PandaLabs опубликовала вирусный отчет за 1 квартал 2014 года

Объемы создания вредоносных программ побили все рекорды: свыше 160 000 угроз ежедневно. Трояны стали причиной 80% всех инфекций. Продолжился рост количества атак на Android. Произошло несколько самых крупных за всю историю краж данных.

Компания Panda Security, производитель облачных решений безопасности и ведущий поставщик программ защиты от вредоносного программного обеспечения и вирусов, опубликовала последние результаты своего ежеквартального отчета PandaLabs за первый квартал 2014 года. Основные выводы этого исследования включают тот факт, что в течение данного периода времени объем создания вредоносных программ побил все рекорды, достигнув отметки в 15 миллионов новых образцов, что соответствует более 160 000 новых образцов ежедневно.
Трояны продолжают оставаться наиболее распространенным типом новых вредоносных программ, что составляет порядка 71,85% от числа новых угроз, созданных в течение первого квартала. Соответственно, за этот период наибольшее число инфекций также было вызвано троянами: их доля достигла 79,90% от числа всех заражений.
Что касается мобильных устройств, то продолжается рост числа атак на операционные системы Android. Большинство из них привели к подписке пользователей (без их ведома!) на дорогостоящие SMS-сервисы как через Google Play, также и через рекламные объявления на Facebook с использованием WhatsApp в качестве приманки.
Продолжая данную тему, отметим, что социальные сети по-прежнему являются излюбленной средой для кибер-преступников при преследовании своих жертв. Например, группа хакеров под названием «Сирийская электронная армия» взломала аккаунты пользователей в Twitter и Facebook, а также попыталась получить контроль над доменом facebook.com в рамках атаки, которая была вовремя обнаружена со стороны MarkMonitor.
На протяжении первых трех месяцев этого года мы стали свидетелями самых крупных с момента создания Интернета случаев кражи данных. Как и ожидалось, вредоносная программа-вымогатель Cryptolocker, шифрующая файлы пользователей и требующая после этого с них выкуп за разблокировку файлов, продолжает увеличивать число жертв.
«В эти месяцы уровни кибер-преступлений продолжали расти. На самом деле, мы стали свидетелями нескольких случаев кражи данных, которые стали крупнейшими с момента создания Интернета, в результате чего пострадали миллионы пользователей», - объяснил Луис Корронс, Технический директор PandaLabs в Panda Security.

Трояны – наиболее популярное вредоносное оружие среди хакеров
И в 2014 году трояны остаются теми вредоносными программами, которые наиболее широко используются среди хакеров для заражения пользователей. Согласно данным PandaLabs, четыре из пяти инфекций во всем мире были вызваны троянами: всего около 79,90% от числа всех заражений в мире. Вирусы заняли второе место, достигнув уровня в 6,71% от числа всех инфекций. Далее следуют черви с показателем 6,06%.

Трояны – наиболее часто создаваемая вредоносная программа
Трояны также возглавили рейтинг наиболее часто создаваемых вредоносных программ: на их долю пришлось 71,85% от числа всех новых угроз. Далее идут черви (12,25%) и вирусы (10,45%).

Распределение инфекций по странам
Глобальный уровень заражения по итогам первых трех месяцев 2014 года составил 32,77%. Китай по-прежнему является страной с наибольшим уровнем инфекций (52,36% зараженных компьютеров), второе место заняла Турция (43,59%), а третье – Перу (42,14%). Россия снова попала в первую десятку и заняла в ней «почетное» шестое место с показателем 41,08%.

Европейские страны уверенно расположились среди стран с наименьшим уровнем инфекций. Лучшими среди них являются Швеция (21,03%), Норвегия (21,14%), Германия (24,18%) и Япония (24,21%), которая стала единственной неевропейской страной, попавшей в первую десятку этого рейтинга.
Полностью отчет доступен здесь.

