• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Троянская матрешка

Главные события вирусной активности августа -- появление вредоносной программы, заражающей роутеры под управлением Linux; распространение загрузчиков и установщиков нежелательных приложений для Microsoft Windows; рост количества троянцев для мобильной платформы Google Android.

Август 2015 года был отмечен появлением новой троянской программы, заражающей роутеры, которые работают под управлением операционной системы Linux, а также троянца-майнера, способного, подобно червю, самостоятельно копировать себя по локальной сети. Помимо этого в августе зафиксировано распространение опасного троянца-загрузчика, скрывавшегося в документах Microsoft Word, установщика нежелательных программ из семейства LoadMoney, а также нескольких новых вредоносных приложений, угрожающих пользователям мобильной платформы Android.

Угроза месяца

С возникновением электронных криптовалют на свет появились и троянские программы, предназначенные для их майнинга (добычи). Однако со временем объем вычислений, которые необходимо выполнить для успеха подобных операций, значительно возрос, в связи с чем популярность троянцев-майнеров стала понемногу падать. Вместе с тем в августе в вирусную лабораторию компании «Доктор Веб» поступил очередной образец такого троянца, получивший наименование Trojan.BtcMine.737.

По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков: первый представляет собой дроппер — он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет. Второй установщик обладает возможностями, похожими на функционал сетевого червя: он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл, затем создает свои копии в нескольких папках, к одной из которых автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.

Затем троянец копирует себя в корневую папку всех дисков инфицированной машины, перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается при наличии соответствующего оборудования организовать на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца. Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Более подробную информацию об этой вредоносной программе можно почерпнуть в опубликованной на нашем сайте статье.

Ботнеты

Как и ранее, вирусные аналитики компании «Доктор Веб» продолжают внимательно отслеживать деятельность двух подсетей ботнета, созданного злоумышленниками с использованием зараженных файловым вирусом Win32.Rmnet.12 компьютеров.

Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.

Проявляет активность и бот-сеть, состоящая из персональных компьютеров, зараженных опасным файловым вирусом Win32.Sector.

Файловый вирус Win32.Sector обладает перечисленными ниже функциональными возможностями:

• загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов;
• встраивание в запущенные на инфицированном компьютере процессы;
• возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков;
• инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящиеся в общедоступных сетевых папках.

В августе 2015 года несколько активизировались администраторы ботнета Linux.BackDoor.Gates.5, с помощью которого злоумышленники осуществляют DDoS-атаки на различные веб-сайты. По сравнению с предыдущим месяцем количество таких атак увеличилось на 118,3% и составило 2083. При этом 86,7 % атакованных сайтов, как и прежде, расположены на территории Китая, а еще 10,7 % — в США.

Троянцы-шифровальщики

Наиболее распространенные шифровальщики в августе 2015 года:

• Trojan.Encoder.567;
• Trojan.Encoder.858;
• BAT.Encoder.

Вредоносные программы для Linux

В августе 2015 года специалисты компании «Доктор Веб» исследовали большую группу вредоносных программ, совместно используемых злоумышленниками для целенаправленных атак на роутеры, работающие под управлением операционных систем семейства Linux.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.PNScan.1, предположительно устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC. Если же с использованием уязвимости shellshock злоумышленникам удастся взломать компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора и на такой случай. Данные бэкдоры могут выполнять различные поступающие от злоумышленников команды, одной из которых, в частности, является команда загрузки утилиты Tool.Linux.BrutePma.1, — с ее помощью осуществляется взлом административных панелей систем управления реляционными базами данных PHPMyAdmin.

Помимо перечисленных выше опасных приложений, вирусные аналитики компании «Доктор Веб» обнаружили на принадлежащих злоумышленникам серверах и другие вредоносные программы: среди них — еще одна модификация троянца Linux.PNScan.2, вредоносная программа Trojan.Mbot, предназначенная для взлома веб-сайтов, троянец Perl.Ircbot.13, который служит для поиска уязвимостей на сайтах, работающих с различными системами управления контентом и ПО для организации интернет-магазинов, а также некоторые другие. Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов, при этом в 649 случаях выявлено географическое положение инфицированных устройств.

Более полную информацию об обнаруженных специалистами компании «Доктор Веб» вредоносных программах и сведения о данном инциденте можно получить, ознакомившись с опубликованной на нашем сайте подробной статьей.

Другие вредоносные программы

В августе 2015 года вирусные аналитики компании «Доктор Веб» исследовали опасного троянца-загрузчика, распространявшегося в виде вложенного в сообщения электронной почты документа Word и получившего наименование W97M.DownLoader.507. Для ознакомления с якобы зашифрованным содержимым документа злоумышленники предлагают потенциальной жертве включить в редакторе Word использование макросов.

Если жертва соглашается выполнить это действие, ей демонстрируется полный текст документа, а в это время троянец загружает с удаленного сервера и собирает из фрагментов несколько вредоносных сценариев, которые, в свою очередь, скачивают с принадлежащего злоумышленникам узла и запускают опасного банковского троянца. Подробнее об этой угрозе читайте в опубликованной на сайте нашей компании обзорной статье.

Другая вредоносная программа, тщательно исследованная вирусными аналитиками «Доктор Веб» в августе, Trojan.LoadMoney.336, встречается на компьютерах пользователей достаточно часто и представляет собой установщик нежелательных приложений. Распространяется он следующим образом: при обращении жертвы к созданному злоумышленниками файлообменному ресурсу происходит автоматическое перенаправление на промежуточный сайт, с которого на компьютер осуществляется загрузка троянца Trojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, — среди них могут оказаться не только безобидные программы, но и опасные вредоносные приложения.

Вредоносное и нежелательное ПО для Android

В августе активность вредоносных приложений, предназначенных для работы на мобильных устройствах под управлением ОС Android, в целом была заметно ниже по сравнению с предыдущими месяцами наблюдений. Тем не менее, пользователи Android-смартфонов и планшетов по-прежнему оставались основной целью ориентированных на мобильный сегмент киберпреступников. Так, специалисты по информационной безопасности выявили очередного опасного Android-троянца, предназначенного для кибершпионажа. Кроме этого, вирусные аналитики «Доктор Веб» отметили рост числа новых Android-вымогателей, вредоносных программ-банкеров, а также СМС-троянцев. Наиболее заметные тенденции в сфере безопасности ОС Android в августе:

• применение злоумышленниками Android-троянцев для слежки за пользователями;
• угроза со стороны вредоносных программ-банкеров;
• распространение новых Android-вымогателей;
• увеличение числа СМС-троянцев.

Оставить свой комментарий:

Комментарии по материалу