Записи с меткой «flashback»

«Доктор Веб»: обзор вирусной активности за май 2013 года

Posted: Июнь 7, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

3 июня 2013 года

В начале мая был обнаружен опасный троянец, подменяющий открываемые пользователями в окне браузера веб-страницы. Другая вредоносная программа, также добавленная в вирусные базы в мае, атаковала пользователей социальных сетей Facebook, Google Plus и Twitter. В конце месяца специалисты «Доктор Веб» перехватили еще один управляющий сервер ботнета Rmnet, с помощью которого был выявлен факт распространения двух новых компонентов этого файлового вируса. Также в мае были обнаружены и новые вредоносные объекты, угрожающие пользователям мобильной платформы Android, — в основном программы-шпионы.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, абсолютным лидером по числу заражений в мае стал троянец Trojan.Hosts.6815 (2,53% от общего количества инфицированных компьютеров), на втором месте расположился троянец Trojan.Mods.1, подменяющий содержимое просматриваемых пользователем веб-страниц — об этой вредоносной программе подробно рассказано в опубликованном на сайте Dr.Web новостном материале. Всего в течение месяца лечащей утилитой Dr.Web CureIt! было обнаружено 15 830 экземпляров этого троянца, что составляет 1,95% от общего числа выявленных угроз. По-прежнему велико число случаев обнаружения вредоносных программ семейства Trojan.Mayachok в оперативной памяти компьютеров пользователей, также на инфицированных ПК достаточно часто встречается бэкдор BackDoor.IRC.NgrBot.42 и различные модификации троянцев семейства Trojan.Redirect. Двадцатка наиболее распространенных майских угроз, по данным лечащей утилиты Dr.Web CureIt!, приведена в представленной ниже таблице.

Название %
Trojan.Hosts.6815 2.55
Trojan.Mods.1 2.01
Trojan.MayachokMEM.7 1.50
BackDoor.IRC.NgrBot.42 1.41
Trojan.Redirect.147 1.36
Trojan.Redirect.140 1.35
Trojan.Hosts.6838 1.22
Trojan.Mods.2 1.01
Trojan.Packed.24079 0.97
Trojan.DownLoader8.48947 0.85
Trojan.Zekos 0.85
Trojan.PWS.Stealer.1932 0.74
Win32.HLLP.Neshta 0.71
BackDoor.Gurl.2 0.69
Trojan.Hosts.6708 0.59
Trojan.SMSSend.2363 0.51
Trojan.Packed.142 0.49
Trojan.Packed.142 0.44
Trojan.Packed.142 0.42
Trojan.DownLoader9.19157 0.41

Ботнеты

Специалисты компании «Доктор Веб» в настоящее время взяли под контроль две подсети ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, каждая из которых имеет собственный управляющий сервер. В мае 2013 года общее количество активно действующих ботов в первой бот-сети Win32.Rmnet.12 составило 619 346 единиц, во второй — 459 524, при этом за последние 10 суток к первому ботнету присоединилось еще 116 617 инфицированных машин, а ко второму — 143 554. Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тысяч инфицированных машин соответственно. Вот как выглядит динамика прироста данных ботнетов за период с 19 по 29 мая 2013 года:

В то же самое время прирост бот-сети Win32.Rmnet.16 идет чрезвычайно медленными темпами: всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Таким образом, можно сделать вывод, что файловый вирус Win32.Rmnet.16 сегодня не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 года компания «Доктор Веб» сообщила о перехвате контроля над одним из управляющих серверов ботнета, созданного с использованием троянца BackDoor.Bulknet.739. Данная вредоносная программа предназначена для массовой рассылки спама и имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. Если на начало апреля к данному управляющему серверу обращалось всего порядка 7 000 инфицированных компьютеров, то на конец мая количество активно действующих ботов выросло до значения 17 242, при этом динамику роста ботнета в период с 19 по 29 мая можно проследить на представленном ниже графике.

В конце мая специалистам «Доктор Веб» удалось установить контроль еще над одним управляющим сервером бот-сети Rmnet. В этой подсети был выявлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй позволяет отключать на зараженной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG. Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на контролируемом специалистами «Доктор Веб» управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин. Динамику прироста бот-сети можно проследить с помощью представленной ниже диаграммы.

Более подробную информацию о данной угрозе можно получить из опубликованного компанией «Доктор Веб» новостного материала.

Продолжает действовать и ботнет BackDoor.Dande — этот троянец заражает только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов: информацию из этих приложений и ворует вышеупомянутый троянец. В настоящий момент специалистам «Доктор Веб» известно о двух подсетях BackDoor.Dande: в одной действует 331 зараженная машина, в другой насчитывается 1 291 инфицированный компьютер.

Несмотря на то, что с момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, прошло уже больше года, данная бот-сеть продолжает действовать и сегодня: на текущий момент в ней насчитывается 65 987 инфицированных «маков».

В феврале 2013 года компания «Доктор Веб» сообщала об обнаружении троянца Linux.Sshdkit, атакующего работающие под управлением ОС Linux серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец транслирует на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Угроза месяца: Trojan.Facebook.311

Пользователи социальных сетей уже неоднократно становились мишенью киберпреступников и распространителей вредоносных программ. Так, в середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311, представляющей собой написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Распространялись эти вредоносные плагины с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом «обновления безопасности для просмотра видео».

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить конфигурационный файл, содержащий соответствующий набор команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить «лайки», размещать сообщения на стене, отправлять личные сообщения и т. д. При этом вредоносная программа обладает функционалом для работы не только в социальной сети Facebook, но и для взаимодействия с социальными сетями Twitter и Google Plus, — в частности, она наделена функцией рассылки спама. С более подробным исследованием данной угрозы можно ознакомиться в новости на сайте «Доктор Веб».

Атака на пользователей Skype

23 мая многочисленные интернет-СМИ сообщили о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, поступали от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая в свою очередь закачивала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троянец рассылает сообщения по контакт-листам месседжеров Skype, Windows Messenger, QIP, Google Talk и Digsby.

Сигнатура троянца Trojan.SkypeSpam.11 была добавлена в вирусные базы Dr.Web еще 22 мая.

Угрозы для Android

Для мобильной платформы Android май оказался весьма неспокойным периодом: на протяжении всего месяца специалистами компании «Доктор Веб» фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Так, вредоносная программа Android.Pincer.2.origin, обнаруженная в середине месяца, является довольно опасным троянцем, предназначенным для перехвата входящих СМС-сообщений и переадресации их на удаленный сервер. Авторами Android.Pincer.2.origin предусмотрена возможность отслеживать сообщения, поступающие c определенного номера, для чего троянцу посредством СМС поступает соответствующая команда. Распространяемая злоумышленниками под видом установщика сертификата безопасности, данная вредоносная программа может представлять серьезную опасность для владельцев мобильных Android-устройств, т. к. среди перехватываемых ею сообщений могут находиться как проверочные (одноразовые) mTAN-коды систем «Банк-Клиент», так и другая конфиденциальная информация. Более подробно об этой угрозе можно узнать, прочитав соответствующую публикацию на сайте «Доктор Веб».

В мае также был обнаружен очередной троянец-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Аналогично предшественникам, новая вредоносная программа, добавленная в вирусную базу как Android.AccSteal.1.origin, распространялась под видом приложения из категории «для взрослых» и после запуска загружала на удаленный сервер следующую информацию: имя учетной записи Google Mail, IMEI-идентификатор и название модели мобильного устройства, а также номер сотового телефона пользователя.

Примечательно, что в отличие от других подобных вредоносных программ, троянец действительно выполняет ожидаемую от него функцию, а именно позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне. Учитывая, что Android.AccSteal.1.origin распространяется при помощи веб-сайта, страницы которого имитируют уже устаревший внешний вид каталога Google Play, такое поведение можно объяснить желанием злоумышленников вызвать как можно меньше подозрений со стороны пользователей, но при этом обеспечить достаточно высокий процент успешного сбора их персональной информации.

Киберпреступники не обошли стороной и китайских пользователей: троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из популярных китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об СМС-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троянец способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2013 00:00 — 30.05.2013 18:00
1 Trojan.PWS.Panda.3734 1.49%
2 Trojan.PWS.Panda.4379 1.20%
3 Trojan.Oficla.zip 0.90%
4 Trojan.Packed.196 0.80%
5 Trojan.Inject2.23 0.75%
6 Win32.HLLM.MyDoom.54464 0.63%
7 Trojan.DownLoader9.17531 0.58%
8 Trojan.PWS.Stealer.2877 0.54%
9 Trojan.PWS.Panda.655 0.54%
10 Trojan.PWS.Stealer.946 0.53%
11 Trojan.Packed.666 0.53%
12 Exploit.CVE2012-0158.28 0.49%
13 Trojan.PWS.Stealer.2833 0.46%
14 Win32.HLLM.MyDoom.33808 0.44%
15 Trojan.PWS.Stealer.2824 0.39%
16 Trojan.PWS.Stealer.2861 0.39%
17 Trojan.PWS.Stealer.2864 0.37%
18 Exploit.CVE2012-0158.27 0.34%
19 BackDoor.IRC.NgrBot.42 0.34%
20 VBS.Rmnet.2 0.32%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2013 00:00 — 30.05.2013 18:00
1 SCRIPT.Virus 0.71%
2 Adware.Downware.915 0.71%
3 Tool.Unwanted.JS.SMSFraud.26 0.50%
4 Win32.HLLW.MyBot 0.48%
5 Adware.InstallCore.115 0.47%
6 Adware.Downware.179 0.45%
7 Adware.InstallCore.114 0.45%
8 Adware.Downware.1157 0.44%
9 Adware.InstallCore.101 0.36%
10 Tool.Unwanted.JS.SMSFraud.29 0.33%
11 Adware.Webalta.11 0.33%
12 Adware.Downware.1132 0.32%
13 Tool.Unwanted.JS.SMSFraud.10 0.31%
14 Trojan.Hosts.6708 0.30%
15 BackDoor.IRC.NgrBot.42 0.28%
16 Trojan.DownLoader9.19157 0.28%
17 Tool.Skymonk.11 0.28%
18 Trojan.Hosts.6838 0.28%
19 Win32.HLLW.Shadow 0.27%
20 Win32.HLLW.Autoruner.59834 0.26%

ИСТОЧНИК

Реклама

14 января 2013 года

Компания «Доктор Веб» представляет обзор вирусной активности в 2012 году. Прошедший год запомнится, прежде всего, крупнейшей в истории эпидемией троянской программы Backdoor.Flashback.39 для «маков». Это событие всколыхнуло мировую общественность и во многом подорвало веру пользователей в «непогрешимость» операционной системы от Apple. Кроме того, за прошедшие двенадцать месяцев значительно выросло количество разновидностей троянцев-энкодеров, а также число заражений этими вредоносными программами. Одна из крупнейших на сегодняшний день бот-сетей, состоящая из персональных компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысила рекордную шестимиллионную отметку. К сожалению, значительно возросло разнообразие угроз для мобильной платформы Google Android.

