Навигация: Главная Вести с полей Новости партнеров Обзор вирусной активности в феврале 2012 года: эксплойты для Mac OS Х и троянец, следящий за пользователем через веб-камеру

Обзор вирусной активности в феврале 2012 года: эксплойты для Mac OS Х и троянец, следящий за пользователем через веб-камеру

1 марта 2012 года

Февраль — самый короткий месяц в году, однако его нельзя назвать самым безопасным. Истекшие четыре недели были отмечены снижением темпов распространения программ-блокировщиков, появлением на свет очередного троянца, представляющего угрозу для пользователей Facebook, а также ряда других вредоносных приложений. Одно из них, в частности, может следить за пользователем при помощи подключенной к компьютеру веб-камеры. Кроме того, злоумышленники научились использовать уязвимости Java для распространения вредоносных программ, ориентированных на платформу Mac OS Х. В списках угроз, выявленных на компьютерах пользователей при помощи утилиты Dr.Web CureIt! в феврале, уверенно лидирует файловый инфектор Win32.Expiro.23. Проникая на инфицированный компьютер, эта вредоносная программа повышает свои привилегии в системе и заражает исполняемые файлы.

Удивительно, но факт: несмотря на приближающиеся выборы Президента Российской Федерации, которые должны состояться 4 марта 2012 года, политическая тематика практически не представлена в спам-рассылках. Напомним, что схожая ситуация складывалась и во время выборов в Государственную Думу РФ. По всей видимости, политтехнологи окончательно разочаровались в спаме как средстве информационного воздействия на потенциальных избирателей, переключившись на социальные сети. Сегодня посредством массовых рассылок рекламируются в основном всевозможные тематические семинары, программы семейного отдыха на весенних каникулах, пиратские коллекции фильмов и музыки — все что угодно, кроме политических мероприятий и связанных с предстоящими выборами событий.

С точки зрения вирусной активности, февраль не принес каких-либо сюрпризов и неожиданностей. В списках угроз, выявленных на компьютерах пользователей при помощи утилиты Dr.Web CureIt! во втором месяце этого года, уверенно лидирует по количеству обнаружений файловый инфектор Win32.Expiro.23. Проникая на инфицированный компьютер, эта вредоносная программа повышает свои привилегии в системе и заражает исполняемые файлы. Ее основное предназначение заключается в хищении паролей от программ INETCOMM Server, Microsoft Outlook, Internet Explorer, Mozilla Firefox, FileZilla. Помимо Win32.Expiro.23, на зараженных машинах достаточно часто обнаруживается Trojan.Mayachok.1 — вредоносная программа, блокирующая пользователю доступ в Интернет или к наиболее популярным сайтам и требующая для разблокировки ввести в соответствующую форму свой номер мобильного телефона, а затем ответить на входящее СМС-сообщение. После этого жертва оказывается подписанной на различные платные услуги, за которые с ее счета будет регулярно списываться определенная денежная сумма.

alt

Кроме того, в десятку наиболее часто встречающихся на ПК пользователей вредоносных программ по-прежнему входят троянцы семейства Trojan.Hosts, подменяющие в операционной системе файл \drivers\etc\hosts, вследствие чего при обращении к нужному интернет-ресурсу жертва попадает на специально созданный злоумышленниками фишинговый сайт. И, конечно же, нередко на инфицированных машинах встречаются банковские троянцы семейства Trojan.Carberp — за месяц было зафиксировано более 30 000 случаев обнаружения этой вредоносной программы в различных модификациях.

Очередная угроза для пользователей Facebook

Пользователи уже давно привыкли к троянцам, ориентированным на завсегдатаев отечественных социальных сетей, и вот в поле зрения специалистов по информационной безопасности попала вредоносная программа Trojan.OneX, предназначенная для рассылки спама в крупнейшей в мире социальной сети Facebook, а также через программы-месседжеры.

