Записи с меткой «Linux»

В феврале 2014 года на популярном российском ИТ-ресурсе появилась статья с очень интересным заголовком – «Исследуем Linux Botnet «BillGates». В ней описывался троянец с довольно богатым функционалом для осуществления DDoS-атак. Особенно нас заинтересовала его способность проведения атаки типа DNS Amplification. Да и вообще, исходя из статьи, троянец имел сложную многомодульную архитектуру, чего до сих пор мы не наблюдали в мире Linux-зловредов.

Кроме того, в статье имелась ссылка, откуда все файлы троянца (полученные прямиком с зараженной машины) можно было скачать. Что мы и сделали.

Скачанный архив содержал следующие файлы, которые, по словам автора статьи, являлись модулями одного троянца:

  • atddd;
  • cupsdd;
  • cupsddh;
  • ksapdd;
  • kysapdd;
  • skysapdd;
  • xfsdxd.

В данный момент файлы cupsdd и cupsddh детектируются продуктами «Лаборатории Касперского» как Backdoor.Linux.Ganiw.a; atddd и остальные – как Backdoor.Linux.Mayday.f.

В архиве с файлами присутствовал также файл конфигурации cron – планировщика задач в Linux. В данном случае утилита используется как средство закрепления троянца в системе. С помощью cron троянец выполняет следующие задачи:

  1. Раз в минуту завершает процессы всех приложений, которые могут помещать его (троянца) работе: .IptabLes, nfsd4, profild.key, nfsd, DDosl, lengchao32, b26, codelove, node24;
  2. Примерно раз в полтора часа завершает работу всех своих процессов: kysapd, atdd, skysapd, xfsdx, ksapd;
  3. Примерно раз в два часа скачивает в папку /etc с адреса http://www.dgnfd564sdf.com:8080/%5Bmodule_name%5D все свои компоненты (module_name = имя модуля, например, cupsdd), предварительно удалив эти файлы из /etc
  4. Раз в полтора часа заново запускает все свои модули
  5. Каждую минуту затирает системные логи, историю команд bash и выполняет chmod 7777 [module_name]

При последующем анализе файлов мы не обнаружили кода, отвечающего за запись конфига cron. Скорее всего, конфиг был вручную загружен злоумышленником после получения удаленного доступа к системе.

Backdoor.Linux.Mayday.f (atddd)

Файл atddd представляет собой бэкдор, содержащий функционал для осуществления различных типов DDoS-атак на указанные сервера, и, напомним, детектируется нами как Backdoor.Linux.Mayday.f. Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd за одним исключением, о котором ниже.

Вначале своей работы бэкдор вызывает функцию daemon(1, 0), таким образом продолжая свое выполнение в фоновом режиме и перенаправляя стандартный ввод, вывод и ошибки в /dev/null

Затем atddd собирает необходимую информацию о системе, а именно:

версию системы (вызов uname())
количество ядер процессора и их частоту (из /proc/cpuinfo)
загруженность процессора (из /proc/stat)
загруженность сети (из /proc/net/dev для интерфейсов с префиксом «eth»)
Эта информация помещается в структуру g_statBase.

bill_gates_botnet1

После этого бэкдор расшифровывает строки, содержащие IP-адрес и порт C&C сервера. Алгоритм шифрования очень простой: зашифрованная строка посимвольно перебирается и если номер символа нечетный, то к его ASCII коду добавляется 1, если четный — вычитается 1. Таким образом из строки «3/3-2/4-269-85» получается IP-адрес «202.103.178.76», а из «2/:82» порт «10991».

Далее atddd читает файл конфигурации fwke.cfg, находящийся в той же директории, что и сам зловред. Полученная информация помещается в структуру g_fakeCfg. Если файл не существует, то бэкдор пытается создать его и записать внутрь следующую информацию:

1-ая строка: 0 //флаг, если 1 — то начать атаку, если 0 — остановить атаку

2-ая строка: 127.0.0.1:127.0.0.1 //диапазон исходящих IP-адресов

3-я строка: 10000:60000 //диапазон исходящих портов для атаки

4-ая строка: пустая строка //доменное имя в случае с DNS-флудом (см. ниже)

Эта информация в дальнейшем передается C&C серверу и может обновляться при помощи команды от C&C.

Далее бэкдор запускает новый поток CThreadTaskManager::ProcessMain(), в котором команды на начало атаки и остановку атаки ставятся в очередь на выполнение. Следом запускается новый поток CThreadHostStatus::ProcessMain(). В нем каждую секунду обновляются данные о загруженности процессора и сети, которые впоследствии могут отправляться C&C серверу при запросе.

После этого запускаются 20 потоков, которые читают информацию из очереди заданий и, соответственно, начинают атаку или останавливают ее. Однако в атаке могут быть задействованы не все потоки, если команда от C&C приходит с соответствующим параметром (количеством используемых потоков).

bill_gates_botnet2_sm

Далее зловред входит в бесконечный цикл обработки сообщений от C&C. Сначала устанавливается соединение с C&C и каждые 30 секунд отправляется информация о версии системы и тактовой частоте процессора, а также данные из структуры g_fakeCfg.

В ответ сервер должен отправить 4 байта, первый из которых является порядковым номером команды — от 1 до 4.

bill_gates_botnet3_sm

Далее, если команда имеет параметры, то C&C отправляет еще 4 байта, содержащие размер данных (параметров). После этого отправляются сами параметры, размер которых должен совпадать с числом из предыдущего ответа С&С.

Подробнее о каждой из команд:

0x01. Команда запуска атаки, в параметрах передаются тип атаки, а также количество используемых потоков. Тип атаки представляет из себя байт со значением от 0x80 до 0x84. Таким образом возможны 5 видов атак:
0x80 — TCP флуд. Порт назначения передается в ответе C&C в качестве параметра. Дипазон портов отправления задан в fwke.cfg. Каждый новый запрос отправляется с нового порта в заданном диапазоне, по порядку. IP-адрес назначения так же задается в параметрах.
0x81 — UDP флуд. Тоже самое, что и 0x80, только в качестве протокола транспортного уровня используется UDP.
0x82 — ICMP флуд. Аналогично предыдущим, только через ICMP.
0x83, 0x84 – две атаки с использованием DNS флуда. Отличаются только доменным именем в DNS-запросе. В первом случае оно генерируется случайным образом, во втором — задается в параметре (4-ая строка в fwke.cfg). По сути обе похожи на 0x81, только в качестве порта назначения используется порт 53 (порт DNS службы по умолчанию).
0x02. Команда остановки атаки. Значение в первой строке fwke.cfg изменяется на 0 и атака прекращается.
0x03. Команда на обновление файла fwke.cfg. В ответе также приходит структура, аналогичная g_fakeCfg, из которой записывается файл fwke.cfg.
0x04. Команда для отправки статуса выполнения текущей команды С&C серверу.
Помимо этого бэкдор содержит несколько пустых (без кода внутри) методов с интересными названиями: CThreadAttack::EmptyConnectionAtk, CThreadAttack::FakeUserAtk, CThreadAttack::HttpAtk. Видимо, автор планировал расширить функционал зловреда и эта версия является не окончательной, а скорее тестовой. И файл cupsdd, о котором мы расскажем ниже, является этому подтверждением.

Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd, но содержат другие адреса C&C серверов: 112.90.252.76:10991, 112.90.22.197:10991, 116.10.189.246:10991 и 121.12.110.96:10991 соответственно. Также отличаются имена файла конфигурации: fsfe.cfg, btgw.cfg, fake.cfg, xcke.cfg соответственно.

Таким образом, вопреки нашим ожиданиям, файлы atddd, kysapdd, skysapdd, xfsdxd, ksapdd являются не модулями чего-то целого, а отдельными экземплярами троянца, каждый из которых работает со своим C&C сервером. Но самое интересное еще впереди.

Backdoor.Linux.Ganiw.a (cupsdd)

Так же, как и описанные выше файлы, этот является бэкдором с функционалом для осуществления различных DDoS-атак. Но функционал cupsdd значительно богаче и сложнее, чем у его «коллег», хотя его код в некоторых местах очень похож на код файла atddd.

В начале работы бэкдор инициализирует необходимые ему переменные из строки «116.10.189.246:30000:1:1:h:578856:579372:579888» (разделитель — «:»), которую предварительно расшифровывает при помощи алгоритма RSA. Строка распределяется по переменным следующим образом:

g_strConnTgt=116.10.189.246 — IP-адрес С&C сервера

g_iGatsPort=30000 — порт С&C сервера

g_iGatsIsFx=1 и g_iIsService=1 — флаги, используемые в дальнейшем

g_strBillTail=h — постфикс для имени файла, который будет дропнут (см. ниже)

g_strCryptStart=578856, g_strDStart=579372, g_strNStart=579888 — указатели на RSA-данные (зашифрованная строка и ключ)

Далее зловред дропает и запускает файл, находящийся изначально по смещению 0xb1728 от начала файла и имеющий размер 335872 байта, если он еще не запущен. Проверка запущен ли этот файл происходит при помощи попытки забиндить сокет 127.0.0.1:10808. Если это сделать удалось, значит файл не запущен и нужно его дропнуть и запустить.

bill_gates_botnet4

Если же файл уже запущен, то его процесс, PID которого находится в файле /tmp/bill.lock, принудительно завершается (kill(pid, 9)). И потом файл все равно дропается, заменяя собой уже существующий.

Имя дропнутого файла формируется из имени текущего запущенного файла + постфикс из переменной g_strBillTail. В нашем случае файл назывался cupsddh и находился в той же директории, что и дроппер.

Далее текущий процесс форкается и в дочернем процессе происходит вызов функции system(«/path/to/cupsddh»), которая запускает дропнутый файл.

После этого вызывается функция daemon(1, 0), имеющая тот же смысл что и в предыдущем сэмпле (atddd).

Потом обрабатывается ситуация, если cupsdd был запущен ранее и активен в данный момент. Для этого проверяется, существует ли файл /tmp/gates.lock. Если он существует, то текущий процесс завершается (exit(0)). Если же нет, то он (/tmp/gates.lock) создается и в него помещается pid текущего процесса.

Далее, если флаг g_iIsService == 1, то бэкдор прописывает себя в автозагрузку при помощи создания скрипта в /etc/init.d/ с именем DbSecuritySpt следующего содержания:

#!/bin/bash

/path/to/cupsdd

И создает символьные ссылки на него в /etc/rc[1-5].1/S97DbSecuritySpt

bill_gates_botnet6_sm-2

Читает файл конфигурации conf.n (если он существует) из той же директории, что и cupsdd. Первые 4 байта файла — это размер данных идущих далее. Все данные помещаются в структуру g_cnfgDoing.

Читает файл с командами — cmd.n. Формат такой же как и в conf.n. Данные попадают в структуру g_cmdDoing.

Далее получает необходимую информацию о системе, а именно:

  • Имя системы и версию ядра (напр., Linux 3.11.0-15-generic), при помощи вызова uname()
  • Тактовую частоту процессора, из /proc/cpuinfo
  • Количество ядер процессора из /proc/cpuinfo и загруженность процессора из /proc/stat
  • Загруженность сети из /proc/net/dev
  • Размер жесткого диска в мегабайтах из /proc/meminfo
  • Информацию о сетевых интерфейсах из /proc/net/dev
  • Все данные помещаются в структуру g_statBase.