Крупнейший ботнет для Mac OS X

Появление троянской программы Backdoor.Flashback.39, из-за которой разразилась самая настоящая эпидемия среди Apple-совместимых компьютеров, можно назвать, пожалуй, самым ярким событием 2012 года в сфере информационной безопасности. Впервые это вредоносное ПО было обнаружено специалистами компании «Доктор Веб» еще в конце марта 2012 года, а информационное сообщение о выявлении крупнейшего в истории ботнета, работающего под управлением Mac OS X, было опубликовано 4 апреля. Еще в конце марта в вирусную лабораторию стали поступать сообщения о распространении троянцев для Mac OS X с использованием уязвимости Java, именно тогда и возникло предположение о том, что Backdoor.Flashback.39 способен объединять «маки» в бот-сети. Аналитики «Доктор Веб» изучили алгоритм, используемый этим троянцем для генерации имен управляющих серверов, и зарегистрировали несколько таких имен. Результат превзошел все ожидания: уже в первые сутки стало понятно, что количество зараженных «маков» превысило 600 000 и продолжает стремительно расти. География распространения инфекции также была весьма обширной:

География распространения
География распространения Backdoor.Flashback.39

За последующие 10 дней размер бот-сети достиг максимальной отметки в 670 000 с лишним одновременно работающих инфицированных компьютеров (более 800 000 уникальных компьютеров с учетом «излечившихся») и постепенно пошел на спад. Опубликованный компанией «Доктор Веб» пресс-релиз с описанием данной угрозы наделал много шума в мировой прессе и вызвал широчайший общественный резонанс. Миф о том, что Mac OS X является одной из самых защищенных операционных систем в мире, был в одночасье разрушен.

Основной причиной эпидемии стало то обстоятельство, что корпорация Apple выпустила обновление безопасности для собственной реализации Java спустя два месяца после аналогичного обновления, опубликованного корпорацией Oracle, что позволило злоумышленникам безнаказанно распространять вредоносное ПО в течение длительного времени. Другая причина — это, безусловно, слепая вера пользователей продукции Apple в абсолютную защищенность платформы Mac OS X: в пользу этого суждения говорил, в частности, тот факт, что число инфицированных «маков» продолжало увеличиваться даже после того, как компания «Доктор Веб» сообщила на весь мир об этой угрозе.

Динамика изменения численности бот-сети в 2012 году

Исследования, проведенные аналитиками компании «Доктор Веб», позволили определить версии платформы Mac OS X, которые инфицировала вредоносная программа, версии ядра ОС, а также ряд других характеристик ботнета, исходя из анализа обращений этой вредоносной программы к управляющим серверам. Результаты этих исследований по данным на апрель 2012 года показаны на представленных ниже иллюстрациях.

Распредение запросов по версии ядра операционной системы

graph

graph

В декабре 2012 года рост бот-сети Backdoor.Flashback.39 практически полностью остановился, однако окончательно она не побеждена — во всем мире еще насчитывается несколько десятков тысяч инфицированных «маков».

Поскольку популярность системной платформы от Apple постепенно растет, а пользователи этой ОС не привыкли использовать антивирусное программное обеспечение, Mac OS X становится лакомым куском для многочисленных злоумышленников. Вряд ли среднестатистический правонарушитель пройдет мимо богато обставленной квартиры, хозяева которой по идеологическим соображениям не желают запирать входную дверь на замок.

Файловые вирусы и другие ботнеты

Файловый вирус Win32.Rmnet.12, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2011 года, за истекшие 12 месяцев побил все мыслимые рекорды, образовав бот-сеть, состоящую из шести с половиной миллионов инфицированных узлов. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению, то есть, он умеет копировать сам себя и бесконтрольно распространяться без участия пользователя. Этот вирус заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей от популярных FTP-клиентов, – эти пароли могут быть использованы для организации сетевых атак. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду и на уничтожение операционной системы. Его вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты), перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Вот почему этот вирус представляет существенную опасность для пользователей.

Наибольшее распространение данный вирус получил в странах юго-восточной Азии, таких как Индонезия, Бангладеш, Вьетнам, Индия и Пакистан. Однако имеется значительное число инфицированных машин и в России.

Первоначально число заражений вирусом Win32.Rmnet.12 было относительно невелико, однако с каждым месяцем количество инфицированных ПК увеличивалось, пока к концу года не достигло рекордной отметки в 6,5 миллионов. Динамику этого процесса можно проследить с помощью представленного ниже графика.

graph

Поскольку тенденций к снижению роста данной угрозы не наблюдается, можно предположить, что вирус Win32.Rmnet.12 продолжит свое распространение. Если расширение ботнета будет продолжаться прежними темпами, то в 2013 году общая численность зарегистрированных в сети инфицированных компьютеров превысит 10 миллионов.

Одной из наиболее распространенных модификаций файлового вируса Win32.Rmnet.12 является его «родной брат» Win32.Rmnet.16. Основное отличие данной вредоносной программы от ее предшественницы заключается том, что она использует цифровую подпись, которой подписывается IP-адрес управляющего сервера. Также вирусописатели обновили основные функциональные модули приложения.

graph

Ботнет, состоящий из инфицированных Win32.Rmnet.16 рабочих станций, наиболее распространен на территории Великобритании и Австралии. Однако численность этой бот-сети значительно скромнее по сравнению с Win32.Rmnet.12. Число случаев заражения в течение 2012 года также постепенно росло, однако гораздо менее высокими темпами, о чем свидетельствует представленная ниже диаграмма.

graph

Исходя из имеющейся в распоряжении специалистов «Доктор Веб» статистики можно предположить, что прирост численности ботнета Win32.Rmnet.16 будет понемногу сокращаться, а его общий объем вряд ли превысит миллион инфицированных узлов, если, конечно, лавинообразному росту заражений не поспособствуют какие-либо непредвиденные обстоятельства. Напомним, что специалисты компании «Доктор Веб» полностью контролируют вирусные сети Win32.Rmnet.12 и Win32.Rmnet.16.

Еще в ноябре 2011 года компания «Доктор Веб» сообщила о появлении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у российских фармацевтических компаний и аптек. BackDoor.Dande — сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать его вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего по формальным признакам ее становится невозможно отличить от незараженной библиотеки. Троянец крадет данные из так называемых «систем электронного заказа», к которым относятся специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие.

Несмотря на то, что троянец впервые был добавлен в вирусные базы Dr.Web более года назад, к концу декабря 2012 года бот-сеть BackDoor.Dande продолжала действовать. С учетом того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов (а при ее отсутствии самоудаляется), можно с уверенностью говорить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На 19 декабря 2012 года в ботнете BackDoor.Dande числился 3 031 инфицированный компьютер. Изменение численности данной бот-сети показано на представленном ниже графике.

graph

Троянцы-кодировщики

2012 год можно, пожалуй, назвать периодом наибольшего распространения троянцев-энкодеров: по приблизительным подсчетам в прошлом году от действия этих вредоносных программ пострадали тысячи человек по всему земному шару. В течение года в вирусные базы Dr.Web было добавлено множество новых модификаций троянцев данного типа. Динамика поступления запросов в службу технической поддержки компании «Доктор Веб» от пользователей, пострадавших в результате действия троянцев-кодировщиков, показана на представленном ниже графике:

graph

Появление первых версий троянцев-кодировщиков было зафиксировано еще в 2009 году. Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, изображения и архивы, после чего шифруют их. За расшифровку файлов злоумышленники требуют заплатить определенную денежную сумму.

В течение длительного времени от действий троянцев-кодировщиков страдали в основном пользователи на территории России и стран бывшего СССР, однако весной 2012 года вредоносные программы семейства Trojan.Encoder вышли на зарубежные просторы. Одним из первых троянцев-вымогателей, ориентированных на западную аудиторию, стал Trojan.Encoder.94. Троянец имел англоязычный интерфейс, однако случаи заражения были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Первые обращения пострадавших от Trojan.Encoder.94 зарубежных пользователей были зафиксированы 9–10 апреля 2012 года. Вскоре в службу технической поддержки компании «Доктор Веб» стали обращаться пользователи из Латинской Америки (Бразилии и Аргентины), а также таких европейских стран как Франция, Бельгия, Швейцария, Нидерланды, Хорватия, Словения, Венгрия и Румыния.

К концу года ситуация с троянцами-шифровальщиками кардинально изменилась: если в 2011 году подобные вредоносные программы все еще были ориентированы в основном на русскоязычную аудиторию, то уже к декабрю 2012, по мнению аналитиков «Доктор Веб», соотношение «российских» и «зарубежных» энкодеров составляло примерно 50/50. Основной всплеск распространения шифровальщиков, ориентированных на западный рынок, пришелся на апрель-май 2012 года, однако к осени их число несколько уменьшилось. Основываясь на имеющейся статистике можно предположить, что в наступающем году число энкодеров, направленных на зарубежных пользователей ПК, будет стремительно расти. В целом 2013 год можно будет, по всей видимости, назвать «годом энкодеров» — распространенность этой категории угроз вполне может принять масштабы эпидемии.

