Записи с меткой «Win32»

DRWEB

 

Середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков: в октябре в службу технической поддержки компании «Доктор Веб» обратились сотни пострадавших от действий троянцев-энкодеров. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Google Android, которая давно уже находится под прицелом злоумышленников.

Вирусная обстановка

Согласно статистике, собранной в октябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, в списке выявленных угроз, как и прежде, лидирует Trojan.LoadMoney.1 — приложение-загрузчик, созданное организаторами партнерской программы Loadmoney. Также в лидерах списка — еще одна его модификация, Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815: это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы. Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей — троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11. Двадцатка наиболее актуальных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! в октябре, представлена в следующей таблице:

Название Кол-во %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

Ботнеты

Динамика прироста ботнета, образованного зараженными файловым вирусом Win32.Rmnet.12 компьютерами, в октябре осталась практически неизменной: ежесуточно к первой бот-сети подключалось в среднем порядка 15 000 вновь инфицированных ПК, ко второй — 11 000, что в целом соответствует показателям за сентябрь. Изменение численности обеих подсетей Win32.Rmnet.12 в октябре 2013 года можно проследить на представленных ниже графиках:

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (1-я подсеть)
screenshot

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (2-я подсеть)
screenshot

Продолжает уменьшаться количество компьютеров, на которых антивирусное ПО фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — если на начало октября таковых насчитывалось 4 640, то уже к концу месяца это число составило 3 851.

Практически неизменным остается размер ботнета BackDoor.Bulknet.739: по данным на 28 октября в этой сети числится 1 539 инфицированных компьютеров. В свою очередь, немного снизилась численность ботнета BackDoor.Dande, основным предназначением которого является кража конфиденциальной информации у представителей российских фармацевтических компаний. В конце сентября насчитывалось 1 232 рабочие станции, инфицированные этим троянцем, а в двадцатых числах октября это значение составило уже 1 105.

Постепенно снижается и количество Apple-совместимых компьютеров, инфицированных работающим под управлением Mac OS X троянцем BackDoor.Flashback.39. В конце сентября число заражений составляло 38 288, а спустя месяц количество инфицированных «маков» снизилось до 31 553.

Угрозы для Android

В минувшем месяце специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

screenshot screenshot

screenshot

Как и многие аналогичные вредоносные программы, эти троянцы способны перехватывать поступающие СМС-сообщения, в которых может содержаться различная ценная информация, включающая как одноразовые mTAN-пароли и иные финансовые реквизиты, так и личную или деловую переписку. Однако в данном случае наибольший интерес представляет троянец Android.Spy.40.origin, при создании которого была использована очередная ошибка ОС Android, позволяющая ему избежать обнаружения антивирусными программами. Для этого злоумышленникам было необходимо лишь определенным образом изменить структуру троянского apk-пакета, после чего он мог успешно обходить сканирование. Более подробная информация об этой угрозе содержится в соответствующей публикации на сайте нашей компании.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

screenshot screenshot

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять СМС-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Прочие события октября

Call-центр мошенников «блокирует» карты Сбербанка

Мошенники нашли очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых СМС-уведомлений.

При открытии карты клиентов предупреждают, что СМС-сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Пользователя в подобных случаях может насторожить следующее: ему не могут внятно объяснить причину блокировки карты, просят назвать конфиденциальные данные карты, предлагают подойти к ближайшему банкомату для выполнения сомнительной операции и т. п.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей СМС, который ведут крупные СМС-агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Gameover продолжается: Upatre распространяет шифровальщика CryptoLocker вместе с банковским троянцем Gameover ZeuS

Получила развитие ситуация, связанная с сообщением компании Dell SecureWorks от 10 октября этого года о распространении банковского троянца Gameover ZeuS при помощи троянца-загрузчика. Специалисты по информационной безопасности выяснили, что с этим же загрузчиком распространятся программа-шифровальщик CryptoLocker, вымогающая у владельцев зараженных компьютеров плату за расшифровку файлов.

Троянец из семейства Trojan.DownLoad — это файл небольшого размера, реализующий простую функцию загрузки других вредоносных программ на компьютер жертвы. Он маскируется под zip- или pdf-файл, и распространяется как вложение в спам-сообщения. Стоит пользователю открыть такое вложение, и на компьютер загружается вредоносное ПО, в первую очередь – банковские троянцы семейства Zbot/ZeuS, а теперь и CryptoLocker. Данный шифровальщик не только блокирует доступ к системе, но и вынуждает пользователя оплачивать расшифровку файлов.

Зарубежные эксперты исследовали образец такого спам-сообщения. Вредоносное вложение содержит загрузчик Trojan.DownLoad, скачивающий программу Trojan.PWS.Panda. Именно она фактически загружает CryptoLocker.

Таким образом, пользователь, компьютер которого заражен указанными вредоносными программами, рискует потерять не только учетные данные для онлайн-банкинга и деньги вследствие несанкционированных банковских операций, но и другие свои файлы, зашифрованные CryptoLocker. Самостоятельная расшифровка данных из-за сложности применяемого метода шифрования невозможна.

Троянец CryptoLocker детектируется антивирусом Dr.Web как Trojan.Encoder.304 (образец добавлен в вирусную базу 25 октября 2013 года).

Пользователи, установившие антивирус Dr.Web, защищены от данных угроз. Однако из-за большой комплексной опасности, которую представляют эти вредоносные программы, рекомендуется соблюдать дополнительные меры предосторожности: не открывать вложения в письмах, поступивших из недостоверных источников; избегать переходов по непроверенным ссылкам; регулярно делать резервные копии файлов; пользоваться лицензионным ПО и своевременно обновлять его.

Подробности октябрьских DDOS-атак на сайты российских банков

Представитель службы безопасности Центробанка России Артем Сычев сообщил о подробностях DDOS-атак, организованных в начале октября 2013 года на сайты ЦБ, Сбербанка, ВТБ, Альфа-банка, Газпромбанка и Россельхозбанка.

Бот-сеть из 400 компьютеров, находящихся в Европе, начинала каждую атаку в первой половине дня. В ряде случаев акция продолжалась в течение суток. Банки были атакованы последовательно: первым под удар попал сайт Сбербанка, последним — сайт ВТБ. Целью кибератак был скрипт, обрабатывающий публикацию курсов валют на сайте финансового учреждения. Угроз банковским сервисам в ходе атак выявлено не было, персональные данные и счета клиентов риску не подвергались. По словам Сычева, работа сайта Центробанка прерывалась всего на 7 минут.

О своей причастности к указанным кибератакам заявила группа «Кавказские анонимусы». В этой связи Сычев сообщил о «монетизации преступных действий в киберпространстве, приводящей к тому, что атаки становятся коммерчески выгодными. Распространена ситуация, когда заказчиками являются граждане России, а исполнителями — люди, находящиеся в Европе или Азии. Атакующие машины могут иметь зарубежные IP-адреса».

Dexter: новая тенденция угроз для владельцев банковских карт

Новый вариант вредоносной программы Dexter нанес многомиллионный ущерб большинству южноафриканских банков. Скомпрометированы сотни тысяч кредитных и дебетовых карт. Dexter заражает компьютеры с подключенными к ним торговыми терминалами (point-of-sale, POS-терминалами) для платежей в торговых сетях и ресторанах, похищает данные с пластиковых карт, загруженные в оперативную память компьютера, шифрует их и отправляет на сервер злоумышленников.

По данным зарубежных исследователей, Dexter был выявлен еще в 2012 году. Модификации обнаруженного троянца известны также под названиями Alina, BlackPOS, Vskimmer. За несколько месяцев были заражены сотни компьютеров торговых терминалов в 40 странах. Большинство зараженных систем находилось в Северной Америке и Великобритании.

