Записи с меткой «System32»

12 марта 2013 года

Февраль 2013 года запомнится специалистам по информационной безопасности ростом количества заражений пользовательских компьютеров троянскими программами семейства Trojan.Hosts, а также взломов веб-сайтов с целью распространения вредоносного ПО. Также в феврале был обнаружен троянец, атакующий серверы под управлением ОС Linux, активизировались и сетевые мошенники, выискивающие своих жертв на сайтах знакомств.

Вирусная обстановка

Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой в последний месяц зимы как и прежде стали троянцы семейства Trojan.Mayachok, при этом чаще всего на компьютерах пользователей обнаруживалась модификация Trojan.Mayachok.18566. Не менее часто лечащая утилита фиксировала наличие платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend, при этом абсолютным лидером среди них является Trojan.SMSSend.2363.

Такие архивы злоумышленниками используются по стандартной модели — они обычно маскируются под программу установки какого-либо приложения и требуют после своего запуска отправить платное СМС-сообщение или принуждают пользователя подписаться на ту или иную «услугу». Архив, как правило, не содержит заявленного ПО и, кроме того, нередко содействует распространению других, более опасных вредоносных программ. Также достаточно велико количество заражений троянскими программами BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 и Win32.HLLP.Neshta. Сведения об угрозах, обнаруженных с использованием лечащей утилиты Dr.Web CureIt! в феврале, представлены в следующей таблице:

Угроза %
Trojan.MayachokMEM.4 2,00
Trojan.SMSSend.2363 1,38
Trojan.Mayachok.18566 1,20
BackDoor.IRC.NgrBot.42 1,14
Trojan.Click2.47013 0,79
Win32.HLLP.Neshta 0,78
Trojan.StartPage.48148 0,77
Trojan.Fraudster.245 0,73
Trojan.Hosts.5268 0,70
Win32.HLLW.Phorpiex.54 0,69
Win32.Sector.22 0,65
Trojan.Mayachok.18579 0,61
Trojan.Hosts.6814 0,59
Trojan.Hosts.6815 0,59
Trojan.Hosts.6838 0,55
BackDoor.Butirat.245 0,54
Trojan.Hosts.6809 0,52
Win32.HLLW.Gavir.ini 0,51
Exploit.CVE2012-1723.13 0,51
Trojan.Mayachok.18397 0,47

Угроза месяца: Linux.Sshdkit

Наиболее интересной угрозой, обнаруженной в феврале специалистами компании «Доктор Веб», можно назвать троянскую программу Linux.Sshdkit, заражающую серверы под управлением операционной системы Linux. Троянец представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный механизм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.

Специалистам компании «Доктор Веб» удалось перехватить несколько управляющих серверов Linux.Sshdkit. На начало марта к перехваченным управляющим центрам обратилось 476 инфицированных серверов, однако многие из них принадлежат хостинг-провайдерам и поддерживают работу значительного числа веб-сайтов, к которым злоумышленники получили доступ. Больше всего инфицированных серверов, а именно 132, находится на территории США, второе место с показателем 37 случаев заражения заняла Украина, на третьем месте расположились Нидерланды. Общие статистические данные, полученные специалистами «Доктор Веб» с использованием перехваченных управляющих центров Linux.Sshdkit, приведены в следующей таблице:

Страна Кол-во инфицированных серверов %
США 132 27,7
Украина 37 7,8
Нидерланды 29 6,1
Таиланд 23 4,8
Турция 22 4,6
Германия 19 4,0
Индия 19 4,0
Великобритания 17 3,6
Италия 17 3,6
Франция 15 3,2
Индонезия 12 2,5
Австралия 10 2,1
Россия 10 2,1
Канада 10 2,1
Аргентина 10 2,1
Бразилия 10 2,1
Южная Корея 7 1,5
Вьетнам 7 1,5
Чили 6 1,3
Испания 6 1,3
Китай 5 1,1
Румыния 5 1,1
Мексика 5 1,1
Южная Африка 4 0,8
Другие страны 39 7,9

Более подробную информацию о данной угрозе можно почерпнуть из этого информационного материала.