Винлоки

Троянцы-вымогатели, парализующие нормальную работу операционной системы и требующие у пользователя заплатить определенную сумму за ее разблокировку, известны уже давно. В течение 2012 года появлялись новые модификации винлоков, но динамику их распространения нельзя было назвать чрезмерно высокой. Всего в течение года в службу технической поддержки «Доктор Веб» обратилось более 10 000 пользователей, пострадавших от действия троянцев-блокировщиков, всем им была оказана квалифицированная помощь. Динамику таких запросов можно отследить с помощью представленного ниже графика.

graph

Осенью 2012 года было зафиксировано распространение троянцев-блокировщиков, получивших общее наименование «мультилокеры», — исходя из заголовка, демонстрировавшегося на входной странице используемых ими управляющих серверов. Такие троянцы не содержат каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы мультилокеры загружают с удаленного сервера. Соответственно, это позволяет злоумышленникам оперативно настраивать демонстрируемые на экране инфицированного компьютера текст, изображения, а также менять код разблокировки.

Запустившись на зараженном ПК, троянцы-мультилокеры блокируют возможность загрузки ряда приложений и системных утилит. Кроме того, некоторые модификации этих вредоносных программ способны перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, как правило, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

screen

Специалистами компании «Доктор Веб» были зафиксированы случаи распространения подобных угроз в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии, США и нескольких других странах. Для получения оплаты злоумышленники обычно используют ваучерные платежные системы Ukash, Moneypack и Paysafecard. Анализ троянцев-вымогателей, поступивших в течение года в вирусную лабораторию «Доктор Веб», говорит о том, что вирусописатели понемногу отказываются от винлоков традиционной архитектуры, в то же время прослеживается тенденция к усложнению их конструкции и росту функциональных возможностей. Можно предположить, что подобные троянцы будут с определенной периодичностью появляться на свет и в следующем году, а ареал их распространения продолжит расширяться.

Наиболее важные события в сфере информационной безопасности

2012 год запомнится пользователям множеством важных и интересных событий в сфере информационной безопасности. Так, этот год был отмечен значительным ростом числа взломов веб-сайтов с целью распространения вредоносного ПО. Первая волна хакерских атак была зафиксирована еще в начале года, когда оказалось взломано от нескольких десятков до сотен тысяч сайтов. На скомпрометированных ресурсах злоумышленники размещали содержащие уязвимость сценарии, с помощью которых, в частности, распространялся известнейший троянец для Mac OS X Backdoor.Flashback.39. Еще одна волна взлома интернет-ресурсов пришлась на середину августа: в российском сегменте Интернета было скомпрометировано несколько тысяч сайтов с целью распространения троянцев для мобильных платформ. Данная тенденция продолжала прослеживаться до конца года: уже в декабре были зафиксированы случаи взлома популярных порталов, в частности, официального сайта далай-ламы. Злоумышленники ставили своей целью заразить компьютеры посетителей этих сайтов вредоносными программами для ОС Windows и Mac OS X.

В минувшем году киберпреступники весьма активно использовали в своих целях различные уязвимости Java. Так, весной 2012 года злоумышленники распространяли с использованием уязвимости CVE-2012-0507 вредоносные программы семейства Trojan.Carberp и бэкдор для Mac OS X Backdoor.Flashback.39. В июле средства массовой информации сообщили об использовании уязвимости CVE-2012-1723 в популярном среди злоумышленников наборе эксплойтов BlackHole. А уже 26 августа была обнаружена очередная критическая уязвимость Java, которая стала использоваться злоумышленниками в направленных атаках на компьютеры, работающие под управлением Mac OS X, Linux и Windows. Аналитики компании «Доктор Веб» полагают, что ситуация на тот момент складывалась критическая: на день публикации первой новости об обнаружении эксплоита злоумышленникам было широко известно о критической уязвимости Java 7, а обновление Java-машины планировалось только на середину октября. Следовательно, примерно 2 месяца вредоносное ПО имело бы возможность потоком идти через эту «незалатанную дыру» в Java, а также перенаправлять пользователей на вредоносные ресурсы посредством взломанных сайтов, которые на первый взгляд совершенно безобидны. Действия компании Oracle в данной ситуации не были оперативными, из-за чего вредоносное ПО проникло на компьютеры незащищенных пользователей. Тем не менее, с выходом очередного обновления Java в сентябре 2012 специалисты в области компьютерной безопасности обнаружили еще несколько критических уязвимостей этой платформы. Кроме того, в начале ноября появились сообщения об обнаружении zero-day уязвимости в программе Adobe Reader (версиях 10 и 11). С помощью этой уязвимости злоумышленникам удавалось запускать на компьютере жертвы вредоносное приложение. Сам содержащий уязвимость файл киберпреступники распространяли в Интернете, а также рассылали по электронной почте.

Весьма резонансным событием в сфере информационной безопасности стало обнаружение специалистами одной из антивирусных компаний вредоносной программы Win32.HLLW.Flame — сложного многокомпонентного вредоносного приложения, прозванного специалистами «Доктор Веб» за рекордный размер (более 6 МБ) «троянским слоном». Эта программа обладает весьма обширными функциональными возможностями, однако «в дикой природе» практически не встречается. По мнению аналитиков «Доктор Веб», опасность этого троянца, растиражированная многочисленными публикациями в интернете и в СМИ, несколько преувеличена.

Еще одним немаловажным событием в мире информационных технологий стала ликвидация в июле 2012 ботнета BackDoor.BlackEnergy. Это была крупнейшая бот-сеть, ориентированная на массовую рассылку спама, а также проведение DDoS-атак, и прекращение ее деятельности достаточно быстро привело к снижению объемов спам-трафика начиная с июля 2012 года. Вместе с тем, несмотря на уничтожение главных управляющих центров BackDoor.BlackEnergy, специалисты «Доктор Веб» зафиксировали несколько более мелких командных серверов этой сети, которые продолжали свою деятельность и после опубликованных в прессе заявлений об уничтожении данной бот-сети. Тем не менее, уже спустя несколько месяцев прекратили свое существование и эти серверы, поэтому в настоящий момент мы действительно можем говорить о полной и безоговорочной ликвидации ботнета BackDoor.BlackEnergy.

Мошенничество в Интернете

Не дремлют и сетевые мошенники, всеми силами стремящиеся нажиться на доверчивости простых пользователей. Так, в начале мая злоумышленники устроили атаку на пользователей Facebook. Заглянув на свою страницу в этой социальной сети, пользователь обнаруживал в новостной ленте ссылку на программу Profile Visitor, якобы способную фиксировать и демонстрировать на специальной странице посетителей его профиля. Ссылка, как правило, публиковалась от имени одного из друзей пользователя и вела на страницу встроенного приложения Facebook, для активации которого требовалось разрешить программе публиковать контент от имени пользовательской учетной записи. Как только ничего не подозревающая жертва нажимала на кнопку «Разрешить», на стене ее профиля и в новостной ленте всех ее друзей появлялась ссылка на данное приложение, размещенная от ее имени. Однако даже если пользователь не разрешал программе Profile Visitor какие-либо публикации, все, кто зарегистрирован в списке его друзей, получали «отметку» на «фотографии», представляющей собой рекламный баннер-ссылку приложения Profile Visitor. С помощью этого баннера пользователь перенаправлялся на различные мошеннические сайты.

В конце того же месяца многие российские пользователи стали жертвами массовой рассылки электронных писем, отправленных от имени Сбербанка. Послания с темой «Сообщение об увеличении задолженности» получило множество пользователей. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружался файл .SCR — в RAR- или ZIP-архиве либо в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказывались зашифрованными, а за их расшифровку злоумышленники требовали заплатить определенную сумму.

screen

В июне письма с вредоносным содержимым чаще всего отправлялись якобы от имени почтовых служб UPS и EMS. В сообщениях говорилось о том, что служба не смогла доставить пользователю почтовое сообщение, а за подробностями злоумышленники советовали обратиться к вложенному в сообщение файлу, в котором, как правило, скрывалась троянская программа.

В то же самое время сетевые мошенники освоили новый способ обмана пользователей, озадаченных поиском работы. Преследуя свои корыстные цели, злоумышленники создавали на специализированных ресурсах учетную запись несуществующей компании с громким и запоминающимся названием. Затем по электронной почте мошенники отправляли соискателям сообщение, в котором предлагалось занять некую вымышленную вакансию, например, «инженера по подбору оборудования». Для этого потенциальной жертве следовало пройти «онлайн-собеседование» на определенном сайте, созданном специально для этой цели. «Онлайн-собеседование», как правило, состояло из нескольких десятков примитивных вопросов, а после прохождения «теста» жертве предлагалось отправить СМС-сообщение «с личным кодом результата» на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. На самом деле, таким образом пользователь соглашался с условиями «псевдоподписки» — услуги по предоставлению доступа к информации, за оказание которой со счета его мобильного телефона регулярно списывалась определенная сумма.

Наиболее интересные угрозы года

Одной из наиболее ярких тенденций четвертого квартала стало резкое снижение числа заражений пользовательских компьютеров троянской программой Trojan.Mayachok.1, уверенно возглавлявшей список наиболее опасных угроз с начала 2012 года. Связано это, прежде всего, с тем, что вирусописатели начали активно модифицировать эту троянскую программу: если на начало года было известно лишь несколько ее версий, то к концу декабря в базах Dr.Web насчитывалось уже более 1 000 соответствующих записей. Изменениям подвергся и код вредоносной программы, и — отчасти — ее функционал, при этом если в начале года новые версии Trojan.Mayachok появлялись не чаще раза в месяц, то в октябре-ноябре модификации данного троянца детектировались практически каждый день, однако их различия в целом были незначительными. Напомним, что вредоносные программы Trojan.Mayachok обладают возможностью встраивать в просматриваемые пользователем веб-страницы постороннее содержимое. Например, блокировать таким образом доступ к Интернету и требовать плату за его разблокировку. Можно предположить, что новые версии троянцев этого семейства будут появляться и в дальнейшем.

