Информационный портал nnIT

Оригинал документа: http://nnit.ru/news/n95129/


     
 

Жаркий вирусный март

07.04.2011 06:05
Антивирусные компании представили отчеты по вирусной активности и угрозам в марте 2011 года. Месяц стал одним из самых «горячих» как на количество инцидентов, среди которых можно назвать атаки на ОС Android, социальные сети и закрытие крупной ботнет-сети, так и с точки зрения роста активности вирусописателей.

Вредоносное ПО

В марте 2011 года каких-либо значительных качественных изменений, по оценке компании «Лаборатория Касперского», не произошло. Можно говорить об изменениях в основном количественного характера. В марте 2011 года количество Java-эксплойтов составило около 14% от общего числа обнаруженных эксплойтов.

«Основные тенденции минувшего месяца – это увеличение использования Java-эксплойтов и активное распространение фальшивых веб-антивирусов. Наряду с этим стоит отметить продолжающееся распространение «блокировщиков» Windows. Одновременно мы отмечаем постепенный рост мобильных угроз под ОС Android, количество которых увеличивается с каждым месяцем», - сообщил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

По данным компании PandaLab, в первые три месяца 2011 года ежедневно появлялось в среднем 73000 новых образцов вредоносного программного обеспечения, что на 10000 больше прошлогоднего показателя за тот же период. Большинство из обнаруженных угроз составили трояны. Такие данные вполне логичны, так как эти типы угроз наиболее популярны среди преступников, занимающихся кражей банковских реквизитов.

«В целом, ситуация с вредоносными программами в первом квартале подтвердила те тенденции, которые мы наблюдали в конце 2010 года, - прокомментировал руководитель Panda Security в России Константин Архипов. - В первую очередь, необходимо отметить, что продолжается рост числа ежедневно создаваемых угроз: по итогам первого квартала это число выросло до 73 000 в день, что на 16% выше, чем по итогам 2010 года. Примерно 37% всех файлов, которые мы анализируем ежедневно, оказались вредоносными. При этом стоит отметить, что рост наблюдался только среди банковских троянов, а вот такие угрозы как боты, фальшивые антивирусы и roqueware, наоборот, сбавили свои обороты. В результате впечатляющего увеличения числа троянов, значительно уменьшились доли других угроз: вирусов, червей и рекламного ПО. Мы продолжаем наблюдать также более активное использование социальных сетей, в частности Facebook, для распространения вредоносных программ».

Инциденты

Месяц оказался богат на инциденты. В начале марта был атакован Android Market. Согласно отчету компании «Лаборатоия Касперского», версии легальных приложений были инфицированы root-эксплойтами «rage against the cage» и «exploid», которые позволяют вредоносной программе получить на Android-смартфонах права root-доступа, обеспечивающие полный доступ к операционной системе устройства. Во вредоносном APK-архиве помимо root-эксплойтов содержалось два вредоносных компонента. Один из них после получения root-прав с помощью POST-метода посылал на удаленный сервер злоумышленника специальный XML-файл, содержащий IMEI и IMSI, а также другую информацию об устройстве, и в ответ ждал команды. Другой зловред обладал функционалом троянца-загрузчика.

За четыре дня приложения, которые автоматически заражали устройство трояном, были загружены примерно 50000 раз. Google удалось избавить свой магазин от всех вредоносных приложений, а через несколько дней и удалить их с телефонов пользователей.

«В первую очередь необходимо отметить значительный рост атак на мобильные устройства, особенно построенные на базе Android. Мы видим несколько причин для этого, - сказал Константин Архипов. - Во-первых, впервые в истории в конце 2010 года смартфонов было продано больше, чем ПК. Следовательно, количество пользователей этих устройств уже достаточно велико, а потому любые атаки на них финансово уже более привлекательны. Во-вторых, Android быстро становится все более популярной платформой для мобильных устройств. Атака на Android Market в этом плане вполне показательна, а цифры говорят сами за себя».

«Невозможно оценить, насколько пострадали от атаки на Android Market российские пользователи этого сервиса. Тем не менее, повторение такой атаки злоумышленников вполне возможно» - говорит Александр Гостев. - Что же касается других угроз для пользователей смартфонов, то по-прежнему актуальны SMS-троянцы. Опасность представляет и рост обнаруженных уязвимостей в различных мобильных платформах, с помощью которых злоумышленники могут совершать атаки. В последнее время все больше появляется также различного шпионского ПО, которое может применяться, например, для промышленного шпионажа и получения секретной информации».