Далее создается новый поток CThreadTaskGates::ProcessMain, в котором обрабатываются следующие команды:

0x03. DoConfigCommand(). Обновить файл конфигурации conf.n.
0x05. DoUpdateCommand(). Запускает новый поток CThreadUpdate::ProcessMain, в котором обновляет один из своих компонентов. В качестве параметра команда принимает число от 1 до 3, которое ассоциируется с одной из следующей строк:
1 — «Alib» — файл /usr/lib/libamplify.so
2 — «Bill» — дропнутый модуль cupsddh
3 — «Gates» — дроппер cupsdd

bill_gates_botnet7_sm

В зависимости от параметра обновляется один из компонетов зловреда. Обновление происходит при помощи отправки C&C серверу 6 байт, содержащих строку «EF76#^». Вслед за этим отправляется одна из строк, описанных выше (в зависимости от параметра).

В ответ приходят 4 байта, содержащие длину файла (в байтах), который будет передан далее. Затем С&C передает сам файл пакетами по 1024 байта.

Сначала файл сохраняется в директории /tmp со случайным именем, состоящим из цифр. Затем, в зависимости от того что за файл был получен, заменяет уже существующий файл cupsdd (или cupsddh) или копируется в /usr/lib/libamplify.so

Далее временный файл из /tmp удаляется, а на итоговый устанавливаются права 755 с помощью команды chmod. После чего, в случае обновления cupsddh, уже запущенный процесс завершается, а новый файл запускается. В случае обновления cupsdd, завершающий этап (начиная с копирования их /tmp) осуществляет cupsddh, которому отдается соответствующая команда.

  • 0x07. DoCommandCommand(). Записывает новую команду в cmd.n.
  • 0x02. StopUpdate(). Закрывает текущее соединение, установленное для обновления модулей.

После этого бэкдор cupsdd запускает несколько потоков, в которых одновременно выполняет несколько вспомогательных действий:

  • CThreadClientStatus каждую секунду обновляет данные о загруженности процессора и сети в структуре g_statBase.
  • CThreadRecycle удаляет из очереди заданий уже завершенные.
  • — CThreadConnSender читает команды из очереди и передает их модулю cupsddh через TCP-соединение с 127.0.0.1 на порт 10808. В ответ принимает статус их выполнения.
  • CThreadMonBill каждую минуту проверяет запущен ли модуль cupsddh и если нет, то заново дропает и запускает его.
  • CThreadLoopCmd читает команды из g_cmdDoing (файл cmd.n) и выполняет их через вызов system(cmd).

Далее основной поток входит в цикл приема и обработки команд от C&C сервера. Тут в зависимости от флага g_iGatsIsFx возможны два варианта:

  1. Если флаг установлен (==1), то зловред, как и в предыдущем сэмпле (atddd), в новом потоке просто отправляет информацию о системе и текущую конфигурацию из g_cnfgDoing и ожидает поступления в ответ команд;
  2. Если флаг не установлен, то инициатором сеанса связи выступает C&C. То есть зловред ожидает подключения от C&C и только когда соединение будет установлено начинает передавать указанные выше данные.

bill_gates_botnet8_sm

Команды, поступающие от C&C распределяются в одну из двух очередей: либо на исполнение в текущем модуле (в потоке CThreadTaskGates, описанном выше), либо на передачу модулю cupsddh (поток CThreadConnSender).

Backdoor.Linux.Ganiw.a (cupsddh)

Файл упакован UPX’ом, после распаковки вызывает daemon(1,0). Создает файл /tmp/bill.lock, в который помещает PID текущего процесса. cupsddh заполняет данными о системе структуру g_statBase, точно такую же как в cupsdd.

Далее заполняет структуру g_provinceDns IP-адресами DNS-серверов приведенными к двоичному коду в сетевом порядке расположения байт функцией inet_addr(), из массива строк g_sProvinceDns (смещение в распакованном файле: 0x8f44с, размер 4608 байт).

cupsddh выполняет команду «insmod /usr/lib/xpacket.ko», пытаясь таким образом загрузить модуль ядра в ядро. Однако такой файл отсутствует на «чистой» системе, и зловред не предпринимает никаких попыток скачать его или получить каким либо еще способом.

bill_gates_botnet9_sm

Далее данные из файла /usr/libamplify.so (оказывается, это не библиотека, а очередной конфиг) загружаются в структуру g_AmpResource. Формат файла: 1-ый dword — это количество dword’ов, идущих следом. Судя по всему, содержит список IP-адресов актуальных на данный момент DNS-серверов, подходящих для DDoS-атаки типа DNS Amplification.

После этого запускает два потока: CThreadTask и CThreadRecycle. Первый выполняет команды из очереди, сформированной из пришедших от модуля cupsdd команд. Второй удаляет выполненные команды. Затем основной поток биндит сокет на 127.0.0.1:10808 и в бесконечном цикле начинает принимать команды от модуля cupsdd, которые заносятся в вышеуказанную очередь.

Возможны следующие команды:

  • 0x01. Начинает атаку в соответствии с полученными параметрами. Подробнее ниже.
  • 0x02. Останавливает текущую атаку, устанавляивая соответствующий флаг.
  • 0x03. Обновляет текущую конфигурацию в структуре g_cnfgDoing, которую использует при атаке. Так же обновляет текущий локальный мак-адрес и мак и ip адреса текущего используемого гейта (шлюза) в структуре g_statBase.
  • 0x05. Завершающий этап обновления модуля cupsdd (описан выше).

bill_gates_botnet10-2

Возможны два основных режима атаки: в нормальном режиме и режиме ядра.

Режим ядра
Для этого режима используется встроенный в Linux генератор пакетов уровня ядра pktgen. Его преимущество для злоумышленника состоит в том, что трафик генерируется с максимальной возможной для данного сетевого интерфейса скоростью. И сгенерированные таким образом пакеты нельзя увидеть с помощью обычных снифферов, например, стандартного tcpdump, т. к. пакеты генерируются на уровне ядра.

bill_gates_botnet11_sm

Управляется генератор пакетов при помощи набора скриптов/конфигов в директории /proc/net/pktgen. Но перед этим необходимо загрузить модуль pktgen в ядро при помощи вызова команды «modprobe pktgen». Однако подобные вызовы мною обнаружены не были. Судя по всему, вместо них используется вызов «insmod /usr/lib/xpacket.ko», но, как и было сказано ранее, такой файл по умолчанию отсутствует в системе. Соответственно, в данной версии зловреда режим ядра не функционирует.

Тем не менее, зловред пытается записать несколько файлов в директорию /proc/net/pktgen, а именно:

  1. файл — /proc/net/pktgen/kpktgend_%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:

rem_device_all
add_device eth%d
max_before_softirq 10000

bill_gates_botnet12_sm

2. файл — /proc/net/pktgen/eth%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:
count 0
clone_skb 0
delay 0
TXSIZE_RND
min_pkt_size %d
max_pkt_size %d
IPSRC_RND
src_min %s
src_max %s
UDPSRC_RND
udp_src_min %d
udp_src_max %d
dst %s
udp_dst_min %d
udp_dst_max %d
dst_mac %02x:%02x:%02x:%02x:%02x:%02x //MAC-адрес шлюза из g_statBase
is_multi %d
multi_dst %s //если адресов для атаки несколько (т. е. значение в предыдущей строке не равно 0), то они задаются в этих строках, количество которых соответствует предыдущему параметру
pkt_type %d
dns_domain %s
syn_flag %d
is_dns_random %d
dns_type %d
is_edns %d
edns_len %d
is_edns_sec %d
Значения большинства параметров pktgen передаются через параметры команды от cupsdd.

3.файл — /proc/net/pktgen/pgctrl, содержащий строку «start».

Нормальный режим атаки

Как и в atddd нормальный режим атаки работает через сокеты (raw sockets).
Здесь возможны следующие типы атак:

CAttackSyn — TCP-SYN флуд.
CAttackUdp — UDP флуд. (как и в atddd)
CAttackDns — DNS флуд. (как и в atddd)
CAttackIcmp — ICMP флуд. (как и в atddd)
CAttackCc — HTTP-флуд.
CAttackAmp — DNS Amplification.
Особенность последней заключается в том, что пакеты отправляются к уязвимым DNS-серверам с указанием адреса цели атаки в качестве IP-адреса отправителя. Таким образом, злоумышленник отправляет небольшой пакет с DNS-запросом, а DNS-сервер отвечает цели атаки значительно большим по объему пакетом. Список уязвимых DNS-серверов хранится в файле libamplify.so, который записывается после получения соответствующей команды от C&C.

bill_gates_botnet13-2

Post Scriptum. BillGates v1.5

Данная версия троянца появилась несколько позднее и на данный момент, вероятно, является последней. По сути, это все тот же cupsdd, только «доведенный до ума». Код в целом стал более логичен, плюс появилась пара новых функций.

Наиболее существенные изменения произошли в модуле «Gates», т.е. в файле cupsdd. Теперь у него есть три режима работы. Выбор режима работы осуществляется на основании того откуда был запущен файл. Конкретнее, если файл запущен из /usr/bin/pojie, то выбирается режим мониторинга, иначе – режим установки и обновления, который в дальнейшем переходит в режим управления модулем «Bill».

bill_gates_botnet14

1. Режим установки и обновлений.
Сначала завершает свой процесс, работающий в режиме мониторинга, если таковой имеется. Его PID храниться в файле /tmp/moni.lock

Далее переустанавливает и перезапускает модуль «Bill».

Затем, если существует процесс работающий в режиме управления модулем «Bill», то он завершается. Его PID хранится в файле /tmp/gates.lock

Если установлен флаг g_iIsService (получается тем же образом, что и предыдущей версии) то прописывает себя в автозагрузку тем же способом, что и ранее (в предыдущей версии).

Далее записывает путь до себя в файл /tmp/notify.file и самокопируется в файл /usr/bin/pojie. После чего запускает свою копию, которая, очевидно, будет работать уже в режиме мониторинга, а сам переходит в режим управления модулем «Bill».

2. Режим мониторинга.
Записывает PID текущего процесса в файл /tmp/moni.lock. Далее запускает два потока для мониторинга модуля «Bill» и мониторинга модуля «Gates», работающего в режиме управления. И если один из этих процессов на данный момент не запущен, то нужный файл заново создается и запускается.

3. Режим управления модулем «Bill».
Действия, совершаемые модулем Gates в этом режиме, полностью соответствуют действиям, которые совершал этот же модуль в предыдущей версии троянца (после установки модуля Bill и инициализации необходимых ему переменных и структур).

Таким образом, в новой версии троянца авторы добавили ему немного «живучести», но основной функционал остался без существенных изменений.

Стоит также отметить, что прописанный в коде IP-адрес C&C сервера остался прежним (116.10.189.246), однако изменился номер порта – 36008 вместо прежнего 30000.

