной безопасности целым рядом весьма интересных событий. В начале месяца специалистами «Доктор Веб» была перехвачена стремительно растущая бот-сеть, состоящая из рабочих станций, зараженных вредоносной программой BackDoor.Bulknet.739. В середине месяца была обнаружена новая модификация одного из самых распространенных современных троянцев — Trojan.Mayachok, а также зафиксирован значительный рост объемов вредоносного спама, эксплуатирующего тему террористических актов в Бостоне. Неспокойно было и на рынке мобильных устройств: более пяти миллионов пользователей ОС Android могло пострадать в результате распространения 28 инфицированных приложений с официального сайта магазина приложений Google Play.

Вирусная обстановка

Согласно статистическим данным, собранным с использованием утилиты Dr.Web CureIt!, в истекшем месяце снизилось количество заражений пользовательских компьютеров вредоносными программами семейства Trojan.Hosts. Данные троянцы, проникая на компьютер жертвы, изменяют содержимое системного файла hosts, отвечающего за преобразование сетевых адресов. Тем не менее число заражений программами Trojan.Hosts в апреле составило более 4,78% от общего количества случаев инфицирования, что в численном выражении составляет порядка 40 000 обнаруженных экземпляров троянца. Наиболее распространенные модификации Trojan.Hosts перечислены в представленной ниже таблице:

Модификация Trojan.Hosts %
Trojan.Hosts.6815 1,84
Trojan.Hosts.6838 0,99
Trojan.Hosts.6708 0,42
Trojan.Hosts.6814 0,19
Trojan.Hosts.6897 0,18
Trojan.Hosts.6613 0,16
Trojan.Hosts.6809 0,15
Trojan.Hosts.5587 0,14
Trojan.Hosts.5268 0,14
Trojan.Hosts.6722 0,14
Trojan.Hosts.7154 0,13
Trojan.Hosts.6466 0,11
Trojan.Hosts.6294 0.10
Trojan.Hosts.7703 0.09

Аналитики «Доктор Веб» связывают столь широкое распространение данной угрозы с многочисленными случаями взломов веб-сайтов, о которых компания сообщала в одном из мартовских новостных материалов.

Одним из наиболее распространенных троянцев в апреле 2013 года согласно данным утилиты Dr.Web CureIt! оказалась вредоносная программа Trojan.Mods.1 (ранее известная как Trojan.Redirect.140), основное предназначение которой заключается в перенаправлении браузеров пользователей на принадлежащие злоумышленникам веб-страницы. Также широкое распространение имеет бэкдор BackDoor.IRC.NgrBot.42 и троянская программа Trojan.Zekos, подробную информацию о которой компания «Доктор Веб» публиковала в одном из апрельских новостных материалов. Данный троянец, способный работать как в 32-разрядных, так и в 64-разрядных версиях ОС Windows, перехватывает на инфицированном компьютере DNS-запросы для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari и др. В результате при попытке перейти на какой-либо интернет-ресурс вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу, при этом в адресной строке браузера будет демонстрироваться правильный URL. Вирусописатели используют этот метод, чтобы заставить потенциальную жертву ввести в предложенное ими поле номер телефона и подтверждающий код, полученный в ответном СМС, и подписать таким образом на платную услугу.

В представленной ниже таблице приведены наиболее распространенные угрозы, обнаруженные лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в апреле 2013 года:

1 Trojan.Mods.1 3.07
2 Trojan.Hosts.6815 1.84
3 BackDoor.IRC.NgrBot.42 1.28
4 Trojan.Hosts.6838 0.99
5 Trojan.Zekos 0.87
6 Win32.HLLW.Phorpiex.54 0.76
7 Trojan.SMSSend.2363 0.73
8 Win32.HLLP.Neshta 0.72
9 Trojan.Packed.23938 0.58
10 Trojan.Packed.142 0.56
11 BackDoor.Andromeda.22 0.56
12 Trojan.StartPage.48148 0.56
13 Trojan.Packed.23971 0.55
14 Trojan.MulDrop4.25343 0.54
15 BackDoor.Gurl.2 0.52
16 Win32.Sector.22 0.47
17 Trojan.Hosts.6708 0.42
18 Trojan.PWS.Panda.2401 0.37
19 Trojan.PWS.Stealer.1932 0.35
20 Exploit.CVE2012-1723.13 0.33

Ботнеты

В начале апреля специалисты компании «Доктор Веб» смогли установить контроль над одним из управляющих серверов бот-сети, состоящей из инфицированных троянцем BackDoor.Bulknet.739 компьютеров. Эта вредоносная программа предназначена для массовой рассылки спама и способна выполнять набор получаемых от злоумышленников команд — в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

В первые дни к контролируемому специалистами «Доктор Веб» управляющему серверу ежечасно обращалось порядка 100 уникальных компьютеров, инфицированных BackDoor.Bulknet.739. Собранная вирусными аналитиками статистика оказала существенную помощь в исследовании данной угрозы, с подробным описанием которой вы можете ознакомиться в опубликованной нами статье.

Динамика роста ботнета, образованного файловым вирусом Win32.Rmnet.12, в апреле осталась прежней: за месяц к бот-сети присоединилось 569 274 инфицированных компьютера, а общая численность инфицированных машин достигла 9 232 024. Динамику данного процесса можно проследить на представленной ниже диаграмме:

Ботнет, образованный «родственным» файловым вирусом Win32.Rmnet.16, отметился значительным замедлением роста своей численности по сравнению с показателями прошлых месяцев: в апреле число инфицированных ПК увеличилось всего лишь на 500 с небольшим единиц, достигнув значения в 262 604 зараженные машины (в конце марта это значение составляло 262 083). Следует отметить, что это — самый низкий показатель прироста ботнета Win32.Rmnet.16 за последний год. Аналогичная динамика наблюдается и в отношении бот-сети BackDoor.Finder: в апреле ее численность выросла всего лишь на 114 узлов, а количество заражений не превышало 1-3 в сутки. Если подобная динамика сохранится и в дальнейшем, можно будет говорить о том, что темпы распространения данных угроз снизились до остаточных величин и рост упомянутых ботнетов почти полностью прекратился.

Угроза месяца

Одной из наиболее интересных угроз, исследованных аналитиками «Доктор Веб» в апреле 2013 года, можно назвать нового представителя весьма распространенного и широко известного семейства троянцев Trojan.Mayachok. Несмотря на то, что в настоящий момент специалистам известно более 1 500 модификаций данной угрозы, Trojan.Mayachok.18607 отличается от других представителей этого семейства тем, что его разработчики, по всей видимости, решили полностью переписать код троянца, сохранив общие принципы его работы.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое.

Основная цель злоумышленников — заставить жертву ввести в соответствующее поле номер мобильного телефона. После этого пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость которых составляет 20 рублей в сутки. Услуга подписки предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки».

Более подробный технический обзор троянца Trojan.Mayachok.18607 представлен в опубликованной компанией «Доктор Веб» аналитической статье.

Энкодеры атакуют

Троянцы-кодировщики являются одной из наиболее опасных угроз в мире современных информационных технологий. В апреле 2013 года широкое распространение получили две модификации данных троянских программ: Trojan.Encoder.205 и Trojan.Encoder.215. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Затем энкодеры требуют у жертвы оплатить расшифровку файлов, причем сумма «выкупа» может достигать нескольких тысяч долларов.

