rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Обзор вирусной активности в ноябре 2011 года: спамеры и вирусописатели забыли о выборах

По данным аналитиков компании «Доктор Веб» ноябрь 2011 года оказался отмечен распространением новых мошеннических схем, направленных против пользователей социальной сети «В Контакте», владельцев мобильных устройств, а также появлением троянской программы, ворующей конфиденциальную информацию у фармацевтических компаний. Кроме того, в ноябре наблюдался значительный рост заражений пользовательских компьютеров вредоносными программами-энкодерами. Выборы в Государственную Думу РФ спамеры и вирусописатели, напротив, оставили без внимания.

Ноябрьский спам

Столь важное политическое событие, как выборы депутатов Государственной Думы Федерального Собрания Российской Федерации, осталось практически не замеченным спамерами — вопреки ожиданиям, объем почтовых сообщений на политические темы в ноябре ничуть не увеличился по сравнению с предыдущими месяцами, оставаясь достаточно низким. Удивительно, но факт: среди спам-трафика, зафиксированного программным обеспечением Dr.Web, количество сообщений, посвященных политической жизни Украины, значительно превышает число писем, затрагивающих российские реалии.

Вместе с тем в ноябре была зафиксирована почтовая рассылка с темой письма «Зарплата военных вырастет, но количество надбавок и льгот резко снизится?» В сообщения был вложен документ Word, содержащий угрозу Exploit.Rtf.based. Данная угроза эксплуатирует уязвимость в Microsoft Word, позволяющую выполнять произвольный код при открытии инфицированного документа в формате RTF: благодаря использованию этой уязвимости вредоносное приложение может получить те же привилегии в операционной системе, что и сам пользователь. В связи с актуальностью темы сообщения для военнослужащих и их семей на удочку спамеров могло попасться значительное число получателей таких писем.

Новые атаки на пользователей «В Контакте»

В ноябре продолжились атаки мошенников на пользователей социальной сети «В Контакте». Например, в одном из случаев сетевые мошенники оставляют на стене потенциальной жертвы (либо с использованием системы личных сообщений) послание, содержащее специально подготовленный ими видеоролик. Этот ролик рекламирует веб-сайт, якобы позволяющий бесплатно отправлять виртуальные подарки другим пользователям «В Контакте» и получать дополнительные голоса. Кроме того, на страничке, где опубликована видеозапись, демонстрируется несколько восторженных отзывов других посетителей сайта, якобы успешно воспользовавшихся этим уникальным предложением. Здесь же, как правило, приводится ссылка на созданный жуликами фишинговый сайт.

Попытка ввести на открывающемся по ссылке сайте логин и пароль для входа в социальную сеть «В Контакте» заканчивается дискредитацией учетной записи пользователя. Вскоре уже от его имени злоумышленники начинают рассылать по списку друзей предложения посетить созданную ими веб-страничку.

После ввода логина и пароля пользователь перенаправляется на один из мошеннических сайтов, рекламирующих различные сомнительные услуги, например — «поиск двойника». Здесь потенциальной жертве предлагается найти в базах социальной сети похожих на нее людей, для чего следует указать свой номер телефона и ввести в специальную форму код, присланный в ответном СМС. Таким образом пользователь соглашается на условия платной подписки, в соответствии с которыми с его счета будет регулярно списываться определенная денежная сумма.

Еще одна мошенническая схема также использует принципы социальной инженерии. Известно, что пользователи относятся с большей степенью доверия к информации, поступающей от знакомых. Именно эту особенность человеческой психологии эксплуатируют злоумышленники, отсылая потенциальной жертве сообщение или запись на «стене» от одного из друзей с просьбой проголосовать за него на некоем сайте. Учетная запись отправителя послания к этому моменту уже является взломанной, а проводящий голосование сайт принадлежит злоумышленникам. По указанной ссылке открывается интернет-ресурс, действительно предлагающий «проголосовать» за выбранного кандидата, щелкнув мышью по его фотографии или кнопке «Like». Однако для того чтобы отдать свой голос, необходимо войти на сайт. Формы регистрации и авторизации на сайте отсутствуют, однако посетитель может выполнить «вход» с использованием специальной системы «интеграции» с социальными сетями Twitter, Facebook и «В Контакте». Естественно, эта «система интеграции» — поддельная: достаточно указать в соответствующей форме свои логин и пароль, и они будут незамедлительно переданы злоумышленникам.