ИСТОЧНИК

Реклама

Большинство россиян игнорируют базовые меры безопасности в интернете, сообщает антивирусная компания ESET со ссылкой на результаты собственного опроса в соцсетях, в котором приняли участие 1500 респондентов.  Им нужно было ответить на вопрос: «Используете ли вы один и тот же пароль для двух и более аккаунтов в соцсетях, электронной почте, интернет-магазинах и на других сервисах?».  Выяснилось, что 57% пользователей подвергают риску свои аккаунты, не «заморачиваясь» придумыванием новых паролей. 43% опрошенных заявили, что нередко используют для регистрации повторяющиеся пароли, а 14% — что авторизуются с одним и тем же паролем во всех своих аккаунтах. Только 43% респондентов ответили, что придумывают новый пароль для каждого используемого ресурса. По данным ESET Russia, 60% учетных записей пользователей соцсетей хотя бы один раз подвергались взлому, а 25% аккаунтов взламывались неоднократно.

57% россиян используют одинаковый пароль для разных ресурсов

ИСТОЧНИК

Борьба с вредоносными программами

Утилиты для борьбы с вирусами:

 

Уважаемые пользователи,

Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю №13 (24 Марта 2014):

Название утилиты Версия Статус
TDSSKiller 3.0.0.26 Обновлена (Последнее обновление — 24 марта 2014)
XoristDecryptor 2.3.29.0 Обновлена (Последнее обновление — 19 марта 2014)
RectorDecryptor 2.6.22.0 Обновлена (Последнее обновление — 20 марта 2014)
RakhniDecryptor 1.4.0.0 3 Декабря2013
CapperKiller 1.0.10.0 10 Июня 2013
KidoKiller 3.4.14 25 Мая 2010
FippKiller 1.0.2 23 Июля 2012
RannohDecryptor 1.2.0.0 28 февраля 2014
SalityKiller 1.3.6.0 12 Ноября 2010
VirutKiller 1.0.11.0 19 Ноября 2011
XpajKiller 1.6.6.0 25 Февраля 2013
ZbotKiller 1.3.0.0 27 Августа 2010
RadminerFlashRestorer 1.0.0 08 Февраля 2013
klwk 12.0.0.20 08 Февраля 2013
KatesKiller 1.2.2 21 Декабря 2009
PMaxKiller 1.0.1 08 Февраля 2013
DigitaCure 1.3 08 Февраля 2013
CleanAutoRun 1.2.0.0 03 Февраля 2013
Kaspersky Virus Removal Tool 11.0.0.1245 11 Марта 2013
Kaspersky Rescue Disk + WindowsUnlocker 10.0.32.17 20 Марта 2013
Flashfake Removal Tool 1.1 13 Апреля 2012

Подробную информацию вы можете найти на Портале технической поддержки.

Маски сорваны: «Лаборатория Касперского» раскрывает сложнейшую глобальную кампанию кибершпионажа

Posted: Февраль 12, 2014 in Антивирус, Известность, Касперский, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, Linux, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

новости от «Лаборатории Касперского»

https://i2.wp.com/www.e-media66.ru/img/small/kaspersky.jpg

«Лаборатория Касперского» объявила о раскрытии глобальной сети кибершпионажа «Маска», за которой стоят испаноговорящие злоумышленники. Обнаруженные следы указывают на то, что операция ведется как минимум с 2007 года. Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.

Действия злоумышленников в первую очередь были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов. По подсчетам «Лаборатории Касперского» жертвами этой таргетированной атаки стали 380 пользователей из 31 стран по всему миру, включая Ближний Восток, Европу, Африку и Америку.

Главной целью атакующих был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», – объяснил Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

Для жертв заражение может обернуться катастрофическими последствиями. Вредоносное ПО перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. Обнаружение заражения чрезвычайно сложно из-за доступных в рутките механизмов скрытия и имеющихся дополнительных модулей кибершпионажа. В дополнение к встроенным функциям, злоумышленники могли закачивать на зараженный компьютер модули, позволяющие выполнить набор любых вредоносных действий.

Тщательное исследование показало, что для авторов этих программ испанский является родным языком – этого ранее не наблюдалось в атаках подобного уровня. Анализ показал, что операция «Маска» активно велась на протяжении 5 лет до января 2014 года (а некоторые образцы вредоносного ПО имели дату сборки 2007 года) – во время проведения исследования управляющие сервера злоумышленников были свернуты.

Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме – это мог быть YouTube или новостной портал.

Важно отметить, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали только в письмах, – проходя именно по ним, пользователь подвергался атаке. Иногда на этих сайтах злоумышленники использовали поддомены, чтобы полные адреса выглядели более правдоподобными. Эти поддомены имитировали разделы популярных испанских газет, а также несколько международных – «The Guardain» и «Washington Post».

На данный момент продукты «Лаборатории Касперского» распознают и удаляют все известные версии программ «Маска». С подробным отчетом, включающим описание работы механизмов и статистику заражения, можно ознакомиться по адресу http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

Борьба с вредоносными программами

Posted: Декабрь 30, 2013 in Антивирус, Вконтакте, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, город, железо, закон, компьютеры, лечение, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

https://i2.wp.com/www.convex.ru/gallery/Kaspersky_RGB_POS.jpg

Утилиты для борьбы с вирусами

Уважаемые пользователи,

Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю #53 (30 Декабря 2013):

Название утилиты Версия Статус
TDSSKiller 3.0.0.19 18 Ноября 2013
XoristDecryptor 2.3.22.0 19 Ноября 2013
RectorDecryptor 2.6.14.0 23 Декабря 2013
RakhniDecryptor 1.4.0.0 3 Декабря2013
CapperKiller 1.0.10.0 10 Июня 2013
KidoKiller 3.4.14 25 Мая 2010
FippKiller 1.0.2 23 Июля 2012
RannohDecryptor 1.1.0.0 30 Апреля 2012
SalityKiller 1.3.6.0 12 Ноября 2010
VirutKiller 1.0.11.0 19 Ноября 2011
XpajKiller 1.6.6.0 25 Февраля 2013
ZbotKiller 1.3.0.0 27 Августа 2010
RadminerFlashRestorer 1.0.0 08 Февраля 2013
klwk 12.0.0.20 08 Февраля 2013
KatesKiller 1.2.2 21 Декабря 2009
PMaxKiller 1.0.1 08 Февраля 2013
DigitaCure 1.3 08 Февраля 2013
CleanAutoRun 1.2.0.0 03 Февраля 2013
Kaspersky Virus Removal Tool 11.0.0.1245 11 Марта 2013
Kaspersky Rescue Disk + WindowsUnlocker 10.0.32.17 20 Марта 2013
Flashfake Removal Tool 1.1 13 Апреля 2012

Подробную информацию вы можете найти на Портале технической поддержки.


Если вы хотите подписаться на другие новостные блоки технической поддержки «Лаборатории Касперского» или отменить подписку на данный новостной блок, вы можете сделать это на сайте технической поддержки «Лаборатории Касперского» по следующему адресу: http://support.kaspersky.ru/subscribe

Что делать в случае возникновения трудностей с получением новостей
Вы можете связаться с нами по адресу webmaster@kaspersky.com и мы постараемся разрешить возникшие проблемы.


Информационная служба Лаборатории Касперского
Россия, 125212, Москва, Ленинградское шоссе, д.39А, стр.3 БЦ «Олимпия Парк»
Тел./факс: +7 (495) 797 87 00
www.kaspersky.ru

Борьба с вредоносными программами

Posted: Декабрь 9, 2013 in Антивирус, Вконтакте, Касперский, Новости, Одноклассники, антивирусы, атака, вирусы, железо, закон, компьютеры, лечение, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

https://cache.mail.yandex.net/mail/e0dadb88c1dd3a6bbd58b18e1f53ae4b/support.kaspersky.com/images/main/kasperskylab-logo.gif

Утилиты для борьбы с вирусами: Неделя #50 (9 декабря 2013)

Уважаемые пользователи,

Ниже в таблице вы найдёте статус по последним обновлениями утилит для борьбы с вредоносными программи от Лаборатории Касперского за Неделю #50 (9 Декабря 2013):

Название утилиты Версия Статус
TDSSKiller 3.0.0.19 18 Ноября 2013
XoristDecryptor 2.3.22.0 19 Ноября 2013
RectorDecryptor 2.6.10.0 25 Ноября 2013
RakhniDecryptor 1.4.0.0 Обновлена (Последнее обновление — 3 Декабря2013)
CapperKiller 1.0.10.0 10 Июня 2013
KidoKiller 3.4.14 25 Мая 2010
FippKiller 1.0.2 23 Июля 2012
RannohDecryptor 1.1.0.0 30 Апреля 2012
SalityKiller 1.3.6.0 12 Ноября 2010
VirutKiller 1.0.11.0 19 Ноября 2011
XpajKiller 1.6.6.0 25 Февраля 2013
ZbotKiller 1.3.0.0 27 Августа 2010
RadminerFlashRestorer 1.0.0 08 Февраля 2013
klwk 12.0.0.20 08 Февраля 2013
KatesKiller 1.2.2 21 Декабря 2009
PMaxKiller 1.0.1 08 Февраля 2013
DigitaCure 1.3 08 Февраля 2013
CleanAutoRun 1.2.0.0 03 Февраля 2013
Kaspersky Virus Removal Tool 11.0.0.1245 11 Марта 2013
Kaspersky Rescue Disk + WindowsUnlocker 10.0.32.17 20 Марта 2013
Flashfake Removal Tool 1.1 13 Апреля 2012

Подробную информацию вы можете найти на Портале технической поддержки.

Не нравится: под видом программы для взлома «ВКонтакте» распространяется зловред с кросс-платформенными возможностями

Posted: Ноябрь 27, 2013 in Антивирус, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Kaspersky Lab

Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.

Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.

Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса

Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.

Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.

«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».

На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.

Предновогодние хлопоты злоумышленников: «Лаборатория Касперского» предупреждает о возможных атаках с использованием нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.

https://i0.wp.com/www.wazzup.su/uploads/posts/2011-09/1315614484_1281604561_kasp2010.jpg

«Лаборатория Касперского» получила патент на систему, препятствующую обнаружению эмулятора вредоносным ПО во время антивирусного анализа. Запатентованная технология представляет собой способы модификации эмулятора с целью сделать его работу незаметной для исследуемой вредоносной программы.

Создатели защитных решений используют технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной. Для этого подозрительный код выполняется в изолированной виртуальной среде, которая при помощи программных средств моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий.

Злоумышленники при этом стремятся разными способами затруднить анализ в виртуальной среде. Многие из их приемов основаны на особенностях реализации эмуляторов, которые воспроизводят функции ОС лишь частично. Данное упрощение позволяет ускорить работу и сэкономить ресурсы, но в то же время делает механизм уязвимым: во вредоносном коде может быть предусмотрена проверка того, что программа выполняется в эмуляторе. Обнаружив это, код перестает выполнять злонамеренные действия, и защитное решение пропускает опасную программу.

Один из методов определения эмуляции заключается в вызове функции операционной системы, которая в свою очередь пользуется рядом промежуточных функций. При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет факт отсутствия вызовов, которые были бы произведены в случае обычного запуска.

Запатентованный «Лабораторией Касперского» механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы. До определенного момента эти действия полностью повторяют реальную ОС, что не позволяет обнаружить эмуляцию большинством методов, используемых авторами вредоносных программ. Тогда проверяемая программа начинает вредоносную деятельность, после чего защитное решение распознает ее и блокирует.