Образцы указанного вредоносного ПО детектируются антивирусом Dr.Web как Trojan.Packed.23683, Trojan.Packed.23684 и Trojan.Packed.23685. Они добавлены в вирусную базу 27 сентября 2012 года.

Рассылка банковских троянцев семейства P2P Zeus: адрес известен

На многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 000 почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. Предполагается, что их реальный адрес — fraud@aexp.com, зарегистрированный на сервере с IP-адресом 190.213.190.211, относящемся к региону Тринидад и Тобаго. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь.

Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web).

Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Образцы троянцев Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909, распространявшиеся в указанной рассылке, добавлены в вирусную базу Dr.Web 9 и 10 октября 2013 года.

Вредоносная программа P2P Zeus детектируется Dr.Web как Trojan.PWS.Panda.4379. Этот банковский троянец опасен тем, что относится к числу наиболее распространенных. Он передает злоумышленникам данные для доступа к банковским сервисам, похищает ключи и пароли от различных программ, отслеживает нажатия клавиш, делает снимки экрана, объединяет зараженные устройства в бот-сети, выполняет поступающие с сервера злоумышленников команды, перенаправляет жертву на поддельные (фишинговые) сайты для кражи конфиденциальной информации. По мнению специалистов компании «Доктор Веб», указанная спам-кампания нацелена на клиентов различных банков. Чтобы избежать опасности, пользователям рекомендуется не открывать вложения в письмах, поступивших из подозрительных источников; не переходить по подозрительным ссылкам; защищать устройство при помощи антивирусных программ и своевременно обновлять ПО.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2013 00:00 — 31.10.2013 23:00
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2013 00:00 — 31.10.2013 23:00
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%
Реклама

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию
кибершпионажа, нацеленную преимущественн

о на южно-корейские
государственные структуры и научно-исследовательские институты.
Операция, получившая название Kimsuky, ограничена и таргетирована
— как показал анализ, ее целями являлись 11 организаций в Южной
Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский
Институт, Корейский Институт Защитного Анализа (KIDA), Министерство
Объединения, логистическая компания Hyundai Merchant Marine и сторонники
объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы
троянца Kimsuky стали доступны 5 мая. Эту относительно несложную
шпионскую программу отличает наличие ошибок в коде, а также
осуществление коммуникаций с помощью болгарского бесплатного почтового
сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты
«Лаборатории Касперского» уверены, что распространение
Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот
троянец обладает таким функционалом, как слежение за нажатием клавиш,
составление и кража списка файлов во всех каталогах, удаленное
управление компьютером и хищение документов формата HWP, повсеместно
используемого в южнокорейских госучреждениях в составе пакета Hancom
Office. Наличие последнего функционала дает все основания полагать, что
кража HWP-файлов — одна из основных задач троянца. Также атакующие
используют модифицированную версию легитимного приложения удаленного
управления компьютером TeamViewer в качестве бэкдора, с помощью которого
затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского»,
дают возможность предполагать наличие «следа» Северной
Кореи. Прежде всего, список целей атаки говорит сам за себя —
южнокорейские университеты, занимающиеся изучением международных
отношений и разработкой государственной оборонной политики, национальная
логистическая компания и группы политических активистов, выступающих за
объединение республики Корея. Во-вторых, строка кода зловреда содержит
корейские слова, которые переводятся как «атака» и
«финал».

Наконец, два почтовых адреса iop110112@hotmail.com и
rsh1213@hotmail.com, на которые зараженные компьютеры отправляют
уведомления о своем статусе и пересылают украденные данные во вложениях,
зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то,
что эта регистрационная информация не раскрывает ничего о
злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных
IP-адреса принадлежат сети китайских провинций Гирин и Ляонин,
граничащих с Северной Кореей. По различным данным, поставщики услуг,
предоставляющие доступ в Интернет в этих провинциях, также имеют
проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит
только защитные продукты южнокорейской антивирусной компании AhnLab. В
свою очередь продукты «Лаборатории Касперского» детектируют
и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а
модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что
кибершпионаж становится все более популярным инструментом на
международной арене. Однако эта кампания интересна еще и тем, что
троянец написан с откровенными ошибками и обладает довольно простым
функционалом. Это говорит о том, что уже сегодня даже небольшая группа
людей при помощи относительно несложного вредоносного кода может
совершить атаку на крупные организации и государственные структуры. На
основании этого мы можем ожидать в скором будущем появления еще большего
количества подобных кампаний — возможно, не самых профессиональных
с точки зрения технического исполнения, но от того не менее
опасных», — прокомментировал Дмитрий Тараканов, антивирусный
эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky
можно, пройдя по ссылке: www.securelist.com/ru.

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — информирует о появлении в бот-сети Rmnet двух новых вредоносных модулей. Один из них позволяет злоумышленникам отключать установленные на инфицированном компьютере антивирусные программы. Кроме того, специалистам «Доктор Веб» удалось перехватить управление одной из подсетей Rmnet, в которой действуют эти вредоносные компоненты.

Компания «Доктор Веб» уже предупреждала о широком распространении файловых вирусов Win32.Rmnet.12 и Win32.Rmnet.16, способных организовывать бот-сети. Напомним, что вредоносные программы семейства Win32.Rmnet представляют собой многокомпонентные файловые вирусы, обладающие возможностью самостоятельного распространения. Вирус состоит из нескольких модулей, его основной вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Кроме того, вирусы семейства Rmnet способны красть пароли от популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP.

Специалистам «Доктор Веб» удалось перехватить еще одну подсеть Win32.Rmnet с использованием известного метода sinkhole. В этой подсети был установлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, зато второй представляет значительно больший интерес. Эмулируя действия пользователей (а именно нажатия на соответствующие значки мышью), данный компонент отключает на инфицированной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG.

Если на компьютере используется антивирусное ПО Dr.Web, пользователю ничто не угрожает: для выгрузки компонентов антивируса требуется ввести капчу, а с этой задачей Trojan.Rmnet.19 справиться не в состоянии.

screen

Всего в данной подсети вирус загружает с управляющего сервера на инфицированный компьютер семь вредоносных модулей:

  • новый модуль, позволяющий отключать антивирусные программы;
  • модуль для кражи файлов cookies;
  • локальный FTP-сервер;
  • модуль для выполнения веб-инжектов;
  • модуль для кражи паролей от FTP-клиентов;
  • новый модуль, позволяющий детектировать наличие виртуальных машин;
  • модуль для организации удаленного доступа к инфицированной системе.

Помимо этого, файловые вирусы семейства Rmnet содержат следующие базовые компоненты:

  • компонент для загрузки других модулей в память;
  • модуль бэкдора;
  • модуль для удаления антивирусных программ.

По данным на 22 мая 2013 года, к исследуемому антивирусной лабораторией «Доктор Веб» управляющему серверу обратилось более 18 000 ботов. Из собранной статистики можно сделать вывод, что в качестве основного направления вирусной атаки злоумышленники выбрали Великобританию и Ирландию: на данной территории зафиксировано 15 253 случая заражения (84,5%), второе место по числу инфицированных систем (1 434 случая, или 7,9%) удерживает Франция. Специалисты «Доктор Веб» пристально следят за дальнейшим развитием ситуации.

Dr.Web

«Доктор Веб» представляет обзор вирусной активности в апреле 2013 года

13.05.2013

13 мая 2013 года

Апрель 2013 года запомнился профессионалам в области информационной безопасности целым рядом весьма интересных событий. В начале месяца специалистами «Доктор Веб» была перехвачена стремительно растущая бот-сеть, состоящая из рабочих станций, зараженных вредоносной программой BackDoor.Bulknet.739. В середине месяца была обнаружена новая модификация одного из самых распространенных современных троянцев — Trojan.Mayachok, а также зафиксирован значительный рост объемов вредоносного спама, эксплуатирующего тему террористических актов в Бостоне. Неспокойно было и на рынке мобильных устройств: более пяти миллионов пользователей ОС Android могло пострадать в результате распространения 28 инфицированных приложений с официального сайта магазина приложений Google Play.