В конце июня специалистами компании «Доктор Веб» был проведен анализ вредоносной программы Trojan.Hottrend, которую можно назвать самым маленьким из известных на сегодняшний день банковских троянцев. Размер её составляет всего 20 КБ. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.

Одним из самых интересных троянцев, исследованных вирусными аналитиками компании «Доктор Веб» в 2012 году, является вредоносная программа под названием BackDoor.DaVinci.1. Главной отличительной особенностью этого троянского приложения является то, что оно способно работать как в операционной системе Microsoft Windows, так и в Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ. Эта вредоносная программа представляет собой многокомпонентный бэкдор, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для сокрытия работы приложения в операционной системе.

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных брандмауэров, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то, что впервые в данной платформе используются руткит-технологии для сокрытия файлов и процессов.

Ну а наиболее оригинальным подходом к заражению компьютеров отличился троянец Trojan.KillFiles.9055, распространявшийся по электронной почте в сообщениях с призывами присоединиться к протестным акциям 5 марта 2012 года. Примечателен тот факт, что тело троянца располагалось непосредственно в макросе, встроенном в приложенный к письму документ Word. Вредоносная программа сохранялась на диск и выполнялась в момент открытия документа. Запустившись на компьютере жертвы, Trojan.KillFiles.9055 вызывал зависание ОС Windows. Одновременно троянец менял содержимое всех обнаруженных на диске С файлов (с расширением .msc .exe .doc .xls .rar .zip .7z) на «цифровой мусор» и помечал их на удаление после перезагрузки системы, вследствие чего Windows приходила в нерабочее состояние. Затем троянец отправлял на удаленный сервер злоумышленников сообщение о том, что операционная система успешно уничтожена.

Android под атакой: «легкие» деньги, доступ к конфиденциальной информации и усложнение угроз

Как и ожидалось, число угроз, ориентированных на ОС Android, в 2012 году продолжило неуклонно расти, что неудивительно: мобильные устройства под управлением этой операционной системы продолжают занимать все более прочное положение на рынке. Так, согласно последнему исследованию компании IDC, в третьем квартале 2012 года три четверти поставляемых смартфонов работали именно на этой платформе. На представленной ниже диаграмме отображено процентное распределение вредоносных программ для Android.

screen

Наиболее распространенной и массированной угрозой по-прежнему остаются троянцы семейства Android.SmsSend, появившиеся еще в 2010 году. Основная функция этих вредоносных программ — отправка дорогостоящих СМС-сообщений и подписка пользователей на различные контент-услуги. Подавляющее большинство троянцев Android.SmsSend с технологической точки зрения является примитивными разработками, однако простота создания и высокая окупаемость побуждают киберпреступников выпускать бесчисленные модификации этих вредоносных программ.

Одной из наиболее заметных тенденций 2012 года стало существенное увеличение числа троянских программ-шпионов для ОС Android. Так, весьма показательным стало появление целого ряда троянцев, которые начиная с середины 2012 года атаковали японских пользователей. Все эти вредоносные программы, среди которых были Android.EmailSpy.origin, Android.MailSteal.1.origin и Android.Maxbet.1.origin, распространялись при помощи спам-писем, содержавших ссылку, которая вела на загрузку якобы полезного приложения. Программы-шпионы предназначались для кражи персональной информации, такой как адреса электронной почты. Были обнаружены и новые представители банковских троянцев, в частности, Android.SpyEye.2.origin, Android.Panda.2.origin и Android.FakeSber.1.origin. Последний особенно интересен тем, что предназначался для атаки на клиентов одного из крупнейших российских банков, в то время как другие вредоносные программы данного типа раньше представляли угрозу лишь для зарубежных пользователей. Это свидетельствует о том, что география применения таких вредоносных программ постепенно расширяется. Несмотря на то, что банковские троянцы для ОС Android все еще встречаются нечасто, они представляют серьезную опасность из-за точечного и хорошо спланированного характера атак. Появление первой подобной вредоносной программы в России может стать отправной точкой к увеличению инцидентов с их участием.

В прошедшем году продолжил расширяться рынок коммерческого шпионского ПО: на протяжении всего года в вирусные базы Dr.Web вносились не только новые модификации известных приложений для кибершпионажа и мониторинга, но также целый ряд новых семейств.

В 2013 году стоит ожидать увеличения количества подобных потенциально опасных программ, а также различных троянцев-шпионов. Весьма вероятной представляется угроза со стороны APT-кампаний (атак с перебором различных видов угроз и уязвимостей до получения результата), в которых будут использоваться Android-троянцы. В целом же можно говорить о том, что все большее число Android-угроз, так или иначе участвующих в краже конфиденциальной информации, применяется в узконаправленных атаках. Эта тенденция в ближайшем будущем сохранится.

Одной из наиболее опасных вредоносных программ для мобильных Android-устройств в 2012 году стал троянец Android.SmsSend.186.origin. От большинства других представителей этого семейства он отличался весьма продвинутыми методами сокрытия вредоносного функционала. Во-первых, при его распространении был использован дроппер, не требующий для работы никаких специальных разрешений. Во-вторых, после установки Android.SmsSend.186.origin заставлял пользователя предоставить ему права администратора мобильного устройства, а после их получения на некоторых версиях ОС Android его было очень сложно удалить. Вполне вероятно, что в 2013 году появятся новые вредоносные программы, в той или иной степени противостоящие попыткам своего удаления, а также использующие различные техники для сокрытия своего присутствия в системе от пользователей.

Вредоносные программы, использующие уязвимости ОС Android для повышения системных привилегий, в прошедшем году не проявляли сколь-нибудь заметной активности. Причиной этого мог стать постепенный переход пользователей на более новые версии Android, в которых соответствующие уязвимости были исправлены, а также усиление безопасности платформы в целом. Однако нельзя исключать, что в 2013 году могут появиться новые вредоносные приложения, которые будут использовать неизвестные ранее уязвимости.

Последняя версия ОС Android 4.2, вышедшая относительно недавно, содержит ряд улучшений, направленных на борьбу с вредоносным ПО. В частности, добавлена функция проверки приложений, основанная на рейтинге их безопасности, а также введена ограничивающая мера для приложений, имеющих возможность отправлять СМС-сообщения на премиум-номера — теперь пользователи имеют возможность выбора: разрешить или запретить отправку таких СМС. Однако эффективность этих нововведений можно будет полноценно оценить лишь тогда, когда обновленная версия операционной системы станет использоваться на существенном количестве мобильных устройств. Учитывая огромный рынок совместимого с ОС Android оборудования, можно предположить, что злоумышленники найдут способы обхода новых защитных функций.

Прогнозы и перспективы

Исходя из анализа угроз, поступивших в вирусную лабораторию компании «Доктор Веб» в течение 2012 года, можно спрогнозировать основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.

  • Будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры.
  • Значительно увеличится и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз.
  • Продолжится рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).
  • Возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в ОС Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.
  • Будет расти число и усложняться функционал банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры.
  • В целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет ассортимент троянцев-шпионов.
  • Возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы. Увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.

АНАЛИТИКА

Скачать в pdf

Дата составления
4.10.12
Текущий уровень опасности
Высокий
Наиболее актуальные угрозы безопасности компаний* Типы угроз
Вредоносные программы, способные организовывать бот-сети — распределенные системы, состоящие из инфицированных компьютеров и управляемые одним или несколькими командными серверами.

* Актуальность угроз определяется не только количеством и разнообразием вредоносных программ, но и уровнем защиты от них в компаниях и организациях различного типа.

Тема выпуска: Ботнеты

Ботнет — это сеть компьютеров, зараженных вредоносной программой, которая позволяет преступным группировкам удаленно управлять зараженными машинами без ведома пользователя. Как правило, большинство современных ботов являются многофункциональными вредоносными приложениями, позволяющими злоумышленникам реализовывать широкий ассортимент различных угроз.

Типичные представители

  • Win32.Rmnet.12 — файловый вирус, в сети насчитывается более 4 миллионов инфицированных узлов, работающих под управлением Microsoft Windows;
  • Win32.Rmnet.16 файловый вирус, в сети насчитывается более 400 000 инфицированных узлов, работающих под управлением Microsoft Windows;
  • Backdoor.Flashback.39 троянская программа для Mac OS X; в пиковый период более были заражены более 800 000 машин;
  • Backdoor.Andromeda.22 — чрезвычайно распространенный троянец-бот, обладающий широким вредоносным функционалом, однако используемый в основном для загрузки на инфицированный компьютер других троянских программ;
  • Trojan.WinSpy обширное семейство вредоносных программ, некоторые версии используют руткит-технологии. Часто используется для загрузки на инфицированный компьютер других вредоносных приложений.

Цели организации ботнетов

Преступные группировки организуют и используют ботнеты в следующих целях:

  • Загрузка и установка на инфицированный компьютер по команде с удаленного сервера других вредоносных программ (так называемые троянцы-загрузчики, или даунлоадеры). Ярким представителем данного семейства является Backdoor.Andromeda.22. Услуга по загрузке на компьютеры пользователей вредоносных программ пользуется высоким спросом среди вирусописателей и успешно монетизируется злоумышленниками.
  • Проведение DDoS-атак (Distributed Denial-of-Service) на отдельные сайты и веб-сервисы. Данная услуга также широко востребована среди злоумышленников, промышляющих киберпреступлениями. Сетевые атаки могут использоваться в целях вымогательства, давления на конкурентов, дискредитации перед потенциальными клиентами.
  • Распространение спама с использованием инфицированных рабочих станций. При этом спам рассылается не только в виде электронной почты, но и в социальных сетях, форумах, блогах.
  • Удаленное управление инфицированными компьютерами, возможность хищения хранящихся на локальных дисках файлов.
  • Прямое вымогательство финансовых средств у пользователя инфицированного компьютера (Trojan.Mayachok.1).
  • Хищение конфиденциальной информации (в том числе логинов и паролей) методом анализа трафика, осуществления веб-инжектов, похищения файлов cookies, кейлоггинга (перехвата нажатий клавиш), пересылки злоумышленникам снимков экрана, иных методов (Win32.Rmnet.12, Win32. Rmnet.16) .
  • Хищение информации для доступа к системам дистанционного банковского обслуживания (ДБО), что позволяет злоумышленникам получить доступ к банковским счетам предприятия (Trojan.PWS.Panda, Trojan.Carberp).
  • Перенаправление браузера пользователя на принадлежащие злоумышленникам веб-страницы. При этом могут преследоваться различные цели: фишинг, загрузка на компьютер пользователя вредоносного ПО с использованием уязвимостей, «накрутка» посещаемости некоторых интернет-ресурсов.
  • Использование инфицированных компьютеров в качестве прокси-серверов для анонимизации доступа злоумышленников в Интернет.