Эти троянцы распространяются в основном с использованием вредоносных рассылок и способны нанести значительный ущерб своим жертвам — уже сейчас от действий этих двух версий энкодеров пострадало несколько сотен пользователей. Более подробную информацию о методах борьбы с этой категорией угроз можно почерпнуть в опубликованном компанией «Доктор Веб» новостном материале.

Угрозы для Android

Второй весенний месяц 2013 года в очередной раз утвердил за операционной системой Android статус основной цели, на которую направлено особое внимание киберпреступников, интересующихся мобильными платформами. На протяжении всего апреля специалисты компании «Доктор Веб» фиксировали появление новых вредоносных Android-приложений, информация о которых оперативно вносилась в вирусные базы Dr.Web.

Одним из центральных событий, связанных с Android-угрозами в прошедшем месяце, стало обнаружение в официальном каталоге Google Play ряда программ, которые содержали вредоносный рекламный модуль Android.Androways.1.origin. Данный модуль был создан злоумышленниками под видом вполне стандартной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих продуктах, интегрируя в них данный модуль. Как и многие легальные рекламные платформы, Android.Androways.1.origin способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могут отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого «обновления», пользователи рискуют стать жертвами мошенников, установив вместо ожидаемого приложения одного из троянцев семейства Android.SmsSend.

Кроме того, модуль Android.Androways.1.origin способен выполнять ряд команд, поступающих с удаленного сервера, а также загружать на него конфиденциальную информацию, такую как номер сотового телефона, код оператора и IMEI мобильного устройства. Более подробно об этой угрозе вы можете прочитать в нашем новостном сообщении.

В разнообразии вредоносных программ, созданных для ОС Android, очень давно и отчетливо выделяются троянские приложения, направленные, в первую очередь, против китайских пользователей. Отличительной особенностью большинства подобных программ является то, что они распространяются в легитимных приложениях и играх, которые были модифицированы злоумышленниками. Что же касается источников распространения таких угроз, то по-прежнему очень популярными среди вирусописателей являются различные китайские интернет-площадки: форумы, каталоги и сборники программного обеспечения. В апреле специалистами компании «Доктор Веб» было обнаружено сразу несколько подобных вредоносных программ. Среди них – Android.Uapush.2.origin, Android.MMarketPay.3.origin, Android.DownLoader.17.origin, несколько представителей семейства троянцев-шпионов Android.Infostealer, а также ряд СМС-троянцев.

Android.Uapush.2.origin представляет собой троянскую программу, основная цель которой — показ различных рекламных сообщений в нотификационной панели операционной системы, однако она обладает и другими функциями. В частности, Android.Uapush.2.origin производит сбор информации об имеющихся закладках в браузере мобильного устройства, сведений о совершенных звонках, контактах в телефонной книге и некоторых конфиденциальных данных из популярного китайского мессенджера QQ. В дальнейшем полученные сведения загружаются троянцем на удаленный сервер.

Вредоносная программа Android.MMarketPay.3.origin, обнаруженная в начале апреля, является очередной модификацией троянца, о котором компания «Доктор Веб» сообщала в прошлом году. Как и ее предшественник, Android.MMarketPay.3.origin предназначен для выполнения автоматических покупок приложений в электронном каталоге Mobile Market, принадлежащем оператору связи China Mobile. Эта вредоносная программа предпринимает ряд действий по обходу ограничительных мер, установленных в данном каталоге, поэтому может представлять весьма серьезную угрозу финансовому положению китайских Android-пользователей, скупая различные приложения без их ведома.

Что же касается Android.DownLoader.17.origin, то это — троянец-загрузчик, способный скачивать из сети Интернет другие приложения. После того как apk-пакет загружен, Android.DownLoader.17.origin предпринимает попытку выполнить его установку. Данный троянец был обнаружен в большом количестве игр и приложений, которые размещались сразу на нескольких китайских интернет-площадках, из чего можно сделать вывод о том, что создавшие его злоумышленники имеют далеко идущие планы по его применению. В частности, с помощью этого троянца можно осуществить искусственное увеличение рейтинга определенных приложений, либо незаконно «накрутить» счетчик установок программ, расположенных на сайтах партнеров. На иллюстрации ниже продемонстрирована информация о некоторых модифицированных приложениях, которые содержат Android.DownLoader.17.origin.

Вредоносные программы Android.Infostealer.4.origin, Android.Infostealer.5.origin и Android.Infostealer.6.origin, обнаруженные в апреле, принадлежат к семейству троянцев-шпионов, которые предназначены для сбора различной конфиденциальной информации, такой как IMEI мобильного устройства, номер телефона, список установленных приложений и т. п. и отправки этих сведений на принадлежащий злоумышленникам сервер.

В прошедшем месяце киберпреступники не обошли стороной и другие восточноазиатские страны, а именно Южную Корею и Японию. В конце апреля вирусные базы Dr.Web пополнились записью для вредоносной программы Android.SmsSpy.27.origin, представляющей собой троянца-шпиона. Данный троянец распространялся под видом локализованных японской и корейской версий темы оформления телефонов Vertu и предназначался для кражи входящих СМС-сообщений, содержимое которых пересылалось вредоносной программой на удаленный сервер злоумышленников.

Вредоносные файлы, обнаруженные в почтовом трафике в апреле

 01.04.2013 00:00 — 30.04.2013 23:00
1 Trojan.PWS.Panda.3734 1.30%
2 Trojan.Inject2.23 1.11%
3 JS.Redirector.155 0.95%
4 Trojan.Necurs.97 0.88%
5 Trojan.Packed.196 0.77%
6 Win32.HLLM.MyDoom.54464 0.72%
7 Trojan.PWS.Stealer.2877 0.65%
8 Win32.HLLM.MyDoom.33808 0.51%
9 Trojan.Packed 0.51%
10 SCRIPT.Virus 0.39%
11 Trojan.Oficla.zip 0.37%
12 BackDoor.Comet.152 0.37%
13 Trojan.PWS.Stealer.2830 0.37%
14 Trojan.PWS.Panda.547 0.35%
15 Win32.HLLM.Beagle 0.32%
16 Trojan.PWS.Panda.2401 0.30%
17 Trojan.MulDrop2.64582 0.26%
18 Trojan.PWS.Stealer.1932 0.25%
19 Trojan.PWS.Panda.655 0.25%
20 Trojan.Siggen5.13188 0.21%

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей

 01.04.2013 00:00 — 30.04.2013 23:00
1 SCRIPT.Virus 0.68%
2 Adware.Downware.915 0.65%
3 Tool.Unwanted.JS.SMSFraud.26 0.55%
4 Adware.Downware.179 0.47%
5 Adware.InstallCore.99 0.39%
6 JS.Redirector.189 0.38%
7 JS.IFrame.387 0.37%
8 Trojan.Packed.24079 0.36%
9 Adware.InstallCore.101 0.36%
10 Trojan.Redirect.140 0.34%
11 Adware.Webalta.11 0.34%
12 Tool.Unwanted.JS.SMSFraud.10 0.33%
13 JS.Redirector.188 0.33%
14 JS.Redirector.175 0.31%
15 Trojan.Fraudster.394 0.31%
16 Win32.HLLW.Shadow 0.30%
17 Win32.HLLW.Autoruner.59834 0.29%
18 Tool.Skymonk.11 0.29%
19 Adware.Downware.1109 0.28%
20 Trojan.Fraudster.407 0.27%

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.