Вирусная обстановка

Согласно статистическим данным, собранным с использованием утилиты Dr.Web CureIt!, в истекшем месяце снизилось количество заражений пользовательских компьютеров вредоносными программами семейства Trojan.Hosts. Данные троянцы, проникая на компьютер жертвы, изменяют содержимое системного файла hosts, отвечающего за преобразование сетевых адресов. Тем не менее число заражений программами Trojan.Hosts в апреле составило более 4,78% от общего количества случаев инфицирования, что в численном выражении составляет порядка 40 000 обнаруженных экземпляров троянца. Наиболее распространенные модификации Trojan.Hosts перечислены в представленной ниже таблице:

Модификация Trojan.Hosts %
Trojan.Hosts.6815 1,84
Trojan.Hosts.6838 0,99
Trojan.Hosts.6708 0,42
Trojan.Hosts.6814 0,19
Trojan.Hosts.6897 0,18
Trojan.Hosts.6613 0,16
Trojan.Hosts.6809 0,15
Trojan.Hosts.5587 0,14
Trojan.Hosts.5268 0,14
Trojan.Hosts.6722 0,14
Trojan.Hosts.7154 0,13
Trojan.Hosts.6466 0,11
Trojan.Hosts.6294 0.10
Trojan.Hosts.7703 0.09

Аналитики «Доктор Веб» связывают столь широкое распространение данной угрозы с многочисленными случаями взломов веб-сайтов, о которых компания сообщала в одном из мартовских новостных материалов.

Одним из наиболее распространенных троянцев в апреле 2013 года согласно данным утилиты Dr.Web CureIt! оказалась вредоносная программа Trojan.Mods.1 (ранее известная как Trojan.Redirect.140), основное предназначение которой заключается в перенаправлении браузеров пользователей на принадлежащие злоумышленникам веб-страницы. Также широкое распространение имеет бэкдор BackDoor.IRC.NgrBot.42 и троянская программа Trojan.Zekos, подробную информацию о которой компания «Доктор Веб» публиковала в одном из апрельских новостных материалов. Данный троянец, способный работать как в 32-разрядных, так и в 64-разрядных версиях ОС Windows, перехватывает на инфицированном компьютере DNS-запросы для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari и др. В результате при попытке перейти на какой-либо интернет-ресурс вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу, при этом в адресной строке браузера будет демонстрироваться правильный URL. Вирусописатели используют этот метод, чтобы заставить потенциальную жертву ввести в предложенное ими поле номер телефона и подтверждающий код, полученный в ответном СМС, и подписать таким образом на платную услугу.

В представленной ниже таблице приведены наиболее распространенные угрозы, обнаруженные лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в апреле 2013 года:

1 Trojan.Mods.1 3.07
2 Trojan.Hosts.6815 1.84
3 BackDoor.IRC.NgrBot.42 1.28
4 Trojan.Hosts.6838 0.99
5 Trojan.Zekos 0.87
6 Win32.HLLW.Phorpiex.54 0.76
7 Trojan.SMSSend.2363 0.73
8 Win32.HLLP.Neshta 0.72
9 Trojan.Packed.23938 0.58
10 Trojan.Packed.142 0.56
11 BackDoor.Andromeda.22 0.56
12 Trojan.StartPage.48148 0.56
13 Trojan.Packed.23971 0.55
14 Trojan.MulDrop4.25343 0.54
15 BackDoor.Gurl.2 0.52
16 Win32.Sector.22 0.47
17 Trojan.Hosts.6708 0.42
18 Trojan.PWS.Panda.2401 0.37
19 Trojan.PWS.Stealer.1932 0.35
20 Exploit.CVE2012-1723.13 0.33

Ботнеты

В начале апреля специалисты компании «Доктор Веб» смогли установить контроль над одним из управляющих серверов бот-сети, состоящей из инфицированных троянцем BackDoor.Bulknet.739 компьютеров. Эта вредоносная программа предназначена для массовой рассылки спама и способна выполнять набор получаемых от злоумышленников команд — в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

В первые дни к контролируемому специалистами «Доктор Веб» управляющему серверу ежечасно обращалось порядка 100 уникальных компьютеров, инфицированных BackDoor.Bulknet.739. Собранная вирусными аналитиками статистика оказала существенную помощь в исследовании данной угрозы, с подробным описанием которой вы можете ознакомиться в опубликованной нами статье.

Динамика роста ботнета, образованного файловым вирусом Win32.Rmnet.12, в апреле осталась прежней: за месяц к бот-сети присоединилось 569 274 инфицированных компьютера, а общая численность инфицированных машин достигла 9 232 024. Динамику данного процесса можно проследить на представленной ниже диаграмме:

Ботнет, образованный «родственным» файловым вирусом Win32.Rmnet.16, отметился значительным замедлением роста своей численности по сравнению с показателями прошлых месяцев: в апреле число инфицированных ПК увеличилось всего лишь на 500 с небольшим единиц, достигнув значения в 262 604 зараженные машины (в конце марта это значение составляло 262 083). Следует отметить, что это — самый низкий показатель прироста ботнета Win32.Rmnet.16 за последний год. Аналогичная динамика наблюдается и в отношении бот-сети BackDoor.Finder: в апреле ее численность выросла всего лишь на 114 узлов, а количество заражений не превышало 1-3 в сутки. Если подобная динамика сохранится и в дальнейшем, можно будет говорить о том, что темпы распространения данных угроз снизились до остаточных величин и рост упомянутых ботнетов почти полностью прекратился.

Угроза месяца

Одной из наиболее интересных угроз, исследованных аналитиками «Доктор Веб» в апреле 2013 года, можно назвать нового представителя весьма распространенного и широко известного семейства троянцев Trojan.Mayachok. Несмотря на то, что в настоящий момент специалистам известно более 1 500 модификаций данной угрозы, Trojan.Mayachok.18607 отличается от других представителей этого семейства тем, что его разработчики, по всей видимости, решили полностью переписать код троянца, сохранив общие принципы его работы.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое.

Основная цель злоумышленников — заставить жертву ввести в соответствующее поле номер мобильного телефона. После этого пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость которых составляет 20 рублей в сутки. Услуга подписки предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки».

Более подробный технический обзор троянца Trojan.Mayachok.18607 представлен в опубликованной компанией «Доктор Веб» аналитической статье.

Энкодеры атакуют

Троянцы-кодировщики являются одной из наиболее опасных угроз в мире современных информационных технологий. В апреле 2013 года широкое распространение получили две модификации данных троянских программ: Trojan.Encoder.205 и Trojan.Encoder.215. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Затем энкодеры требуют у жертвы оплатить расшифровку файлов, причем сумма «выкупа» может достигать нескольких тысяч долларов.

Эти троянцы распространяются в основном с использованием вредоносных рассылок и способны нанести значительный ущерб своим жертвам — уже сейчас от действий этих двух версий энкодеров пострадало несколько сотен пользователей. Более подробную информацию о методах борьбы с этой категорией угроз можно почерпнуть в опубликованном компанией «Доктор Веб» новостном материале.

Угрозы для Android

Второй весенний месяц 2013 года в очередной раз утвердил за операционной системой Android статус основной цели, на которую направлено особое внимание киберпреступников, интересующихся мобильными платформами. На протяжении всего апреля специалисты компании «Доктор Веб» фиксировали появление новых вредоносных Android-приложений, информация о которых оперативно вносилась в вирусные базы Dr.Web.