«Цель этой технологии проста: вредоносы должны оставаться “уверенными” в том, что они работают в реальной системе, и, следовательно, не должны пытаться скрыть свою злонамеренную функциональность. Использование этой технологии позволит вывести на новый уровень качество детектирования угроз нашими защитными решениями», – поясняет Сергей Белов, ведущий антивирусный эксперт «Лаборатории Касперского» и автор патента.

В перспективе технология будет внедрена в продукты «Лаборатории Касперского» для домашних и корпоративных пользователей.

Патент №8555386, подтверждающий новизну технологии, выдан Бюро по регистрации патентов и торговых марок США.

«Лаборатория Касперского» обладает обширным портфолио патентов, большинство из которых описывает защитные технологии. К настоящему времени у компании было 174 патента, полученных в США, России, Евросоюзе и Китае. Еще 211 патентных заявок находятся на стадии рассмотрения.

Viruslist.com — Дайджест аналитики

Posted: Ноябрь 15, 2013 in Антивирус, Вконтакте, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, город, закон, компьютеры, лечение, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Securelist - Всё об интернет-безопасности

https://i2.wp.com/www.3dnews.ru/assets/external/illustrations/2013/05/13/645213/kaspersky_logo.jpg

14 ноя 2013: Развитие информационных угроз в третьем квартале 2013 года

По данным KSN, в третьем квартале 2013 года продукты «Лаборатории
Касперского» обнаружили и обезвредили 978 628 817вредоносных
объектов.

http://www.securelist.com/ru/analysis/208050818/Razvitie_informatsionnykh_ugroz_v_tretem_kvartale_2013_goda

*****

7 ноя 2013: Спам в третьем квартале 2013

Доля спама по сравнению со вторым кварталом 2013 года уменьшилась на
2,4% и составила 68,3% почтового трафика.

http://www.securelist.com/ru/analysis/208050817/Spam_v_tretem_kvartale_2013

*****

30 окт 2013: Отчет «Лаборатории Касперского»: Java под ударом — эволюция эксплойтов в 2012-2013 гг.

Даже оперативно выпущенные обновления, которые закрывают уязвимости,
пока не в состоянии решить проблему атак с помощью Java-эксплойтов.

http://www.securelist.com/ru/analysis/208050816/Otchet_Laboratorii_Kasperskogo_Java_pod_udarom_evolyutsiya_eksploytov_v_2012_2013_gg

*****

24 окт 2013: Спам в сентябре 2013

После наступления в сентябре первых осенних холодов нами было
зафиксировано огромное количество рассылок с самыми разнообразными
предложениями по сокращению затрат на электроэнергию и по сохранению
тепла в жилых помещениях.

http://www.securelist.com/ru/analysis/208050815/Spam_v_sentyabre_2013

*****

15 окт 2013: PAC — файл автоконфигурации проблем

Хотя PAC — это полезная функциональность, факты злоупотребления ею
известны с 2005 г. Киберпреступники улучшили и усовершенствовали
технологию таких злоупотреблений.

http://www.securelist.com/ru/analysis/208050814/PAC_fayl_avtokonfiguratsii_problem

*****

 

Dr.Web

2 июля 2013 года

Первый месяц лета оказался «жарким» в сфере информационной безопасности: несмотря на начало традиционного сезона отпусков количество вирусных угроз отнюдь не пошло на убыль. В начале месяца вирусные аналитики «Доктор Веб» обнаружили новую версию опасного троянца, угрожающего серверам под управлением ОС Linux, а уже к середине июня пользователей захлестнула очередная волна троянцев-шифровальщиков семейства Trojan.Encoder. Также в минувшем месяце было выявлено множество новых угроз для мобильных устройств.

Вирусная обстановка

Согласно статистическим данным, собранным в июне 2013 года с использованием лечащей утилиты Dr.Web CureIt!, одной из наиболее актуальных угроз стал троянец Trojan.Mods.2. На него приходится 3,97% процентов заражений компьютеров в прошедшем месяце. Эта вредоносная программа перенаправляет пользователя на принадлежащие злоумышленникам веб-страницы, требующие у жертвы ввести в специальное поле номер телефона и код подтверждения. Таким образом жертва оказывается подписанной на некую «информационную услугу», за оказание которой с ее счета списывается регулярная оплата.

Не слишком уступает ему в популярности и предыдущая модификация данной угрозы: Trojan.Mods.1 занимает четвертое место с показателем 1,45%, а тройку лидеров замыкают Trojan.Hosts.6815 (2,94%) и Trojan.DownLoader9.19157 (1,92%). Десять наиболее распространенных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! на компьютерах пользователей в июне 2013 года, перечислены в представленной ниже таблице:

Название %
Trojan.Mods.2 3.97
Trojan.Hosts.6815 2.94
Trojan.DownLoader9.19157 1.92
Trojan.Mods.1 1.45
Trojan.Hosts.6838 1.44
Trojan.Zekos 1.22
BackDoor.IRC.NgrBot.42 1.18
Trojan.MulDrop4.25343 0.80
Trojan.MayachokMEM.7 0.76
Trojan.Packed.24079 0.75

Ботнеты

В июне 2013 года появилась новая версия бота Linux.Sshdkit, о котором компания «Доктор Веб» сообщала в феврале 2013 года. По данным на 27 июня в бот-сети, созданной злоумышленниками с использованием предыдущей версии троянца, насчитывается всего лишь 42 активных бота, а в течение последних 30 дней было зафиксировано только 8 случаев заражения новых серверов, работающих под управлением операционной системы Linux.

В то же время продолжается рост числа заражений файловым вирусом Win32.Rmnet.12. В первой из вирусных подсетей, управляющие сервера которых исследуются специалистами «Доктор Веб», на сегодняшний день числится 459 192 бота, во второй — 613 135. График регистрации в обеих подсетях ботнета вновь инфицированных рабочих станций в июне 2013 года продемонстрирован ниже:

Ботнет Win32.Rmnet.16 насчитывает в настоящий момент 4 674 активных бота (в прошлом месяце их было 5 220), при этом в течение месяца к сети присоединилось всего лишь 239 инфицированных компьютеров. Немного сократилось и количество рабочих станций, на которых были обнаружены вредоносные модули, детектируемые антивирусным ПО «Доктор Веб» как Trojan.Rmnet.19. В мае данная бот-сеть насчитывала 20 235 инфицированных ПК, а по данным на 27 июня их было уже 15 611. Замедлилась и динамика роста ботнета, которую можно проследить на представленной ниже диаграмме. Если в мае на управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин, то в период с 17 по 27 июня было зафиксировано всего лишь 738 случаев заражения:

Немного сократились и размеры ботнета, образованного с использованием троянской программы BackDoor.Bulknet.739, о перехвате контроля над одним из управляющих серверов которой компания «Доктор Веб» сообщила ранее. Если в мае данная сеть насчитывала 17 242 инфицированных компьютера, то в конце июня число активных ботов составило уже 16 024. Динамику регистрации на управляющем сервере вновь инфицированных рабочих станций можно проследить на представленной ниже диаграмме:

Почти не изменилась численность ботнета BackDoor.Dande, состоящего из компьютеров фармацевтических компаний и аптек, зараженных одноименным бэкдором: сейчас в одной из известных специалистам «Доктор Веб» подсетей их количество составляет 1 209, уменьшившись на 92 ПК по сравнению с прошлым месяцем, в другой — 268 (на 63 компьютера меньше, чем в мае).

Также незначительно сократилась популяция Apple-совместимых компьютеров, инфицированных троянской программой для Mac OS X BackDoor.Flashback.39, однако этот процесс продвигается не столь быстро, как хотелось бы. На 27 июня в ботнете BackDoor.Flashback.39 насчитывается 62 069 зараженных «маков», что на 3 918 единиц меньше, чем в мае.

Угроза месяца

В июне семейство вредоносных программ для ОС Linux пополнилось новой модификацией троянца Linux.Sshdkit. Обновленная версия угрозы, предназначенной, как и ее предшественница, для похищения логинов и паролей на работающих под управлением платформы Linux серверах, получила наименование Linux.Sshdkit.6. В данной версии Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.

Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции. С более подробным описанием данной угрозы можно ознакомиться в опубликованном компанией «Доктор Веб» информационном материале.

Очередная волна энкодеров

Троянцы-шифровальщики стали настоящим бедствием для пользователей персональных компьютеров: за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений в связи с этими вредоносными программами, а в июне общее количество запросов на лечение превысило 700. Двумя наиболее распространенными версиями энкодеров в первый летний месяц 2013 года стали Trojan.Encoder.94 и Trojan.Encoder.225. Распространяются они преимущественно по электронной почте: так, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office, а Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe.

Поскольку нагрузка на вирусную лабораторию «Доктор Веб» в последнее время значительно возросла, с 19 июня 2013 года помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов компании. Более подробную информацию о способах распространения и методах противодействия троянцам-шифровальщикам можно получить в опубликованной нами информационной статье.

Мобильные угрозы

Первый летний месяц этого года показал, что одной из главных опасностей для владельцев мобильных устройств по-прежнему остается кража разнообразной персональной информации, такой как данные учетных записей, СМС-сообщения, история звонков и т. п. Для этого злоумышленники применяют как троянские программы, так и специализированное шпионское ПО, доступное на коммерческой основе.

Наиболее заметной мобильной угрозой подобного рода в начале лета стал троянец Android.Tempur.1.origin, предназначенный для кражи у южнокорейских пользователей Android различных конфиденциальных сведений, включающих их банковские реквизиты, информацию о входящих СМС-сообщениях и совершаемых телефонных звонках. Эта вредоносная программа распространялась киберпреступниками как в составе специальной программы-носителя, детектируемой антивирусом Dr.Web как Android.MulDrop.8.origin, так и в качестве самостоятельного apk-пакета. Троянец Android.Tempur.1.origin интересен тем, что при установке на мобильное устройство подменял собой легитимные банковские приложения, имитировал их оригинальный интерфейс и предлагал пользователям ввести персональную информацию, которая затем вместе с перехватываемыми СМС и сведениями о телефонных переговорах пересылалась на удаленный сервер.

Более подробную информацию об Android.Tempur.1.origin вы можете получить, прочитав соответствующую публикацию на сайте компании «Доктор Веб».

Что же касается коммерческих шпионских приложений, то среди обнаруженных в июне представителей этого класса программ можно выделить очередные модификации известных Android-шпионов Android.MobileSpy и Android.SpyBubble, новое семейство Program.Highster, а также приложения Program.Stealthgenie и Program.Ownspy, работающие на устройствах под управлением BlackBerry и iOS соответственно. Стоит отметить, что успешное функционирование Program.Ownspy и аналогичных ему приложений возможно лишь на устройствах с выполненной операцией jailbreak, т. е. имеющих доступ к файловой системе, поэтому основной массе владельцев мобильной «яблочной» продукции они не страшны. Тем не менее число пользователей взломанной операционной системы iOS весьма велико, поэтому для них подобные программы-шпионы могут представлять ощутимую угрозу.

