Удивительно, но факт: несмотря на приближающиеся выборы Президента Российской Федерации, которые должны состояться 4 марта 2012 года, политическая тематика практически не представлена в спам-рассылках. Напомним, что схожая ситуация складывалась и во время выборов в Государственную Думу РФ. По всей видимости, политтехнологи окончательно разочаровались в спаме как средстве информационного воздействия на потенциальных избирателей, переключившись на социальные сети. Сегодня посредством массовых рассылок рекламируются в основном всевозможные тематические семинары, программы семейного отдыха на весенних каникулах, пиратские коллекции фильмов и музыки — все что угодно, кроме политических мероприятий и связанных с предстоящими выборами событий.
С точки зрения вирусной активности, февраль не принес каких-либо сюрпризов и неожиданностей. В списках угроз, выявленных на компьютерах пользователей при помощи утилиты Dr.Web CureIt! во втором месяце этого года, уверенно лидирует по количеству обнаружений файловый инфектор Win32.Expiro.23. Проникая на инфицированный компьютер, эта вредоносная программа повышает свои привилегии в системе и заражает исполняемые файлы. Ее основное предназначение заключается в хищении паролей от программ INETCOMM Server, Microsoft Outlook, Internet Explorer, Mozilla Firefox, FileZilla. Помимо Win32.Expiro.23, на зараженных машинах достаточно часто обнаруживается Trojan.Mayachok.1 — вредоносная программа, блокирующая пользователю доступ в Интернет или к наиболее популярным сайтам и требующая для разблокировки ввести в соответствующую форму свой номер мобильного телефона, а затем ответить на входящее СМС-сообщение. После этого жертва оказывается подписанной на различные платные услуги, за которые с ее счета будет регулярно списываться определенная денежная сумма.
Очередная угроза для пользователей Facebook
Пользователи уже давно привыкли к троянцам, ориентированным на завсегдатаев отечественных социальных сетей, и вот в поле зрения специалистов по информационной безопасности попала вредоносная программа Trojan.OneX, предназначенная для рассылки спама в крупнейшей в мире социальной сети Facebook, а также через программы-месседжеры.Trojan.OneXработает только в 32-разрядной версии ОС Windows. После запуска на инфицированной машине Trojan.OneX.1проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида «hahaha! http://goo.gl[…].jpeg», на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook.
Вскоре после появления первой модификации троянца в распоряжении вирусных аналитиков компании «Доктор Веб» появился образец вредоносной программы, получившей название Trojan.OneX.2. В отличие от первой версии троянца, вторая модификация Trojan.OneXиспользует для отправки сообщений популярные программы-месседжеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируются мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 умеет работать с конфигурационными файлами в кодировке Unicode.
И вновь винлоки
В феврале получила естественное продолжение январская тенденция снижения числа обращений пользователей, пострадавших от программ-блокировщиков: их количество сократилось еще на 28 процентов. По всей видимости, все меньше жертв подчиняется требованиям вирусописателей, предпочитая использовать иные пути разблокировки операционной системы, а злоумышленники ищут другие способы заработка и новые рынки для распространения программ-вымогателей. Так, в феврале специалистами «Доктор Веб» был обнаружен винлок, ориентированный на носителей арабского языка.
Троянец-спамер и семейство Volk
Trojan.Spamer.46 распространяется через торренты вместе с архиватором WinRAR. Обосновавшись в операционной системе, троянец начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, добавляя в отсылаемые пользователем сообщения текст «Кстати, глянь: [ссылка]». Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное СМС-сообщение.
BackDoor.Volk.2, в отличие от своего предшественника, написан на Visual Basic и при обращении к удаленным узлам для передачи запросов использует метод POST, а не GET. Помимо загрузки и запуска приложений, а также подмены файла hosts, эта вредоносная программа обладает функционалом для проведения DDoS-атак и способна красть пароли от FTP-клиентов, установленных на инфицированном компьютере. Следует отметить, что модуль обмена данными с командным сервером в троянце BackDoor.Volk.2 явно позаимствован у другой вредоносной программы — BackDoor.Herpes, исходные коды которой появились в свободном доступе некоторое время назад.