Одним из центральных событий, связанных с Android-угрозами в прошедшем месяце, стало обнаружение в официальном каталоге Google Play ряда программ, которые содержали вредоносный рекламный модуль Android.Androways.1.origin. Данный модуль был создан злоумышленниками под видом вполне стандартной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих продуктах, интегрируя в них данный модуль. Как и многие легальные рекламные платформы, Android.Androways.1.origin способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могут отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого «обновления», пользователи рискуют стать жертвами мошенников, установив вместо ожидаемого приложения одного из троянцев семейства Android.SmsSend.

Кроме того, модуль Android.Androways.1.origin способен выполнять ряд команд, поступающих с удаленного сервера, а также загружать на него конфиденциальную информацию, такую как номер сотового телефона, код оператора и IMEI мобильного устройства. Более подробно об этой угрозе вы можете прочитать в нашем новостном сообщении.

В разнообразии вредоносных программ, созданных для ОС Android, очень давно и отчетливо выделяются троянские приложения, направленные, в первую очередь, против китайских пользователей. Отличительной особенностью большинства подобных программ является то, что они распространяются в легитимных приложениях и играх, которые были модифицированы злоумышленниками. Что же касается источников распространения таких угроз, то по-прежнему очень популярными среди вирусописателей являются различные китайские интернет-площадки: форумы, каталоги и сборники программного обеспечения. В апреле специалистами компании «Доктор Веб» было обнаружено сразу несколько подобных вредоносных программ. Среди них – Android.Uapush.2.origin, Android.MMarketPay.3.origin, Android.DownLoader.17.origin, несколько представителей семейства троянцев-шпионов Android.Infostealer, а также ряд СМС-троянцев.

Android.Uapush.2.origin представляет собой троянскую программу, основная цель которой — показ различных рекламных сообщений в нотификационной панели операционной системы, однако она обладает и другими функциями. В частности, Android.Uapush.2.origin производит сбор информации об имеющихся закладках в браузере мобильного устройства, сведений о совершенных звонках, контактах в телефонной книге и некоторых конфиденциальных данных из популярного китайского мессенджера QQ. В дальнейшем полученные сведения загружаются троянцем на удаленный сервер.

Вредоносная программа Android.MMarketPay.3.origin, обнаруженная в начале апреля, является очередной модификацией троянца, о котором компания «Доктор Веб» сообщала в прошлом году. Как и ее предшественник, Android.MMarketPay.3.origin предназначен для выполнения автоматических покупок приложений в электронном каталоге Mobile Market, принадлежащем оператору связи China Mobile. Эта вредоносная программа предпринимает ряд действий по обходу ограничительных мер, установленных в данном каталоге, поэтому может представлять весьма серьезную угрозу финансовому положению китайских Android-пользователей, скупая различные приложения без их ведома.

Что же касается Android.DownLoader.17.origin, то это — троянец-загрузчик, способный скачивать из сети Интернет другие приложения. После того как apk-пакет загружен, Android.DownLoader.17.origin предпринимает попытку выполнить его установку. Данный троянец был обнаружен в большом количестве игр и приложений, которые размещались сразу на нескольких китайских интернет-площадках, из чего можно сделать вывод о том, что создавшие его злоумышленники имеют далеко идущие планы по его применению. В частности, с помощью этого троянца можно осуществить искусственное увеличение рейтинга определенных приложений, либо незаконно «накрутить» счетчик установок программ, расположенных на сайтах партнеров. На иллюстрации ниже продемонстрирована информация о некоторых модифицированных приложениях, которые содержат Android.DownLoader.17.origin.

Вредоносные программы Android.Infostealer.4.origin, Android.Infostealer.5.origin и Android.Infostealer.6.origin, обнаруженные в апреле, принадлежат к семейству троянцев-шпионов, которые предназначены для сбора различной конфиденциальной информации, такой как IMEI мобильного устройства, номер телефона, список установленных приложений и т. п. и отправки этих сведений на принадлежащий злоумышленникам сервер.

В прошедшем месяце киберпреступники не обошли стороной и другие восточноазиатские страны, а именно Южную Корею и Японию. В конце апреля вирусные базы Dr.Web пополнились записью для вредоносной программы Android.SmsSpy.27.origin, представляющей собой троянца-шпиона. Данный троянец распространялся под видом локализованных японской и корейской версий темы оформления телефонов Vertu и предназначался для кражи входящих СМС-сообщений, содержимое которых пересылалось вредоносной программой на удаленный сервер злоумышленников.

Вредоносные файлы, обнаруженные в почтовом трафике в апреле

 01.04.2013 00:00 — 30.04.2013 23:00
1 Trojan.PWS.Panda.3734 1.30%
2 Trojan.Inject2.23 1.11%
3 JS.Redirector.155 0.95%
4 Trojan.Necurs.97 0.88%
5 Trojan.Packed.196 0.77%
6 Win32.HLLM.MyDoom.54464 0.72%
7 Trojan.PWS.Stealer.2877 0.65%
8 Win32.HLLM.MyDoom.33808 0.51%
9 Trojan.Packed 0.51%
10 SCRIPT.Virus 0.39%
11 Trojan.Oficla.zip 0.37%
12 BackDoor.Comet.152 0.37%
13 Trojan.PWS.Stealer.2830 0.37%
14 Trojan.PWS.Panda.547 0.35%
15 Win32.HLLM.Beagle 0.32%
16 Trojan.PWS.Panda.2401 0.30%
17 Trojan.MulDrop2.64582 0.26%
18 Trojan.PWS.Stealer.1932 0.25%
19 Trojan.PWS.Panda.655 0.25%
20 Trojan.Siggen5.13188 0.21%

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей

 01.04.2013 00:00 — 30.04.2013 23:00
1 SCRIPT.Virus 0.68%
2 Adware.Downware.915 0.65%
3 Tool.Unwanted.JS.SMSFraud.26 0.55%
4 Adware.Downware.179 0.47%
5 Adware.InstallCore.99 0.39%
6 JS.Redirector.189 0.38%
7 JS.IFrame.387 0.37%
8 Trojan.Packed.24079 0.36%
9 Adware.InstallCore.101 0.36%
10 Trojan.Redirect.140 0.34%
11 Adware.Webalta.11 0.34%
12 Tool.Unwanted.JS.SMSFraud.10 0.33%
13 JS.Redirector.188 0.33%
14 JS.Redirector.175 0.31%
15 Trojan.Fraudster.394 0.31%
16 Win32.HLLW.Shadow 0.30%
17 Win32.HLLW.Autoruner.59834 0.29%
18 Tool.Skymonk.11 0.29%
19 Adware.Downware.1109 0.28%
20 Trojan.Fraudster.407 0.27%

Даже осторожные люди могут расслабиться и стать жертвой преступников, когда вредоносная ссылка приходит от друзей через Skype. Именно этим пользуется новый троянец, обнаруженный специалистами «Лаборатории Касперского».

Вирус распространяется через Skype

Заражение начинается с сообщения от одного из друзей. В нем может быть написано что-то вроде «Смотри, какие твои фото выложены в интернете» или «После просмотра этих фотографий я вряд ли засну» — вирус варьирует тексты. Провокационный текст сопровождается ссылкой вида http://goo.gl/XXX?image=imgXXX.jpg или обычной ссылкой http://bit.ly/XXXX.

Пример вредоносного сообщения в Skype

После перехода по ней вместо демонстрации изображений начинается загрузка на компьютер многочисленных вредоносных дополнений, которые выполняют традиционную троянскую работу наподобие кражи паролей. Более интересное действие зловреда – это попытка воспользоваться установленным Skype для дальнейшей рассылки опасных ссылок. Социальная инженерия работает для этой угрозы очень эффективно, и по данным goo.gl и bit.ly на опасную ссылку кликает в среднем 12000 человек в час! Большинство жертв живут в России, Италии, на Украине, а также в Польше, Коста-Рике, Китае, Болгарии. Чтобы не оказаться в их числе, избегайте нажатий на  подозрительные ссылки. Если ссылка прислана другом – свяжитесь с ним и уточните, действительно ли он присылал что-то.