Впервые BackDoor.Bulknet.739 заинтересовал аналитиков «Доктор Веб» в октябре 2012 года. Троянец оказался способен объединять компьютеры в ботнеты и позволяет злоумышленникам осуществлять массовую рассылку спама.

В момент запуска троянца на инфицированном компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты.

Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует бинарный протокол: он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

screen

Специалисты компании «Доктор Веб» сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7 000 ботов, при этом рост их числа в период со 2 по 5 апреля можно проследить с помощью следующего графика:

В настоящий момент ботнет BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России. Вот как распределена данная бот-сеть по странам и континентам:

А вот так выглядит статистика по операционным системам зараженных компьютеров:

Специалисты компании «Доктор Веб» продолжают внимательно следить за развитием ситуации. Для пользователей, на компьютерах которых установлено антивирусное ПО Dr.Web с последними обновлениями, BackDoor.Bulknet.739 не представляет никакой опасности, поскольку его сигнатура содержится в вирусных базах.

ИСТОЧНИК

24 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о широком распространении новой вредоносной программы семейства BackDoor.Butirat. Очередная модификация этой известной угрозы, получившая наименование BackDoor.Butirat.245, использует принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов злоумышленников. Скорее всего, это делается для того, чтобы повысить «живучесть» вредоносной программы при отключении одного из управляющих центров.

Напомним, что троянцы-бэкдоры семейства BackDoor.Butirat способны загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP и др.).

screen

Принцип, используемый данным троянцем для заражения компьютера жертвы, также не отличается оригинальностью: BackDoor.Butirat создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows осуществлялся его автоматический запуск.

Отличительной особенностью модификации BackDoor.Butirat.245 является принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов, в то время как в предыдущих версиях адрес командного центра был жестко прописан в самой вредоносной программе. Как и в случае с недавно добавленными в базы новыми модификациями вредоносной программы BackDoor.BlackEnergy, при исследовании BackDoor.Butirat.245 специалистов «Доктор Веб» ждал сюрприз: троянец автоматически генерирует имена управляющих доменов третьего уровня. В то же время соответствующий домен второго уровня зарегистрирован хорошо известной компанией, традиционно игнорирующей любые сообщения и жалобы. Вероятно, вирусописатели полагали, что смогут таким способом повысить «живучесть» вредоносной программы в случае отключения одного из управляющих центров.

Сигнатура данной угрозы успешно добавлена в вирусные базы, и потому BackDoor.Butirat.245 не представляет опасности для пользователей антивирусного ПО Dr.Web.

ИСТОЧНИК

«Доктор Веб» запускает просветительский проект по борьбе с банковскими троянцами

18 января 2013 года

Вы уверены, что знаете все о новейших угрозах компьютерной безопасности? Это легко проверить всего за несколько минут при помощи небольшого теста в рамках нового просветительского проекта компании «Доктор Веб». Вы сможете не только ответить на интересные вопросы, но и почерпнуть новую важную информацию, о которой вы, возможно, ничего не знали.

Стремительно растет количество новых вредоносных программ. Тысячами в час появляются новые модификации троянцев, преимущественно направленных на хищения денежных средств. Пользователи систем дистанционного банковского обслуживания (ДБО) и различных платежных онлайн-систем зачастую даже не подозревают, какой опасности они подвергают собственные деньги или финансы целой компании.

Мы предлагаем вам пройти наш краткий тест из пяти вопросов об угрозах со стороны новых банковских троянцев и убедиться, что вы знаете, где и как вас может подстерегать опасность, или почерпнуть новые важные сведения об этом — наш тест сопровождается детальным рассказом о деятельности этих вредоносных программ.

Получить более подробную информацию о вредоносных программах, предназначенных для кражи финансов, вы можете также с помощью специального буклета, подготовленного специалистами «Доктор Веб». Ссылка на буклет распространяется вместе с бесплатными лицензиями Dr.Web для корпоративной защиты и для домашнего использования — для вашего ПК и мобильного устройства — которые может получить каждый участник проекта.

Для всех пострадавших от компьютерных преступлений, а также для тех, кто хочет знать, что делать в случае кражи данных интернет-мошенниками, на нашем сайте представлен «Правовой уголок». Предупрежден — значит вооружен!

Будьте бдительны и повышайте свои знания о новых угрозах вместе с Dr.Web.

Пройдите тест прямо сейчас!

ИСТОЧНИК

Ботнет BlackEnergy возрождается

17 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередной троянской программы семейства BackDoor.BlackEnergy. В июле 2012 года в средствах массовой информации появились публикации о ликвидации основных управляющих серверов ботнета на основе данного троянца, однако в течение еще нескольких месяцев бот-сеть BlackEnergy проявляла остаточную активность, которая практически полностью прекратилась лишь осенью 2012 года. И вот в январе 2013 года появилась новая модификация этой угрозы.

Напомним, что BackDoor.BlackEnergy — сложная многокомпонентная троянская программа, в основном предназначенная для рассылки спама. С использованием этого приложения злоумышленникам удалось создать одну из самых крупных в мире бот-сетей для рассылки почтовых сообщений: в пик активности на его долю приходилось до 18 миллиардов писем в день. Троянцы семейства BackDoor.BlackEnergy используют для своей работы подгружаемые модули и конфигурационный файл в формате xml, получаемый с управляющего сервера.

screen

Владельцами новой версии троянца, получившей обозначение BackDoor.BlackEnergy.36, являются, по всей видимости, те же злоумышленники, которые эксплуатировали предыдущие модификации данной вредоносной программы. Об этом, в частности, говорит тот факт, что BackDoor.BlackEnergy.36 использует для шифрования данных тот же ключ, что применялся в некоторых бот-сетях BlackEnergy, командные центры которых были ликвидированы летом 2012 года.

Основных отличий BackDoor.BlackEnergy.36 от предыдущих редакций этой вредоносной программы два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.

К настоящему времени специалисты «Доктор Веб» зафиксировали несколько управляющих серверов BackDoor.BlackEnergy.36, с использованием которых злоумышленники пытаются построить новый ботнет для массового распространения спама. Аналитики продолжают внимательно следить за развитием ситуации, в то время как сигнатура BackDoor.BlackEnergy.36 была добавлена в вирусные базы Dr.Web, благодаря чему этот троянец более не опасен для пользователей, установивших на своих компьютерах наше антивирусное ПО.

ИСТОЧНИК

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

  • Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
  • Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

К наиболее примечательным характеристикам модулей можно отнести:

  • Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
  • Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
  • Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

    «Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

    Более подробная информация доступна на сайте www.securelist.com/ru/analysis.

ИСТОЧНИК

 

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении нескольких троянских программ с использованием взломанных злоумышленниками веб-сайтов. В частности, вредоносные программы загружаются с официального интернет-ресурса далай-ламы. Опасность грозит не только пользователям операционной системы Windows, но и Mac OS X.

Несколько дней назад пользователи проинформировали специалистов компании «Доктор Веб» о факте взлома неизвестными злоумышленниками официального сайта тибетского духовного лидера далай-ламы. Исследуя ситуацию, специалисты «Доктор Веб» выяснили, что при попытке открытия этого веб-сайта в окне браузера на компьютер пользователя загружался файл формата jar, содержащий эксплойт (CVE-2012-0507). С помощью этой уязвимости происходит автоматический запуск троянца для Mac OS X, добавленного в вирусные базы под именем BackDoor.Dockster.