Иногда сетевые жулики не ленятся даже создавать для решения своих задач целые поддельные сайты и используют для привлечения потенциальных жертв поисковую рекламу. Так, в процессе работы с сервисом Google пользователь может обратить внимание на рекламное объявление, демонстрирующее на страницах поисковой выдачи сообщение о том, что его «аккаунт заблокирован и требует активации». Тут же приводится ссылка на некий сайт vkankalte.ru, адрес которого отдаленно напоминает URL социальной сети «В Контакте» и потому может быть спутан по невнимательности с адресом vkontakte.ru. Если пользователь переходит по опубликованной в рекламном объявлении ссылке, происходит автоматическое перенаправление на другой ресурс, оформление которого имитирует интерфейс социальной сети «В Контакте». Спустя несколько секунд на экране возникает окно чата, в котором от имени «администратора» социальной сети «В Контакте» пользователю сообщают о том, что его аккаунт заблокирован за рассылку спама, при этом город, из которого якобы осуществлялась рассылка, подставляется в текст автоматически — для достоверности установленная на сервере программа подбирает город, в котором предположительно находится пользователь. Сообщения в окне чата появляются с некоторым интервалом, таким образом злоумышленники стараются имитировать общение с живым человеком. Если пользователь пытается ответить «администратору», на экране появляется сообщение о том, что возможность задавать вопросы в чате станет доступна только после активации аккаунта.

При этом поддельный сайт социальной сети содержит несколько страниц, открывающихся щелчком мыши по расположенному в левой части экрана навигационному меню: по замыслу мошенников, это должно вселять в потенциальную жертву уверенность, что она находится на настоящем сайте «В Контакте». Для «активации» аккаунта используется старая и давно отработанная сетевыми жуликами схема: потенциальной жертве предлагается ввести номер своего мобильного телефона в специальную форму, а затем указать код, пришедший в ответном СМС. Таким образом пользователя «подписывают» на платную услугу, за оказание которой с его счета будет регулярно списываться определенная денежная сумма.

Угрозы для мобильных устройств

Владельцы мобильных устройств с поддержкой Java также не остались без внимания кибермошенников: в ноябре жители Санкт-Петербурга, Свердловской, Воронежской, Московской, Липецкой областей, Краснодара, Екатеринбурга, Красноярска, Приморского края и Нижнего Новгорода подверглись атаке злоумышленников. Вовлечение жертвы в мошенническую схему начинается следующим образом. На телефон ничего не подозревающего пользователя приходит СМС, содержащее информацию о том, что на его номер поступило новое сообщение MMС. Для просмотра этого послания следует перейти по ссылке на предложенный сайт. Если пользователь переходит по указанной ссылке, на его мобильный телефон под видом MMС загружается какое-либо изображение или видеоролик (как правило, фотография киноактрисы или эстрадной звезды) и троянская программа, предназначенная для мобильных устройств с поддержкой Java. Во многих случаях это Java.SMSSend.251, однако подобные троянцы часто видоизменяются в целях усложнения их детектирования: согласно результатам наблюдений, новая модификация появляется в среднем каждые две недели.