Если подозрительная ссылка прислана другом – свяжитесь с ним и уточните, действительно ли он присылал что-то!

Одна из разновидностей троянца также запускает на компьютере жертвы генератор Bitcoin.  Bitcoin – это криптографические цифровые деньги, которые можно создать самостоятельно, используя значительные мощности компьютера. Если компьютер внезапно замедлился,

и в диспетчере задач вы видите процесс, занимающий почти все процессорное время, настало время проверять свой компьютер надежным антивирусом.

Пользователи Kaspersky Internet Security защищены от угрозы, благодаря технологии KSN. Больше подробностей о троянце можно узнать из поста нашего эксперта Дмитрия Бестужева.

ИСТОЧНИК

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

  • Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
  • Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

К наиболее примечательным характеристикам модулей можно отнести:

  • Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
  • Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
  • Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

    «Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

    Более подробная информация доступна на сайте www.securelist.com/ru/analysis.

ИСТОЧНИК

 

Скачать в pdf

Дата составления
4.10.12
Текущий уровень опасности
Высокий
Наиболее актуальные угрозы безопасности компаний* Типы угроз
Вредоносные программы, способные организовывать бот-сети — распределенные системы, состоящие из инфицированных компьютеров и управляемые одним или несколькими командными серверами.

* Актуальность угроз определяется не только количеством и разнообразием вредоносных программ, но и уровнем защиты от них в компаниях и организациях различного типа.

Тема выпуска: Ботнеты

Ботнет — это сеть компьютеров, зараженных вредоносной программой, которая позволяет преступным группировкам удаленно управлять зараженными машинами без ведома пользователя. Как правило, большинство современных ботов являются многофункциональными вредоносными приложениями, позволяющими злоумышленникам реализовывать широкий ассортимент различных угроз.

Типичные представители

  • Win32.Rmnet.12 — файловый вирус, в сети насчитывается более 4 миллионов инфицированных узлов, работающих под управлением Microsoft Windows;
  • Win32.Rmnet.16 файловый вирус, в сети насчитывается более 400 000 инфицированных узлов, работающих под управлением Microsoft Windows;
  • Backdoor.Flashback.39 троянская программа для Mac OS X; в пиковый период более были заражены более 800 000 машин;
  • Backdoor.Andromeda.22 — чрезвычайно распространенный троянец-бот, обладающий широким вредоносным функционалом, однако используемый в основном для загрузки на инфицированный компьютер других троянских программ;
  • Trojan.WinSpy обширное семейство вредоносных программ, некоторые версии используют руткит-технологии. Часто используется для загрузки на инфицированный компьютер других вредоносных приложений.

Цели организации ботнетов

Преступные группировки организуют и используют ботнеты в следующих целях:

  • Загрузка и установка на инфицированный компьютер по команде с удаленного сервера других вредоносных программ (так называемые троянцы-загрузчики, или даунлоадеры). Ярким представителем данного семейства является Backdoor.Andromeda.22. Услуга по загрузке на компьютеры пользователей вредоносных программ пользуется высоким спросом среди вирусописателей и успешно монетизируется злоумышленниками.
  • Проведение DDoS-атак (Distributed Denial-of-Service) на отдельные сайты и веб-сервисы. Данная услуга также широко востребована среди злоумышленников, промышляющих киберпреступлениями. Сетевые атаки могут использоваться в целях вымогательства, давления на конкурентов, дискредитации перед потенциальными клиентами.
  • Распространение спама с использованием инфицированных рабочих станций. При этом спам рассылается не только в виде электронной почты, но и в социальных сетях, форумах, блогах.
  • Удаленное управление инфицированными компьютерами, возможность хищения хранящихся на локальных дисках файлов.
  • Прямое вымогательство финансовых средств у пользователя инфицированного компьютера (Trojan.Mayachok.1).
  • Хищение конфиденциальной информации (в том числе логинов и паролей) методом анализа трафика, осуществления веб-инжектов, похищения файлов cookies, кейлоггинга (перехвата нажатий клавиш), пересылки злоумышленникам снимков экрана, иных методов (Win32.Rmnet.12, Win32. Rmnet.16) .
  • Хищение информации для доступа к системам дистанционного банковского обслуживания (ДБО), что позволяет злоумышленникам получить доступ к банковским счетам предприятия (Trojan.PWS.Panda, Trojan.Carberp).
  • Перенаправление браузера пользователя на принадлежащие злоумышленникам веб-страницы. При этом могут преследоваться различные цели: фишинг, загрузка на компьютер пользователя вредоносного ПО с использованием уязвимостей, «накрутка» посещаемости некоторых интернет-ресурсов.
  • Использование инфицированных компьютеров в качестве прокси-серверов для анонимизации доступа злоумышленников в Интернет.

Получив несанкционированный доступ к инфицированному компьютеру, злоумышленники могут:

  • установить на инфицированную рабочую станцию любую другую (в том числе вредоносную) программу;
  • просматривать любые хранящиеся на компьютере файлы, копировать и передавать их на собственный управляющий сервер;
  • работать в Интернете, используя инфицированный компьютер в качестве промежуточного узла, в том числе совершая различные противоправные действия, например сетевые атаки. В файлах журналов атакованных узлов при этом останется IP-адрес инфицированного компьютера;
  • перехватывать пароли от различных приложений, FTP-клиентов, интернет-сервисов, служб электронной почты;
  • получать снимки экрана и перехватывать изображение с подключенной к компьютеру веб-камеры;
  • анализировать и перенаправлять сетевой трафик, в том числе с целью извлечения паролей. Перенаправление может происходить в зависимости от заданных условий — в том числе в зависимости от введенных пользователем поисковых запросов;
  • подменять открываемые в браузере веб-страницы, в том числе для получения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
  • отдавать установленной на инфицированном ПК вредоносной программе различные команды;
  • полностью уничтожить операционную систему на зараженном компьютере.

Хищение персональных данных может вызвать такие последствия для жертвы, как:

  • Рассылка от имени жертвы спам-сообщений по электронной почте и в социальных сетях.
  • В случае дискредитации паролей к FTP-клиентам и панелям управления веб-сайтами (CMS) — установка злоумышленниками на принадлежащие жертве веб-сайты скриптов, осуществляющих перенаправление посетителей на принадлежащие злоумышленникам веб-страницы или загрузку на их компьютеры вредоносного ПО.
  • Получение злоумышленниками несанкционированного доступа к системам «Банк-Клиент» и другим системам ДБО.
  • Получение злоумышленниками несанкционированного доступа к счетам пользователя в электронных платежных системах (WebMoney, «Яндекс. Деньги» и т. д.).

Кроме вышеописанного, попадание в ботнет может привести к:

  • отключению провайдером доступа в Интернет при выявлении фактов распространения из инфицированной сети вредоносного ПО, спама или массового DDoS-трафика;
  • значительному снижению быстродействия инфицированных рабочих станций и локальной сети;
  • отказу ОС на отдельных инфицированных компьютерах.