Хакеры подделали антивирус Касперского

Сотрудники «Лаборатории Касперского» обнаружили поддельную версию антивируса Kaspersky для мобильных устройств. Фальсификат размещен на Windows Phone Store и Google Play. Вместо борьбы с вирусами приложения просто показывали пользователям успокаивающие картинки. Для получения прибыли злоумышленникам вовсе не обязательно делать программы вредоносными. Мошенники способны за деньги распространять бесполезный софт. Эксперты «Лаборатории Касперского» обнаружили приложение Kaspersky Mobile в Windows Phone Store. Софт стоит $4,3 и не имеет никакого отношения к компании.

Как и Virus Shield, поддельная программа стала популярной после покупки сотнями пользователей Google Play. Вместе с тем, софт ничего не защищает смартфоны и планшеты от вирусов, а только предоставляет скриншоты с демонстрацией своих функций.

Те же преступники загрузили ряд фиктивных программ, замаскированных под реально существующий софт. В перечень подделок вошли Mozilla Mobile, Avira Antivir, Netscape Mobile, Google Chrome Pro, Opera Mobile, Internet Explorer и Virus Shield. Данные приложения продаются, но совершенно бесполезны.

На Google Play эксперты нашли софт Kaspersky Anti-Virus 2014 не имеющий никакого отношения к фирме. Лицензированное приложение называется Kaspersky Internet Security for Android.

anti-malware.ru

DDoS-троянцы атакуют Linux

Стереотипное мнение о том, что операционные системы, построенные на базе ядра Linux, в силу особенностей своей архитектуры полностью защищены от проникновения вредоносных программ, заметно облегчает жизнь злоумышленникам, распространяющим подобное ПО. В мае 2014 года специалисты компании «Доктор Веб» выявили и исследовали рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux, значительная часть которых предназначена для организации DDoS-атак.
Эти вредоносные программы объединяют общие черты: во-первых, они предназначены для организации DDoS-атак с использованием различных протоколов, а во-вторых, по косвенным признакам можно сделать вывод о том, что большинство исследованных специалистами «Доктор Веб» DDoS-троянцев создано одним и тем же автором.
Так, вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.DDoS.3, обладает достаточно широким спектром функциональных возможностей. После своего запуска троянец определяет адрес командного сервера и отправляет на него информацию об инфицированной системе, а затем ожидает получения конфигурационных данных с параметрами текущей задачи (отчет о ее выполнении также впоследствии отправляется злоумышленникам). Linux.DDoS.3 позволяет осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification).
Еще одна модификация данной угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Троянец Linux.DDoS.24 устанавливается в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска он также собирает сведения об аппаратной конфигурации инфицированного компьютера — в том числе о типе процессора и объеме памяти — и отправляет ее в зашифрованном виде на принадлежащий киберпреступникам управляющий сервер. Основное предназначение этой вредоносной программы заключается в выполнении DDoS-атак по команде с удаленного узла.
Следующая группа угроз для ОС Linux, исследованных специалистами «Доктор Веб» в текущем месяце, включает троянцев Linux.DnsAmp.1, Linux.DnsAmp.2, Linux.DnsAmp.3, Linux.DnsAmp.4 и Linux.DnsAmp.5. Некоторые вредоносные программы семейства Linux.DnsAmp используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. Подобно другим представителям данного класса DDoS-троянцев, Linux.DnsAmp регистрирует себя в автозагрузке, собирает и отправляет на удаленный сервер сведения о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша, и т. д.), после чего ожидает поступления управляющих команд. Среди возможностей данного класса троянцев необходимо отметить следующие:

• SYN Flood (отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы);
• UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1 000 сообщений);
• Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
• отправка запросов на серверы DNS (DNS Amplification);
• отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется).

Также по команде с удаленного сервера Linux.DnsAmp может записать информацию в файл журнала, повторить атаку или обновиться.
Троянцы Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных Linux-дистрибутивов) представляют собой модификации первой версии Linux.DnsAmp с предельно упрощенной системой команд. Фактически, эти реализации троянца могут выполнять только три поступающих с управляющего сервера директивы: начать DDoS-атаку, остановить атаку и записать данные в файл журнала. Следует отметить, что многие из перечисленных выше вредоносных программ используют одни и те же управляющие серверы.
Наконец, следует упомянуть о вредоносной программе для ARM-совместимых дистрибутивов Linux, получившей наименование Linux.Mrblack. Этот троянец также предназначен для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP. Он имеет довольно примитивную архитектуру и, подобно другим аналогичным угрозам, действует по команде с управляющего сервера.