Получив несанкционированный доступ к инфицированному компьютеру, злоумышленники могут:

  • установить на инфицированную рабочую станцию любую другую (в том числе вредоносную) программу;
  • просматривать любые хранящиеся на компьютере файлы, копировать и передавать их на собственный управляющий сервер;
  • работать в Интернете, используя инфицированный компьютер в качестве промежуточного узла, в том числе совершая различные противоправные действия, например сетевые атаки. В файлах журналов атакованных узлов при этом останется IP-адрес инфицированного компьютера;
  • перехватывать пароли от различных приложений, FTP-клиентов, интернет-сервисов, служб электронной почты;
  • получать снимки экрана и перехватывать изображение с подключенной к компьютеру веб-камеры;
  • анализировать и перенаправлять сетевой трафик, в том числе с целью извлечения паролей. Перенаправление может происходить в зависимости от заданных условий — в том числе в зависимости от введенных пользователем поисковых запросов;
  • подменять открываемые в браузере веб-страницы, в том числе для получения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
  • отдавать установленной на инфицированном ПК вредоносной программе различные команды;
  • полностью уничтожить операционную систему на зараженном компьютере.

Хищение персональных данных может вызвать такие последствия для жертвы, как:

  • Рассылка от имени жертвы спам-сообщений по электронной почте и в социальных сетях.
  • В случае дискредитации паролей к FTP-клиентам и панелям управления веб-сайтами (CMS) — установка злоумышленниками на принадлежащие жертве веб-сайты скриптов, осуществляющих перенаправление посетителей на принадлежащие злоумышленникам веб-страницы или загрузку на их компьютеры вредоносного ПО.
  • Получение злоумышленниками несанкционированного доступа к системам «Банк-Клиент» и другим системам ДБО.
  • Получение злоумышленниками несанкционированного доступа к счетам пользователя в электронных платежных системах (WebMoney, «Яндекс. Деньги» и т. д.).

Кроме вышеописанного, попадание в ботнет может привести к:

  • отключению провайдером доступа в Интернет при выявлении фактов распространения из инфицированной сети вредоносного ПО, спама или массового DDoS-трафика;
  • значительному снижению быстродействия инфицированных рабочих станций и локальной сети;
  • отказу ОС на отдельных инфицированных компьютерах.

Типичные пути заражения

Как правило, заражение происходит:

  • Путем саморепликации вредоносной программы: самостоятельного (без участия пользователя) копирования вредоносной программы на сменные носители и общедоступные ресурсы локальной сети с заражением исполняемых файлов, динамических библиотек и других типов файловых объектов. Подобным образом распространяются файловые вирусы, такие как Win32.Rmnet.16 или Win32.Rmnet.12, заразивший более 4 млн компьютеров по всему миру.
  • Путем загрузки на инфицированный компьютер другими вредоносными программами (Backdoor.Andromeda.22) .
  • При посещении инфицированных веб-сайтов и в момент просмотра веб-страниц, содержащих известные уязвимости браузеров или ОС. При этом жертва может даже не заметить самого момента заражения (Backdoor.Flashback.39) .
  • При открытии вложений в сообщения электронной почты, полученные в спам-рассылке.
  • С использованием методов социальной инженерии. Например, для просмотра размещенного на сайте видеоролика пользователю предлагается загрузить кодек или обновление, под видом которого распространяется вредоносная программа.
  • С применением специально «забытых» и заранее инфицированных флешек либо других носителей информации.

Методы противодействия обнаружению

Некоторые вредоносные программы могут использовать следующие методы противодействия их обнаружению:

  • Антиотладка. Вредоносная программа пытается определить, не запущена ли она в виртуальной машине, не загружен ли на инфицируемом компьютере отладчик или антивирусная программа (например, методом перечисления запущенных процессов).
  • Использование руткит-технологий. В частности, с применением специальных драйверов файловой системы вредоносная программа может скрыть присутствие своих компонентов на диске зараженного компьютера.
  • Заражение главной загрузочной записи (MBR), хранение компонентов за пределами таблиц разделов. Некоторые вредоносные программы могут инфицировать главную загрузочную запись (MBR) и сохранять свои компоненты в свободной области дискового пространства. Получив управление в процессе загрузки ОС, троянец считывает хранящиеся за пределами файловых таблиц модули непосредственно в оперативную память инфицированного компьютера.
  • Исполнение в контексте других запущенных процессов. Некоторые вредоносные программы имеют возможность встраиваться в запущенные процессы (в том числе в процессы операционной системы) и работать «внутри» данных процессов.
  • Обфускация и криптование. Нередко злоумышленники шифруют тело вредоносной программы с использованием различных программных упаковщиков с целью сбития сигнатурного детекта антивирусной программой. Иногда насчитывается до нескольких сотен зашифрованных различными упаковщиками модификаций одной и той же вредоносной программы.
  • Организация шифрованного виртуального диска (BackDoor.Tdss).
  • Блокировка и обход файерволов (в том числе Windows Firewall), что обеспечивает беспрепятственное получение управляющих сообщений. В том числе использование протокола SOCKS для получения доступа к сервисам.
  • Постоянное изменение реальных адресов управляющего сервера, а также генерация доменных имен по псевдослучайному принципу, благодаря чему все боты одновременно формируют один и тот же перечень имен — и обращаются к ним.

Методы перехвата информации

  • Перехват нажатий клавиш, а также получение скриншотов в реальном времени — для перехвата ввода с виртуальной клавиатуры (Trojan.PWS.Panda).
  • Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL (Trojan. PWS.Panda).
  • Анализ трафика и перехват интересующих данных (Trojan. PWS.Panda).
  • Получение любых импортируемых сертификатов, а также использованных при удачной авторизации логинов/паролей. В том числе к приложениям, использующим протоколы POP3 и FTP вне зависимости от порта (Trojan. PWS.Panda) .
  • Перехват HTTP/HTTPS запросов (Trojan. PWS.Panda).
  • Анализ и подмена страниц, используемых для ввода банковской информации. Кража TAN-кода (кода активации для проведения платежной операции) (Trojan. PWS.Panda).
  • Анализ передаваемых (POST) на определенные адреса данных (Trojan. PWS.Panda).
  • Получение данных из буфера обмена (Trojan. PWS.Panda) .
  • Поиск интересующих файлов и данных с дальнейшим их удалением или закачкой на удаленный сервер (Trojan. PWS.Panda).
  • Анализ файлов cookie (данных, связанных с определенным веб-сервером и хранимых на компьютере) и данных сохраненных форм (Trojan. PWS.Panda) .
  • Веб-инжекты — встраивание в веб-страницы постороннего кода.
  • Сбор и отправка на удаленный сервер информации о программно-аппаратной конфигурации ПК.

Обязательные средства защиты

Средство защиты Необходимость применения
Постоянная антивирусная защита Позволяет гарантированно обнаруживать вредоносные файлы известных типов, а также вредоносные файлы, неизвестные антивирусу, но действующие в соответствии с известными антивирусному ядру алгоритмами действия.
Антивирусный сканер Периодическая глубокая проверка дает возможность обнаружения угроз, отсутствовавших в вирусных базах на момент проникновения.
Система ограничения доступа Позволяет ограничить количество посещаемых интернет-ресурсов до необходимого минимума, что минимизирует риск заражения с сайтов, заведомо содержащих вредоносные объекты.
Система ограничения использования внешних устройств Позволяет исключить риск заражения с внешних устройств, в том числе флеш-накопителей.
Формирование списка разрешенных приложений Позволяет уменьшить риск запуска неизвестных приложений без их предварительной проверки на безопасность.
Система проверки интернет-трафика Позволяет исключить использование уязвимостей клиентского ПО за счет проверки трафика до его поступления в приложения.
Система поверки интернет-ссылок Позволяет исключить возможность перехода на зараженные и мошеннические ресурсы.
Корпоративный брандмауэр Позволяет минимизировать риск организации сетевой атаки на ресурсы компании.
Персональный брандмауэр Исключение возможности атаки через открытые порты.
Система установки обновлений безопасности Позволяет минимизировать возможность проникновения через известные уязвимости.

* Перечисленные меры защиты должны быть реализованы для всех компьютеров организации, в том числе не имеющих разрешения на выход в Интернет.

Кроме установки и настройки программных средств защиты, рекомендуется:

  1. ограничить права пользователей и запретить для них вход в систему с правами администратора;
  2. использовать стойкие пароли.

Рекомендуемые средства защиты

Средство защиты Необходимость применения
Система защиты каналов передачи данных Обеспечивает безопасный доступ к внешним ресурсам компании, в том числе облачным.
Использование системы удаленного управления мобильным устройством в случае его утери или кражи Система Антивор позволяет исключить риск утечки конфиденциальной информации (включая пароли доступа к внутренним ресурсам) в случае кражи устройства.
Система сбора информации для служб технической поддержки
  • Позволяет исключить возможность отключения пользователями систем защиты.
  • Позволяет устанавливать единые для всей компании или групп пользователей правила информационной безопасности.
  • Позволяет в случае возникновения той или иной угрозы мгновенно менять настройки системы безопасности.
Корпоративная система защиты от атак Позволяет обеспечить бесперебойную работу ресурсов компании, а также доступ к внешним, в том числе облачным сервисам.
Система резервного копирования и архивирования Обеспечивает восстановление поврежденных ресурсов.*
Система защиты от спама Позволяет обеспечить защиту от проникновения вредоносных программ через спам-сообщения, а также защиту от фишинга.
Система выявления уязвимостей Периодическое применение системы позволяет находить и устранять возможные уязвимости защищаемой системы.
Система сбора и анализа статистики Дает возможность контролировать уровень защищенности компании в режиме реального времени, определять источники заражения.