Trojan.OneXработает только в 32-разрядной версии ОС Windows. После запуска на инфицированной машине Trojan.OneX.1проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида «hahaha! http://goo.gl[…].jpeg», на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook.

Вскоре после появления первой модификации троянца в распоряжении вирусных аналитиков компании «Доктор Веб» появился образец вредоносной программы, получившей название Trojan.OneX.2. В отличие от первой версии троянца, вторая модификация Trojan.OneXиспользует для отправки сообщений популярные программы-месседжеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируются мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 умеет работать с конфигурационными файлами в кодировке Unicode.

screen

Среди рассылаемых троянцами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты: один из них, в частности, имитирует оформление службы RapidShare. Эта троянская программа не только открывает злоумышленникам доступ к инфицированному компьютеру и способна похищать конфиденциальные данные, но и позволяет выполнять на зараженной машине различные команды, в частности, команду загрузки и установки других приложений. Примечательно: специалистами компании «Доктор Веб» были зафиксированы случаи распространения с помощью троянцев BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая, в свою очередь, способствует дальнейшему распространению BackDoor.IRC.Bot.

И вновь винлоки

В феврале получила естественное продолжение январская тенденция снижения числа обращений пользователей, пострадавших от программ-блокировщиков: их количество сократилось еще на 28 процентов. По всей видимости, все меньше жертв подчиняется требованиям вирусописателей, предпочитая использовать иные пути разблокировки операционной системы, а злоумышленники ищут другие способы заработка и новые рынки для распространения программ-вымогателей. Так, в феврале специалистами «Доктор Веб» был обнаружен винлок, ориентированный на носителей арабского языка.

screen

Trojan.Winlock.5416 — более чем примитивная программа-вымогатель: она не располагает ни кодом разблокировки, ни механизмом проверки локали операционной системы, а потому запускается в ОС Windows с любой языковой версией интерфейса. В демонстрируемом на экране сообщении говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить 300 долларов путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троянец не выполняет. Следует отметить, что это — первый образец троянца-блокировщика на арабском языке, известный на сегодняшний день специалистам компании «Доктор Веб».

Троянец-спамер и семейство Volk

Trojan.Spamer.46 распространяется через торренты вместе с архиватором WinRAR. Обосновавшись в операционной системе, троянец начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, добавляя в отсылаемые пользователем сообщения текст «Кстати, глянь: [ссылка]». Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное СМС-сообщение.

screen

Кроме того, в феврале было выявлено целое семейство вредоносных программ, добавленных в вирусные базы под общим именем BackDoor.Volk. Один из них, BackDoor.Volk.1, был написан на языке PHP, применяющемся в основном для создания скриптов и приложений, работающих на стороне сервера, и конвертирован в исполняемый код при помощи утилиты php2exe. Троянец модифицирует на зараженной машине файл hosts, отвечающий за сопоставление DNS-имен IP-адресам, а также способен загружать с удаленного узла и запускать на инфицированном ПК различные приложения.

BackDoor.Volk.2, в отличие от своего предшественника, написан на Visual Basic и при обращении к удаленным узлам для передачи запросов использует метод POST, а не GET. Помимо загрузки и запуска приложений, а также подмены файла hosts, эта вредоносная программа обладает функционалом для проведения DDoS-атак и способна красть пароли от FTP-клиентов, установленных на инфицированном компьютере. Следует отметить, что модуль обмена данными с командным сервером в троянце BackDoor.Volk.2 явно позаимствован у другой вредоносной программы — BackDoor.Herpes, исходные коды которой появились в свободном доступе некоторое время назад.

