|
|
|||||||||||||||||||||||||||||
|
Обзор вирусной активности: декабрь 2010Источник: securelistcom Вячеслав Закоржевский
В декабре не было отмечено значимых вирусных инцидентов. Тем не менее, в течение месяца:
Тактика, используемая злоумышленниками, осталась неизменной. По-прежнему веб-серфинг остается опасным занятием, а злоумышленники активно используют методы социальной инженерии, чтобы спровоцировать пользователей открыть вредоносную ссылку или загрузить на компьютер вредоносную/мошенническую программу. Мошенники в доменной зоне .рфВ ноябре 2010 началась регистрация доменных имен в зоне .рф для всех желающих. Мы решили проследить, как осваивают новую доменную зону злоумышленники. Оказалось, что среди вредоносных преобладают программы мошеннической направленности. На вредоносных ресурсах в зоне ".рф" чаще всего встречаются три вида зловредов. Первый - фальшивые архивы. О фальшивых архивах мы довольно много и подробно рассказывали, например, в начале декабря, и здесь останавливаться на этом не будем. Второй - скриптовый редиректор Trojan.JS.Redirector.ki. Он устроен достаточно примитивно, а основной его задачей является переброска пользователя на вредоносную страницу с помощью команды "document.location". Третий - Hoax.Win32.OdnoklAgent.a - очень необычный экземпляр. Программа открывает окно "Одноклассники Агент", где использован логотип широко известной в России социальной сети "Одноклассники". В окне присутствуют ссылки на страницы социальной сети и даже копирайт. Но сама программа представляет собой пустышку - она ничего не делает, даже если введены верные логин-пароль пользователя сети. Окно, открываемое Hoax.Win32.OdnoklAgent.a У кого же возникла необходимость в Hoax.Win32.OdnoklAgent.a? Дело в том, что в зоне ".рф" существует множество однотипных сайтов, на которых предлагаются "бесплатные услуги для удобства общения". "Бесплатные услуги", конечно, отнюдь не бесплатны: чтобы получить к ним доступ, пользователь должен отправить платное SMS-сообщение на премиум-номер. А сама "услуга" предоставляется в виде Hoax.Win32.OdnoklAgent.a: отправив SMS, пользователь получает программу-пустышку.
На всех таких сайтах в конце главной страницы есть раздел "правила", содержащий весьма любопытный пункт:
Таким образом владельцы сайта подстраховались: программа-пустышка и не должна ничего делать, так как в правилах оговорено, что "материалы данного сайта имеют лишь шуточный характер". Только вот за "шутки" мошенников платить приходится невнимательным пользователям - в данном случае по цене SMS. Фальшивые антивирусы - теперь онлайнКоличество лжеантивирусов в последнее время поубавилось - антивирусы успешно справляются с подделками мошенников, и попытки их загрузки на компьютеры становятся менее эффективными. Но мошенники придумали, как им добраться до пользователей альтернативным путем: они стали запускать фальшивые антивирусы не на компьютере пользователя, а в интернете. В этом случае загрузка файла на компьютер не требуется, а добиться, чтобы пользователь перешел на определённую страницу, проще, чем обойти антивирусную защиту. За последний месяц сразу несколько таких новых "интернет-антивирусов" оказалось в лидерах вредоносных программ, обнаруженных в интернете, а два из них даже попали в TOP 20 (18-е и 20-е места). На скриншоте ниже можно видеть результаты работы одного из таких "антивирусов" Trojan.HTML.Fraud.ct.
Как видно на скриншоте, "антивирус" создаёт интернет-страничку, которая очень похожа на окно "Мой Компьютер" семейства операционных систем Windows. Дальше все развивается по уже знакомому сценарию: начинается имитация проверки компьютера на наличие вирусов, которые сразу же "находятся". Если пользователь соглашается вылечить свою систему, то к нему на компьютер загружается лжеантивирус, который предлагает пользователю оплатить лицензию ("лечение" компьютера предполагается после оплаты лицензии).
Большинство пользователей, на компьютерах которых было зафиксировано срабатывание этого зловреда, живут в развитых странах: в США, Канаде, Великобритании, Германии и Франции. В этом же списке находится Индия - вероятно из-за того, что в этой стране много англоговорящих пользователей.