* Восстанавливаемые ресурсы должны проверяться на наличие ранее неизвестных вредоносных программ.

Рекомендуется установить системы защиты — в первую очередь антивирусные — не только на компьютеры и серверы компании, но и на мобильные и домашние компьютеры ее сотрудников, а также их смартфоны.

Причина актуальности угроз

Вышеперечисленные угрозы имеют крайне высокий уровень опасности в связи с:

  • наличием прямого неконтролируемого доступа к ресурсам сети Интернет;
  • уверенностью большинства пользователей в том, что сам факт использования антивируса является гарантией непроникновения вредоносного кода.

Скомпрометированные средства защиты*

Средство защиты Методы обхода системы защиты
Использование антивируса в качестве единственного средства защиты от вирусов Некоторые современные вредоносные программы обладают эффективными средствами обхода антивирусной защиты. Использование методов криптования вредоносного ПО позволяет злоумышленникам оперативно создавать образцы уже известных угроз, сигнатуры которых добавляются в вирусные базы спустя некоторое время после появления троянца.
Парольная защита Использование методов социальной инженерии.
Ограничение прав пользователей и списка используемых приложений
  • Проникновение через уязвимости используемых целевой группой приложений, в том числе Adobe Reader, Adobe Flash, приложения для работы с финансовыми средствами.
  • Внедрение вредоносных программ во время работы под административным аккаунтом обслуживающего персонала.
Использование операционных систем, для которых имеется относительно небольшое количество вредоносных программ
  • Использование методов социальной инженерии.
  • Внедрение вредоносных программ через малоизвестные уязвимости.

Пример настройки средств защиты

Для периодической проверки системы можно, кроме сканера, входящего в состав используемого антивируса, использовать утилиту Dr.Web CureNet!.

Для получения Dr.Web CureNet! необходимо зарегистрировать серийный номер на данный продукт на странице products.drweb.com/register. Непосредственно дистрибутив формируется в момент регистрации — с последними вирусными базами. Если серийный номер Dr.Web CureNet! уже был зарегистрирован, то просто нужно зайти в «Личный кабинет» Dr.Web CureNet! и скачать актуальную версию диcтрибутива.

Все проверяемые компьютеры должны быть настроены на работу в той же сети, в которой находится компьютер, с которого будет осуществляться проверка.

После запуска и развертывания продукта:

  • Обновите вирусные базы
  • Укажите необходимые настройки
  • Создайте список станций сети, на которых будет проводиться антивирусная проверка
  • Запустите проверку

    ИСТОЧНИК

Dr.Web

Обзор вирусной активности в августе 2012 года: растущие ботнеты, уязвимость Java и новые угрозы для Android

3 сентября 2012 года

В последний летний месяц 2012 года, как и ожидалось, произошла заметная активизация вирусописателей и сетевых мошенников. В середине августа была зафиксирована, пожалуй, крупнейшая за минувшее полугодие волна взломов веб-сайтов в Рунете с целью распространения вредоносного ПО для мобильных устройств. В распространении опасных троянцев, таких как Trojan.Mayachok.1, были уличены и создатели платных архивов. Число новых угроз, обнаруженных специалистами компании «Доктор Веб», по сравнению с июлем 2012 года несколько возросло.

Вирусная обстановка

По данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt! в августе 2012 года, наиболее распространенной вредоносной программой на компьютерах пользователей по-прежнему является Trojan.Mayachok.1, однако количество обнаруженных экземпляров троянца по сравнению с предыдущим месяцем выросло на 6,5%. Этот рост можно, в частности, связать с тем, что Trojan.Mayachok.1 начали активно распространять создатели платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend. Компания «Доктор Веб» уже сообщала об этом в одной из новостных публикаций. В статистических сводках Trojan.Mayachok.1 уверенно и с большим отрывом занимает лидирующую позицию, в то время как на втором месте разместился троянец-бэкдор BackDoor.Butirat.91 — эта программа способна выполнять поступающие с удаленного сервера команды, а также загружать и запускать на инфицированном ПК различные файлы. Для сравнения: число обнаружений этой угрозы на 87,1% меньше по отношению к количеству выявленных экземпляров Trojan.Mayachok.1. В то же время общее количество компьютеров, инфицированных BackDoor.Butirat.91, за истекший месяц выросло на 41,8%.

Число обнаруженных на инфицированных компьютерах экземпляров вредоносных программ семейства Trojan.SMSSend осталось практически на прежнем уровне, однако следует обратить внимание на тот факт, что если ранее данную категорию троянцев можно было назвать относительно «безобидной», то с недавнего времени они стали представлять значительную опасность для пользователей. Напомним, что к семейству Trojan.SMSSend относятся архивы, максимально правдоподобно имитирующие программу установки различных популярных приложений. При открытии такого архива пользователю предлагается либо отправить на короткий номер платное СМС-сообщение, либо указать собственный мобильный телефон и ввести в специальное поле код, полученный в ответном СМС, подписавшись таким образом на какую-нибудь ненужную услугу с абонентской платой. Внутри архива, как правило, оказывается какой-либо бесполезный «мусор», иными словами, жертва не получает того, за что заплатила деньги.

Однако количество доверчивых пользователей Интернета, по всей видимости, стало понемногу снижаться, и прибыль от «бизнеса на платных архивах» пошла на убыль. Иначе трудно объяснить то обстоятельство, что создатели одной из партнерских программ по распространению платных архивов — ZIPPRO — сначала стали устанавливать на компьютеры скачавших архив пользователей тулбар «Спутник@Mail.Ru» и браузер «Интернет@Mail.ru», а позже специалисты «Доктор Веб» обнаружили в комплекте устанавливаемых жертве приложений еще и троянца Trojan.Mayachok.1. Основная опасность таких архивов заключается в том, что заражение другими вредоносными программами может произойти уже в момент запуска подобного приложения, даже если пользователь сразу закроет окно платного архива. Подробнее об этом вы можете прочитать в нашем новостном материале.

Наиболее популярные вредоносные программы, обнаруженные на компьютерах пользователей в августе с использованием лечащей утилиты Dr.Web CureIt!, перечислены в представленной ниже таблице:

# Имя угрозы Класс угрозы Кол-во обнаружений %%
1 Trojan.Mayachok.1 virus 74701 6,90%
2 BackDoor.Butirat.91 virus 9667 0,89%
3 Trojan.SMSSend.2363 virus 5667 0,52%
4 Trojan.Carberp.30 virus 5421 0,50%
5 Trojan.Hosts.5940 virus 4025 0,37%
6 Trojan.Fraudster.292 virus 3772 0,35%
7 Win32.HLLW.Gavir.ini virus 3458 0,32%
8 BackDoor.Ddoser.131 virus 3180 0,29%
9 Win32.HLLP.Neshta virus 2941 0,27%
10 Win32.HLLM.Reset.395 virus 2580 0,24%

Среди угроз, выявленных в течение месяца в почтовом трафике, лидирует бэкдор BackDoor.Andromeda.22. Вторую и третью позицию занимают троянцы Trojan.Oficla.zip и Trojan.Necurs.21, не менее активно распространяются по электронной почте черви Win32.HLLM.MyDoom.54464, Win32.HLLM.MyDoom.33808 и Win32.HLLM.Netsky.35328.

Ботнеты

Несмотря на то, что с момента обнаружения крупнейшей в истории бот-сети Backdoor.Flashback.39, состоящей из инфицированных «маков», прошло уже более четырех месяцев, говорить об исчезновении этого ботнета пока еще преждевременно. На текущий момент объем бот-сети составляет 126781 зараженная машина, что на 21711 единиц меньше, чем в конце прошлого месяца. В целом темпы сокращения численности ботнета Backdoor.Flashback.39 заметно снизились (в прошлом месяце вредоносная сеть уменьшилась на 76524 машины).

Численность ботнета Win32.Rmnet.12 в течение августа перевалила за четыре миллиона и составила 4351349 инфицированных компьютеров. Можно сказать, что увеличение популяции данного весьма опасного файлового вируса продвигается прежними темпами: если в июле прирост вредоносной сети составил 480 с лишним тысяч инфицированных рабочих станций, то в августе к бот-сети присоединилось еще порядка 500 тысяч зараженных узлов. Динамика изменения численности ботнета Win32.Rmnet.12 показана на представленном ниже графике:

Напомним, что наибольшую угрозу данный файловый вирус представляет в первую очередь для жителей стран Юго-Восточной Азии: наибольшее число заражений приходится на долю таких государств, как Индонезия, Бангладеш, Вьетнам и Индия. На территории России сегодня выявлено 105268 инфицированных машин, что составляет 2,4% от общего количества зараженных компьютеров.

Понемногу увеличивается и численность «родственного» ботнета Win32.Rmnet.16, правда, как и прежде, не столь высокими темпами. Так, в течение августа к этой бот-сети присоединилось порядка 67 000 инфицированных ПК, в то время как ее общая численность составила 222300 узлов. Среднесуточный прирост ботнета составил примерно 1,5–2 тысячи зараженных узлов, однако к концу месяца резко сократился. График изменения количества компьютеров, инфицированных файловым вирусом Win32.Rmnet.16, показан ниже.

Напомним, что Win32.Rmnet.16 по функциональным возможностям очень похож на своего «собрата» Win32.Rmnet.12, однако имеет и ряд существенных различий. Так, Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров генерируются по специальному алгоритму. Вирус способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Помимо этого, Win32.Rmnet.16 умеет «убивать» процессы большинства наиболее распространенных антивирусных программ, что само по себе является дополнительным фактором, свидетельствующим об опасности данной вредоносной программы.