Типичные пути заражения

Как правило, заражение происходит:

  • Путем саморепликации вредоносной программы: самостоятельного (без участия пользователя) копирования вредоносной программы на сменные носители и общедоступные ресурсы локальной сети с заражением исполняемых файлов, динамических библиотек и других типов файловых объектов. Подобным образом распространяются файловые вирусы, такие как Win32.Rmnet.16 или Win32.Rmnet.12, заразивший более 4 млн компьютеров по всему миру.
  • Путем загрузки на инфицированный компьютер другими вредоносными программами (Backdoor.Andromeda.22) .
  • При посещении инфицированных веб-сайтов и в момент просмотра веб-страниц, содержащих известные уязвимости браузеров или ОС. При этом жертва может даже не заметить самого момента заражения (Backdoor.Flashback.39) .
  • При открытии вложений в сообщения электронной почты, полученные в спам-рассылке.
  • С использованием методов социальной инженерии. Например, для просмотра размещенного на сайте видеоролика пользователю предлагается загрузить кодек или обновление, под видом которого распространяется вредоносная программа.
  • С применением специально «забытых» и заранее инфицированных флешек либо других носителей информации.

Методы противодействия обнаружению

Некоторые вредоносные программы могут использовать следующие методы противодействия их обнаружению:

  • Антиотладка. Вредоносная программа пытается определить, не запущена ли она в виртуальной машине, не загружен ли на инфицируемом компьютере отладчик или антивирусная программа (например, методом перечисления запущенных процессов).
  • Использование руткит-технологий. В частности, с применением специальных драйверов файловой системы вредоносная программа может скрыть присутствие своих компонентов на диске зараженного компьютера.
  • Заражение главной загрузочной записи (MBR), хранение компонентов за пределами таблиц разделов. Некоторые вредоносные программы могут инфицировать главную загрузочную запись (MBR) и сохранять свои компоненты в свободной области дискового пространства. Получив управление в процессе загрузки ОС, троянец считывает хранящиеся за пределами файловых таблиц модули непосредственно в оперативную память инфицированного компьютера.
  • Исполнение в контексте других запущенных процессов. Некоторые вредоносные программы имеют возможность встраиваться в запущенные процессы (в том числе в процессы операционной системы) и работать «внутри» данных процессов.
  • Обфускация и криптование. Нередко злоумышленники шифруют тело вредоносной программы с использованием различных программных упаковщиков с целью сбития сигнатурного детекта антивирусной программой. Иногда насчитывается до нескольких сотен зашифрованных различными упаковщиками модификаций одной и той же вредоносной программы.
  • Организация шифрованного виртуального диска (BackDoor.Tdss).
  • Блокировка и обход файерволов (в том числе Windows Firewall), что обеспечивает беспрепятственное получение управляющих сообщений. В том числе использование протокола SOCKS для получения доступа к сервисам.
  • Постоянное изменение реальных адресов управляющего сервера, а также генерация доменных имен по псевдослучайному принципу, благодаря чему все боты одновременно формируют один и тот же перечень имен — и обращаются к ним.

Методы перехвата информации

  • Перехват нажатий клавиш, а также получение скриншотов в реальном времени — для перехвата ввода с виртуальной клавиатуры (Trojan.PWS.Panda).
  • Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL (Trojan. PWS.Panda).
  • Анализ трафика и перехват интересующих данных (Trojan. PWS.Panda).
  • Получение любых импортируемых сертификатов, а также использованных при удачной авторизации логинов/паролей. В том числе к приложениям, использующим протоколы POP3 и FTP вне зависимости от порта (Trojan. PWS.Panda) .
  • Перехват HTTP/HTTPS запросов (Trojan. PWS.Panda).
  • Анализ и подмена страниц, используемых для ввода банковской информации. Кража TAN-кода (кода активации для проведения платежной операции) (Trojan. PWS.Panda).
  • Анализ передаваемых (POST) на определенные адреса данных (Trojan. PWS.Panda).
  • Получение данных из буфера обмена (Trojan. PWS.Panda) .
  • Поиск интересующих файлов и данных с дальнейшим их удалением или закачкой на удаленный сервер (Trojan. PWS.Panda).
  • Анализ файлов cookie (данных, связанных с определенным веб-сервером и хранимых на компьютере) и данных сохраненных форм (Trojan. PWS.Panda) .
  • Веб-инжекты — встраивание в веб-страницы постороннего кода.
  • Сбор и отправка на удаленный сервер информации о программно-аппаратной конфигурации ПК.

Обязательные средства защиты

Средство защиты Необходимость применения
Постоянная антивирусная защита Позволяет гарантированно обнаруживать вредоносные файлы известных типов, а также вредоносные файлы, неизвестные антивирусу, но действующие в соответствии с известными антивирусному ядру алгоритмами действия.
Антивирусный сканер Периодическая глубокая проверка дает возможность обнаружения угроз, отсутствовавших в вирусных базах на момент проникновения.
Система ограничения доступа Позволяет ограничить количество посещаемых интернет-ресурсов до необходимого минимума, что минимизирует риск заражения с сайтов, заведомо содержащих вредоносные объекты.
Система ограничения использования внешних устройств Позволяет исключить риск заражения с внешних устройств, в том числе флеш-накопителей.
Формирование списка разрешенных приложений Позволяет уменьшить риск запуска неизвестных приложений без их предварительной проверки на безопасность.
Система проверки интернет-трафика Позволяет исключить использование уязвимостей клиентского ПО за счет проверки трафика до его поступления в приложения.
Система поверки интернет-ссылок Позволяет исключить возможность перехода на зараженные и мошеннические ресурсы.
Корпоративный брандмауэр Позволяет минимизировать риск организации сетевой атаки на ресурсы компании.
Персональный брандмауэр Исключение возможности атаки через открытые порты.
Система установки обновлений безопасности Позволяет минимизировать возможность проникновения через известные уязвимости.

* Перечисленные меры защиты должны быть реализованы для всех компьютеров организации, в том числе не имеющих разрешения на выход в Интернет.

Кроме установки и настройки программных средств защиты, рекомендуется:

  1. ограничить права пользователей и запретить для них вход в систему с правами администратора;
  2. использовать стойкие пароли.

Рекомендуемые средства защиты

Средство защиты Необходимость применения
Система защиты каналов передачи данных Обеспечивает безопасный доступ к внешним ресурсам компании, в том числе облачным.
Использование системы удаленного управления мобильным устройством в случае его утери или кражи Система Антивор позволяет исключить риск утечки конфиденциальной информации (включая пароли доступа к внутренним ресурсам) в случае кражи устройства.
Система сбора информации для служб технической поддержки
  • Позволяет исключить возможность отключения пользователями систем защиты.
  • Позволяет устанавливать единые для всей компании или групп пользователей правила информационной безопасности.
  • Позволяет в случае возникновения той или иной угрозы мгновенно менять настройки системы безопасности.
Корпоративная система защиты от атак Позволяет обеспечить бесперебойную работу ресурсов компании, а также доступ к внешним, в том числе облачным сервисам.
Система резервного копирования и архивирования Обеспечивает восстановление поврежденных ресурсов.*
Система защиты от спама Позволяет обеспечить защиту от проникновения вредоносных программ через спам-сообщения, а также защиту от фишинга.
Система выявления уязвимостей Периодическое применение системы позволяет находить и устранять возможные уязвимости защищаемой системы.
Система сбора и анализа статистики Дает возможность контролировать уровень защищенности компании в режиме реального времени, определять источники заражения.

* Восстанавливаемые ресурсы должны проверяться на наличие ранее неизвестных вредоносных программ.

Рекомендуется установить системы защиты — в первую очередь антивирусные — не только на компьютеры и серверы компании, но и на мобильные и домашние компьютеры ее сотрудников, а также их смартфоны.

Причина актуальности угроз

Вышеперечисленные угрозы имеют крайне высокий уровень опасности в связи с:

  • наличием прямого неконтролируемого доступа к ресурсам сети Интернет;
  • уверенностью большинства пользователей в том, что сам факт использования антивируса является гарантией непроникновения вредоносного кода.