BackDoor.Volk.3 и BackDoor.Volk.4 также написаны на Visual Basic и являются модификациями BackDoor.Volk.2: основные изменения касаются методов обмена информацией с управляющим сервером. Функционал этих троянцев в целом схож. Троянцы BackDoor.Volk способны объединяться в ботнеты, управляемые посредством специальной административной панели.

alt

Главная опасность для пользователя заключается в том, что благодаря возможной подмене файла hosts потенциальная жертва может быть обманом завлечена на созданные злоумышленниками фишинговые сайты, при этом способность троянца красть пароли от FTP-клиентов открывает перед вирусописателями возможность получения несанкционированного доступа к различным веб-сайтам.

Злоумышленники следят за пользователями через веб-камеру

Как гласит народная мудрость, если у вас нет паранойи, это еще не значит, что за вами не следят. Троянец BackDoor.Webcam.9 позволяет выполнять на инфицированной машине различные команды, поступающие от удаленного сервера злоумышленников, а также перехватывает изображение с подключенной к компьютеру веб-камеры, делая личную жизнь владельца инфицированного ПК достоянием вирусописателей.

Запустившись на исполнение, бэкдор копирует себя в системную папку для хранения временных файлов и прописывается в одну из ветвей системного реестра, отвечающую за автоматический запуск приложений. Затем троянец проверяет наличие копии самого себя на зараженной машине. После этого вредоносная программа отправляет на удаленный командный сервер серию запросов, передавая злоумышленникам ряд сведений об инфицированном компьютере, включая его IP-адрес, тип учетной записи пользователя, количество подключенных к системе веб-камер, имя компьютера и версию ОС, а затем ожидает поступления новых команд.

screen

Троянец способен выполнять поступающие от удаленного сервера команды, в частности, команду перезапуска самого себя, смены управляющего сервера, создания снимка экрана. Кроме того, BackDoor.Webcam.9 способен перехватывать и передавать злоумышленникам изображение, полученное с подключенной к инфицированному компьютеру веб-камеры, вследствие чего личная жизнь пользователя может быть скомпрометирована.

Эксплойты для Mac OS X

Уязвимости Java уже неоднократно использовались злоумышленниками в целях распространения вредоносного ПО для различных системных платформ, в том числе Windows. В феврале вирусописатели впервые начали эксплуатировать несколько известных ранее кросс-платформенных уязвимостей Java для заражения Apple-совместимых компьютеров.

Работает этот механизм следующим образом. При открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, если запрос сделан из-под Mac OS X с определенной версией браузера, пользователю отдается веб-страница, загружающая несколько java-апплетов.

screen

Модуль с именем rhlib.jar использует уязвимость CVE-2011-3544. Он помещает в папку /tmp/ исполняемый файл .sysenterxx, выставляет ему необходимые атрибуты и запускает на выполнение.

screen

Запущенное приложение проверяет, присутствуют ли в операционной системе файлы

/Library/LittleSnitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
и, если их обнаружить не удалось, пытается загрузить основной модуль троянской программы BackDoor.Flashback.26. В противном случае загрузчик просто удаляет себя. Модуль clclib.jar использует уязвимость CVE-2008-5353, а ssign.jar представляет собой дроппер Java.Dropper.8, подписанный недействительной подписью: злоумышленники рассчитывают на то, что пользователь добавит эту подпись в список доверенных и тем самым разрешит выполнение кода. На сегодняшний день данные уязвимости используются в основном для распространения уже известного среди пользователей Mac OS X бэкдора BackDoor.Flashback.

Новый DDoS-бот

В феврале специалистами «Доктор Веб» была обнаружена вредоносная программа, представляющая собой довольно «продвинутый» инструмент для осуществления DDoS-атак на различные интернет-ресурсы. Trojan.Tenagour.9 состоит из двух компонентов: инжектора и динамической библиотеки, в которой хранится полезная нагрузка. После запуска в операционной системе троянец проверяет наличие своей установленной копии и, если таковая отсутствует, сохраняется в папку %APPDATA% под именем smss.exe, после чего прописывает себя в ветви системного реестра, отвечающей за автоматический запуск приложений.