Географически вирус наиболее распространен на территории Великобритании (72,1%) и Австралии (24,9%), в границах России Win32.Rmnet.16 распространения практически не имеет. Основные государства, пострадавшие от действия вируса Win32.Rmnet.16, обозначены на представленной ниже карте.

Критическая уязвимость Java

В 20-х числах августа компания FireEye, а вслед за ней и другие разработчики антивирусного ПО сообщили об обнаружении критической уязвимости Java Runtime Environment версий 1.7x, названной CVE-2012-4681. Первые заметки о данной уязвимости были опубликованы 26 августа, а уже на следующий день уязвимость CVE-2012-4681 успела попасть в активно распространяемый среди злоумышленников пакет эксплойтов BlackHole Exploit Кit. Разработчик JRE, компания Oracle, выпустила соответствующее обновление безопасности 30 августа, следовательно, пользователи Java оставались беззащитны перед злоумышленниками как минимум в течение четырех суток.

Специалисты компании «Доктор Веб» провели собственное расследование инцидента, выявив множество TDS (Traffic Direction System), использующих данную уязвимость для создания цепочки перенаправлений пользователей на специально созданные веб-сайты, распространяющие вредоносное ПО. В одном из подтвержденных случаев для организации редиректов злоумышленники вносят изменения в файлы .htaccess на взломанных интернет-ресурсах. Адреса конечных узлов генерируются специальными скриптами динамически и видоизменяются каждый час. При этом URL, на котором заканчивается цепь перенаправлений, зависит от установленной на компьютере пользователя операционной системы. Так, пользователи Mac OS X направлялись на сайт, с которого загружался Backdoor.Flashback.39 (в настоящее время сайт не действует), обладатели мобильных устройств и пользователи ОС Linux попадали на сайт поисковой системы Find-and-Go, а пользователи Windows — на веб-страницу, содержащую вызовы различных эксплойтов.

В настоящее время с использованием уязвимостей Java распространяется троянская программа Trojan.Rodricter.21, обладающая богатыми функциональными возможностями, включающими подмену пользовательских запросов, «накрутку» посещаемости различных сайтов и т. д. Была выявлена и альтернативная цепочка редиректов, в финале которой на компьютер жертвы загружается вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.DownLoader6.29607.

Специалисты компании «Доктор Веб» полагают, что использование данных уязвимостей Java злоумышленниками представляет серьезную опасность для пользователей и может нанести им значительный ущерб. Аналитики настоятельно рекомендуют пользователям установить наиболее актуальные обновления безопасности.

Угрозы для мобильной платформы Android

Август оказался весьма урожайным месяцем с точки зрения угроз, ориентированных на мобильную платформу Google Android. В течение месяца было зафиксировано рекордное количество случаев взлома веб-сайтов с целью распространения вредоносных программ для мобильных платформ. Всего, по подсчетам специалистов «Доктор Веб», атакам подверглись более 2000 русскоязычных интернет-ресурсов, среди которых было отмечено множество популярных и посещаемых сайтов. Злоумышленники изменяли настройки сайтов таким образом, что при открытии веб-страницы на мобильном устройстве пользователь автоматически перенаправлялся на один из вредоносных ресурсов, с которых распространяются троянские программы семейства Android.SmsSend. Подробности этого инцидента описаны в опубликованном нами информационном материале.

В августе получил распространение весьма любопытный троянец Android.SmsSend.186.origin, также ориентированный на мобильную платформу Android. В отличие от большинства других вредоносных программ семейства Android.SmsSend, данный троянец проникает на мобильное устройство с использованием специального дроппера. Еще одной отличительной чертой Android.SmsSend.186.origin является то обстоятельство, что этот троянец обладает способностью сопротивляться попыткам его удаления. Более детальная информация о данной угрозе представлена в соответствующей статье, опубликованной в новостной ленте на сайте компании «Доктор Веб».

Среди других угроз для Android, добавленных в базы Dr.Web в августе, следует отметить Android.Luckycat.1.origin — троянца, предназначенного для хищения пользовательской информации (такой как IMEI устройства, номер телефона, хранящиеся на устройстве файлы) и ее передачи на принадлежащий злоумышленникам сервер. Помимо этого Android.Luckycat.1.origin «умеет» обрабатывать поступающие от злоумышленников команды. Также была выявлена целая группа вредоносных программ для мобильных платформ, относящаяся к знаменитому семейству Zeus/SpyEye — троянцев, предназначенных для кражи паролей. Версия для ОС Android была добавлена в базы под именем Android.Panda.2.origin, версии для BlackBerry — BlackBerry.Panda.1, BlackBerry.Panda.2 и BlackBerry.Panda.3.

Кроме того, в августе было зафиксировано появление нового троянца-загрузчика для ОС Android, получившего имя Android.DownLoader.5.origin — подробнее о нем вы можете узнать из нашей заметки в блоге компании «Доктор Веб». Весьма активно распространялись троянские программы среди японских пользователей Android — в августе пользователи мобильных устройств из Страны восходящего солнца подверглись сразу нескольким массированным спам-атакам. Об этом инциденте мы также рассказывали в одной из наших публикаций. Наконец, следует отметить, что в августе было выявлено большое количество коммерческих шпионских программ: в течение месяца в вирусные базы Dr.Web было добавлено множество подобных приложений, среди них — FinSpy для Android, Symbian OS и iOS.

Угроза месяца: Trojan.Mayachok.17516

Наиболее интересной троянской программой из всех, обнаруженных в августе 2012 года, можно назвать новую модификацию широко распространенного и довольно опасного троянца Trojan.Mayachok, получившую название Trojan.Mayachok.17516. Эта вредоносная программа представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

screen

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.

Прочие угрозы августа

Во второй половине месяца было зафиксировано распространение троянской программы BackDoor.IRC.Codex.1, использующей для координации своих действий технологию IRC (Internet Relay Chat) — протокол, предназначенный для обмена сообщениями в режиме реального времени. Данная вредоносная программа способна загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения, принимать участие в DDoS-атаках, передавать злоумышленникам информацию, вводимую пользователем в веб-формы, и красть пароли от популярных FTP-клиентов. Исследованию функциональных возможностей троянца BackDoor.IRC.Codex.1 был посвящен отдельный материал.

В ходе расследования инцидента, связанного с распространением опасных троянских программ вместе с платными архивами, специалисты «Доктор Веб» установили, что для установки на компьютеры жертв вредоносного ПО создатели платных архивов разработали собственного троянца, получившего название Trojan.Zipro. Подробности изложены в посвященной этой угрозе статье.

22 августа компания «Доктор Веб» сообщила об обнаружении кросс-платформенной троянской программы BackDoor.Wirenet.1, предназначенной для кражи паролей и способной работать как в операционной системе Linux, так и в Mac OS X. Разработчики продают этот программный продукт в качестве шпионской программы, при этом существует версия BackDoor.Wirenet.1 для операционных систем Solaris и Microsoft Windows.

Китайские вирусописатели сумели удивить специалистов по информационной безопасности, создав довольно сложную и многокомпонентную вредоносную программу Trojan.Xytets, которую можно одновременно отнести и к категории буткитов, и к категории руткитов. Троянец состоит из восьми функциональных модулей различного назначения, обладает технологиями антиотладки, умеет инфицировать главную загрузочную запись и скрывать следы своего присутствия в инфицированной системе. Следует отметить, что Trojan.Xytets обладает весьма развитым вредоносным функционалом, разнообразие которого также отличает его в ряду других вредоносных программ.

Вредоносные файлы, обнаруженные в почтовом трафике в августе

 01.08.2012 00:00 — 31.08.2012 15:00
1 BackDoor.Andromeda.22 1.97%
2 Trojan.Oficla.zip 1.70%
3 Exploit.BlackHole.12 1.45%
4 JS.Redirector.130 1.00%
5 Trojan.Necurs.21 0.90%
6 Win32.HLLM.MyDoom.54464 0.90%
7 Win32.HLLM.MyDoom.33808 0.69%
8 Win32.HLLM.Netsky.35328 0.45%
9 SCRIPT.Virus 0.42%
10 Win32.HLLM.Beagle 0.42%
11 Trojan.Fakealert.32747 0.31%
12 Trojan.PWS.Panda.655 0.31%
13 Exploit.IframeBO 0.24%
14 Win32.HLLM.Netsky.18516 0.24%
15 Trojan.PWS.Panda.786 0.24%
16 W97M.Keylog.1 0.24%
17 Trojan.DownLoader1.64229 0.24%
18 Trojan.Winlock.3020 0.24%
19 BackDoor.Bebloh.17 0.24%
20 Trojan.PWS.Panda.547 0.21%

Вредоносные файлы, обнаруженные в августе на компьютерах пользователей

 01.08.2012 00:00 — 31.08.2012 15:00
1 SCRIPT.Virus 0.50%
2 Trojan.Fraudster.329 0.48%
3 Trojan.Fraudster.256 0.44%
4 Adware.Downware.179 0.42%
5 Tool.Unwanted.JS.SMSFraud.10 0.38%
6 Trojan.Mayachok.1 0.36%
7 Trojan.SMSSend.2925 0.36%
8 Trojan.Fraudster.296 0.34%
9 Win32.HLLM.Graz 0.33%
10 Trojan.Fraudster.320 0.29%
11 Win32.HLLW.Autoruner.59834 0.29%
12 Win32.HLLW.Shadow 0.28%
13 Adware.Downware.316 0.26%
14 Adware.Downware.426 0.25%
15 Tool.Unwanted.JS.SMSFraud.15 0.24%
16 Trojan.Fraudster.261 0.24%
17 Tool.Skymonk.1 0.23%
18 Exploit.CVE2012-1723.13 0.22%
19 Tool.InstallToolbar.88 0.22%
20 Adware.Downware.353 0.22%

ИСТОЧНИК

Trojan.Rodricter распространяется с помощью критической уязвимости Java

5 сентября 2012 года

26 августа компания FireEye сообщила об обнаружении критической уязвимости в Java Runtime Environment версий 1.7x, получившей обозначение CVE-2012-4681. Компания Oracle выпустила соответствующее обновление безопасности только 30 августа, и, следовательно, уязвимость оставалась незакрытой в течение как минимум четырех суток, чем не замедлили воспользоваться злоумышленники. Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — установили, что с использованием этого эксплойта распространялось несколько вредоносных программ, среди которых был обнаружен троянец Trojan.Rodricter.