Эта вредоносная программа помещается в домашнюю папку пользователя Mac OS X и запускается. При этом для ее функционирования не требуются администраторские привилегии — троянец может работать и под учетной записью обычного пользователя. BackDoor.Dockster способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере (то есть пароли, которые вводятся на зараженном компьютере), а также выполнять различные команды, поступающие от злоумышленников.

screenshot

Примечательно, что троянец BackDoor.Dockster.1 пытается загрузиться на компьютеры всех посетителей сайта далай-ламы, вне зависимости от используемой ими системной платформы. Вероятно, взломавшие данный сайт злоумышленники не смогли настроить на атакованном сервере соответствующую проверку клиентской ОС: в пользу этого предположения говорит то обстоятельство, что на инфицированном ресурсе специалистами «Доктор Веб» был обнаружен другой JAR-файл с именем install.jar, содержащий эксплойт CVE-2012-4681. С помощью этого файла на компьютер жертвы должна устанавливаться вредоносная программа семейства BackDoor.Gyplit, ориентированная на работу в ОС Windows и предназначенная для сбора и передачи злоумышленникам конфиденциальной информации, а также выполнения на инфицированной машине различных команд. Тем не менее, загрузки упомянутого выше JAR-файла в настоящий момент не происходит.

Известно о существовании как минимум еще двух веб-сайтов, при посещении которых выполняется проверка пользовательской ОС, и в зависимости от ее результатов на клиентский компьютер загружается соответствующий JAR-файл. В первом случае версия данного файла для пользователей Windows содержит Exploit.CVE2011-3544.83, с использованием которого происходит заражение вредоносной программой Trojan.Inject1.14703. Версия JAR-файла для других операционных систем эксплуатирует уязвимость CVE-2012-0507, при этом пользователи Mac OS X рискуют заразиться троянцем BackDoor.Lamadai.1. Эта же вредоносная программа загружается с инфицированного веб-сайта на компьютеры пользователей Linux, однако в данной операционной системе она неработоспособна.

Во втором случае на известном южнокорейском новостном сайте, освещающем события в Северной Корее, также осуществляется проверка операционной системы посетителя при помощи аналогичного сценария, однако вредоносный файл, в роли которого выступает троянец Trojan.MulDrop3.47574, «отдается» только пользователям Windows.

Имеют место и другие инциденты, связанные с именем далай-ламы: случаи распространения вредоносных программ и таргетированных вредоносных рассылок, так или иначе ассоциированных с темой борьбы за независимость Тибета, фиксировались и ранее. В целом можно говорить о тенденции использования злоумышленниками взломанных интернет-ресурсов для распространения вредоносного ПО, при этом атаки носят узконаправленный характер, поскольку взлому подвергаются в основном сайты политической и оппозиционной направленности, посвященные тибетской или северокорейской проблематике.

Администраторы подвергшихся атаке веб-сайтов были своевременно предупреждены о факте взлома, и в течение нескольких суток специалисты компании «Доктор Веб» ожидали, что владельцы данных ресурсов удалят код, выполняющий вредоносные функции.

Адреса инфицированных интернет-ресурсов были временно помещены в базы интернет-фильтра Dr.Web SpIDer Gate с целью предотвращения заражения пользовательских компьютеров вредоносным ПО.

ИСТОЧНИК

Скачать в pdf

Дата составления
4.10.12
Текущий уровень опасности
Высокий
Наиболее актуальные угрозы безопасности компаний* Типы угроз
Вредоносные программы, способные организовывать бот-сети — распределенные системы, состоящие из инфицированных компьютеров и управляемые одним или несколькими командными серверами.

* Актуальность угроз определяется не только количеством и разнообразием вредоносных программ, но и уровнем защиты от них в компаниях и организациях различного типа.

Тема выпуска: Ботнеты

Ботнет — это сеть компьютеров, зараженных вредоносной программой, которая позволяет преступным группировкам удаленно управлять зараженными машинами без ведома пользователя. Как правило, большинство современных ботов являются многофункциональными вредоносными приложениями, позволяющими злоумышленникам реализовывать широкий ассортимент различных угроз.

Типичные представители

  • Win32.Rmnet.12 — файловый вирус, в сети насчитывается более 4 миллионов инфицированных узлов, работающих под управлением Microsoft Windows;
  • Win32.Rmnet.16 файловый вирус, в сети насчитывается более 400 000 инфицированных узлов, работающих под управлением Microsoft Windows;
  • Backdoor.Flashback.39 троянская программа для Mac OS X; в пиковый период более были заражены более 800 000 машин;
  • Backdoor.Andromeda.22 — чрезвычайно распространенный троянец-бот, обладающий широким вредоносным функционалом, однако используемый в основном для загрузки на инфицированный компьютер других троянских программ;
  • Trojan.WinSpy обширное семейство вредоносных программ, некоторые версии используют руткит-технологии. Часто используется для загрузки на инфицированный компьютер других вредоносных приложений.

Цели организации ботнетов

Преступные группировки организуют и используют ботнеты в следующих целях:

  • Загрузка и установка на инфицированный компьютер по команде с удаленного сервера других вредоносных программ (так называемые троянцы-загрузчики, или даунлоадеры). Ярким представителем данного семейства является Backdoor.Andromeda.22. Услуга по загрузке на компьютеры пользователей вредоносных программ пользуется высоким спросом среди вирусописателей и успешно монетизируется злоумышленниками.
  • Проведение DDoS-атак (Distributed Denial-of-Service) на отдельные сайты и веб-сервисы. Данная услуга также широко востребована среди злоумышленников, промышляющих киберпреступлениями. Сетевые атаки могут использоваться в целях вымогательства, давления на конкурентов, дискредитации перед потенциальными клиентами.
  • Распространение спама с использованием инфицированных рабочих станций. При этом спам рассылается не только в виде электронной почты, но и в социальных сетях, форумах, блогах.
  • Удаленное управление инфицированными компьютерами, возможность хищения хранящихся на локальных дисках файлов.
  • Прямое вымогательство финансовых средств у пользователя инфицированного компьютера (Trojan.Mayachok.1).
  • Хищение конфиденциальной информации (в том числе логинов и паролей) методом анализа трафика, осуществления веб-инжектов, похищения файлов cookies, кейлоггинга (перехвата нажатий клавиш), пересылки злоумышленникам снимков экрана, иных методов (Win32.Rmnet.12, Win32. Rmnet.16) .
  • Хищение информации для доступа к системам дистанционного банковского обслуживания (ДБО), что позволяет злоумышленникам получить доступ к банковским счетам предприятия (Trojan.PWS.Panda, Trojan.Carberp).
  • Перенаправление браузера пользователя на принадлежащие злоумышленникам веб-страницы. При этом могут преследоваться различные цели: фишинг, загрузка на компьютер пользователя вредоносного ПО с использованием уязвимостей, «накрутка» посещаемости некоторых интернет-ресурсов.
  • Использование инфицированных компьютеров в качестве прокси-серверов для анонимизации доступа злоумышленников в Интернет.

