Rambler's Top100
Все новости Новости отрасли

Апрель лидирует по угрозам информационной безопасности

03 мая 2012

В начале месяца была обнаружена первая в истории масштабная бот-сеть, состоящая из компьютеров, работающих под управлением Mac OS X. Чуть позже был установлен контроль над ботнетом Win32.Rmnet.12, численность которого превысила миллион инфицированных компьютеров. А во второй половине апреля началось нашествие троянцев-шифровальщиков, обеспокоившее сначала жителей западноевропейских стран, а чуть позже — и пользователей по всему миру.

«Маки» подверглись глобальной атаке

Первый в истории ботнет, созданный злоумышленниками с использованием вредоносной программы BackDoor.Flashback.39 поразил более 800 000 работающих под управлением Mac OS X компьютеров.

Еще в конце марта в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения о том, что злоумышленники активно используют известные уязвимости Java с целью распространения вредоносных программ для Mac OS X. Поскольку подобная информация приходила с определенной регулярностью и из различных источников, было высказано предположение, что использующий уязвимости Java троянец BackDoor.Flashback.39 может образовать бот-сеть на Apple-совместимых компьютерах. Данная вредоносная программа имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются троянцем в качестве управляющих серверов. Для проверки гипотезы о наличии ботнета, работающего на платформе Mac OS X, 3 апреля 2012 года специалистами компании «Доктор Веб» было зарегистрировано несколько доменов управляющих серверов BackDoor.Flashback.39. И в первые же часы контролируемые компанией «Доктор Веб» серверы зафиксировали активность более чем 130 000 ботов, к утру их число достигло 550 000, и управляющие центры просто перестали справляться с нагрузкой.

Для того чтобы заразиться троянской программой BackDoor.Flashback.39, вполне достаточно соблюдения двух несложных условий: в операционной системе пользователя должна быть установлена Java, и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет — специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя.

Большая часть заражений приходится на долю США (56,6% инфицированных узлов), на втором месте находится Канада (19,8% инфицированных компьютеров), третье место занимает Великобритания (12,8% случаев заражения), на четвертой позиции — Австралия с показателем 6,1%.

4 апреля 2012 года корпорация Apple выпустила обновление Java, «закрывающее» используемую троянцем BackDoor.Flashback уязвимость, однако если компьютер был уже инфицирован ранее, установка обновления не защищала пользователя от действия вредоносной программы. Вскоре количество зараженных «маков» превысило 800 000.

Троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. Однако затем троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. По данным на 28 апреля 2012 года, в сети BackDoor.Flashback.39 всего было зарегистрировано 824 739 ботов, из них проявляло активность 334 592. 

 Rmnet — еще один ботнет

Одно из лидирующих мест среди угроз, заражающих рабочие станции под управлением Microsoft Windows, занимает сейчас файловый вирус Win32.Rmnet.12. Распространение вируса происходит несколькими путями, в частности, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 года, вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 года аналитики компании «Доктор Веб» зарегистрировали домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.

Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машин, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46802 бота, или 3,9%), Россия (43153 инфицированных машины, или 3,6%), Египет (33261 бот, или 2,8%), Нигерия (27877 ботов, или 2,3%), Непал (27705 ботов, или 2,3%) и Иран (23742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19773 случая заражения, или 1,67%) и Беларуси (14196 ботов, или 1,2%). В Украине зафиксирован 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане.

Шифровальщики покоряют Европу

В апреле неприятности выпали и на долю жителей европейских государств: ближе к середине месяца в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, Trojan.Encoder.94 отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.

Троянец имеет англоязычный интерфейс, однако случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Вскоре стали поступать тревожные сообщения от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния.

В конце апреля был зафиксирован всплеск распространения почтовых сообщений с заголовком «Ute Lautensack Vertrag Nr 46972057» и вложенным zip-архивом с именем Abrechnung или Rechnung. Архивы содержат троянскую программу Trojan.Matsnu.1, попытка запустить которую приводит к тому, что все файлы на дисках компьютера жертвы оказываются зашифрованными. Специалисты компании «Доктор Веб» в кратчайшие сроки проанализировали вредоносную программу Trojan.Matsnu.1 и разработали специальную утилиту, позволяющую расшифровать пользовательские данные.