Троянцы семейства Android.SmsSend, отправляющие короткие сообщения на премиум-номера и выполняющие подписку абонентского счета на платные услуги, также продолжают оставаться головной болью многих пользователей мобильных Android-устройств. В течение месяца вирусная база Dr.Web пополнилась записями для нескольких новых модификаций этих вредоносных программ, а во второй половине июня специалистами компании был зафиксирован факт распространения троянца Android.SmsSend.465.origin при помощи рекламных сообщений, демонстрируемых на одном из популярных новостных ресурсов.

При посещении этого портала с мобильного устройства под управлением ОС Android загружаемая в браузере веб-страница демонстрировала специальный баннер, предлагающий установить популярную игру, которая на самом деле являлась вредоносной программой. Подробнее об этом случае вы можете прочитать в опубликованной ранее новости.

Вредоносные файлы, обнаруженные в почтовом трафике в июне

 01.06.2013 00:00 — 28.06.2013 11:00
1 Trojan.Packed.196 0.77%
2 Win32.HLLM.MyDoom.54464 0.70%
3 Win32.HLLM.MyDoom.33808 0.62%
4 Trojan.PWS.Panda.655 0.57%
5 Exploit.CVE2012-0158.27 0.55%
6 Trojan.Siggen5.30475 0.55%
7 Trojan.PWS.Stealer.3128 0.46%
8 SCRIPT.Virus 0.40%
9 VBS.Rmnet.2 0.40%
10 Win32.HLLM.Beagle 0.40%
11 Trojan.PWS.Stealer.2877 0.40%
12 Trojan.MulDrop4.35808 0.35%
13 Trojan.Siggen5.24066 0.33%
14 Trojan.PWS.Multi.911 0.33%
15 Trojan.PWS.Panda.547 0.33%
16 Trojan.Inor 0.31%
17 BackDoor.Comet.152 0.31%
18 BackDoor.Tishop.25 0.29%
19 Win32.HLLM.Graz 0.29%
20 Trojan.PWS.Stealer.2832 0.26%

Вредоносные файлы, обнаруженные в июне на компьютерах пользователей

 01.06.2013 00:00 — 28.06.2013 11:00
1 SCRIPT.Virus 0.97%
2 Adware.Downware.915 0.75%
3 Tool.Unwanted.JS.SMSFraud.26 0.65%
4 JS.Packed.5 0.60%
5 Adware.InstallCore.114 0.52%
6 Adware.InstallCore.115 0.45%
7 Adware.InstallCore.101 0.44%
8 Adware.Downware.179 0.43%
9 Adware.Downware.1132 0.41%
10 Adware.Toolbar.202 0.39%
11 Tool.Unwanted.JS.SMSFraud.10 0.34%
12 Tool.Unwanted.JS.SMSFraud.29 0.33%
13 Trojan.Hosts.6838 0.33%
14 Adware.Downware.1157 0.33%
15 JS.IFrame.432 0.32%
16 Tool.Skymonk.11 0.32%
17 Win32.HLLW.Autoruner.59834 0.32%
18 Win32.HLLW.Shadow 0.31%
19 Adware.Webalta.11 0.31%
20 Tool.Skymonk.13 0.30%

 

Развитие информационных угроз в первом квартале 2013 года

Posted: Июнь 16, 2013 in Антивирус, Вконтакте, Касперский, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Цифры квартала

  • По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.
  • Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.
  • 40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.
  • Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Обзор ситуации

Первый квартал 2013 года оказался весьма богат на различные инциденты в области информационной безопасности. В рамках данного отчета мы расскажем о наиболее значимых из этих инцидентов.

Кибершпионаж и кибероружие

Red October

В самом начале 2013 года «Лаборатория Касперского» опубликовала большой отчет с результатами исследования глобальной операции по кибершпионажу, получившей название Red October. Целями этой атаки стали различные государственные структуры, дипломатические организации и компании в разных странах мира. Анализ файлов и восстановление схемы атаки заняли не один месяц, но в результате этого трудоемкого исследования нам удалось выявить немало любопытных фактов.

Атакующие были активны на протяжении последних пяти лет. Используемая ими многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации. Для контроля и управления зараженными системами они создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах. Инфраструктура серверов управления представляет собой цепочку прокси-серверов.

Помимо традиционных целей атак (рабочие станции) Red October способен воровать данные с мобильных устройств; собирать информацию с сетевого оборудования; осуществлять сбор файлов с USB-дисков; красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

В феврале компания FireEye опубликовала анализ новой вредоносной программы, проникавшей в систему с использованием 0-day уязвимости в Adobe Reader (CVE-2013-0640). Эксплуатирующий эту уязвимость эксплойт стал первым эксплойтом, способным обходить «песочницу» Acrobat Reader. Он загружал бэкдор, основным назначением которого была кража информации с зараженной системы. После получения образцов данного вредоносного ПО для анализа, мы назвали зловред «ItaDuke».

Через некоторое время мы обнаружили еще несколько похожих инцидентов, в которых использовалась та же уязвимость, однако зловреды были уже другими. Используемая злоумышленниками вредоносная программа получила имя «MiniDuke». Расследование этих инцидентов было проведено совместно с венгерской компанией CrySys Lab. Среди жертв MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, исследовательский фонд в Венгрии, а также исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США. Всего нам удалось обнаружить 59 жертв в 23 странах мира.

Одной из самых любопытных характеристик атак MiniDuke стало сочетание зловреда, код которого был написан с использованием нетривиального и сложного подхода «старой школы», и относительно новых, но уже зарекомендовавших себя технологий эксплуатации уязвимостей в Adobe Reader.

Атакующие рассылали вредоносные PDF-документы с эксплойтами для 9-й, 10-й и 11-й версий Adobe Reader. Документы содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. В случае удачной отработки эксплойта, на компьютер жертвы попадал уникальный для каждой системы бэкдор размером всего 20 Кб, написанный на Assembler.

В этой атаке злоумышленники использовали Twitter: для получения адреса C&C-сервера и последующей загрузки новых вредоносных модулей бэкдор искал специальные твиты от заранее созданных аккаунтов. Как только заражённая система устанавливала соединение с сервером управления, она начинала получать зашифрованные модули (бэкдоры) в составе GIF-файлов. Эти модули обладали достаточно тривиальным функционалом: копирование, перемещение и удаление файлов, создание директорий, загрузка новых вредоносных программ.

APT1

В феврале компания Mandiant опубликовала большой PDF-отчет об атаках некой группы китайских хакеров, получившей название APT1. Термин APT (Advanced Persistent Threat по-прежнему у всех на слуху. Иногда им характеризуют угрозы или атаки, которые «продвинутыми» можно назвать с очень большой натяжкой. Однако в случае атак группы APT1 данное определение более чем уместно — развернутая китайскими хакерами кампания была весьма масштабной и серьезной.

В начале отчета Mandiant заявляет, что APT1 предположительно является одним из подразделений армии КНР. Компания даже приводит возможный физический адрес подразделения, строит предположения о его численности и используемой инфраструктуре. Mandiant предполагает, что группа APT1 действует с 2006 года и за 6 лет ей удалось украсть терабайты данных, как минимум, из 141 организации. Пострадавшие организации расположены, по большей части, в англоязычных странах. Безусловно, такой масштаб атак невозможен без ощутимой поддержки сотен человек и развитой современной инфраструктуры.

Далеко не в первый раз на разных уровнях появляются обвинения Китая в осуществлении кибератак на государственные органы и организации разных стран мира. Нет ничего удивительного в том, что китайское правительство в достаточно резкой форме отвергло все предположения компании Mandiant.

Отметим, что до настоящего времени еще ни одна страна не взяла на себя ответственность за какую-либо шпионскую кибератаку или не призналась под давлением общественности и весомых доказательств в осуществлении кибершпионажа.

TeamSpy

В марте 2013 года была опубликована информация об очередной сложной атаке, целями которой стали политики самого высокого уровня и борцы за права человека в странах СНГ и Восточной Европы. Операция получила название «TeamSpy», так как для контроля компьютеров жертв атакующая сторона использовала программу TeamViewer, предназначенную для удаленного администрирования. Основной целью атакующих был сбор информации на компьютере пользователя, начиная от снятия скриншотов и заканчивая копированием файлов с расширением .pgp, в том числе паролей и ключей шифрования.

Хотя используемый в ходе операции TeamSpy набор инструментов, да и в целом сама операция, выглядят менее изощренными и профессиональными по сравнению с вышеупомянутой операцией Red October, атаки TeamSpy были небезуспешны.

Stuxnet 0.5

Инциденты, исследование которых занимает несколько месяцев упорного труда, в антивирусной индустрии происходят не так часто. И еще реже случаются события, интерес к которым не утихает и по прошествии почти трех лет — такие, как обнаружение Stuxnet. Несмотря на то, что этот червь исследовали многие антивирусные компании, по-прежнему остается немало модулей, которые изучены слабо или не исследованы вовсе. Не стоит также забывать о том, что у Stuxnet было несколько версий, самая ранняя из которых появилась в 2009 году. Эксперты не раз высказывали предположение о том, что существовали (или существуют) более ранние версии червя, однако до определенного времени доказательств этого ни у кого не было.

Но в итоге эти предположения подтвердились. В конце февраля компания Symantec опубликовала исследование новой «старой» версии червя: Stuxnet 0.5. Эта версия оказалась наиболее ранней из известных модификаций Stuxnet: она была активна между 2007 и 2009 годами. Помимо этого, данная версия обладает очень любопытными характеристиками:

  • Во-первых, она была создана на той же платформе, что и Flame — но не на Tilded, как последующие модификации Stuxnet.
  • Во-вторых, червь распространялся с помощью заражения файлов, создаваемых с помощью ПО Simatic Step 7 и не содержал никаких эксплойтов для продуктов Microsoft.
  • В-третьих, Stuxnet 0.5 перестал распространяться после 4 июля 2009 года.
  • И, наконец, именно в Stuxnet 0.5 присутствует полноценная реализация работы с ПЛК Siemens 417 (в последующих версиях червя данный функционал не был полным).

Результаты исследования версии Stuxnet 0.5 дополнили информацию об этой вредоносной программе. Скорее всего, эта информация будет пополняться и в дальнейшем. То же самое можно сказать и об обнаруженных после Stuxnet образцах кибероружия или средств для кибершпионажа — мы знаем о них далеко не всё.

Целевые атаки

Атаки на тибетских и уйгурских активистов

В первом квартале 2013 года продолжились целевые атаки на тибетских и уйгурских активистов. Для достижения своих целей атакующие использовали все возможные средства — были атакованы пользователи Mac OS X, Windows и Android.

В январе-феврале мы обнаружили существенное увеличение числа целевых атак на уйгуров — пользователей Mac OS X. Все эти атаки использовали уязвимость CVE-2009-0563, которая была закрыта компанией Microsoft почти 4 года назад. Эксплойт к этой уязвимости рассылался в документах MS Office, которые легко распознать благодаря обозначенному в свойствах автору — «captain». В случае успешного исполнения эксплойт осуществляет загрузку бэкдора для Mac OS X в виде Mach-O файла. Это маленький бэкдор, который имеет очень ограниченные функциональные возможности: он устанавливает другой бэкдор и программу для кражи личных данных (контактов).