Получив несанкционированный доступ к инфицированному компьютеру, злоумышленники могут:

  • установить на инфицированную рабочую станцию любую другую (в том числе вредоносную) программу;
  • просматривать любые хранящиеся на компьютере файлы, копировать и передавать их на собственный управляющий сервер;
  • работать в Интернете, используя инфицированный компьютер в качестве промежуточного узла, в том числе совершая различные противоправные действия, например сетевые атаки. В файлах журналов атакованных узлов при этом останется IP-адрес инфицированного компьютера;
  • перехватывать пароли от различных приложений, FTP-клиентов, интернет-сервисов, служб электронной почты;
  • получать снимки экрана и перехватывать изображение с подключенной к компьютеру веб-камеры;
  • анализировать и перенаправлять сетевой трафик, в том числе с целью извлечения паролей. Перенаправление может происходить в зависимости от заданных условий — в том числе в зависимости от введенных пользователем поисковых запросов;
  • подменять открываемые в браузере веб-страницы, в том числе для получения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
  • отдавать установленной на инфицированном ПК вредоносной программе различные команды;
  • полностью уничтожить операционную систему на зараженном компьютере.

Хищение персональных данных может вызвать такие последствия для жертвы, как:

  • Рассылка от имени жертвы спам-сообщений по электронной почте и в социальных сетях.
  • В случае дискредитации паролей к FTP-клиентам и панелям управления веб-сайтами (CMS) — установка злоумышленниками на принадлежащие жертве веб-сайты скриптов, осуществляющих перенаправление посетителей на принадлежащие злоумышленникам веб-страницы или загрузку на их компьютеры вредоносного ПО.
  • Получение злоумышленниками несанкционированного доступа к системам «Банк-Клиент» и другим системам ДБО.
  • Получение злоумышленниками несанкционированного доступа к счетам пользователя в электронных платежных системах (WebMoney, «Яндекс. Деньги» и т. д.).

Кроме вышеописанного, попадание в ботнет может привести к:

  • отключению провайдером доступа в Интернет при выявлении фактов распространения из инфицированной сети вредоносного ПО, спама или массового DDoS-трафика;
  • значительному снижению быстродействия инфицированных рабочих станций и локальной сети;
  • отказу ОС на отдельных инфицированных компьютерах.

Типичные пути заражения

Как правило, заражение происходит:

  • Путем саморепликации вредоносной программы: самостоятельного (без участия пользователя) копирования вредоносной программы на сменные носители и общедоступные ресурсы локальной сети с заражением исполняемых файлов, динамических библиотек и других типов файловых объектов. Подобным образом распространяются файловые вирусы, такие как Win32.Rmnet.16 или Win32.Rmnet.12, заразивший более 4 млн компьютеров по всему миру.
  • Путем загрузки на инфицированный компьютер другими вредоносными программами (Backdoor.Andromeda.22) .
  • При посещении инфицированных веб-сайтов и в момент просмотра веб-страниц, содержащих известные уязвимости браузеров или ОС. При этом жертва может даже не заметить самого момента заражения (Backdoor.Flashback.39) .
  • При открытии вложений в сообщения электронной почты, полученные в спам-рассылке.
  • С использованием методов социальной инженерии. Например, для просмотра размещенного на сайте видеоролика пользователю предлагается загрузить кодек или обновление, под видом которого распространяется вредоносная программа.
  • С применением специально «забытых» и заранее инфицированных флешек либо других носителей информации.

Методы противодействия обнаружению

Некоторые вредоносные программы могут использовать следующие методы противодействия их обнаружению:

  • Антиотладка. Вредоносная программа пытается определить, не запущена ли она в виртуальной машине, не загружен ли на инфицируемом компьютере отладчик или антивирусная программа (например, методом перечисления запущенных процессов).
  • Использование руткит-технологий. В частности, с применением специальных драйверов файловой системы вредоносная программа может скрыть присутствие своих компонентов на диске зараженного компьютера.
  • Заражение главной загрузочной записи (MBR), хранение компонентов за пределами таблиц разделов. Некоторые вредоносные программы могут инфицировать главную загрузочную запись (MBR) и сохранять свои компоненты в свободной области дискового пространства. Получив управление в процессе загрузки ОС, троянец считывает хранящиеся за пределами файловых таблиц модули непосредственно в оперативную память инфицированного компьютера.
  • Исполнение в контексте других запущенных процессов. Некоторые вредоносные программы имеют возможность встраиваться в запущенные процессы (в том числе в процессы операционной системы) и работать «внутри» данных процессов.
  • Обфускация и криптование. Нередко злоумышленники шифруют тело вредоносной программы с использованием различных программных упаковщиков с целью сбития сигнатурного детекта антивирусной программой. Иногда насчитывается до нескольких сотен зашифрованных различными упаковщиками модификаций одной и той же вредоносной программы.
  • Организация шифрованного виртуального диска (BackDoor.Tdss).
  • Блокировка и обход файерволов (в том числе Windows Firewall), что обеспечивает беспрепятственное получение управляющих сообщений. В том числе использование протокола SOCKS для получения доступа к сервисам.
  • Постоянное изменение реальных адресов управляющего сервера, а также генерация доменных имен по псевдослучайному принципу, благодаря чему все боты одновременно формируют один и тот же перечень имен — и обращаются к ним.

Методы перехвата информации

  • Перехват нажатий клавиш, а также получение скриншотов в реальном времени — для перехвата ввода с виртуальной клавиатуры (Trojan.PWS.Panda).
  • Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL (Trojan. PWS.Panda).
  • Анализ трафика и перехват интересующих данных (Trojan. PWS.Panda).
  • Получение любых импортируемых сертификатов, а также использованных при удачной авторизации логинов/паролей. В том числе к приложениям, использующим протоколы POP3 и FTP вне зависимости от порта (Trojan. PWS.Panda) .
  • Перехват HTTP/HTTPS запросов (Trojan. PWS.Panda).
  • Анализ и подмена страниц, используемых для ввода банковской информации. Кража TAN-кода (кода активации для проведения платежной операции) (Trojan. PWS.Panda).
  • Анализ передаваемых (POST) на определенные адреса данных (Trojan. PWS.Panda).
  • Получение данных из буфера обмена (Trojan. PWS.Panda) .
  • Поиск интересующих файлов и данных с дальнейшим их удалением или закачкой на удаленный сервер (Trojan. PWS.Panda).
  • Анализ файлов cookie (данных, связанных с определенным веб-сервером и хранимых на компьютере) и данных сохраненных форм (Trojan. PWS.Panda) .
  • Веб-инжекты — встраивание в веб-страницы постороннего кода.
  • Сбор и отправка на удаленный сервер информации о программно-аппаратной конфигурации ПК.

Обязательные средства защиты

Средство защиты Необходимость применения
Постоянная антивирусная защита Позволяет гарантированно обнаруживать вредоносные файлы известных типов, а также вредоносные файлы, неизвестные антивирусу, но действующие в соответствии с известными антивирусному ядру алгоритмами действия.
Антивирусный сканер Периодическая глубокая проверка дает возможность обнаружения угроз, отсутствовавших в вирусных базах на момент проникновения.
Система ограничения доступа Позволяет ограничить количество посещаемых интернет-ресурсов до необходимого минимума, что минимизирует риск заражения с сайтов, заведомо содержащих вредоносные объекты.
Система ограничения использования внешних устройств Позволяет исключить риск заражения с внешних устройств, в том числе флеш-накопителей.
Формирование списка разрешенных приложений Позволяет уменьшить риск запуска неизвестных приложений без их предварительной проверки на безопасность.
Система проверки интернет-трафика Позволяет исключить использование уязвимостей клиентского ПО за счет проверки трафика до его поступления в приложения.
Система поверки интернет-ссылок Позволяет исключить возможность перехода на зараженные и мошеннические ресурсы.
Корпоративный брандмауэр Позволяет минимизировать риск организации сетевой атаки на ресурсы компании.
Персональный брандмауэр Исключение возможности атаки через открытые порты.
Система установки обновлений безопасности Позволяет минимизировать возможность проникновения через известные уязвимости.