Данная троянская программа, запустившись на инфицированном устройстве, отправляет СМС-сообщение на короткий номер, в результате чего со счета пользователя списывается определенная денежная сумма. Как правило, злоумышленники стараются рассылать подобные сообщения в выходные дни или ночью, чтобы максимально затянуть разбирательство пользователя со службами технической поддержки мобильного оператора. Доменов, ссылки на которые содержатся в рассылаемых сообщениях, также существует множество: на сегодняшний день в распространении вредоносного контента замечены сайты mms-center.ru, center-mms.ru, mms-new.ru, mmspicture.ru, mmsbases.ru, mmsclck.ru, mms-cntr.ru, 1-mts.ru, boxmms.ru, new-mms.org, d.servicegid.net и многие другие. Все эти ресурсы добавлены в базы Dr.Web как нежелательные для посещения.

Троянец для фармацевтов

В начале ноября вирусописатели «порадовали» нас троянцем, специально созданным для похищения информации из приложений, используемых фармацевтическими компаниями. Запускаясь на инфицированном компьютере, BackDoor.Dande (написан на языке C) проверяет, не установлен ли он уже в системе, определяет имя текущего пользователя, а также версию ОС. Если это — Windows XP или Windows Server 2003, бэкдор устанавливает соединение с удаленным управляющим сервером и загружает оттуда зашифрованный конфигурационный файл, а также код троянской программы Trojan.PWS.Dande, которая дешифруется и сохраняется в одной из папок. Кроме того, бэкдор обладает возможностью выполнять поступающие из командного центра директивы, такие как, например, команда на скачивание, сохранение и запуск модуля Trojan.PWS.Dande, удаление этого модуля, запись данных в конфигурационный файл и т. д.

Следует отметить, что этот бэкдор обладает весьма любопытным механизмом поиска управляющих серверов: в случае, если один из них внезапно окажется закрыт, троянец отыщет новый согласно заложенному в него алгоритму, позволяющему генерировать имя командного центра. Кроме того, полезная нагрузка способна запускаться только на той машине, которая была инфицирована этим вредоносным ПО. Поскольку троянец заражает библиотеку advapi32.dll, которая загружается во все запущенные в системе процессы, код беспрепятственно встраивается в них.

Trojan.PWS.Dande предназначен для кражи данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Среди собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.

Другие угрозы ноября

В ноябре 2011 года специалистами «Доктор Веб» была выявлена новая модификация многокомпонентного бэкдора для Mac OS Х, вошедшая в вирусные базы Dr.Web под именем BackDoor.Flashback.8.

Напомним, что BackDoor.Flashback — весьма сложный по своей архитектуре многокомпонентный бэкдор для Mac OS X. Установщик этого вредоносного ПО маскируется под программу-инсталлятор Adobe Flash Player. Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль троянца. Если загрузить его не удается, установщик прекращает работу.

Новая версия бэкдора, BackDoor.Flashback.8, отличается от предыдущих тем, что в нее добавлена возможность встраивания вредоносных модулей в различные процессы. Этот механизм реализован двумя различными способами в зависимости от того, присутствуют ли в целевом процессе экспортированные функции из модуля dyld. В случае их отсутствия троянец ищет необходимые функции в памяти.

Кроме того, вторая половина ноября ознаменовалась появлением новой модификации программы-вымогателя Trojan.MBRLock.

Запускаясь на компьютере жертвы, Trojan.MBRlock.17 сохраняется во временную папку со случайным именем, затем троянец запускает процесс calc.exe (стандартную программу «Калькулятор») и встраивает в него свой код. После этого встроенный в процесс calc.exe Trojan.MBRlock.17 создает файл в папке %APPDATA%AdobeUpdate, который впоследствии удаляется, запускает процесс explorer.exe и копирует свой код в него. В свою очередь, процесс explorer.exe инфицирует MBR и пытается завершить работу Windows. Любопытно, что, в отличие от своих предшественников, Trojan.MBRlock.17 записывает свои компоненты, такие как шрифты, выводимый на экран текст и оригинальную MBR, в случайные сектора жесткого диска, то есть способен изменять в своем коде отвечающие за выбор таких секторов константы. Ключ разблокировки троянец также не хранит в открытом виде: он создается динамически на основе ряда параметров. Помимо этого троянец уничтожает таблицу разделов, предварительно сделав копию первого сектора для последующего восстановления.