BackDoor.Volk.3 и BackDoor.Volk.4 также написаны на Visual Basic и являются модификациями BackDoor.Volk.2: основные изменения касаются методов обмена информацией с управляющим сервером. Функционал этих троянцев в целом схож. Троянцы BackDoor.Volk способны объединяться в ботнеты, управляемые посредством специальной административной панели.
Злоумышленники следят за пользователями через веб-камеру
Как гласит народная мудрость, если у вас нет паранойи, это еще не значит, что за вами не следят. Троянец BackDoor.Webcam.9 позволяет выполнять на инфицированной машине различные команды, поступающие от удаленного сервера злоумышленников, а также перехватывает изображение с подключенной к компьютеру веб-камеры, делая личную жизнь владельца инфицированного ПК достоянием вирусописателей.Запустившись на исполнение, бэкдор копирует себя в системную папку для хранения временных файлов и прописывается в одну из ветвей системного реестра, отвечающую за автоматический запуск приложений. Затем троянец проверяет наличие копии самого себя на зараженной машине. После этого вредоносная программа отправляет на удаленный командный сервер серию запросов, передавая злоумышленникам ряд сведений об инфицированном компьютере, включая его IP-адрес, тип учетной записи пользователя, количество подключенных к системе веб-камер, имя компьютера и версию ОС, а затем ожидает поступления новых команд.
Эксплойты для Mac OS X
Уязвимости Java уже неоднократно использовались злоумышленниками в целях распространения вредоносного ПО для различных системных платформ, в том числе Windows. В феврале вирусописатели впервые начали эксплуатировать несколько известных ранее кросс-платформенных уязвимостей Java для заражения Apple-совместимых компьютеров.Работает этот механизм следующим образом. При открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, если запрос сделан из-под Mac OS X с определенной версией браузера, пользователю отдается веб-страница, загружающая несколько java-апплетов.
/Library/LittleSnitch /Developer/Applications/Xcode.app/Contents/MacOS/Xcodeи, если их обнаружить не удалось, пытается загрузить основной модуль троянской программы BackDoor.Flashback.26. В противном случае загрузчик просто удаляет себя. Модуль clclib.jar использует уязвимость CVE-2008-5353, а ssign.jar представляет собой дроппер Java.Dropper.8, подписанный недействительной подписью: злоумышленники рассчитывают на то, что пользователь добавит эту подпись в список доверенных и тем самым разрешит выполнение кода. На сегодняшний день данные уязвимости используются в основном для распространения уже известного среди пользователей Mac OS X бэкдора BackDoor.Flashback.
Новый DDoS-бот
В феврале специалистами «Доктор Веб» была обнаружена вредоносная программа, представляющая собой довольно «продвинутый» инструмент для осуществления DDoS-атак на различные интернет-ресурсы. Trojan.Tenagour.9 состоит из двух компонентов: инжектора и динамической библиотеки, в которой хранится полезная нагрузка. После запуска в операционной системе троянец проверяет наличие своей установленной копии и, если таковая отсутствует, сохраняется в папку %APPDATA% под именем smss.exe, после чего прописывает себя в ветви системного реестра, отвечающей за автоматический запуск приложений.Затем Trojan.Tenagour.9 отправляет на удаленный командный сервер запрос, содержащий данные о версии и разрядности операционной системы, MD5-хеш имени инфицированного компьютера и серийный номер первого раздела жесткого диска. В ответ Trojan.Tenagour.9 получает зашифрованную строку, содержащую URL сайта, на который будет осуществлена атака, и несколько вспомогательных параметров. Кроме того, от удаленного командного центра может быть получена директива на обновление троянца.
