rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Угрозы августа. Повышение активности

По данным разработчиков и производителей решений в области информационной безопасности, август текущего года ознаменовался определенной активизацией со стороны вирусописателей и сетевых мошенников. К примеру, в середине августа была зафиксирована одна из крупнейших за последнее время волна взломов веб-сайтов в Рунете с целью распространения вредоносного ПО для мобильных устройств.

В частности, по данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt! в августе 2012 года, наиболее распространенной вредоносной программой на компьютерах пользователей по-прежнему является Trojan.Mayachok.1, однако количество обнаруженных экземпляров троянца по сравнению с предыдущим месяцем выросло на 6,5%. Этот рост можно, в частности, связать с тем, что Trojan.Mayachok.1 начали активно распространять создатели платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend. В статистических сводках Trojan.Mayachok.1 уверенно и с большим отрывом занимает лидирующую позицию, в то время как на втором месте разместился троянец-бэкдор BackDoor.Butirat.91 — эта программа способна выполнять поступающие с удаленного сервера команды, а также загружать и запускать на инфицированном ПК различные файлы. Общее количество компьютеров, инфицированных BackDoor.Butirat.91, за истекший месяц выросло на 41,8%.

Число обнаруженных на инфицированных компьютерах экземпляров вредоносных программ семейства Trojan.SMSSend осталось практически на прежнем уровне, однако эксперты обращают внимание на тот факт, что если ранее данную категорию троянцев можно было назвать относительно «безобидной», то с недавнего времени они стали представлять значительную опасность для пользователей. Как отмечают эксперты «Доктор Веб», прибыль от «бизнеса на платных архивах», по всей видимости, пошла на убыль. Иначе трудно объяснить то обстоятельство, что создатели одной из партнерских программ по распространению платных архивов — ZIPPRO — сначала стали устанавливать на компьютеры скачавших архив пользователей тулбар «Спутник@Mail.Ru» и браузер «Интернет@Mail.ru», а позже специалисты «Доктор Веб» обнаружили в комплекте устанавливаемых жертве приложений еще и троянца Trojan.Mayachok.1. Основная опасность таких архивов заключается в том, что заражение другими вредоносными программами может произойти уже в момент запуска подобного приложения, даже если пользователь сразу закроет окно платного архива. В ходе расследования инцидента, связанного с распространением опасных троянских программ вместе с платными архивами, специалисты «Доктор Веб» установили, что для установки на компьютеры жертв вредоносного ПО создатели платных архивов разработали собственного троянца, получившего название Trojan.Zipro.

В свою очередь, эксперты компании ESET отмечают относительно вредоносной активности в августе следующее: «Существенных изменений за прошедший месяц по данным нашей системы LiveGrid для сбора и обработки статистических данных замечено не было. Но стоит отметить, что в конце месяца возросло количество атак с использованием нового эксплойта CVE-2012-4681 для платформы Java. Эта уязвимость позволяла злоумышленникам атаковать не только пользователей операционных систем семейства MS Windows, но и пользователей Apple OSX и Linux. Кроме того, продолжает свою активность нашумевший банковский троянец Win32/TrojanDownloader.Carberp, пик его активности в это году был замечен весной. Однако, он по-прежнему входит в десятку самых активных угроз нашего региона», - комментирует директор Центра вирусных исследований и аналитики ESET Александр Матросов.

Относительно критической уязвимости Java, о которой говорилось выше, и которой воспользовались злоумышленники, эксперты «Доктор Веб» отмечают, что в 20-хчислах августа компания FireEye, а вслед за ней и другие разработчики антивирусного ПО сообщили об обнаружении критической уязвимости Java Runtime Environment версий 1.7x, названной CVE-2012-4681. Первые заметки о данной уязвимости были опубликованы 26 августа, а уже на следующий день уязвимость CVE-2012-4681 успела попасть в активно распространяемый среди злоумышленников пакет эксплойтов BlackHole Exploit Кit. Разработчик JRE, компания Oracle, выпустила соответствующее обновление безопасности 30 августа, следовательно, пользователи Java оставались беззащитны перед злоумышленниками как минимум в течение четырех суток. Специалисты компании «Доктор Веб» провели собственное расследование инцидента, выявив множество TDS (Traffic Direction System), использующих данную уязвимость для создания цепочки перенаправлений пользователей на специально созданные веб-сайты, распространяющие вредоносное ПО. В одном из подтвержденных случаев для организации редиректов злоумышленники вносят изменения в файлы .htaccess на взломанных интернет-ресурсах. Адреса конечных узлов генерируются специальными скриптами динамически и видоизменяются каждый час. При этом URL, на котором заканчивается цепь перенаправлений, зависит от установленной на компьютере пользователя операционной системы. Так, пользователи Mac OS X направлялись на сайт, с которого загружался Backdoor.Flashback.39 (в настоящее время сайт не действует), обладатели мобильных устройств и пользователи ОС Linux попадали на сайт поисковой системы Find-and-Go, а пользователи Windows — на веб-страницу, содержащую вызовы различных эксплойтов. В настоящее время с использованием уязвимостей Java распространяется троянская программа Trojan.Rodricter.21, обладающая богатыми функциональными возможностями, включающими подмену пользовательских запросов, «накрутку» посещаемости различных сайтов и так далее. Была выявлена и альтернативная цепочка редиректов, в финале которой на компьютер жертвы загружается вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.DownLoader6.29607.