В целом можно сказать, что в ноябре 2011 года сохранилась средняя (по сравнению с предыдущими месяцами) динамика распространения угроз, на фоне которой отмечается значительный рост числа случаев шифрования пользовательских файлов троянцами семейства Trojan.Encoder и Trojan.FolderLock. Так, с начала ноября было зафиксировано 66 обращений пользователей, пострадавших от действий троянца Trojan.FolderLock, и только в последнюю неделю месяца — 63 заявки, связанные с действием шифровальщика Trojan.Encoder.123. Во избежание потери информации мы рекомендуем своевременно делать резервные копии хранящихся на компьютере данных.

Также постепенно внедряются новые схемы мошенничества в отношении пользователей социальных сетей с целью дискредитации аккаунтов. Получив доступ к учетным записям пользователей, злоумышленники рассылают от их имени рекламные сообщения и ссылки на фишинговые ресурсы, а также подписывают жертвы на различные платные услуги.

Вредоносные файлы, обнаруженные в почтовом трафике в ноябре

01.11.2011 00:00 - 30.11.2011 23:00 1Trojan.Oficla.zip2722875 (53.79%)2Trojan.DownLoad2.247581012692 (20.00%)3Trojan.Inject.57506238055 (4.70%)4Win32.HLLM.Netsky.18401187907 (3.71%)5Trojan.DownLoad2.32643133852 (2.64%)6EICAR Test File (NOT a Virus!)90832 (1.79%)7Trojan.DownLoader5.88688777 (1.75%)8Trojan.Tenagour.388722 (1.75%)9Trojan.Siggen2.5868656712 (1.12%)10Trojan.Packed.1969652950 (1.05%)11Trojan.Siggen2.6202643572 (0.86%)12Trojan.Siggen.6507042967 (0.85%)13Trojan.DownLoad2.2030631093 (0.61%)14Trojan.DownLoad2.3460429008 (0.57%)15Win32.HLLM.MyDoom.3380818881 (0.37%)16Trojan.DownLoader4.2136016094 (0.32%)17Trojan.DownLoader4.6118215880 (0.31%)18Trojan.DownLoader4.6063215528 (0.31%)19Win32.HLLM.MyDoom.53415265 (0.30%)20Trojan.DownLoader2.5038415257 (0.30%)

Всего проверено:150,964,731 Инфицировано:5,062,427 (3.35%)

Вредоносные файлы, обнаруженные в ноябре на компьютерах пользователей

01.11.2011 00:00 - 30.11.2011 23:00 1JS.Click.21890861585 (43.75%)2Win32.Rmnet.1249019084 (23.61%)3Trojan.IFrameClick.332301253 (15.55%)4JS.IFrame.1177354011 (3.54%)5Win32.Virut6453781 (3.11%)6JS.IFrame.954187932 (2.02%)7JS.IFrame.1123478055 (1.67%)8Win32.HLLP.Neshta3420382 (1.65%)9Trojan.MulDrop1.48542847539 (0.41%)10Win32.HLLP.Rox636591 (0.31%)11Win32.HLLP.Whboy.45545623 (0.26%)12Trojan.DownLoader5.1291480473 (0.23%)13JS.IFrame.143388985 (0.19%)14HTTP.Content.Malformed274730 (0.13%)15JS.IFrame.129274409 (0.13%)16Trojan.WMALoader271667 (0.13%)17Win32.Siggen.8234368 (0.11%)18Win32.Wplugin.2209890 (0.10%)19JS.FakeGuest181043 (0.09%)20BackDoor.Ddoser.170178872 (0.09%)

Всего проверено:162,315,573,294 Инфицировано:207,661,771 (0.13%)

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

13.11.2024 Т2 запустил первый тариф после ребрендинга

31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборота

MSKIT.RU: последние новости Москвы и Центра

ITSZ.RU: последние новости Петербурга