Скомпрометированные средства защиты*

Средство защиты Методы обхода системы защиты
Использование антивируса в качестве единственного средства защиты от вирусов Некоторые современные вредоносные программы обладают эффективными средствами обхода антивирусной защиты. Использование методов криптования вредоносного ПО позволяет злоумышленникам оперативно создавать образцы уже известных угроз, сигнатуры которых добавляются в вирусные базы спустя некоторое время после появления троянца.
Парольная защита Использование методов социальной инженерии.
Ограничение прав пользователей и списка используемых приложений
  • Проникновение через уязвимости используемых целевой группой приложений, в том числе Adobe Reader, Adobe Flash, приложения для работы с финансовыми средствами.
  • Внедрение вредоносных программ во время работы под административным аккаунтом обслуживающего персонала.
Использование операционных систем, для которых имеется относительно небольшое количество вредоносных программ
  • Использование методов социальной инженерии.
  • Внедрение вредоносных программ через малоизвестные уязвимости.

Пример настройки средств защиты

Для периодической проверки системы можно, кроме сканера, входящего в состав используемого антивируса, использовать утилиту Dr.Web CureNet!.

Для получения Dr.Web CureNet! необходимо зарегистрировать серийный номер на данный продукт на странице products.drweb.com/register. Непосредственно дистрибутив формируется в момент регистрации — с последними вирусными базами. Если серийный номер Dr.Web CureNet! уже был зарегистрирован, то просто нужно зайти в «Личный кабинет» Dr.Web CureNet! и скачать актуальную версию диcтрибутива.

Все проверяемые компьютеры должны быть настроены на работу в той же сети, в которой находится компьютер, с которого будет осуществляться проверка.

После запуска и развертывания продукта:

  • Обновите вирусные базы
  • Укажите необходимые настройки
  • Создайте список станций сети, на которых будет проводиться антивирусная проверка
  • Запустите проверку

    ИСТОЧНИК

В первой половине октября 2012 года был замечен резкий всплеск активности троянцев-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троянец Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype.

Вирусная обстановка

Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы троянца BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троянец Trojan.Mayachok.17994, а вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз следует отметить многочисленные модификации троянцев семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 года), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201. Десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, показана в представленной ниже таблице.

Угроза %
Trojan.MayachokMEM.4 2,34
BackDoor.IRC.NgrBot.42 2,18
Exploit.CVE2012-1723.13 1,64
Trojan.Mayachok.17994 1,47
Trojan.Mayachok.1 1,29
Java.Downloader.697 1,18
Trojan.SMSSend.2363 0,96
Win32.HLLP.Neshta 0,93
Trojan.Mayachok.17986 0,82
Win32.Sector.22 0,71

Распределение обнаруженных в течение месяца угроз по классам показано на следующей диаграмме:

screen

Ботнеты

Специалисты компании «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, широко известный ботнет Backdoor.Flashback.39, который составляют инфицированные компьютеры под управлением операционной системы Mac OS X, в течение месяца сократился очень незначительно: по данным на 30 октября популяция этого троянца составляет 105730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109372. Прирост бот-сети Backdoor.Flashback.39 практически остановился, однако владельцы Apple-совместимых компьютеров, судя по всему, не торопятся проводить антивирусную проверку своих машин, чтобы окончательно избавиться от данного троянца.

Как и предполагалось ранее, в начале октября бот-сеть Win32.Rmnet.12 преодолела по числу зараженных ПК пятимиллионную отметку, а к концу месяца достигла пяти с половиной миллионов инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Динамика изменения численности этого ботнета показана на приведенном ниже графике:

screen

Как уже упоминалось ранее, файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета. При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).

Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться — динамику этого процесса можно проследить на представленной ниже диаграмме. Общая численность сети на 30 октября 2012 года составила 254838 инфицированных ПК, что на 16373 компьютера больше по сравнению с показателями на начало месяца.

screen

Вредоносный спам

В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.

screen

Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97. Мы подробно рассказывали о подобных вредоносных рассылках в одном из своих новостных материалов, но по-прежнему рекомендуем пользователям проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Наконец, в последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.

Угрозы для Android

С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Напомним, что эти троянцы представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для троянца Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троянец не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.

Угроза месяца: Trojan.GBPBoot.1

Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование Trojan.GBPBoot.1.

С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 можно назвать довольно примитивным: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа прежде всего тем, что имеет возможность серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи. Более подробно узнать о внутреннем устройстве троянца Trojan.GBPBoot.1 можно из опубликованного компанией «Доктор Веб» информационного материала.

Другие угрозы октября

В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. С подробной информацией об этой угрозе можно ознакомиться в соответствующей статье, опубликованной на сайте news.drweb.com.

Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения, подробно описанным в опубликованной на сайте Dr.Web обзорной статье.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2012 00:00 — 31.10.2012 23:00
1 Trojan.Necurs.97 1.40%
2 Trojan.Oficla.zip 1.20%
3 JS.Redirector.145 1.13%
4 Trojan.PWS.Stealer.946 0.84%
5 JS.Redirector.150 0.80%
6 Win32.HLLM.MyDoom.54464 0.58%
7 Exploit.CVE2010-3333.6 0.53%
8 BackDoor.Andromeda.22 0.53%
9 Trojan.PWS.Panda.786 0.47%
10 Trojan.DownLoader6.56603 0.47%
11 Win32.HLLM.MyDoom.33808 0.42%
12 Trojan.Siggen4.25819 0.42%
13 BackDoor.Kuluoz.3 0.38%
14 Trojan.Packed.18626 0.36%
15 Trojan.DownLoader7.6770 0.31%
16 Win32.HLLM.Beagle 0.31%
17 Win32.HLLM.Netsky.35328 0.29%
18 Trojan.PWS.UFR.2334 0.29%
19 Trojan.Winlock.6566 0.27%
20 SCRIPT.Virus 0.24%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2012 00:00 — 31.10.2012 23:00
1 Adware.Downware.533 0.82%
2 SCRIPT.Virus 0.51%
3 Tool.Unwanted.JS.SMSFraud.10 0.38%
4 Adware.Downware.179 0.34%
5 Tool.Skymonk.6 0.31%
6 Trojan.Fraudster.329 0.31%
7 Trojan.Fraudster.296 0.30%
8 Adware.Downware.426 0.29%
9 Win32.HLLW.Autoruner.59834 0.27%
10 Win32.HLLW.Shadow 0.27%
11 Tool.Unwanted.JS.SMSFraud.15 0.26%
12 Trojan.Fraudster.320 0.26%
13 Trojan.Fraudster.344 0.25%
14 Trojan.Fraudster.347 0.25%
15 Adware.InstallCore.53 0.25%
16 Trojan.Siggen4.23472 0.24%
17 JS.IFrame.317 0.23%
18 Exploit.CVE2012-1723.13 0.23%
19 Trojan.SMSSend.2363 0.23%
20 Adware.Downware.316 0.23%

Вирус Win32.HLLW.AntiDurov

Настоящая эпидемия разразилась в мае.

Инфицированные этой новой чумой машины начинают рассылать другим пользователям “Вконтакте” ссылку на безобидную с виду jpeg-картинку, лежащую на интернет-ресурсе злоумышленника (http://*.misecure.com/deti.jpg). На самом же деле сервер передает по этой ссылке исполняемый файл “deti.scr”, который, собственно, и является непосредственно сетевым вирусом.
После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, на которую повелся неосторожный юзер, и запускает штатное приложение, используемое в системе для просмотра файлов .jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, пришелец устанавливается в системе в качестве сервиса “Durov VKontakte Service” и бесцеремонно роется в ящиках в поисках пароля к доступу на сайт “Вконтакте“, а обнаружив, рассылает по всему списку контактов бедняги вышеупомянутую ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с “ВКонтакте.РУ” Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!
Если обратитесь в милицию, то сильно пожалеете об этом!


Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных — документы, фотографии, электронные письма и многое другое.