Распространение Trojan.Hosts и взломы веб-сайтов

В конце февраля — начале марта 2013 года был зафиксирован очередной всплеск атак на веб-сайты с целью распространения вредоносного ПО. Используя украденные данные для доступа к ресурсам по протоколу FTP, злоумышленники подменяли файл .htaccess и внедряли собственный скрипт-обработчик. В результате посетители взломанного веб-сайта подвергались опасности заражения различными троянскими программами. В частности, с использованием этого метода были зафиксированы факты распространения троянцев семейства Trojan.Hosts — данные вредоносные программы модифицируют один из файлов (%systemroot%/system32/drivers/hosts), в результате чего браузер автоматически перенаправляет жертву на специально созданную злоумышленниками веб-страницу. Наглядным примером активной деятельности злоумышленников являются сайты, размещающие решенные домашние задания для учащихся средних общеобразовательных учреждений. Попав на такую страницу, пользователь перенаправлялся на зараженный интернет-ресурс, с которого на его компьютер загружался троянец Trojan.Hosts и другие опасные приложения.

Угрозы для Android

Февраль 2013 года оказался весьма неспокойным с точки зрения угроз для мобильной платформы Android. Так, в начале февраля вирусные базы Dr.Web пополнились записью для троянца Android.Claco.1.origin, который распространялся в каталоге Google Play под видом утилиты для оптимизации скорости работы операционной системы. Запускаясь на мобильном устройстве, этот троянец мог выполнить отправку СМС-сообщений по команде злоумышленников, открыть произвольный URL в браузере, а также загрузить персональную информацию пользователя (такую как содержимое карты памяти, СМС-сообщения, фотографии и контакты из телефонной книги) на удаленный сервер. Однако главной особенностью Android.Claco.1.origin являлось то, что с его помощью могли быть инфицированы компьютеры под управлением Windows: подключаясь к удаленному серверу, троянец мог загружать с него другие вредоносные файлы и помещать их на карту памяти мобильного устройства. Среди этих объектов присутствовал исполняемый файл и файл autorun.inf, который осуществлял автоматический запуск соответствующей ему вредоносной программы при подключении инфицированной карты памяти к Windows-компьютеру. Стоит отметить, что, начиная с Windows Vista, функция автозапуска имеет статус отключенной по умолчанию, поэтому для многих пользователей Windows угроза со стороны Android.Claco.1.origin была незначительной.

Другой заметной вредоносной программой в феврале стал троянец Android.Damon.1.origin, который распространялся злоумышленниками на популярных китайских веб-сайтах в модифицированных ими приложениях. Android.Damon.1.origin способен выполнять отправку СМС-сообщений в соответствии с принимаемой командой от удаленного сервера, совершать звонки, открывать произвольный URL, загружать на сервер персональную информацию владельца мобильного устройства (например, содержимое телефонной книги, историю звонков, координаты пользователя), а также выполнять некоторые другие функции.

Кроме того, в течение месяца в вирусные базы Dr.Web вносились записи для новых представителей семейства СМС-троянцев Android.SmsSend.

Другие угрозы февраля

В конце долгой зимы заметно активизировались сетевые мошенники, в частности, промышляющие в поисках жертв на сайтах знакомств. Как правило, мошенники представляются эмигрантами либо иностранцами с русскими корнями — именно этим они объясняют хороший уровень владения русским языком. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей «избраннице» какой-либо дорогой подарок: электронный планшет, смартфон или ювелирное украшение. Злоумышленники завлекают потенциальных жертв на поддельный сайт курьерской службы, где им предлагается оплатить доставку посылки. Естественно, в случае оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении. Подробнее об этом способе мошенничества рассказано в нашем информационном материале.

В начале февраля были зафиксированы случаи распространения вредоносных программ с использованием встроенного приложения социальной сети Facebook — этому инциденту посвящена статья, опубликованная на сайте news.drweb.com.

Наконец, в середине месяца специалистами компании «Доктор Веб» был обнаружен забавный троянец-винлок. О том, чем эта вредоносная программа насмешила вирусных аналитиков, можно узнать из нашей публикации.

Вредоносные файлы, обнаруженные в почтовом трафике в феврале

 01.02.2013 00:00 — 28.02.2013 11:00
1 BackDoor.Andromeda.22 1.18%
2 JS.Redirector.185 1.12%
3 Win32.HLLM.MyDoom.54464 0.53%
4 Win32.HLLM.MyDoom.33808 0.39%
5 Trojan.Necurs.97 0.39%
6 Trojan.PWS.Panda.786 0.39%
7 Trojan.DownLoad3.20933 0.39%
8 Trojan.PWS.Stealer.1932 0.39%
9 Trojan.Oficla.zip 0.37%
10 Tool.PassView.525 0.33%
11 Trojan.Packed.2820 0.31%
12 SCRIPT.Virus 0.29%
13 Trojan.PWS.Panda.655 0.29%
14 BackDoor.Tordev.8 0.29%
15 Win32.HLLM.Beagle 0.27%
16 Trojan.Packed.196 0.27%
17 Trojan.PWS.Stealer.2155 0.26%
18 BackDoor.Andromeda.150 0.26%
19 Trojan.KeyLogger.16674 0.24%
20 Win32.HLLM.Graz 0.24%

Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

 01.02.2013 00:00 — 28.02.2013 11:00
1 Trojan.Fraudster.245 0.77%
2 SCRIPT.Virus 0.70%
3 Tool.Unwanted.JS.SMSFraud.26 0.63%
4 Adware.Downware.915 0.61%
5 JS.IFrame.387 0.52%
6 Adware.Downware.179 0.49%
7 Tool.Unwanted.JS.SMSFraud.10 0.42%
8 Trojan.Fraudster.394 0.36%
9 Adware.Webalta.11 0.36%
10 Tool.Skymonk.11 0.33%
11 Trojan.Fraudster.407 0.32%
12 Win32.HLLW.Shadow 0.31%
13 Tool.Skymonk.12 0.30%
14 JS.Redirector.175 0.30%
15 Adware.Downware.910 0.29%
16 Adware.InstallCore.53 0.29%
17 Win32.HLLW.Autoruner1.33556 0.29%
18 Adware.Downware.774 0.29%
19 Win32.HLLW.Autoruner.59834 0.29%
20 JS.Redirector.179 0.27%

ИСТОЧНИК

12 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты — информирует пользователей об участившихся случаях взломов злоумышленниками веб-сайтов с целью загрузки на компьютеры пользователей вредоносных программ семейства Trojan.Hosts. Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения. В марте Trojan.Hosts заражают около 8 000 компьютеров в сутки.

Для взлома веб-сайтов злоумышленники используют протокол FTP, подключаясь к ресурсам с использованием похищенных ранее логинов и паролей. Затем на взломанный сайт загружается специальный командный интерпретатор (шелл), с использованием которого изменяется файл .htacess, а на сайте размещается вредоносный скрипт.

В результате, при заходе на зараженный сайт скрипт выдает посетителю веб-страницу, содержащую ссылки на различные вредоносные приложения. В частности, таким образом в последнее время начали широко распространяться троянцы семейства Trojan.Hosts.

Следует отметить, что троянцы этого семейства распространяются злоумышленниками отнюдь не только с помощью взломанных сайтов. Была организована и работа нескольких партнерских программ, через которые киберпреступникам выплачивается вознаграждение за получение прибыли с жертвы Trojan.Hosts. Таким образом, эти троянцы могут попадать на компьютеры потенциальных жертв и иными путями — например, с использованием бэкдоров и троянцев-загрузчиков.

Напомним, что основное предназначение вредоносных программ семейства Trojan.Hosts — модификация файла hosts, расположенного в системной папке Windows и отвечающего за трансляцию сетевых адресов сайтов. В результате вредоносных действий при попытке перейти на один из популярных интернет-ресурсов пользователь зараженного компьютера перенаправляется на принадлежащую злоумышленникам веб-страницу.

Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Так, пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения вредоносными программами данного семейства. В начале марта число инфицированных рабочих станций стало немного сокращаться — например, за сутки 11 марта было выявлено всего 7 658 случаев заражения (количество подсчитывается по числу зафиксированных случаев изменения троянцем содержимого файла hosts на инфицированных компьютерах).

Динамика распространения данной угрозы показана на представленной ниже диаграмме.

Большинство известных модификаций Trojan.Hosts успешно удаляется из системы антивирусным ПО Dr.Web, более того, в антивирусных продуктах Dr.Web версии 8 предусмотрен специальный механизм защиты файла hosts от его модификации вредоносным ПО, который можно настроить в разделе Инструменты → Настройки → Превентивная защита → Уровень блокировки подозрительных действий → Пользовательский, переключив антивирус в административный режим (функция блокировки записи в файл hosts по умолчанию включена).

Кроме того, IP-адреса взломанных сайтов оперативно добавляются в базы Dr.Web, поэтому подобные ресурсы блокируются при обращении к ним компонентом Dr.Web SpIDer Gate. В случае если антивирус заблокировал доступ к какому-либо популярному или известному ресурсу, специалисты «Доктор Веб» рекомендуют выполнить проверку жестких дисков вашего компьютера на наличие угроз.

Если вы не используете постоянную антивирусную защиту Dr.Web и стали жертвой данной вредоносной программы, рекомендуется выполнить полную проверку компьютера с помощью бесплатной лечащей утилиты Dr.Web CureIt! и в случае необходимости отредактировать содержимое файла Windows\System32\Drivers\etc\hosts, удалив оттуда все лишние записи.