Командные центры, с использованием которых осуществляется управление упомянутыми троянскими программами, располагаются преимущественно на территории Китая, и реализованные с их помощью DDoS-атаки направлены, в основном, против китайских интернет-ресурсов. Все перечисленные вредоносные приложения детектируются и удаляются Антивирусом Dr.Web для Linux и потому не представляют опасности для пользователей данного продукта.

Доктор Веб

Спам становится мобильным: «Лаборатория Касперского» подвела итоги первого квартала 2014 года

По итогам первого квартала 2014 года доля спама в почтовом трафике составила 66,3%, оказавшись, таким образом, на 6,4% ниже, чем в последние три месяца 2013 года. Однако по сравнению с аналогичным периодом в 2013 году снижение доли нежелательных сообщений совсем незначительно — всего на 0,2%. К таким выводам пришли эксперты «Лаборатории Касперского» после анализа спама за первые три месяца этого года.
Одной из самых заметных тенденций стала концентрация внимания спамеров на пользователях мобильных устройств. В частности, «Лаборатория Касперского» отметила увеличение числа спамерских писем, подделанных под сообщения или уведомления от мобильных приложений. Чаще других в подобных рассылках в первом квартале встречалось кроссплатформенное мобильное приложение WhatsApp: подделки под нотификации WhatsApp использовались спамерами для распространения как вредоносных программ, так и ссылок на рекламные сайты, в частности, с рекламой виагры. Эксперты также зафиксировали поддельные сообщения и от других популярных мессенджеров: Viber и Google Hangouts.
На фоне роста интереса спамеров к мобильным устройствам в первом квартале 2014 года наблюдалось также увеличение числа фишинговых атак, целью которых являлась кража персональных данных пользователей от учетной записи Apple ID. Отчасти благодаря этому по итогам квартала компания Apple оказалась на 17-м месте среди наиболее часто атакуемых фишерами организаций.
В целом же сильнее всего в первом квартале 2014 года фишеры ударили по почтово-поисковым порталам — более трети всех подобных атак, а точнее 34,6%, пришлись именно на эти веб-ресурсы. В большинстве случаев усилия злоумышленников были направлены на то, чтобы заполучить данные, дающие доступ к почтовому ящику пользователя. Помимо использования чужого почтового аккаунта в своих корыстных целях мошенники могут также проверить взломанный ящик на наличие логинов и паролей от других веб-сервисов, а значит — потенциально получить доступ почти ко всем ресурсам, которыми пользуется владелец аккаунта, в том числе и к онлайн-банкингу.
Основной целью большинства вредоносных программ, распространяемых через почту, является хищение конфиденциальной информации пользователя. Однако в первом квартале этого года также были популярны зловреды, способные рассылать спам и устраивать DDoS-атаки. Таковым, в частности, является сетевой червь Net-Worm.Win32.Aspxor, который в начале года оказался вторым по распространенности среди вредоносных вложений в спам-рассылках — помимо скачивания и запуска других зловредов и сбора конфиденциальной информации эта программа также имеет функционал рассылки спама. А троянцы семейства Fareit, также вошедшие в первую десятку наиболее часто встречающихся вредоносных вложений в почте, как раз ответственны за осуществление DDoS-атак. В целом же большинство популярных зловредов сегодня многофункциональны, и они с легкостью могут воровать данные с компьютера жертвы, подключать устройство в ботнет, скачивать и устанавливать другие вредоносные программы.
В рейтинге географического распределения источников спама заметных изменений в первом квартале не произошло. Тройку лидеров уже давно и уверенно занимают Китай, США и Южная Корея: по итогам первых трех месяцев года их доли составили, соответственно, 21,9%, 18,8% и 13%. Россия в этом списке заняла 4-ю строчку, опередив Тайвань: набрав 0,3% к показателю предыдущего квартала, она достигла доли в 6,5%.
«В настоящее время «умные» мобильные устройства есть почти у каждого, и специальные мобильные приложения пользуются большой популярностью. Как показал первый квартал этого года, злоумышленники начали активно эксплуатировать эту тенденцию. Вредоносные программы под Android уже распространяются по электронной почте, но пока их довольно мало. Следовательно, в ближайшее время можно ожидать увеличения спама с подобными вредоносными вложениями, а также роста поддельных уведомлений от мобильных приложений, — делится прогнозами Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского». — Кроме того, мы хотели бы обратить внимание пользователей на защиту почтовых акканутов, которые в начале года стали основной целью фишеров. В таких условиях мы рекомендуем использовать сложные пароли для почтовых ящиков и по возможности пользоваться двойной аутентификацией для доступа к другим ресурсам, пароли от которых нередко хранятся в электронной почте».