Маскировка вредоносных ссылокСервисы, укорачивающие URL, стали довольно популярными совсем недавно. Это связано с тем, что в Twitter стоит ограничение на длину сообщения в 140 символов. Использование таких сервисов позволяет злоумышленникам маскировать вредоносные ссылки, чем они и пользуются. В декабре в ходе одной из вредоносных атак в сервисе микроблогов Twitter, на главной странице, в списке популярных тем несколько тем набрали высокие позиции искусственным путем с помощью зловредов. Все темы содержали ссылки, свернутые при помощи таких сервисов, как bit.ly, alturl.com и т.д. Перейдя по этим ссылкам, пользователь в результате нескольких редиректов попадал на зараженную веб-страницу, и на его компьютер незаметно загружалась вредоносная программа. Сервис goo.gl от компании Google также использовался киберпреступниками для распространения зловредных ссылок в Twitter в начале декабря. Еще один способ маскировки вредоносной ссылки мы обнаружили в конце месяца. Была зафиксирована IM-рассылка сообщений, содержащих ссылки на страницу Facebook, предназначенную для предупреждения пользователя о том, что он покидает сайт социальной сети. Однако ссылка была дополнена злоумышленниками таким образом, что когда пользователь, пройдя по этой ссылке, в окне выхода из Facebook нажимал на кнопку "продолжить", он перенаправлялся на вредоносный ресурс. TDSS расширяет свои возможностиПомимо организации мошеннических атак в Сети и не самых сложных атак через социальные сети, киберпреступники работают и над "тяжёлой артиллерией" аресенала зловредов. Авторы одной из самой сложной на сегодняшний день вредоносной программы - руткита TDSS - продолжают совершенствовать его. В декабре последняя модификация руткита, TDL-4, стала использовать уязвимость CVE-2010-3338. Эта уязвимость была открыта в июле 2010 года при исследовании червя Stuxnet. Не только уязвимостиВ ноябрьском обзоре мы писали о том, что семейство Trojan-Downloader.Java.OpenConnection активно растет. Для загрузки вредоносных объектов на компьютеры пользователей они используют не уязвимости, а метод OpenConnection класса URL. В декабрьский рейтинг вредоносных программ в интернете попали два представителя Trojan-Downloader.Java.OpenConnection (2-е и 7-е места). На пике активности программ этого семейства количество уникальных пользователей, на компьютерах которых было зафиксировано срабатывание Trojan-Downloader.Java.OpenConnection, в сутки превышало 40 000.
Как уже было сказано выше, все представители семейства Trojan-Downloader.Java.OpenConnection используют для загрузки и запуска вредоносного файла из веба не уязвимости, а стандартные возможности Java. Для зловредов, написанных на языке Java, такой способ загрузки в настоящее время является одним из основных. По всей видимости, рост популярности вредоносных программ этого семейства будет продолжаться до тех пор, пока компания Oracle не закроет используемую ими возможность скачивания файлов. Adobe XML Forms в PDF-эксплойтеВ декабре в TOP 20 зловредов в вебе попал Exploit.Win32.Pidief.ddl (11-е место), представляющий собой pdf-документ, который построен на основе Adobe XML Forms. Весь зловредный функционал Pidief.ddl зашит в JavaScript скрипте, который встроен в XML-стрим. В объектной модели Adobe XML Forms присутствует объект "event", который вызывает исполнение скрипта при наступлении определённого события. У этого объекта есть свойство "activity", отвечающее за исполнение скрипта. Это свойство содержит строку, которая указывает обработчику, когда вызвать скрипт. В данном файле в этой строке стоит "initialize", что означает, что пользователь, открыв PDF-документ, инициализирует запуск вредоносного скрипта. Этот скрипт представляет собой эксплойт, который скачивает и запускает другой зловред.
Это первый зафиксированный нами случай массового распространения вредоносных PDF-документов, использовавших модель Adobe XML Forms. Навязчивая рекламаРекламный софт, детектируемый как AdWare.Win32.HotBar.dh и включающий в себя рекламные программы HotBar, Zango, ClickPotato, со значительным отрывом от конкурентов занял 1-е место в рейтинге веб-угроз и 5-е место в TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей. Как правило, такой софт устанавливается совместно с легальными приложениями и затем создаёт большие неудобства для пользователя, навязчиво демонстрируя ему рекламу.
Вредоносные программы в интернете
Вредоносные программы, обнаруженные на компьютерах пользователей
|
|