«Атака демонстрирует тот факт, что текущая концепция онлайн-магазинов, приложений и контроль их качества не идеальны,- прокомментировал консультант по безопасности Check Point Software Technologies Дмитрий Воронков. - Пользователям можно порекомендовать скачивать приложения, которыми уже давно пользуется большое количество людей и только от доверенных производителей. Важно то, что приложения были удалены из Android Market, Google также убрал их с устройств пользователей. То, что корпорация может вносить изменения в конечных пользовательских устройствах, говорит о многом. Соответственно, Android может считаться безопасным далеко не для всех видов задач, также как и платформа iOS — у пользователей нет гарантии, что в закрытой операционной системе отсутствуют недекларируемые возможности заложенные производителем».

Международные события в течение первого квартала 2011 года резко повлияли на активность кибер-преступников, в первую очередь, активизировались спамеры. В частности, речь идет о трагедии в Японии, войне в Северной Африке, смерть Элизабет Тейлор.

Мошенники и вирусописатели распространяют вредоносные ссылки на «горячие» новости, создают вредоносные веб-страницы, контент которых так или иначе связан с трагедией в Японии, и рассылают «нигерийские» письма с просьбами оказать помощь  пострадавшим, переслав деньги на счет отправителей. Так, в одном из спамовых писем содержались ссылки якобы на последние новости о событиях в Японии. При переходе по этим ссылкам осуществлялась drive-by атака с помощью эксплойт-паков. В случае успешной атаки на компьютер пользователя загружался Trojan-Downloader.Win32.CodecPack. У каждого представителя этого семейства жестко прописаны три командных центра, куда он обращается и откуда получает списки вредоносных файлов для их дальнейшей загрузки и запуска на компьютере пользователя.

«Преступники, естественно, не упустили возможности для распространения вредоносных программ через медиа-контент «с мест событий», а также для осуществления кибер-атак», - прокомментировал Константин Архипов.

Facebook стал распространять вредоносное ПО.  Виновным во взломе учетных записей и шантаже был признан Джордж С. Бронк, 23-летний молодой человек из Калифорнии, за что ему грозит до шести лет лишения свободы. Используя информацию со страниц пользователей Facebook, ему удалось получить доступ к электронной почте жертв. Взломав почту, мошенник выискивал любую информацию, которую он мог бы использовать для шантажа.

4 марта 2011 года была осуществлена массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal. При этом в графе отправителя фишингового письма был указан адрес do-not-reply@livejournal.com, который действительно используется сервисом LiveJournal для рассылки уведомлений. Мошенническая ссылка, по которой предлагается перейти, ведет на один из поддельных сайтов. При переходе пользователь попадает на страницу, копирующую дизайн оригинального LiveJournal. Данные, которые здесь вводит пользователь, передаются мошенникам. А 30 марта 2011 года LiveJournal подвергся очередной DDoS-атаке, самой масштабной по оценкам администрации сервиса, за время его существования. Атака продолжалась несколько часов, в это время сервис был практически недоступен.

«Российские социальные сети, в целом, не отличаются от своих зарубежных аналогов: также огромное сообщество людей, которые обмениваются информацией, устанавливают специальные приложения, выкладывают свои фотографии и видео и так далее. Поэтому и механизм распространения угроз через российские сети аналогичен тому, что мы наблюдали с Facebook. Поэтому обращаем внимание пользователей социальных сетей, чтобы были осторожны при просмотре медиа-контента и загрузке дополнительных приложений, а также не злоупотребляли с публикацией персональной информации на своих персональных страничках», - говорит Константин Архипов.

«Рост популярности социальных сетей, который мы наблюдаем  сегодня, делает их привлекательной  мишенью для киберпреступников. Поэтому можно смело предположить, что атаки на эти ресурсы будут происходить все чаще, постоянно усложняясь», - считает Александр Гостев.