Учите язык и звоните дешевле, или Чем запомнится мартовский спам

Доля спама в мировом почтовом трафике в марте снизилась на 6,4% и в итоге составила 63,5%. Также по сравнению с февралем в начале весны уменьшился поток так называемого праздничного спама — рекламных сообщений, эксплуатирующих тематику актуальных для текущего сезона праздников. К таким выводам пришли эксперты «Лаборатории Касперского» в ходе традиционного ежемесячного анализа.  
В течение первого весеннего месяца широкое распространение в Сети получили рекламные рассылки с предложениями выучить иностранные языки при помощи разнообразных авторских методик. Подобный спам пестрел сообщениями о возможности выучить любой язык по Skype, узнать секреты уникального метода самостоятельного обучения, а также предложениями от конкретных языковых школ и учебных центров.
Помимо этого, заметный след в мартовском почтовом трафике оставили сообщения, в которых спамеры предлагали оптимизировать расходы на телефонную связь. Большая часть таких писем была адресована крупным и средним компаниям. Однако домашних пользователей спамеры также не обошли вниманием: в частности, авторы некоторых рассылок дополнительно предлагали улучшить качество мобильной связи и мобильного Интернета в квартире или на даче.
Немало вредоносных вложений в марте распространялось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами. Подобные письма приходили к пользователям под видом платежных извещений от налогового органа и требованием оплатить налог или указать в декларации незаявленные ранее доходы. Чтобы узнать подробности, получателю сообщения предлагалось открыть приложенный отчет или заполнить полученную во вложении форму документа. На самом деле архивированные файлы содержали зловредов, в частности троянцев, крадущих конфиденциальные данные пользователей или скачивающих и запускающих на компьютере вредоносные программы.
Среди регионов лидером по распространению спама неизменно остается Азия. Более того, в марте ее позиции укрепились: эта часть света увеличила свою долю на 4% и в итоге оказалась ответственна за 58% мирового спама. Азиатский след доминирует и в рейтинге стран-источников нежелательных сообщений. По сравнению с февралем тройка лидеров не изменилась, и первое место все так же занимает Китай с долей 24,6%, на втором месте располагаются США с показателем 17%, а на третьем оказалась  Южная Корея, откуда было разослано 13,6% мирового спама.
Что касается источников спама в Рунете, то здесь картина несколько иная, однако она также не меняется на протяжении многих месяцев. Лидером по количеству нежелательных сообщений, разосланных пользователям в марте, все также остается Россия, чья доля хоть и сократилась на 2,5%, но составила абсолютный максимум месяца — 17,3%. Второе место занимает Тайвань — за первый весенний месяц доля спама, разосланного в Рунете из этой страны, выросла на 1,7% и составила в итоге 13,2%. Третье же место снова досталось Индии с ее показателем 11%. 