* Перечисленные меры защиты должны быть реализованы для всех компьютеров организации, в том числе не имеющих разрешения на выход в Интернет.

Кроме установки и настройки программных средств защиты, рекомендуется:

  1. ограничить права пользователей и запретить для них вход в систему с правами администратора;
  2. использовать стойкие пароли.

Рекомендуемые средства защиты

Средство защиты Необходимость применения
Система защиты каналов передачи данных Обеспечивает безопасный доступ к внешним ресурсам компании, в том числе облачным.
Использование системы удаленного управления мобильным устройством в случае его утери или кражи Система Антивор позволяет исключить риск утечки конфиденциальной информации (включая пароли доступа к внутренним ресурсам) в случае кражи устройства.
Система сбора информации для служб технической поддержки
  • Позволяет исключить возможность отключения пользователями систем защиты.
  • Позволяет устанавливать единые для всей компании или групп пользователей правила информационной безопасности.
  • Позволяет в случае возникновения той или иной угрозы мгновенно менять настройки системы безопасности.
Корпоративная система защиты от атак Позволяет обеспечить бесперебойную работу ресурсов компании, а также доступ к внешним, в том числе облачным сервисам.
Система резервного копирования и архивирования Обеспечивает восстановление поврежденных ресурсов.*
Система защиты от спама Позволяет обеспечить защиту от проникновения вредоносных программ через спам-сообщения, а также защиту от фишинга.
Система выявления уязвимостей Периодическое применение системы позволяет находить и устранять возможные уязвимости защищаемой системы.
Система сбора и анализа статистики Дает возможность контролировать уровень защищенности компании в режиме реального времени, определять источники заражения.

* Восстанавливаемые ресурсы должны проверяться на наличие ранее неизвестных вредоносных программ.

Рекомендуется установить системы защиты — в первую очередь антивирусные — не только на компьютеры и серверы компании, но и на мобильные и домашние компьютеры ее сотрудников, а также их смартфоны.

Причина актуальности угроз

Вышеперечисленные угрозы имеют крайне высокий уровень опасности в связи с:

  • наличием прямого неконтролируемого доступа к ресурсам сети Интернет;
  • уверенностью большинства пользователей в том, что сам факт использования антивируса является гарантией непроникновения вредоносного кода.

Скомпрометированные средства защиты*

Средство защиты Методы обхода системы защиты
Использование антивируса в качестве единственного средства защиты от вирусов Некоторые современные вредоносные программы обладают эффективными средствами обхода антивирусной защиты. Использование методов криптования вредоносного ПО позволяет злоумышленникам оперативно создавать образцы уже известных угроз, сигнатуры которых добавляются в вирусные базы спустя некоторое время после появления троянца.
Парольная защита Использование методов социальной инженерии.
Ограничение прав пользователей и списка используемых приложений
  • Проникновение через уязвимости используемых целевой группой приложений, в том числе Adobe Reader, Adobe Flash, приложения для работы с финансовыми средствами.
  • Внедрение вредоносных программ во время работы под административным аккаунтом обслуживающего персонала.
Использование операционных систем, для которых имеется относительно небольшое количество вредоносных программ
  • Использование методов социальной инженерии.
  • Внедрение вредоносных программ через малоизвестные уязвимости.

Пример настройки средств защиты

Для периодической проверки системы можно, кроме сканера, входящего в состав используемого антивируса, использовать утилиту Dr.Web CureNet!.

Для получения Dr.Web CureNet! необходимо зарегистрировать серийный номер на данный продукт на странице products.drweb.com/register. Непосредственно дистрибутив формируется в момент регистрации — с последними вирусными базами. Если серийный номер Dr.Web CureNet! уже был зарегистрирован, то просто нужно зайти в «Личный кабинет» Dr.Web CureNet! и скачать актуальную версию диcтрибутива.

Все проверяемые компьютеры должны быть настроены на работу в той же сети, в которой находится компьютер, с которого будет осуществляться проверка.

После запуска и развертывания продукта:

  • Обновите вирусные базы
  • Укажите необходимые настройки
  • Создайте список станций сети, на которых будет проводиться антивирусная проверка
  • Запустите проверку

    ИСТОЧНИК

В первой половине октября 2012 года был замечен резкий всплеск активности троянцев-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троянец Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype.

Вирусная обстановка

Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы троянца BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троянец Trojan.Mayachok.17994, а вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз следует отметить многочисленные модификации троянцев семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 года), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201. Десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, показана в представленной ниже таблице.

Угроза %
Trojan.MayachokMEM.4 2,34
BackDoor.IRC.NgrBot.42 2,18
Exploit.CVE2012-1723.13 1,64
Trojan.Mayachok.17994 1,47
Trojan.Mayachok.1 1,29
Java.Downloader.697 1,18
Trojan.SMSSend.2363 0,96
Win32.HLLP.Neshta 0,93
Trojan.Mayachok.17986 0,82
Win32.Sector.22 0,71

Распределение обнаруженных в течение месяца угроз по классам показано на следующей диаграмме:

screen

Ботнеты

Специалисты компании «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, широко известный ботнет Backdoor.Flashback.39, который составляют инфицированные компьютеры под управлением операционной системы Mac OS X, в течение месяца сократился очень незначительно: по данным на 30 октября популяция этого троянца составляет 105730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109372. Прирост бот-сети Backdoor.Flashback.39 практически остановился, однако владельцы Apple-совместимых компьютеров, судя по всему, не торопятся проводить антивирусную проверку своих машин, чтобы окончательно избавиться от данного троянца.

Как и предполагалось ранее, в начале октября бот-сеть Win32.Rmnet.12 преодолела по числу зараженных ПК пятимиллионную отметку, а к концу месяца достигла пяти с половиной миллионов инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Динамика изменения численности этого ботнета показана на приведенном ниже графике:

screen

Как уже упоминалось ранее, файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета. При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).

Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться — динамику этого процесса можно проследить на представленной ниже диаграмме. Общая численность сети на 30 октября 2012 года составила 254838 инфицированных ПК, что на 16373 компьютера больше по сравнению с показателями на начало месяца.

screen

Вредоносный спам

В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.

screen

Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97. Мы подробно рассказывали о подобных вредоносных рассылках в одном из своих новостных материалов, но по-прежнему рекомендуем пользователям проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Наконец, в последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.

Угрозы для Android

С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Напомним, что эти троянцы представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для троянца Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троянец не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.

Угроза месяца: Trojan.GBPBoot.1

Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование Trojan.GBPBoot.1.

С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 можно назвать довольно примитивным: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа прежде всего тем, что имеет возможность серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи. Более подробно узнать о внутреннем устройстве троянца Trojan.GBPBoot.1 можно из опубликованного компанией «Доктор Веб» информационного материала.