Что делать
Оригинальный рецепт расположен на самом сайте вконтакте http://vkontakte.ru/note10_7159709
Но скорее всего у вас нет туда доступа, поэтому приводим тут полностью.

Для удаления вируса Вы можете воспользоваться batch-файлом http://www.spbgu.ru/upload/kuzya/antivirus.bat

Сохраните его на диск и запустите.

Если Вы не уверены в результатах работы скрипта, воспользуйтесь следующей инструкцией:

1. Откройте консоль «Службы». Для этого следует пройти по следующему пути: «Пуск» > «Панель управления» > «Администрирование» > «Службы»

2. В открывшемся окне найдите службу «Durov Vkontakte Service», и откройте окно свойств, щёлкнув дважды по строке

3. Запомните имя службы (AntiDurov) и путь к исполняемому файлу (в данном примере — C:\\Documents and Settings\имя пользователя\Application Data\Vkontakte)

4. Откройте Диспетчер задач, нажав одновременно клавиши CTRL+SHIFT+ESC(DEL), и на вкладке «Процессы» найдите процессы с названием svc.exe

5. Завершите эти процессы, поочерёдно выделяя их и нажимая кнопку «Завершить процесс». Закройте Диспетчер задач.

6. Откройте командную строку: для этого в окне «Пуск» > «Выполнить…» наберите «cmd» и нажмите Enter:

7. В окне командной строки наберите «sc delete AntiDurov» (последнее слово должно совпадать с запомненным вами именем службы) и нажмите Enter

8. Перейдя в окно консоли «Службы», убедитесь, что служба «Durov Vkontakte Service» отсутствует (предварительно обновите содержимое окна, нажав F5)

9. Откройте «Мой компьютер» и в строке адреса впишите путь к исполняемому файлу из п.3. (без имени самого файла svc.exe!) Нажмите Enter.

10. В открывшемся окне выделите и удалите файл svc.exe, нажав SHIFT+DELЕTЕ:

P.S.: если подобной службы Вы не обнаружили, но Вам кажется, что вирус всё равно есть, попробуйте его найти через поиск:

Пуск > Поиск > «Что выхотите найти: файлы и папки», в поле «Часть имени файла…» введите»svc.exe», в «дополнительных параметрах» отметьте три первых пункта (всистемных папках, в скрытых папках, вложенные папки)
Если файла с таким названием не найдено (именно с таким названием, файлы вроде «cisvc», «svchost» не в счёт), то вируса, вероятнее всего, нет.
Если файл найден, убедитесь, что им не запущены процессы (см. пункты 4 и 5), после чего удалите файл, выделив его в окне результатов поиска и нажав SHIFT+DELЕTЕ.

ИСТОЧНИК

«Лаборатория Касперского» сообщает об обнаружении сложной
вредоносной программы, которая в настоящий момент активно используется в
ряде стран в качестве кибероружия. По сложности и функционалу
вредоносная программа превосходит все ранее известные виды угроз.

Вредоносная программа была обнаружена «Лабораторией
Касперского» во время исследования, инициированного Международным
союзом электросвязи (МСЭ; International Telecommunications Union).
Программа, детектируемая защитными продуктами «Лаборатории
Касперского» как Worm.Win32.Flame, разработана для ведения
кибершпионажа. Она позволяет похищать важные данные, в том числе
информацию, выводимую на монитор, информацию о системах — объектах
атак, файлы, хранящиеся на компьютере, контактные данные пользователей и
даже аудиозаписи разговоров.

Независимое исследование было начато по инициативе МСЭ и
«Лаборатории Касперского» после серии инцидентов с другой,
пока еще неизвестной вредоносной программой под кодовым именем Wiper,
которая уничтожала данные на компьютерах в странах Западной Азии. Эту
вредоносную программу еще только предстоит обнаружить; однако во время
анализа инцидентов специалисты «Лаборатории Касперского» в
сотрудничестве с Международным союзом электросвязи выявили новый вид
вредоносной программы, сейчас известной как Flame. По предварительным
результатам этот зловред активно используется уже более двух лет, с
марта 2010 года. Из-за своей исключительной сложности и направленности
на конкретные цели до настоящего момента он не мог быть обнаружен ни
одним защитным продуктом.

Хотя Flame отличается по своим характеристикам от зловредов Duqu и
Stuxnet, ранее использовавшихся в качестве кибероружия, такие факты как
география атак, использование специфичных уязвимостей в ПО, а также то,
что целью атак становятся только определенные компьютеры, указывают на
то, что Flame относится к той же категории сложного кибероружия.

«Уже на протяжении нескольких лет опасность военных операций в
киберпространстве является одной из самых серьёзных тем информационной
безопасности. Stuxnet и Duqu были звеньям одной цепи кибератак; их
применение вызвало озабоченность в связи возможной перспективой
развязывания кибервойн во всем мире. Зловред Flame, по всей вероятности,
является еще одним этапом такой войны. Важно понимать, что подобное
кибероружие легко может быть обращено против любого государства. Кроме
того, в кибервойнах, в отличие от традиционных, развитые страны
оказываются наиболее уязвимыми», — прокомментировал
обнаружение Flame генеральный директор «Лаборатории
Касперского» Евгений Касперский.

Согласно имеющимся данным, основная задача Flame — кибершпионаж с
использованием информации, украденной с зараженных машин. Похищенные
данные передаются в сеть командных серверов, размещенных в разных частях
света. Вредоносная программа рассчитана на кражу широкого спектра
данных: документов, снимков экрана, аудиозаписей, а также на перехват
сетевого трафика. Это делает ее одним из наиболее сложных и
полнофункциональных средств проведения кибератак из обнаруженных на
сегодняшний день. Вопрос об использованном вредоносной программой
векторе заражения пока остается без ответа. Однако уже сейчас ясно, что
Flame может распространяться по сети несколькими способами, в том числе
путем эксплуатации той же уязвимости в службе диспетчера печати и того
же метода заражения через USB-устройства, который использует червь
Stuxnet.

«Предварительные выводы исследования, проведенного по срочному
запросу МСЭ, подтверждают целевой характер этой вредоносной программы.
Один из наиболее тревожных фактов относительно кибератаки, проводимой с
помощью Flame, состоит в том, что она в данный момент находится в
активной стадии, и те, кто ее проводят, постоянно ведут наблюдение за
зараженными системами, собирают информацию и выбирают новые объекты для
достижения своих, неизвестных нам целей», — комментирует
главный антивирусный эксперт «Лаборатории Касперского»
Александр Гостев.

Эксперты «Лаборатории Касперского» в настоящее время
проводят углубленный анализ Flame. В ближайшие дни планируется
публикация серии материалов, раскрывающих подробности о новой угрозе по
мере их выяснения. На данный момент известно, что вредоносная программа
содержит несколько модулей, насчитывающих в общей сложности несколько
мегабайт исполняемого кода, что почти в 20 раз больше, чем размер червя
Stuxnet. Это означает, что для анализа данного кибероружия потребуется
большая команда высокопрофессиональных экспертов по безопасности со
значительным опытом в области киберзащиты.

МСЭ будет использовать возможности сети IMPACT, состоящей из 142 стран и
нескольких крупных игроков отрасли, включая «Лабораторию
Касперского», для информирования государственных органов и
технического сообщества о данной киберугрозе и обеспечения скорейшего
завершения технического анализа угрозы.

За развитием событий следите в блогпостах антивирусных экспертов
«Лаборатории Касперского» на сайте www.securelist.com/ru .

Doctor Web Logo

Компания «Доктор Веб» информирует о распространении вредоносной программы-червя Win32.HLLW.Autoruner.64548, способной заражать RAR-архивы. Червь «умеет» загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносную функциональность.

Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.

Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, который Win32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.