Атаки на тех же тибетских активистов были зафиксированы нами и в середине марта 2013 года. На этот раз атакующие использовали упомянутый выше эксплойт CVE-2013-0640 (ранее использованный в атаках ItaDuke) для обхода «песочницы» в Acrobat Reader X и заражения целевых компьютеров.

В конце марта 2013 года в данную волну попали также и пользователи Android-устройств. После взлома электронного ящика известного тибетского активиста, от его имени началась рассылка писем с вложениями в виде APK-файла, который оказался вредоносной программой для Android (продукты «Лаборатории Касперского» распознают ее как Backdoor.AndroidOS.Chuli.a). Зловред тайно сообщает на командный сервер об успешном заражении, а затем начинает собирать хранящуюся на устройстве информацию: контакты, журналы вызовов, SMS-сообщения, данные GPS, информацию об устройстве. Потом зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. Проведенное нами исследование командного сервера указывает как минимум на то, что атакующие говорят по-китайски.

Буквально через несколько дней после публикации результатов нашего расследования исследовательская организация The Citizen Lab опубликовала материалы своего исследования похожего инцидента. Целью атаки также были лица, так или иначе связанные с Тибетом и тибетскими активистами, а используемая вредоносная программа имела схожий функционал (кража персональной информации), но являлась зараженной версией мессенджера Kakao Talk.

Взломы корпоративных сетей

Первый квартал оказался, к сожалению, богатым на взломы корпоративной инфраструктуры и утечки паролей. Среди пострадавших компаний — Apple, Facebook, Twitter, Evernote и другие.

В начале февраля Twitter официально заявил, что злоумышленникам удалось украсть данные (в том числе, и хэши паролей) о 250 000 пользователей социальной сети. Через две недели сотрудники Facebook сообщили в блоге, что компьютеры нескольких сотрудников компании при посещении сайта для мобильных разработчиков были заражены с помощью эксплойтов. Компания заявляет, что это была не обычная атака, а именно целевая, и ее задачей являлось проникновение в корпоративную сеть Facebook. К счастью, по словам представителей компании, Facebook удалось избежать утечек какой-либо пользовательской информации.

Буквально через несколько дней корпорация Apple заявила, что на нескольких сотрудников компании была произведена точно такая же атака при посещении сайта для мобильных разработчиков. По информации Apple никаких утечек данных при этом не произошло.

А в начале марта компания Evernote заявила, что 50 млн. паролей будут сброшены для защиты данных пользователей. К такому решению Evernote подтолкнул взлом их внутренней сети и попытки злоумышленников получить доступ к хранящимся там данным.

В 2011 году мы стали свидетелями массовых взломов сетей различных компаний и массовых утечек пользовательских данных. Кому-то могло показаться, что подобные атаки сошли на нет, но это не так: злоумышленники по-прежнему заинтересованы во взломе крупных компаний и получении конфиденциальных (в том числе пользовательских) данных.

Мобильные зловреды

Отчет, посвященный развитию угроз для смартфонов, планшетов и прочих мобильных устройств в 2012 году, мы опубликовали в феврале 2013 года. По нашим данным, в 2012 году Android стал основной целью вирусописателей, а число угроз в течение года стремительно росло. Продолжился ли рост числа мобильных зловредов в первом квартале 2013 года? Да, безусловно.

Немного статистики

Январь, по традиции, стал месяцем затишья у мобильных вирусописателей — «всего лишь» 1263 новых вариантов зловредов. Но в течение двух последующих месяцев мы обнаружили более 20 тысяч новых образцов вредоносного ПО для мобильных устройств. В феврале было обнаружено 12 044 модификации мобильных зловредов; в марте — 9443. Для сравнения: за весь 2012 год нами было найдено 40 059 самплов вредоносных программ для мобильных устройств.

SMS-троянцы, занимающиеся несанкционированной отправкой SMS-сообщений на короткие платные номера, по-прежнему остаются наиболее распространенной категорией мобильного вредоносного ПО — на их долю приходится 63,6% от всех атак.

99,9% обнаруженных новых мобильных зловредов нацелены на Android.

По данным KSN TOP 20 популярных у злоумышленников мобильных вредоносных и потенциально нежелательных программ для Android выглядит следующим образом.

Место Название % от всех атак
1 Trojan-SMS.AndroidOS.FakeInst.a 29,45%
2 Trojan.AndroidOS.Plangton.a 18,78%
3 Trojan-SMS.AndroidOS.Opfake.a 12,23%
4 Trojan-SMS.AndroidOS.Opfake.bo 11,49%
5 Trojan-SMS.AndroidOS.Agent.a 3,43%
6 Trojan-SMS.AndroidOS.Agent.u 2,54%
7 RiskTool.AndroidOS.AveaSMS.a 1,79%
8 Monitor.AndroidOS.Walien.a 1,60%
9 Trojan-SMS.AndroidOS.FakeInst.ei 1,24%
10 Trojan-SMS.AndroidOS.Agent.aq 1,10%
11 Trojan-SMS.AndroidOS.Agent.ay 1,08%
12 Trojan.AndroidOS.Fakerun.a 0,78%
13 Monitor.AndroidOS.Trackplus.a 0,75%
14 Adware.AndroidOS.Copycat.a 0,69%
15 Trojan-Downloader.AndroidOS.Fav.a 0,66%
16 Trojan-SMS.AndroidOS.FakeInst.ee 0,55%
17 HackTool.AndroidOS.Penetho.a 0,54%
18 RiskTool.AndroidOS.SMSreg.b 0,52%
19 Trojan-SMS.AndroidOS.Agent.aa 0,48%
20 HackTool.AndroidOS.FaceNiff.a 0,43%

Первую строчку занимает Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Этот зловред нацелен в основном на русскоговорящих пользователей, пытающихся скачать с сомнительных сайтов какое-либо ПО для своих Android-устройств. Часто на таких сайтах под видом полезного софта злоумышленники распространяют вредоносные программы.

Второе место занимает рекламный троянец Trojan.AndroidOS.Plangton.a (18,78%). Основной ареал его распространения — европейские страны, где он используется разработчиками бесплатного ПО для монетизации продукта за счет показа рекламы.

Третью и четвертую позиции заняли SMS-троянцы из семейства Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) и Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Первые модификации зловредов семейства Opfake маскировались под новую версию популярного мобильного браузера Opera. Сегодня вредоносные программы из этого семейства выдают себя за различные новые версии популярного софта (Skype, Angry Birds и т.д.).

Инциденты

В мобильном сегменте среди наиболее интересных вирусных инцидентов в первом квартале 2013 года хотелось бы остановиться на двух:

  • новый зловред под названием Perkele или Perkel, охотящийся за mTAN,
  • ботнет MTK.

О еще одном важном инциденте — целевых атаках на пользователей Android — мы рассказали выше.

Perkel

В первой половине марта известный журналист Брайан Кребс (Brian Krebs) обнаружил на русскоязычных андерграундных форумах информацию о новом банковском троянце для мобильных устройств, якобы нацеленном на пользователей из 69 стран и уже заразившем немалое количество устройств по всему миру. Кребс предположил, что этот троянец создан русскоговорящими вирусописателями, поскольку набор инструментов для его создания распространяется через русскоязычные форумы.

Такие новости, безусловно, привлекают внимание и специалистов из антивирусных компаний, но до определенного момента самих образцов вредоносного ПО ни у кого не было.

Через несколько дней первые модификации Perkel были обнаружены. После проведенного нами анализа выяснилось, что в группе вредоносных программ, основной целью которых является кража содержащих mTAN банковских SMS, действительно произошло пополнение. Функционал Perkel обычен для программ этой группы, за двумя исключениями:

  1. Для коммуникаций с командным сервером и загрузки украденной информации (помимо SMS с mTAN зловред также собирает информацию о самом устройстве) Perkel, как правило, использует не SMS, а HTTP.
  2. Зловред способен самообновляться, загружая новую копию себя с удаленного сервера.

Ботнет MTK

В середине января появились сообщения о существовании миллионного ботнета, созданного на базе Android-устройств, принадлежащих, в основном, китайским пользователям. Оказалось, что за ботнет ответственна распространенная в Китае вредоносная программа («Лаборатория Касперского» детектирует ее как Trojan.AndroidOS.MTK). Распространяется она через неофициальные китайские магазины приложений в комплекте со взломанными популярными играми. Помимо кражи информации о смартфоне, пользовательских контактов и сообщений, зловреды данного семейства занимаются накруткой популярности различных приложений. Для этого троянцы осуществляют скрытую загрузку и установку приложений на мобильное устройство жертвы, а также ставят максимальную оценку этому ПО на сайте магазина. После этого они сообщают о проделанных действиях на удаленный сервер. Приложений для Android становится все больше, и зачастую им сложно завоевывать популярность у пользователей. Именно поэтому такие нелегальные способы накрутки становятся все более распространенными.

Отзыв сертификатов TurkTrust

В первом квартале 2013 года произошел очередной инцидент с корневыми сертификатами. Компании Microsoft, Mozilla и Google одновременно объявили об отзыве двух корневых сертификатов удостоверяющего центра TurkTrust из базы, поставляемой в составе их веб-браузеров.

Как оказалось, удостоверяющий центр TurkTrust еще в августе прошлого года выписал двум организациям вместо обычных SSL-сертификатов вторичные корневые сертификаты. Их можно использовать для создания SSL-сертификатов для любого веб-ресурса в интернете, причем браузеры посетителей ресурса будут воспринимать эти сертификаты как доверенные.

В декабре корпорация Google обнаружила, что один из выписанных от лица сервиса TurkTrust SSL- сертификатов для *.google.com был задействован в атаках типа «man-in-the middle» («человек посередине»). Естественно, факт атаки на сервисы Google не исключает того, что другие сертификаты, выписанные этим же путем, могли быть задействованы в атаках на сервисы других компаний.

Очередной серьезный инцидент, связанный с корневыми сертификатами и вопросами доверия к ним, показал, что проблема вредоносного использования легальных сертификатов по-прежнему актуальна. Но на данный момент вредоносное использование таких сертификатов выявляется уже после атаки, потому что эффективных способов предотвращать подобные инциденты пока нет.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

В первом квартале 2013 года решения «Лаборатории Касперского» отразили 821 379 647 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 91,44%
2 Trojan.Script.Generic 2,79%
3 AdWare.Win32.Bromngr.b 1,91%
4 Trojan.Script.Iframer 0,73%
5 Exploit.Script.Blocker 0,70%
6 Trojan.JS.Redirector.xa 0,33%
7 Hoax.SWF.FakeAntivirus.i 0,22%
8 Trojan.Win32.Generic 0,17%
9 AdWare.Win32.MegaSearch.am 0,13%
10 Trojan-Downloader.Win32.Generic 0,09%
11 Exploit.Script.Blocker.u 0,07%
12 AdWare.Win32.IBryte.heur 0,05%
13 Exploit.JS.Retkid.a 0,05%
14 Exploit.Script.Generic 0,05%
15 Hoax.HTML.FraudLoad.i 0,04%
16 Exploit.Win32.CVE-2011-3402.c 0,04%
17 Packed.Multi.MultiPacked.gen 0,04%
18 Trojan-Clicker.HTML.Agent.bt 0,04%
19 WebToolbar.Win32.BetterInstaller.gen 0,03%
20 Trojan.JS.Redirector.xb 0,03%

*Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
**Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в TOP 20 детектируемых объектов вновь заняли вредоносные ссылки из черного списка. По сравнению с четвертым кварталом 2012 года их доля выросла на 0,5%, и в итоге на такие ссылки приходится 91,4% всех срабатываний веб-антивируса. Также заметим, что использование средств KSN для доставки моментальных апдейтов на компьютеры пользователей через «облако» позволило нам заблокировать 6,6% вредоносных ссылок. Эти ссылки вели на недавно взломанные или созданные злоумышленниками сайты, на которые уже стали переходить пользователи.