Другие угрозы октября

В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. С подробной информацией об этой угрозе можно ознакомиться в соответствующей статье, опубликованной на сайте news.drweb.com.

Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения, подробно описанным в опубликованной на сайте Dr.Web обзорной статье.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2012 00:00 — 31.10.2012 23:00
1 Trojan.Necurs.97 1.40%
2 Trojan.Oficla.zip 1.20%
3 JS.Redirector.145 1.13%
4 Trojan.PWS.Stealer.946 0.84%
5 JS.Redirector.150 0.80%
6 Win32.HLLM.MyDoom.54464 0.58%
7 Exploit.CVE2010-3333.6 0.53%
8 BackDoor.Andromeda.22 0.53%
9 Trojan.PWS.Panda.786 0.47%
10 Trojan.DownLoader6.56603 0.47%
11 Win32.HLLM.MyDoom.33808 0.42%
12 Trojan.Siggen4.25819 0.42%
13 BackDoor.Kuluoz.3 0.38%
14 Trojan.Packed.18626 0.36%
15 Trojan.DownLoader7.6770 0.31%
16 Win32.HLLM.Beagle 0.31%
17 Win32.HLLM.Netsky.35328 0.29%
18 Trojan.PWS.UFR.2334 0.29%
19 Trojan.Winlock.6566 0.27%
20 SCRIPT.Virus 0.24%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2012 00:00 — 31.10.2012 23:00
1 Adware.Downware.533 0.82%
2 SCRIPT.Virus 0.51%
3 Tool.Unwanted.JS.SMSFraud.10 0.38%
4 Adware.Downware.179 0.34%
5 Tool.Skymonk.6 0.31%
6 Trojan.Fraudster.329 0.31%
7 Trojan.Fraudster.296 0.30%
8 Adware.Downware.426 0.29%
9 Win32.HLLW.Autoruner.59834 0.27%
10 Win32.HLLW.Shadow 0.27%
11 Tool.Unwanted.JS.SMSFraud.15 0.26%
12 Trojan.Fraudster.320 0.26%
13 Trojan.Fraudster.344 0.25%
14 Trojan.Fraudster.347 0.25%
15 Adware.InstallCore.53 0.25%
16 Trojan.Siggen4.23472 0.24%
17 JS.IFrame.317 0.23%
18 Exploit.CVE2012-1723.13 0.23%
19 Trojan.SMSSend.2363 0.23%
20 Adware.Downware.316 0.23%

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о массовой рассылке вредоносной программы с использованием Skype.

Многие пользователи популярной программы Skype получили от абонентов, добавленных в список контактов, сообщение, содержащее текст «это новый аватар вашего профиля?))» и короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки начинается загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляет вредоносная программа, добавленная в базы Dr.Web под имнем Trojan.Spamlink.1.

screen

Данные угрозы уже известны специалистам «Доктор Веб», так что пользователям рекомендуется незамедлительно выполнить обновление вирусных баз.

Компания «Доктор Веб» призывает проявлять осторожность и не открывать архивы, загруженные по полученным в Skype гиперссылкам, даже если они присланы пользователями из списка контактов. В случае если вы стали жертвой данной вредоносной программы, выполните проверку вашей системы с использованием лечащей утилиты Dr.Web CureIt!.

1 октября 2012 года

В сентябре 2012 года заметно уменьшилось количество заражений опасной вредоносной программой Trojan.Mayachok.1, но в то же время появилось несколько новых ее модификаций, значительно отличающихся по своему исполнению. По всей видимости, на смену Trojan.Mayachok.1 приходит следующее поколение вредоносных программ этого семейства. Также сентябрь был отмечен появлением новой модификации широко известного троянца BackDoor.BlackEnergy, обнаружением программ-шпионов для Android и ряда других вредоносных приложений.

Вирусная обстановка

По сравнению с той картиной, которую мы наблюдали еще месяц назад, вирусная активность, зафиксированная на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, несколько изменилась. Так, на протяжении не менее трех месяцев в рейтинге наиболее распространенных угроз лидировал троянец Trojan.Mayachok.1. Первые позиции он занимает и сейчас, однако общее число заражений снизилось за минувший месяц более чем в 15 раз, с 74 701 обнаруженных экземпляров в августе до 4 948 в сентябре. Число заражений по неделям также заметно сокращалось — динамика этого процесса показана на предложенном ниже графике.

graph

Аналитики «Доктор Веб» связывают подобную статистику с появлением целого семейства новых модификаций данной угрозы, значительно отличающихся от первой версии троянца. В частности, в течение сентября в вирусные базы Dr.Web были добавлены записи для девяти вредоносных программ данного класса, отличающихся друг от друга в основном некоторыми техническими деталями. Вполне вероятно, что в ближайшее время можно ожидать появления других модификаций этого троянца с различным вредоносным функционалом и особенностями реализации. Напомним, что основное предназначение угроз семейства Trojan.Mayachok — выполнение веб-инжектов в просматриваемые пользователем в браузере веб-страницы.

На втором месте по популярности в вирусной статистике по-прежнему располагается троянец-бэкдор BackDoor.Butirat.91. При этом следует отметить, что число заражений этой вредоносной программой за месяц также сократилось на 20%. Одно из основных функциональных назначений BackDoor.Butirat.91 — кража и передача злоумышленникам паролей от популярных FTP-клиентов, среди которых — FlashFXP, Total Commander, FileZilla, FAR, WinSCP, FtpCommander, SmartFTP. Также троянец способен загружать с удаленных узлов и запускать на инфицированной машине исполняемые файлы и «накручивать» показатели различных счетчиков посещаемости веб-страниц. Для обычного пользователя заражение троянцем чревато утечкой разного рода конфиденциальных данных в руки злоумышленников, а также вероятностью потери контроля над работой собственного ПК. Подробную информацию об этой угрозе можно найти в материале специалистов «Доктор Веб».

Также среди наиболее часто выявляемых угроз на компьютерах пользователей можно назвать написанный на языке Delphi файловый вирус Win32.HLLP.Neshta, различные банковские троянцы, в том числе принадлежащие семейству Trojan.Carberp, и платные архивы, детектируемые антивирусным ПО Dr.Web как Trojan.SMSSend. Статистика обнаружения часто встречающихся угроз показана на графике ниже.

screen

Распределение различных угроз по классам за истекший месяц показано на диаграмме.

graph

Статистика по количеству выявленных угроз с использованием антивирусного ПО Dr.Web в различных регионах земного шара представлена ниже.

graph

Ботнеты

Статистика численности бот-сети Backdoor.Flashback.39, состоящей из инфицированных компьютеров под управлением операционной системы Mac OS X, по-прежнему демонстрирует сокращение числа заражений. Так, в течение сентября численность инфицированных «маков» снизилась еще примерно на 10%, с 127 681 до 115 179, в то время как прирост ботнета практически остановился: сейчас к нему присоединяется не более одного компьютера в сутки. Ознакомиться с более подробной информацией о текущем состоянии бот-сети можно на специальном сайте, созданном специалистами «Доктор Веб».