Страны-источники спама в Рунете, март 2014

«Спамеры делают все возможное для того, чтобы заставить пользователя отреагировать на их письмо и открыть вложение или пройти по ссылке, которые запросто могут быть вредоносными. Количество атак на финансовый сектор заметно увеличилось за прошедший год. Это связано с тем, что все больше людей пользуются интернет-банкингом, совершая финансовые транзакции не только с ноутбуков, но и других цифровых устройств. Таким образом, риск стать жертвой злоумышленников сегодня весьма высок. Именно поэтому мы рекомендуем пользоваться современными защитными решениями, а также ни в коем случае не переходить по подозрительным ссылкам и не запускать непроверенные файлы», — рассказывает Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

Trojan.ProSto.1 продвигает отечественные технологии

События последних нескольких недель, в течение которых компании Visa и MasterCard приостановили процессинг платежей по пластиковым картам для ряда российских банков, породили множество дискуссий о целесообразности развития национальной платежной системы Про100, не зависящей от каких-либо зарубежных организаций. По всей видимости, определенный интерес к этой ситуации проявили и злоумышленники, специализирующиеся на создании вредоносных программ для банкоматов и платежных терминалов. Так, троянец Trojan.ProSto.1 ориентирован в первую очередь на зарубежных держателей банковских карт, пользующихся банкоматами и платежными терминалами на территории России.

Большинство современных банковских карт помимо магнитной полосы имеет встроенный чип с перезаписываемой памятью, позволяющей хранить определенный объем информации о типе карты, реквизитах и валюте счета клиента. Так, в память универсальных электронных карт (УЭК), используемых в российской платежной системе Про100, можно записывать дополнительные данные — в том числе банковское приложение для осуществления дистанционных платежных операций, идентификационные данные держателя карты (включающие цифровую подпись) и электронный кошелек, предназначенный для оплаты проезда в общественном транспорте.
Обнаруженный специалистами компании «Доктор Веб» троянец Trojan.ProSto.1 способен инфицировать банкоматы нескольких производителей, работающие под управлением 32-разрядных операционных систем Microsoft Windows XP, Windows Embdedded и WEPOS (Windows Embedded POSReady). При этом сам троянец не обладает какими-либо модулями для обеспечения саморепликации, поэтому механизм его распространения до настоящего момента остается неизученным. Запустившись на инфицированном устройстве, вредоносная программа проверяет систему на наличие ранее осуществленного заражения во избежание повторной установки. Затем Trojan.ProSto.1 создает собственную копию в папке инсталляции ОС под именем taskmgr.exe и регистрирует ее в качестве системной службы, после чего операционная система принудительно перезагружается. Во временную папку сохраняется файл динамической библиотеки, в которой реализована часть функционала троянца. После повторной загрузки Windows в системе оказываются запущенными два процесса taskmgr.exe, один из которых является легальным. При попытке выгрузить вредоносный процесс троянец выводит на экран диалоговое окно с сообщением об ошибке:

В случае успешной установки Trojan.ProSto.1 с заданной периодичностью опрашивает состояние банкомата. При обнаружении в считывающем устройстве банковской карты с интегрированным чипом троянец осуществляет динамическую проверку значения IIN (Issuer identification number) — номера, в котором закодировано наименование платежной системы и банка-эмитента карты. Если процессинг карты осуществляется международными системами Visa или MasterCard и карта эмитирована банком, расположенным за пределами Российской Федерации, Trojan.ProSto.1 генерирует команду на удаление содержимого чипа, после чего извлекает из динамической библиотеки хранящийся в ней бинарный образ, расшифровывает его и записывает в память карты. При этом предпочтение отдается держателям карт класса Gold и Platinum. В образе содержится банковское приложение российской национальной платежной системы Про100, а также ряд других данных. Таким образом, обладатели банковских карт международного стандарта неожиданно для себя становятся пользователями российской национальной платежной системы со всеми вытекающими последствиями — включая возможность оплаты проезда в общественном транспорте, парковки в Москве, а также дистанционного перечисления средств за коммунальные услуги, штрафов ГИБДД и выплат налогов в российский бюджет.
Специалисты по информационной безопасности склоняются к мнению, что к распространению угрозы могут быть причастны активисты подпольной хакерской организации «Киберпатриоты», ратующие за развитие и повсеместное внедрение информационных технологий российского производства. С 1 апреля 2014 года Trojan.ProSto.1 успешно детектируется и удаляется Антивирусом для встроенных систем Dr.Web ATM Shield.

 Доктор Веб