С целью распространения вредоносных программ злоумышленники использовали взломанные веб-сайты, на которых, в частности, модифицировалось содержимое файла .htaccess. В момент обращения к веб-сайту, содержащему внедренный злоумышленниками вредоносный скрипт, выполняется цепочка перенаправлений, адрес конечного узла в которой зависит от установленной на компьютере пользователя операционной системы. Пользователи ОС Windows перенаправлялись на веб-страницу, содержащую вызовы различных эксплойтов. Примечательно, что адреса серверов, на которые перебрасывались пользователи, генерируются динамически и меняются каждый час.

Загружаемые в браузер пользователя веб-страницы эксплуатировали сразу две уязвимости: CVE-2012-1723 и CVE-2012-4681. Используемый злоумышленниками эксплойт зависит от версии Java Runtime: для версий 7.05 и 7.06 обход безопасности происходил с использованием уязвимости CVE-2012-4681.

screen

В случае если применение уязвимости завершилось успехом, Java-апплет расшифровывает файл class, основное предназначение которого — загрузка и запуск исполняемых файлов. Таким образом злоумышленники распространяли троянскую программу Trojan.Rodricter.21.

screen

Троянец Trojan.Rodricter.21 использует руткит-технологии и состоит из нескольких компонентов. Так, запустившись на инфицированном компьютере, дроппер этой вредоносной программы проверяет наличие в системе антивирусного ПО и отладчиков, после чего пытается повысить свои привилегии: для этого, в частности, могут использоваться уязвимости ОС. На компьютерах, использующих контроль учетных записей пользователей, троянец отключает UAC. Дальнейший алгоритм действий Trojan.Rodricter.21 зависит от того, какие права он имеет в зараженной системе. Троянец сохраняет на диск основной компонент и, если у него достаточно для этого привилегий, инфицирует один из стандартных драйверов Windows с целью скрытия основного модуля в зараженной системе. Таким образом, Trojan.Rodricter.21 вполне можно отнести к категории троянцев-руткитов. Помимо прочего, эта вредоносная программа умеет изменять настройки браузеров Microsoft Internet Explorer и Mozilla Firefox, например, в последнем троянец устанавливает в папку \searchplugins\ дополнительный плагин-поисковик, а также подменяет User-Agent и настройки поисковой системы по умолчанию. В результате отправляемые пользователем поисковые запросы имеют вид http://findgala.com/?&uid=%d&&q={поисковый запрос}, где %d — уникальный идентификатор троянца. Также Trojan.Rodricter.21 модифицирует содержимое файла hosts, прописывая туда адреса принадлежащих злоумышленникам веб-сайтов.

Основной модуль Trojan.Rodricter.21 сохраняется в виде исполняемого файла во временной папке, он предназначен для подмены пользовательского трафика и внедрения в него произвольного содержимого.

Сигнатура данной угрозы добавлена в базы антивирусного ПО Dr.Web, а механизм лечения заражения — в состав лечащей утилиты Dr.Web CureIt! Специалисты компании «Доктор Веб» настоятельно рекомендуют пользователям установить актуальные обновления безопасности, и в первую очередь — обновления Java Runtime Environment.

ИСТОЧНИК

Эксперты «Лаборатории Касперского» провели исследование
киберугроз в апреле 2012 года. Аналитики пришли к выводу, что
необыкновенно высокая активность вредоносного ПО для Mac OS X,
отмеченная в марте, была лишь вершиной айсберга. В апреле произошли два
события, которые навсегда изменят взгляд на безопасность Mac OS X:
массовое применение эксплойтов и использование Mac OS X как части
APT-атаки — устойчивой угрозы повышенной сложности.

Если с сентября 2011 до февраля 2012 года для распространения
Mac-троянца Flashfake использовалась только социальная инженерия
(посетителям различных сайтов предлагалось загрузить поддельное
обновление Adobe Flash Player), то позже создатели этого троянца стали
использовать эксплойты для заражения компьютеров жертв. В результате
Flashback заразил свыше 700 000 ПК. «Лабораторией
Касперского» была создана бесплатная утилита для удаления
зловреда.

В апреле была обнаружена активная угроза класса APT — SabPub. Для
заражения пользовательских компьютеров применялись троянцы-бэкдоры двух
видов. Первый использовал для проникновения на компьютер эксплойт к
уязвимости в Microsoft Word. Второй был нацелен на платформу Mac OS X. В
данном случае использовался эксплойт к уязвимости в Java. После
заражения компьютера жертвы специально созданный бэкдор получал
возможность делать снимки экрана текущей пользовательской сессии и
выполнять на зараженном компьютере команды. В настоящее время группа
киберпреступников, стоящая за SabPub, продолжает атаковать
пользовательские компьютеры.

Кроме активно развивающихся угроз для Mac-компьютеров в апреле эксперты
«Лаборатории Касперского» обнаружили новую рассылку спама в
Twitter, в которой были задействованы свыше 500 000 взломанных учетных
записей. Посредством спама рассылались ссылки, перенаправлявшие
пользователей на вредоносные сайты с пакетом эксплойтов BlackHole. Сайты
устанавливали на компьютеры жертв лжеантивирусы, которые выглядят как
уведомления антивируса и призывают пользователя проверить систему на
вирусы.

В настоящее время большая часть вредоносного ПО для ОС Android имеет
довольно узкую локализацию, поскольку злоумышленники каждой конкретной
страны создают свой тип вредоносного ПО, нацеленного на жителей именно
этой страны. В начале апреля был обнаружен зловред нового типа для ОС
Android, который написан японскими вирусописателями для устройств на
базе Android, используемых в Японии. Этот зловред способен подключаться
к удаленному серверу. Если соединение установлено успешно, он загружает
видеофайл формата MP4. Он также может украсть важную информацию с
зараженного устройства, в том числе имена, адреса электронной почты и
номера телефонов из списка контактов жертвы. Зловред загружает
украденные данные на удаленный сервер.

Эксперты отмечают, что вредоносное ПО для мобильных устройств,
контролируемое посредством SMS-сообщений, становится все более и более
популярным. В апреле был обнаружен бэкдор, получивший название TigerBot.
После заражения приложение скрывает себя и не оставляет следов
присутствия на дисплее устройства. Если жертва проверит список
запущенных процессов, то может и не определить, что название
«System» принадлежит зловреду TigerBot. Вредоносное ПО
осуществляет перехват всех входящих SMS-сообщений и их проверку на
предмет присутствия особых команд.

С подробным обзором вирусной активности в апреле 2012 года можно
ознакомиться на www.securelist.ru

Эксперты «Лаборатории Касперского» провели детальный анализ
ботнета Flashfake/Flashback, по итогам которого было выявлено порядка
670 000 зараженных компьютеров, работающих под управлением Mac OS X. На
сегодняшний день это крупнейший в истории случай заражения компьютеров
компании Apple, которые до настоящего момента среди пользователей
считались мало подверженными атакам вредоносных программ. Один из
известных модулей Flashfake отвечает за подмену поискового трафика,
однако не исключено, что бот может загружать на зараженные компьютеры и
другие вредоносные модули, например, предназначенные для кражи
персональных данных или рассылки спама.

Для ликвидации последствий масштабного заражения Flashfake эксперты
«Лаборатории Касперского» создали специальный сайт
flashbackcheck.com, который позволяет владельцам компьютеров Mac
установить необходимые патчи и определить наличие бота, а также
бесплатную утилиту Kaspersky Flashfake Removal Tool, предназначенную для
его удаления. Kaspersky Flashfake Removal Tool

По данным «Лаборатории Касперского», первые варианты
Flashfake были обнаружены еще в сентябре 2011 года. В марте 2012 бот
заразил более 600 000 компьютеров по всему миру. На сегодняшний день
известно, что один из модулей занимается подменой поискового трафика,
показывая пользователю ложные результаты при использовании поисковых
систем. Таким образом, злоумышленники зарабатывают деньги на
«кликах». Однако в зависимости от целей преступников помимо
перехвата поискового трафика они могут загружать на зараженные
компьютеры и другие вредоносные модули, предназначенные для рассылки
спама, кражи персональной информации, включая логины и пароли от систем
онлайн-банкинга.

Основным способом заражения в марте 2012 стала эксплуатация уязвимостей
в Java. Авторы Flashfake используют различные сайты в Сети, при
обращении к которым происходит автоматическая загрузка и запуск
вредоносного файла на компьютере пользователя. Стоит отметить, что
наибольшее количество заражений было зафиксировано в США (300 917),
Канаде (94 625) и Великобритании (47 109), где традиционно широко
распространена продукция компании Apple. При этом Россия и страны СНГ
оказались практически не затронуты в ходе глобальной эпидемии Flashfake
и были отмечены в отчете аналитиков всего несколькими десятками ботов.

«Данный инцидент является самым масштабным за всю историю компании
Apple и свидетельствует о том, что количество Mac-пользователей уже
достигло необходимой «критической массы», чтобы привлечь
внимание вирусописателей, интерес которых к этой платформе со временем
будет только расти, — уверен Александр Гостев, главный
антивирусный эксперт «Лаборатории Касперского». — На
сегодняшний день в наших антивирусных базах содержится информация о
примерно четырехстах вредоносных программ для Mac OS. При этом более 70
из них было обнаружено за последние три месяца».

Для того чтобы провести проверку на заражение и произвести лечение,
необходимо:
* На сайте www.flashbackcheck.com указать уникальный
аппаратный идентификационный номер Вашего компьютера (UUID)
* Если Ваш
компьютер заражен:
* Скачайте и запустите бесплатную утилиту Kaspersky
Flashfake Removal Tool.
* Или установите пробную версию Антивируса
Касперского 2011 для Mac, действительную в течение 30 дней.

Более подробная информация о результатах исследования ботнета Flashfake
доступна на сайте www.securelist.com/ru/blog.