«Опасность быть атакованным и вероятность того, что атака будет успешной, безусловно, существует для любого интернет-сервиса, в том числе и у российских социальных сетей, - считает Дмитрий Воронков. - С одной стороны, это DDoS-атаки, которые влияют на прибыльность сервиса и доступность для пользователей. С другой стороны, это возможность получить доступ к персональной информации пользователей социальных сетей. Еще один важный момент — это то, что в социальных сетях не используется протокол SSL. Данные пользователей передаются в открытом виде, что само по себе уже является опасным. Например, в открытых Wi-Fi сетях получить доступ к данным не составляет никакого труда для абсолютно любого злоумышленника. Причины того, почему разработчики социальных сетей не используют SSL, могут быть разные, в первую очередь финансовые. Я надеюсь, что  со временем разработчики социальных сетей перейдут к использованию защищенного протокола соединения, таких как на других популярных сервисах, например, Gmail и Skype».

В марте одной из главных новостей месяца стало закрытие ботнета Rustock (Win32.Ntldrbot). Напомним, что сеть, созданная Rustock, насчитывала несколько сотен тысяч зараженных компьютеров и использовалась для рассылки спама. Операция по закрытию ботнета была организована компанией Microsoft и властями США. 17 марта Microsoft сообщила, что все управляющие серверы ботнета остановлены. На всех серверах командных центров ботнета, закрытых Microsoft, установлен редирект на microsoftinternetsafety.net. По данным «Лаборатории Касперского», последние экземпляры Rustock загружались на компьютеры пользователей с командных серверов ботнета 16 марта, а команда на рассылку спама последний раз была отдана 17 марта. После этого никаких команд ботам не поступало. После 16 марта не было обнаружено ни одного нового загрузчика, устанавливающего Rustock на компьютеры пользователей.

В компании «Доктор Веб» считают, что пока сложно давать прогнозы относительно будущего спам-индустрии. Тот ощутимый урон, который нанесло ей закрытие крупнейшей спам-сети, может быть быстро возмещен ростом других ботнетов. Лидирующие позиции в распространении спама уже занял давно известный ботнет Win32.HLLM.Beagle, активность которого в последние несколько лет была низкой. Обе спам-сети специализируются на так называемом «фарм-спаме» – рекламе лекарственных препаратов.

В дальнейшем стоит также быть готовыми к изменению архитектуры ботнетов в сторону децентрализации. Также высказываются предположения о возможности восстановления ботнета Win32.Ntldrbot.

14 марта компания Adobe сообщила об уязвимости в Adobe Flash Player. Уязвимость содержится в authplay.dll и была отнесена к критической: ее эксплуатация дает злоумышленникам возможность взять под контроль компьютер пользователя.

Уже 15 марта «Лаборатория Касперского» задетектировала эксплойт к этой уязвимости. Он представляет собой Excel-файл, содержащий вредоносный SWF-файл, и детектируется как Trojan-Dropper.SWF.CVE-2011-0609.a. 25 марта специалисты «Лаборатории Касперского» обнаружили еще один вариант эксплойта — HTML-страничку, содержащую JavaScript с шеллкодом и вызов вредоносного Flash-файла. Шеллкод получал управление после вызова SWF-файла, использующего дыру в безопасности. Вредоносные HTML- и SWF- файлы детектируются соответственно как Exploit.JS.CVE-2011-0609 и Exploit.SWF.CVE-2011-0609.

В марте 2011 года компания «Доктор Веб» заявила об обнаружении новой модификации троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Этот троянец изменяет номера счетов получателей платежей. А последняя его модификация, вероятно, позволяет злоумышленникам создать виртуальный терминал. Примечательно, что троянец был обнаружен не при анализе зараженного терминала, а при мониторинге бот-сети другого троянца, обеспечивающего пути проникновения Trojan.PWS.OSMP на терминалы. Последняя зафиксированная версия троянца реализует другую схему мошенничества. Trojan.PWS.OSMP копирует на свой сервер конфигурационный файл ПО платежного терминала. Кража конфигурационного файла предполагает попытку создания поддельного терминала на компьютере злоумышленников, что должно позволить перенаправлять безналичные денежные средства на счета разработчиков троянца.

Автор: Алексей Писарев (info@mskit.ru)

Рубрики: Web, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 nnIT. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.nnIT.nnit.ru
Ресурс разработан и поддерживается компанией Peterlink Web