Затем Trojan.Tenagour.9 отправляет на удаленный командный сервер запрос, содержащий данные о версии и разрядности операционной системы, MD5-хеш имени инфицированного компьютера и серийный номер первого раздела жесткого диска. В ответ Trojan.Tenagour.9 получает зашифрованную строку, содержащую URL сайта, на который будет осуществлена атака, и несколько вспомогательных параметров. Кроме того, от удаленного командного центра может быть получена директива на обновление троянца.

Trojan.Tenagour.9 позволяет осуществлять 8 типов DDoS-атак на различные интернет-ресурсы с использованием протоколов TCP/IP и UDP, методов GET и POST. Предусмотрен функционал автоматического добавления в список атакуемых ресурсов всех ссылок, обнаруженных на указанном злоумышленниками сайте.

Вредоносные файлы, обнаруженные в почтовом трафике в феврале

01.02.2012 00:00 - 29.02.2012 16:00
1Trojan.DownLoad2.247581260889 (23.57%)
2Trojan.Oficla.zip942938 (17.63%)
3Trojan.Tenagour.9608458 (11.37%)
4JS.Nimda469381 (8.77%)
5Trojan.Inject.57506316116 (5.91%)
6EICAR Test File (NOT a Virus!)240989 (4.50%)
7Win32.Rmnet.12201603 (3.77%)
8Trojan.DownLoad2.32643144994 (2.71%)
9Trojan.Tenagour.3124987 (2.34%)
10Trojan.PWS.Ibank.456103213 (1.93%)
11Trojan.Siggen2.5868691438 (1.71%)
12Trojan.Siggen2.6202686986 (1.63%)
13Trojan.Packed.1969659825 (1.12%)
14Trojan.DownLoad2.3460458289 (1.09%)
15Win32.HLLM.Netsky.1851641365 (0.77%)
16Trojan.DownLoader.4235040454 (0.76%)
17Program.RemoteAdmin.41838053 (0.71%)
18Program.RemoteAdmin36979 (0.69%)
19Trojan.Siggen.6507032930 (0.62%)
20Program.RemoteAdmin.45132100 (0.60%)
Всего проверено:12,997,175,680
Инфицировано:5,349,414 (0.04%)

Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

01.02.2012 00:00 - 29.02.2012 16:00
1Win32.Rmnet.1245439835 (54.15%)
2Win32.HLLP.Neshta17871611 (21.30%)
3JS.IFrame.1128509024 (10.14%)
4Trojan.Hosts.50062171701 (2.59%)
5Trojan.DownLoader.423502167227 (2.58%)
6JS.IFrame.167584615 (0.70%)
7Trojan.PWS.Ibank.456578969 (0.69%)
8Trojan.IFrameClick.3396594 (0.47%)
9Trojan.MulDrop1.48542322626 (0.38%)
10Trojan.Tenagour.3283463 (0.34%)
11Trojan.Fraudster.261241669 (0.29%)
12Trojan.DownLoader5.18057232619 (0.28%)
13JS.IFrame.132222200 (0.26%)
14Win32.Virut174800 (0.21%)
15Trojan.Hosts.5571136354 (0.16%)
16Program.RemoteAdmin130009 (0.15%)
17Trojan.MulDrop.54146127922 (0.15%)
18SCRIPT.Virus112282 (0.13%)
19Trojan.Qhost.3907110427 (0.13%)
20BackDoor.Ddoser.131107935 (0.13%)
Всего проверено:148,537,446,432
Инфицировано:83,912,629 (0.06%)

Источник: Обзор вирусной активности в феврале 2012 года: эксплойты для Mac OS Х и троянец, следящий за пользователем через веб-камеру

Контакты

Телефоны:
+7(8332)71-51-21
+7(8332)45-57-89
+7(8332)78-72-28
e-mail: [email protected]

Наше предложение

Счетчики




Яндекс.Метрика

Основные направления

Копия Тест 17

АЛЫВЕРДЫ ТОВАРИЩИ