По-прежнему в первой пятерке детектируемых объектов вердикты Trojan.Script.Generic (2-е место) и Trojan.Script.Iframer (4-е место). Эти вредоносные объекты блокируются при попытках осуществления drive-by атак, которые сегодня являются одним из наиболее распространенных методов заражения компьютеров пользователей.

Седьмое место занимает Hoax.SWF.FakeAntivirus.i. По сути, это фальшивый антивирус, который размещается на различных сайтах сомнительного содержания. При посещении таких сайтов в окне пользовательского браузера проигрывается флэш-анимация, имитирующая работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством опаснейших вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать ПО.

Уже несколько месяцев подряд в TOP 20 оказывается Hoax.HTML.FraudLoad.i — в первом квартале он занял 15-ое место. С этой угрозой сталкиваются в основном любители скачивать фильмы, сериалы и программное обеспечение с сомнительных ресурсов. Как Hoax.HTML.FraudLoad детектируются веб-страницы, на которых пользователи якобы могут скачать нужный контент, но для этого им необходимо предварительно отправить платное SMS-сообщение или ввести номер своего мобильного телефона для оформления платной подписки. Если пользователь выполняет указанные требования, то вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

На 16-е место попал эксплойт Exploit.Win32.CVE-2011-3402.c. Он эксплуатирует уязвимость в библиотеке win32k.sys (TrueType Font Parsing Vulnerability). Отметим, что эта же уязвимость использовалась для распространения червя Duqu.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

81% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. За последние полгода этот показатель уменьшился на 5% пунктов: на 3% в первом квартале 2013 года и на 2% — в четвертом квартале 2012 года.

 
Распределение по странам веб-ресурсов, на которых размещены
вредоносные программы, первый квартал 2013 г.

В рейтинге стран по количеству вредоносных хостингов Россия (19%, -6%) и США (25%, +3%) вновь поменялись местами — США вернули утраченную ранее первую позицию. Доли остальных стран по сравнению с четвертым кварталом практически не изменились.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса.

 
20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**, первый квартал 2013 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

По сравнению с четвертым кварталом 2012 года первая десятка стран, жители которых чаще других сталкиваются с вредоносными программами, практически не изменилась — она по-прежнему состоит из стран, ранее входивших в состав СССР. Россия (57%) занимает третье место в этом списке. Однако некоторые изменения произошли во второй десятке: в первом квартале 2013 года в рейтинг вошли Тунис (43,1%), Алжир (39%). Единственная западноевропейская страна, которая попала в TOP 20, — Италия (39,9%, 16-е место).

Все страны можно разбить на несколько групп.

  1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В первом квартале 2013 года в эту категорию стран с показателем 60,4% попал только Таджикистан.
  2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 13 стран из TOP 20 (столько же, сколько и в четвертом квартале 2012). За исключением Вьетнама, Туниса и Шри-Ланки, замыкающих список группы, в нее входят страны постсоветского пространства, в частности, Армения (59,5%), Россия (57%), Казахстан (56,8%) Азербайджан (56,7%), Белоруссия (49,9%) и Украина (49%).
  3. Группа риска. В эту группу с показателями 21-40% попали 102 страны, в том числе Италия (39,9%), Германия (36,6%), Франция (35,8%), Бельгия (33,8%), Судан (33,1%), Испания (32,5%), Катар (31,9%), США (31,6%), Ирландия (31,5%), Англия (30,2%), ОАЭ (28,7%) и Нидерланды (26,9%).
  4. Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2013 года вошли 28 стран с показателями 12,5-21%. Меньше всего (менее 20%) процент пользователей, атакованных при просмотре страниц в интернете, в африканских странах, где интернет слабо развит. Исключением являются Япония (15,6%) и Словакия (19,9%).


Риск заражения через интернет компьютеров пользователей в разных странах, первый квартал 2013 года

В среднем 39,1% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке во время серфинга в интернете. Отметим, что средняя доля атакованных машин по сравнению с четвертым кварталом 2012 года увеличилась на 1,5%.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В первом квартале 2013 года наши антивирусные решения успешно заблокировали 490 966 403 попыток локального заражения компьютеров пользователей, участвующих в Kaspersky Security Network.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 DangerousObject.Multi.Generic 18,51%
2 Trojan.Win32.Generic 16,04%
3 Trojan.Win32.AutoRun.gen 13,60%
4 Virus.Win32.Sality.gen 8,43%
5 Exploit.Win32.CVE-2010-2568.gen 6,93%
6 Trojan.Win32.Starter.yy 5,11%
7 Net-Worm.Win32.Kido.ih 3,46%
8 HiddenObject.Multi.Generic 3,25%
9 Trojan.Win32.Hosts2.gen 3,17%
10 Virus.Win32.Nimnul.a 3,13%
11 Virus.Win32.Generic 3,09%
12 Net-Worm.Win32.Kido.ir 2,85%
13 Trojan.Script.Generic 2,54%
14 AdWare.Win32.Bromngr.b 2,51%
15 Exploit.Java.CVE-2012-1723.gen 2,38%
16 Trojan.Win32.Starter.lgb 2,38%
17 Trojan-Downloader.Win32.Generic 2,13%
18 AdWare.Win32.Bromngr.h 2,11%
19 Hoax.Win32.ArchSMS.gen 2,09%
20 Trojan-Dropper.VBS.Agent.bp 1,97%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

В этом рейтинге, как и прежде, с большим отрывом лидируют три вердикта.

Вредоносные программы DangerousObject.Multi.Generic, обнаруженные с помощью «облачных» технологий, оказались в первом квартале 2013 года на 1-м месте с показателем 18,51% — это на 1,8% больше, чем в четвертом квартале 2012 года. «Облачные» технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке «Лаборатории Касперского» уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На втором месте Trojan.Win32.Generic (16%) — вердикт, выдаваемый эвристическим анализатором при проактивном детектирования множества вредоносных программ. На третьем — Trojan.Win32.AutoRun.gen (13,6%). Так детектируются вредоносные программы, использующие автозапуск.

Рекламные программы семейства AdWare.Win32.Bromngr дебютировали в рейтинге в 4-м квартале 2012 года на 8-м месте. В первом квартале 2013 года они заняли сразу две позиции в TOP 20 (14-е и 18-е места). Все модификации данных рекламных модулей представляют собой библиотеки DLL, которые являются надстройками к популярным браузерам (Internet Explorer, Mozilla Firefox, Google Chrome). Как и подавляющее большинство подобных программ, этот модуль изменяет поисковые настройки пользователя, стартовую страницу, а также периодически показывает во всплывающих окнах различную рекламу.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (31,4%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 0,8% меньше, чем в прошлом квартале.

 
TOP 20 стран* по уровню зараженности компьютеров**, первый квартал 2013 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже четыре квартала подряд первые двадцать позиций в этом рейтинге занимают страны Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — вновь уменьшилась, на этот раз на 11,8%, и составила 67,8%. (По итогам третьего квартала 2012 года этот показатель составлял 90,9%.)

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): по итогам первого квартала 2013 года данная группа теперь состоит всего лишь из двух стран: Бангладеш (67,8%) и Вьетнам (60,2%).
  2. Высокий уровень заражения (41-60%): 41 страна мира, в том числе Ирак (50,9%), Сирия (45,5%), Мьянма (44,5%), Ангола (42,3%) и Армения (41,4%).
  3. Средний уровень заражения (21-40%): 60 стран, в том числе Китай (37,6%), Катар (34,6%), Россия (34,3%) Украина (33,6%), Ливан (32,4%), Хорватия (26,1%), Испания (26%), Италия (23,8%), Франция (23,4%), Кипр (23,3%).
  4. Наименьший уровень заражения (до 21%): 31 страна, среди которых Бельгия (19,3%), США (19%), Великобритания (18,6%), Австралия (17,5%), Германия (17,7%), Эстония (17,8%), Нидерланды (16,2%), Швеция (14,6%), Дания (12,1%) и Япония (9,1%).


Риск локального заражения компьютеров в разных странах, первый квартал 2013 г.

В десятку самых безопасных по уровню локального заражения стран попали:

Япония 9,10%
Дания 12,10%
Финляндия 13,60%
Швеция 14,60%
Чехия 14,80%
Швейцария 15,10%
Ирландия 15,20%
Нидерланды 16,20%
Новая Зеландия 16,60%
Норвегия 16,80%

По сравнению с четвертым кварталом 2012 года в этом списке появилось две новых страны — Нидерланды и Норвегия, которые вытеснили Люксембург и Пуэрто-Рико.

Уязвимости

В первом квартале 2013 года на компьютерах пользователей KSN было обнаружено 30 901 713 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее распространенных уязвимостей представлены в таблице ниже.

Secunia ID Название Последствия эксплуатации Процент пользова-телей, у которых обнаружена уязвимость* Дата публикации Уровень опасности
1 SA 50949 Oracle Java Multiple Vulnerabilities DoS-атака Доступ к системе Раскрытие конфиденциальных данных Манипулирование данными 45,26% 17.10.2012 Highly Critical
2 SA 51771 Adobe Flash Player / AIR Integer Overflow Vulnerability Доступ к системе 22,77% 08.01.2013 Highly Critical
3 SA 51090 es Adobe Shockwave Player Multiple Vulnerabiliti Доступ к системе 18,19% 24.10.2012 Highly Critical
4 SA 51280 Oracle Java Two Code Execution Vulnerabilities Доступ к системе 17,15% 10.01.2013 Extremely Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Доступ к системе 16,32% 07.12.2011 Extremely Critical
6 SA 51692 VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities Доступ к системе 14,58% 28.12.2012 Highly Critical
7 SA 51226 Apple QuickTime Multiple Vulnerabilities Доступ к системе 14,16% 08.11.2012 Highly Critical
8 SA 43853 Google Picasa Insecure Library Loading Vulnerability Доступ к системе 12,85% 25.03.2011 Highly Critical
9 SA 46624 Winamp AVI / IT File Processing Vulnerabilities Доступ к системе 11,30% 03.08.2012 Highly Critical
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities «Доступ к системе Раскрытие конфиденциальных данных
Обход системы безопасности «
11,21% 28.10.2010 Extremely Critical

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Наиболее распространенным оказались уязвимости в Java, которые были обнаружены на 45,26% всех компьютеров. А замкнула рейтинг достаточно старая, но крайне опасная уязвимость в Adobe Flash Player. Хотя эта уязвимость была обнаружена еще в октябре 2010 года, мы до сих пор находим ее на 11,21% уязвимых компьютеров пользователей.