Специалисты «Лаборатории Касперского», в свою очередь, отмечают, что в августе системой Kaspersky Security Network не было зафиксировано значительных изменений в активности распространения вредоносного ПО в сравнении с другими летними месяцами. «Если говорить о вредоносных программах, которые получили наибольшее распространение, то в августе лидировали вредоносные и мошеннические ссылки, эвристические и облачные детекты, фальшивые архивы и фальшивые антивирусы, а также вредоносные скрипты», - отмечают эксперты «Лаборатории Касперского».

Наиболее интересной троянской программой из всех обнаруженных в августе 2012 года, по мнению специалистов «Доктор Веб», можно назвать новую модификацию широко распространенного троянца Trojan.Mayachok, получившую название Trojan.Mayachok.17516. Эта вредоносная программа представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и так далее.

Среди других угроз августа можно также отметить, что компания «Доктор Веб» сообщила об обнаружении кросс-платформенной троянской программы BackDoor.Wirenet.1, предназначенной для кражи паролей и способной работать как в операционной системе Linux, так и в Mac OS X. Разработчики продают этот программный продукт в качестве шпионской программы, при этом существует версия BackDoor.Wirenet.1 для операционных систем Solaris и Microsoft Windows.

В части угроз для мобильных платформ, по данным «Доктор Веб», август оказался весьма урожайным месяцем с точки зрения угроз, ориентированных на мобильную платформу Google Android. В течение месяца было зафиксировано рекордное количество случаев взлома веб-сайтов с целью распространения вредоносных программ для мобильных платформ. Всего, по подсчетам специалистов «Доктор Веб», атакам подверглись более 2 тысяч русскоязычных интернет-ресурсов, среди которых было отмечено множество популярных и посещаемых сайтов. Злоумышленники изменяли настройки сайтов таким образом, что при открытии веб-страницы на мобильном устройстве пользователь автоматически перенаправлялся на один из вредоносных ресурсов, с которых распространяются троянские программы семейства Android.SmsSend.

В частности, в августе получил распространение троянец Android.SmsSend.186.origin, ориентированный на мобильную платформу Android. В отличие от большинства других вредоносных программ семейства Android.SmsSend, данный троянец проникает на мобильное устройство с использованием специального дроппера. Еще одной отличительной чертой Android.SmsSend.186.origin является то обстоятельство, что этот троянец обладает способностью сопротивляться попыткам его удаления. Среди других угроз для Android эксперты «Доктор Веб» отмечают Android.Luckycat.1.origin — троянца, предназначенного для хищения пользовательской информации и ее передачи на принадлежащий злоумышленникам сервер. Также была выявлена целая группа вредоносных программ для мобильных платформ, относящаяся к семейству Zeus/SpyEye — троянцев, предназначенных для кражи паролей. Кроме того, в августе было зафиксировано появление нового троянца-загрузчика для ОС Android, получившего имя Android.DownLoader.5.origin. Наконец, следует отметить, что в августе было выявлено большое количество коммерческих шпионских программ: в течение месяца в вирусные базы Dr.Web было добавлено множество подобных приложений, среди них — FinSpy для Android, Symbian OS и iOS.

Автор: Денис Шишулин (info@mskit.ru)

Рубрики: Интернет, Web, Безопасность

Ключевые слова: Касперский, Dr Web, анализ информационной безопасности, троян, вирус, безопасный интернет, безопасность, Kaspersky, антивирус, eset, вирусная активность, системы безопасности, Доктор Веб, мошенничество, мошенничество в интернете

наверх
 
 
     

А знаете ли Вы что?

     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

MSKIT.RU: последние новости Москвы и Центра

ITSZ.RU: последние новости Петербурга