Trojan.Tenagour.9 позволяет осуществлять 8 типов DDoS-атак на различные интернет-ресурсы с использованием протоколов TCP/IP и UDP, методов GET и POST. Предусмотрен функционал автоматического добавления в список атакуемых ресурсов всех ссылок, обнаруженных на указанном злоумышленниками сайте.
Вредоносные файлы, обнаруженные в почтовом трафике в феврале
| 01.02.2012 00:00 - 29.02.2012 16:00 | ||
| 1 | Trojan.DownLoad2.24758 | 1260889 (23.57%) |
| 2 | Trojan.Oficla.zip | 942938 (17.63%) |
| 3 | Trojan.Tenagour.9 | 608458 (11.37%) |
| 4 | JS.Nimda | 469381 (8.77%) |
| 5 | Trojan.Inject.57506 | 316116 (5.91%) |
| 6 | EICAR Test File (NOT a Virus!) | 240989 (4.50%) |
| 7 | Win32.Rmnet.12 | 201603 (3.77%) |
| 8 | Trojan.DownLoad2.32643 | 144994 (2.71%) |
| 9 | Trojan.Tenagour.3 | 124987 (2.34%) |
| 10 | Trojan.PWS.Ibank.456 | 103213 (1.93%) |
| 11 | Trojan.Siggen2.58686 | 91438 (1.71%) |
| 12 | Trojan.Siggen2.62026 | 86986 (1.63%) |
| 13 | Trojan.Packed.19696 | 59825 (1.12%) |
| 14 | Trojan.DownLoad2.34604 | 58289 (1.09%) |
| 15 | Win32.HLLM.Netsky.18516 | 41365 (0.77%) |
| 16 | Trojan.DownLoader.42350 | 40454 (0.76%) |
| 17 | Program.RemoteAdmin.418 | 38053 (0.71%) |
| 18 | Program.RemoteAdmin | 36979 (0.69%) |
| 19 | Trojan.Siggen.65070 | 32930 (0.62%) |
| 20 | Program.RemoteAdmin.451 | 32100 (0.60%) |
| Всего проверено: | 12,997,175,680 |
| Инфицировано: | 5,349,414 (0.04%) |
Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей
| 01.02.2012 00:00 - 29.02.2012 16:00 | ||
| 1 | Win32.Rmnet.12 | 45439835 (54.15%) |
| 2 | Win32.HLLP.Neshta | 17871611 (21.30%) |
| 3 | JS.IFrame.112 | 8509024 (10.14%) |
| 4 | Trojan.Hosts.5006 | 2171701 (2.59%) |
| 5 | Trojan.DownLoader.42350 | 2167227 (2.58%) |
| 6 | JS.IFrame.167 | 584615 (0.70%) |
| 7 | Trojan.PWS.Ibank.456 | 578969 (0.69%) |
| 8 | Trojan.IFrameClick.3 | 396594 (0.47%) |
| 9 | Trojan.MulDrop1.48542 | 322626 (0.38%) |
| 10 | Trojan.Tenagour.3 | 283463 (0.34%) |
| 11 | Trojan.Fraudster.261 | 241669 (0.29%) |
| 12 | Trojan.DownLoader5.18057 | 232619 (0.28%) |
| 13 | JS.IFrame.132 | 222200 (0.26%) |
| 14 | Win32.Virut | 174800 (0.21%) |
| 15 | Trojan.Hosts.5571 | 136354 (0.16%) |
| 16 | Program.RemoteAdmin | 130009 (0.15%) |
| 17 | Trojan.MulDrop.54146 | 127922 (0.15%) |
| 18 | SCRIPT.Virus | 112282 (0.13%) |
| 19 | Trojan.Qhost.3907 | 110427 (0.13%) |
| 20 | BackDoor.Ddoser.131 | 107935 (0.13%) |
| Всего проверено: | 148,537,446,432 |
| Инфицировано: | 83,912,629 (0.06%) |
Доктор Веб