Ботнет, состоящий из рабочих станций, инфицированных файловым вирусом Win32.Rmnet.12, продолжает бить все рекорды. За месяц он вырос еще на 500 000 инфицированных узлов, таким образом, общая численность бот-сети скоро превысит 5 млн. Динамика прироста этой сети показана на представленной ниже иллюстрации.

graph

Демонстрирует уверенный рост и численность родственной бот-сети, созданной с использованием файлового вируса Win32.Rmnet.16. В среднем в течение суток к этому ботнету присоединяется до нескольких сотен новых инфицированных ПК, а общая его численность превысила 230 тысяч. Динамика роста данной бот-сети показана на диаграмме ниже.

graph

Новая версия троянца BackDoor.BlackEnergy

Троянцы семейства BackDoor.BlackEnergy известны как минимум с марта 2011 года и широко распространены. Вредоносные программы BackDoor.BlackEnergy представляют собой многофункциональный бэкдор, способный среди прочего загружать с сервера злоумышленников и устанавливать в инфицированной системе различные исполняемые файлы. BackDoor.BlackEnergy поддерживает взаимодействие с большим числом различных плагинов, и в течение продолжительного времени с использованием данного троянца действовал один из крупнейших ботнетов, ориентированных на рассылку спама. Благодаря усилиям ряда компаний и специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин, что привело к заметному снижению общемирового объема спам-трафика. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.

screen

Новая модификация бэкдора, добавленная в вирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. В качестве «горячей темы» злоумышленники используют скандальный фильм «Невинность мусульман», который вызвал волну протестов по всему миру и уже успел привести к человеческим жертвам. Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена «WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог. Более подробно о принципах действия данной вредоносной программы и способах ее распространения рассказано в статье, опубликованной на сайте компании «Доктор Веб».

Угроза месяца: Trojan.Mayachok.17727

Как уже упоминалось ранее, широко распространенный троянец Trojan.Mayachok.1 понемногу сдает свои позиции, уступая место новым модификациям данной угрозы. Одной из таких модификаций является Trojan.Mayachok.17727, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2012 года.

Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализован основной вредоносный функционал троянца. Дроппер, содержащий в себе троянскую библиотеку, создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет саму расшифрованную библиотеку и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.

Вредоносная библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем веб-страницы скрипт и другие параметры.

В отличие от Trojan.Mayachok.1, в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR, которая, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.

Угрозы для Android

В сентябре 2012 года в вирусные базы Dr.Web было добавлено множество записей для угроз, представляющих опасность для пользователей мобильной операционной системы Google Android. Одной из таких вредоносных программ является Android.EmailSpy.origin — ориентированный на японских пользователей троянец, ворующий контактные данные из адресной книги Android, в частности, адреса электронной почты, которые впоследствии могут быть использованы злоумышленниками для организации спам-рассылок. Во второй половине месяца в вирусные базы был добавлен троянец Android.SmsSpy.6.origin, основное функциональное назначение которого — перехват СМС-сообщений на инфицированном устройстве. Троянец распространялся на территории Франции при помощи массовой СМС-рассылки, предлагавшей пользователям скачать с сайта злоумышленников обновление проигрывателя Flash, под видом которого загружалась вредоносная программа.

Среди других добавленных в базы программ — Android.Iconos.3.origin, распространявшийся под видом приложения-автоответчика. Помимо основных заявленных разработчиком функций, Android.Iconos.3.origin собирал и отправлял на удаленный сервер хранящуюся на мобильном устройстве конфиденциальную информацию и отсылал без ведома пользователя платное СМС-сообщение. А в начале сентября в вирусные базы были добавлены записи для шпионов Android.Loozfon.origin и (чуть позднее) Android.Loozfon.2.origin, ориентированных в первую очередь на японскую аудиторию. Данные приложения также используются в целях компрометации персональных данных на мобильных устройствах, работающих под управлением ОС Android. Встречаются среди опасных для пользователя программ и коммерческие шпионы, такие как Program.AccuTrack.origin и Program.Spycontrol.2.origin, также позволяющие передавать конфиденциальные данные с устройства на удаленный сервер.

Троянец Android.Temai.origin, попавший в вирусные базы в сентябре 2012 года, предназначался для «накрутки» счетчиков установки приложений на различных сайтах-каталогах мобильного ПО. Троянец загружал на инфицированное устройство приложение, отправлял сигнал об успешной инсталляции, после чего удалял скачанный пакет. Помимо собственно вредоносных программ, базы Dr.Web для Android и Dr.Web для Android Light пополнились записями о новых модификациях коммерческих рекламных модулей, таких как Adware.Leadbolt.2.origin и Adware.Startapp.5.origin.

Другие угрозы сентября

26 августа компания FireEye сообщила об обнаружении критической уязвимости в Java Runtime Environment версий 1.7x, получившей обозначение CVE-2012-4681. Компания Oracle выпустила соответствующее обновление безопасности только 30 августа, и, следовательно, уязвимость оставалась незакрытой в течение как минимум четырех суток, чем не замедлили воспользоваться злоумышленники. Специалисты компании «Доктор Веб» установили, что с использованием этого эксплойта распространялось несколько вредоносных программ, среди которых был обнаружен троянец Trojan.Rodricter. Подробнее об этой угрозе можно узнать из опубликованного компанией «Доктор Веб» информационного материала.

В начале месяца были отмечены факты распространения нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные. Угроза получила наименование Trojan.Proxy.23968.

Вредоносные файлы, обнаруженные в почтовом трафике в сентябре

 01.09.2012 00:00 — 30.09.2012 23:00
1 Trojan.SMSSend.3245 1.07%
2 Trojan.Necurs.97 0.96%
3 BackDoor.Andromeda.22 0.72%
4 Win32.HLLM.MyDoom.54464 0.54%
5 Exploit.CVE2010-3333.6 0.51%
6 Trojan.Oficla.zip 0.48%
7 Win32.HLLM.MyDoom.33808 0.43%
8 Exploit.BlackHole.12 0.37%
9 Trojan.PWS.Panda.2401 0.32%
10 SCRIPT.Virus 0.29%
11 Win32.HLLM.Netsky.35328 0.27%
12 Win32.HLLM.Beagle 0.27%
13 Trojan.DownLoad2.39083 0.27%
14 Trojan.PWS.Panda.547 0.21%
15 W97M.Keylog.1 0.21%
16 Exploit.PDF.2990 0.21%
17 Trojan.DownLoader6.56603 0.21%
18 Trojan.Siggen4.19531 0.21%
19 Win32.HLLM.Netsky.18401 0.19%
20 Trojan.PWS.Panda.786 0.16%

Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей

 01.09.2012 00:00 — 30.09.2012 23:00
1 SCRIPT.Virus 0.50%
2 Trojan.Fraudster.343 0.48%
3 Trojan.Inject1.9025 0.47%
4 Trojan.Fraudster.329 0.37%
5 Tool.Unwanted.JS.SMSFraud.10 0.37%
6 Adware.Downware.179 0.36%
7 Trojan.Fraudster.296 0.31%
8 Adware.Downware.426 0.30%
9 Trojan.Fraudster.256 0.30%
10 Trojan.SMSSend.3249 0.28%
11 Win32.HLLW.Autoruner.59834 0.27%
12 Exploit.CVE2012-1723.13 0.27%
13 Trojan.Fraudster.320 0.27%
14 Win32.HLLW.Shadow 0.27%
15 Trojan.Fraudster.344 0.26%
16 JS.IFrame.317 0.26%
17 Adware.Downware.316 0.25%
18 Trojan.Mayachok.1 0.24%
19 Tool.Unwanted.JS.SMSFraud.15 0.24%
20 Tool.Skymonk.3 0.23%