Первые пять позиций занимают уязвимости в продуктах Oracle и Adobe, и, как уже было сказано выше, за Adobe также последняя строчка рейтинга. Позиции с 6-й по 9-ю распределились между уязвимостями в популярных программных продуктах от разных компаний.


Производители продуктов с уязвимостями из TOP 10, первый квартал 2013 года

Эксплуатация любой уязвимости из TOP 10 фактически приводит к исполнению произвольного кода в системе.


Распределение уязвимостей из TOP 10 по типу воздействия на систему, первый квартал 2013 г.

Подобные уязвимости всегда пользуются популярностью у злоумышленников, и использующие их эксплойты стоят на «черном» рынке дороже большинства других.

Источник

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, нам удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Обнаруженная специалистами «Доктор Веб» новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.

Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.

ИСТОЧНИК

«Доктор Веб»: обзор вирусной активности за май 2013 года

Posted: Июнь 7, 2013 in Антивирус, Вконтакте, Доктор Веб, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

3 июня 2013 года

В начале мая был обнаружен опасный троянец, подменяющий открываемые пользователями в окне браузера веб-страницы. Другая вредоносная программа, также добавленная в вирусные базы в мае, атаковала пользователей социальных сетей Facebook, Google Plus и Twitter. В конце месяца специалисты «Доктор Веб» перехватили еще один управляющий сервер ботнета Rmnet, с помощью которого был выявлен факт распространения двух новых компонентов этого файлового вируса. Также в мае были обнаружены и новые вредоносные объекты, угрожающие пользователям мобильной платформы Android, — в основном программы-шпионы.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, абсолютным лидером по числу заражений в мае стал троянец Trojan.Hosts.6815 (2,53% от общего количества инфицированных компьютеров), на втором месте расположился троянец Trojan.Mods.1, подменяющий содержимое просматриваемых пользователем веб-страниц — об этой вредоносной программе подробно рассказано в опубликованном на сайте Dr.Web новостном материале. Всего в течение месяца лечащей утилитой Dr.Web CureIt! было обнаружено 15 830 экземпляров этого троянца, что составляет 1,95% от общего числа выявленных угроз. По-прежнему велико число случаев обнаружения вредоносных программ семейства Trojan.Mayachok в оперативной памяти компьютеров пользователей, также на инфицированных ПК достаточно часто встречается бэкдор BackDoor.IRC.NgrBot.42 и различные модификации троянцев семейства Trojan.Redirect. Двадцатка наиболее распространенных майских угроз, по данным лечащей утилиты Dr.Web CureIt!, приведена в представленной ниже таблице.

Название %
Trojan.Hosts.6815 2.55
Trojan.Mods.1 2.01
Trojan.MayachokMEM.7 1.50
BackDoor.IRC.NgrBot.42 1.41
Trojan.Redirect.147 1.36
Trojan.Redirect.140 1.35
Trojan.Hosts.6838 1.22
Trojan.Mods.2 1.01
Trojan.Packed.24079 0.97
Trojan.DownLoader8.48947 0.85
Trojan.Zekos 0.85
Trojan.PWS.Stealer.1932 0.74
Win32.HLLP.Neshta 0.71
BackDoor.Gurl.2 0.69
Trojan.Hosts.6708 0.59
Trojan.SMSSend.2363 0.51
Trojan.Packed.142 0.49
Trojan.Packed.142 0.44
Trojan.Packed.142 0.42
Trojan.DownLoader9.19157 0.41

Ботнеты

Специалисты компании «Доктор Веб» в настоящее время взяли под контроль две подсети ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, каждая из которых имеет собственный управляющий сервер. В мае 2013 года общее количество активно действующих ботов в первой бот-сети Win32.Rmnet.12 составило 619 346 единиц, во второй — 459 524, при этом за последние 10 суток к первому ботнету присоединилось еще 116 617 инфицированных машин, а ко второму — 143 554. Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тысяч инфицированных машин соответственно. Вот как выглядит динамика прироста данных ботнетов за период с 19 по 29 мая 2013 года:

В то же самое время прирост бот-сети Win32.Rmnet.16 идет чрезвычайно медленными темпами: всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Таким образом, можно сделать вывод, что файловый вирус Win32.Rmnet.16 сегодня не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 года компания «Доктор Веб» сообщила о перехвате контроля над одним из управляющих серверов ботнета, созданного с использованием троянца BackDoor.Bulknet.739. Данная вредоносная программа предназначена для массовой рассылки спама и имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. Если на начало апреля к данному управляющему серверу обращалось всего порядка 7 000 инфицированных компьютеров, то на конец мая количество активно действующих ботов выросло до значения 17 242, при этом динамику роста ботнета в период с 19 по 29 мая можно проследить на представленном ниже графике.

В конце мая специалистам «Доктор Веб» удалось установить контроль еще над одним управляющим сервером бот-сети Rmnet. В этой подсети был выявлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй позволяет отключать на зараженной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG. Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на контролируемом специалистами «Доктор Веб» управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин. Динамику прироста бот-сети можно проследить с помощью представленной ниже диаграммы.

Более подробную информацию о данной угрозе можно получить из опубликованного компанией «Доктор Веб» новостного материала.

Продолжает действовать и ботнет BackDoor.Dande — этот троянец заражает только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов: информацию из этих приложений и ворует вышеупомянутый троянец. В настоящий момент специалистам «Доктор Веб» известно о двух подсетях BackDoor.Dande: в одной действует 331 зараженная машина, в другой насчитывается 1 291 инфицированный компьютер.

Несмотря на то, что с момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, прошло уже больше года, данная бот-сеть продолжает действовать и сегодня: на текущий момент в ней насчитывается 65 987 инфицированных «маков».

В феврале 2013 года компания «Доктор Веб» сообщала об обнаружении троянца Linux.Sshdkit, атакующего работающие под управлением ОС Linux серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец транслирует на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Угроза месяца: Trojan.Facebook.311

Пользователи социальных сетей уже неоднократно становились мишенью киберпреступников и распространителей вредоносных программ. Так, в середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311, представляющей собой написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Распространялись эти вредоносные плагины с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом «обновления безопасности для просмотра видео».

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить конфигурационный файл, содержащий соответствующий набор команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить «лайки», размещать сообщения на стене, отправлять личные сообщения и т. д. При этом вредоносная программа обладает функционалом для работы не только в социальной сети Facebook, но и для взаимодействия с социальными сетями Twitter и Google Plus, — в частности, она наделена функцией рассылки спама. С более подробным исследованием данной угрозы можно ознакомиться в новости на сайте «Доктор Веб».

Атака на пользователей Skype

23 мая многочисленные интернет-СМИ сообщили о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, поступали от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая в свою очередь закачивала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троянец рассылает сообщения по контакт-листам месседжеров Skype, Windows Messenger, QIP, Google Talk и Digsby.

Сигнатура троянца Trojan.SkypeSpam.11 была добавлена в вирусные базы Dr.Web еще 22 мая.

Угрозы для Android

Для мобильной платформы Android май оказался весьма неспокойным периодом: на протяжении всего месяца специалистами компании «Доктор Веб» фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Так, вредоносная программа Android.Pincer.2.origin, обнаруженная в середине месяца, является довольно опасным троянцем, предназначенным для перехвата входящих СМС-сообщений и переадресации их на удаленный сервер. Авторами Android.Pincer.2.origin предусмотрена возможность отслеживать сообщения, поступающие c определенного номера, для чего троянцу посредством СМС поступает соответствующая команда. Распространяемая злоумышленниками под видом установщика сертификата безопасности, данная вредоносная программа может представлять серьезную опасность для владельцев мобильных Android-устройств, т. к. среди перехватываемых ею сообщений могут находиться как проверочные (одноразовые) mTAN-коды систем «Банк-Клиент», так и другая конфиденциальная информация. Более подробно об этой угрозе можно узнать, прочитав соответствующую публикацию на сайте «Доктор Веб».

В мае также был обнаружен очередной троянец-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Аналогично предшественникам, новая вредоносная программа, добавленная в вирусную базу как Android.AccSteal.1.origin, распространялась под видом приложения из категории «для взрослых» и после запуска загружала на удаленный сервер следующую информацию: имя учетной записи Google Mail, IMEI-идентификатор и название модели мобильного устройства, а также номер сотового телефона пользователя.

Примечательно, что в отличие от других подобных вредоносных программ, троянец действительно выполняет ожидаемую от него функцию, а именно позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне. Учитывая, что Android.AccSteal.1.origin распространяется при помощи веб-сайта, страницы которого имитируют уже устаревший внешний вид каталога Google Play, такое поведение можно объяснить желанием злоумышленников вызвать как можно меньше подозрений со стороны пользователей, но при этом обеспечить достаточно высокий процент успешного сбора их персональной информации.

Киберпреступники не обошли стороной и китайских пользователей: троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из популярных китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об СМС-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троянец способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2013 00:00 — 30.05.2013 18:00
1 Trojan.PWS.Panda.3734 1.49%
2 Trojan.PWS.Panda.4379 1.20%
3 Trojan.Oficla.zip 0.90%
4 Trojan.Packed.196 0.80%
5 Trojan.Inject2.23 0.75%
6 Win32.HLLM.MyDoom.54464 0.63%
7 Trojan.DownLoader9.17531 0.58%
8 Trojan.PWS.Stealer.2877 0.54%
9 Trojan.PWS.Panda.655 0.54%
10 Trojan.PWS.Stealer.946 0.53%
11 Trojan.Packed.666 0.53%
12 Exploit.CVE2012-0158.28 0.49%
13 Trojan.PWS.Stealer.2833 0.46%
14 Win32.HLLM.MyDoom.33808 0.44%
15 Trojan.PWS.Stealer.2824 0.39%
16 Trojan.PWS.Stealer.2861 0.39%
17 Trojan.PWS.Stealer.2864 0.37%
18 Exploit.CVE2012-0158.27 0.34%
19 BackDoor.IRC.NgrBot.42 0.34%
20 VBS.Rmnet.2 0.32%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2013 00:00 — 30.05.2013 18:00
1 SCRIPT.Virus 0.71%
2 Adware.Downware.915 0.71%
3 Tool.Unwanted.JS.SMSFraud.26 0.50%
4 Win32.HLLW.MyBot 0.48%
5 Adware.InstallCore.115 0.47%
6 Adware.Downware.179 0.45%
7 Adware.InstallCore.114 0.45%
8 Adware.Downware.1157 0.44%
9 Adware.InstallCore.101 0.36%
10 Tool.Unwanted.JS.SMSFraud.29 0.33%
11 Adware.Webalta.11 0.33%
12 Adware.Downware.1132 0.32%
13 Tool.Unwanted.JS.SMSFraud.10 0.31%
14 Trojan.Hosts.6708 0.30%
15 BackDoor.IRC.NgrBot.42 0.28%
16 Trojan.DownLoader9.19157 0.28%
17 Tool.Skymonk.11 0.28%
18 Trojan.Hosts.6838 0.28%
19 Win32.HLLW.Shadow 0.27%
20 Win32.HLLW.Autoruner.59834 0.26%

ИСТОЧНИК