Другие «апрельские тезисы» и вирусные угрозы

По сравнению с уже описанными выше событиями все остальные угрозы информационной безопасности, выявленные и обезвреженные экспертами «Доктор Веб» в апреле 2012 года, не выглядят столь же сенсационно и представляют значительно меньшую опасность для пользователей. Так, в вирусные базы было добавлено описание вредоносной программы Trojan.Spambot.11349, предназначенной для кражи учетных записей почтовых клиентов (в частности, Microsoft Outlook и The Bat!) и передачи злоумышленникам данных, используемых функцией автозаполнения форм в веб-браузерах. Троянец распространяется с использованием бот-сети весьма известных бэкдоров Backdoor.Andromeda.

Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка. Функции приложения-загрузчика в целом обычны для подобного рода вредоносных программ: это обход брандмауэра и установка в систему вредоносной библиотеки, которой после загрузки в память инфицированного компьютера передается управление.

Получив управление, вредоносная библиотека проверяет наличие на диске собственной копии и записывает в системный реестр значение из девяти случайных цифр, служащее уникальным идентификатором бота. Затем Trojan.Spambot.11349 сохраняет на диск библиотеку для работы с SSL и библиотеку zlib, с использованием которой троянец сжимает строки своих запросов. При этом в поле HOST отправляемых ботом запросов содержится посторонний IP-адрес, что является характерной особенностью Trojan.Spambot.11349. Использование отдельной динамической библиотеки для работы с zlib и SSL также можно назвать нечастым явлением в архитектуре вредоносных программ.

Одной из отличительных особенностей Trojan.Spambot.11349 является то, что эта вредоносная программа отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах троянца подсетей. Затем Trojan.Spambot.11349 устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла. В случае если эта операция завершается успешно, троянец формирует строку запроса, содержащую украденные учетные данные почтовых клиентов Microsoft Outlook и The Bat!, упаковывает ее с помощью библиотеки zlib и передает на принадлежащий злоумышленникам удаленный сервер. Инфицировав систему, Trojan.Spambot.11349 проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троянец получает с удаленного сервера данные для последующего проведения спам-рассылки. По информации на 24 апреля, троянцы Trojan.Spambot.11349 осуществляли распространение почтовых сообщений, содержащих рекламу виагры.

Появились в истекшем месяце и новые угрозы для мобильной операционной системы Android. Так, еще в начале апреля семейство вредоносных программ Android.Gongfu пополнилось новым вредоносным экземпляром. Обновленная модификация троянца Android.Gongfu была обнаружена сразу в нескольких приложениях, распространяющихся через неофициальные сайты-сборники программного обеспечения. В частности, этот троянец был выявлен в модифицированном злоумышленниками дистрибутиве популярной игры Angry Birds Space.

В отличие от первых реализаций Android.Gongfu, новые модификации троянца не используют уязвимость Android, позволявшую им без участия пользователя повысить собственные привилегии в системе до уровня root. Вместо этого в комплекте с инфицированным приложением пользователю предлагается специальная пошаговая инструкция, позволяющая запустить ОС с полномочиями администратора. В инструкции утверждается, что это якобы необходимо для корректной работы программы или ее обновления. После запуска с администраторскими привилегиями Android.Gongfu получает возможность встраиваться в системные процессы Android, включая процессы, критичные для стабильной работы ОС. Троянец способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного узла команды, но также загружать и устанавливать в ОС другие приложения без ведома пользователя.

Помимо этого, специализирующиеся на мобильных платформах вирусописатели стали использовать новую психологическую уловку для распространения вредоносного ПО, а именно — озабоченность пользователей вопросами безопасности. С помощью различных систем отображения рекламы злоумышленники демонстрируют пользователю сообщение с предложением срочной проверки мобильного устройства на вирусы. Нажав на это рекламное сообщение, пользователь попадает на сайт, якобы сканирующий мобильное устройство. Этот сайт заимствует одну из иконок Dr.Web Security Space версии 7.0 и внешнее оформление программы. Однако сымитировав пользовательский интерфейс, злоумышленники ошиблись в деталях: фальшивый «антивирус» находит на мобильном устройстве несуществующие угрозы, например, вредоносную программу Trojan.Carberp.60, относящуюся к категории банковских троянцев для Windows, мобильной версии которого в настоящее время не существует. Если пользователь соглашается «обезвредить» угрозу, на его устройство скачивается троянец семейства Android.SmsSend.

 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.