Обзор вирусной активности: декабрь 2010

Вячеслав Закоржевский

В декабре не было отмечено значимых вирусных инцидентов. Тем не менее, в течение месяца:

  • было отражено 209064328 сетевых атак;
  • заблокировано 67408107 попыток заражения через веб;
  • задетектировано и обезврежено 196651049 вредоносных программ на компьютерах пользователей;
  • отмечено 70951950 срабатываний эвристических вердиктов.

Тактика, используемая злоумышленниками, осталась неизменной. По-прежнему веб-серфинг остается опасным занятием, а злоумышленники активно используют методы социальной инженерии, чтобы спровоцировать пользователей открыть вредоносную ссылку или загрузить на компьютер вредоносную/мошенническую программу.

Мошенники в доменной зоне .рф

В ноябре 2010 началась регистрация доменных имен в зоне .рф для всех желающих. Мы решили проследить, как осваивают новую доменную зону злоумышленники. Оказалось, что среди вредоносных преобладают программы мошеннической направленности.

На вредоносных ресурсах в зоне ".рф" чаще всего встречаются три вида зловредов. Первый - фальшивые архивы. О фальшивых архивах мы довольно много и подробно рассказывали, например, в начале декабря, и здесь останавливаться на этом не будем. Второй - скриптовый редиректор Trojan.JS.Redirector.ki. Он устроен достаточно примитивно, а основной его задачей является переброска пользователя на вредоносную страницу с помощью команды "document.location".

Третий - Hoax.Win32.OdnoklAgent.a - очень необычный экземпляр. Программа открывает окно "Одноклассники Агент", где использован логотип широко известной в России социальной сети "Одноклассники". В окне присутствуют ссылки на страницы социальной сети и даже копирайт. Но сама программа представляет собой пустышку - она ничего не делает, даже если введены верные логин-пароль пользователя сети.

Окно, открываемое Hoax.Win32.OdnoklAgent.a

У кого же возникла необходимость в Hoax.Win32.OdnoklAgent.a? Дело в том, что в зоне ".рф" существует множество однотипных сайтов, на которых предлагаются "бесплатные услуги для удобства общения". "Бесплатные услуги", конечно, отнюдь не бесплатны: чтобы получить к ним доступ, пользователь должен отправить платное SMS-сообщение на премиум-номер. А сама "услуга" предоставляется в виде Hoax.Win32.OdnoklAgent.a: отправив SMS, пользователь получает программу-пустышку.


Предложение оплатить "услугу"

На всех таких сайтах в конце главной страницы есть раздел "правила", содержащий весьма любопытный пункт:

  1. Также Вы понимаете, что материалы данного сайта-шутки не несут за собой информационной и смысловой нагрузки, и не имеют никакого отношения к ООО "Одноклассники", и самому проекту odnoklassniki.ru, а имеют лишь шуточный характер с возможностью получения доступа к Java-скрипту и некоторому софту на платной основе.

Таким образом владельцы сайта подстраховались: программа-пустышка и не должна ничего делать, так как в правилах оговорено, что "материалы данного сайта имеют лишь шуточный характер". Только вот за "шутки" мошенников платить приходится невнимательным пользователям - в данном случае по цене SMS.

Фальшивые антивирусы - теперь онлайн

Количество лжеантивирусов в последнее время поубавилось - антивирусы успешно справляются с подделками мошенников, и попытки их загрузки на компьютеры становятся менее эффективными. Но мошенники придумали, как им добраться до пользователей альтернативным путем: они стали запускать фальшивые антивирусы не на компьютере пользователя, а в интернете. В этом случае загрузка файла на компьютер не требуется, а добиться, чтобы пользователь перешел на определённую страницу, проще, чем обойти антивирусную защиту. За последний месяц сразу несколько таких новых "интернет-антивирусов" оказалось в лидерах вредоносных программ, обнаруженных в интернете, а два из них даже попали в TOP 20 (18-е и 20-е места).

На скриншоте ниже можно видеть результаты работы одного из таких "антивирусов" Trojan.HTML.Fraud.ct.


Работающий веб-фраудтул Trojan.HTML.Fraud.ct

Как видно на скриншоте, "антивирус" создаёт интернет-страничку, которая очень похожа на окно "Мой Компьютер" семейства операционных систем Windows. Дальше все развивается по уже знакомому сценарию: начинается имитация проверки компьютера на наличие вирусов, которые сразу же "находятся". Если пользователь соглашается вылечить свою систему, то к нему на компьютер загружается лжеантивирус, который предлагает пользователю оплатить лицензию ("лечение" компьютера предполагается после оплаты лицензии).


Фрагмент работы загруженного лжеантивируса

Большинство пользователей, на компьютерах которых было зафиксировано срабатывание этого зловреда, живут в развитых странах: в США, Канаде, Великобритании, Германии и Франции. В этом же списке находится Индия - вероятно из-за того, что в этой стране много англоговорящих пользователей.


География детектов Trojan.HTML.Fraud.ct

Маскировка вредоносных ссылок

Сервисы, укорачивающие URL, стали довольно популярными совсем недавно. Это связано с тем, что в Twitter стоит ограничение на длину сообщения в 140 символов. Использование таких сервисов позволяет злоумышленникам маскировать вредоносные ссылки, чем они и пользуются.

В декабре в ходе одной из вредоносных атак в сервисе микроблогов Twitter, на главной странице, в списке популярных тем несколько тем набрали высокие позиции искусственным путем с помощью зловредов. Все темы содержали ссылки, свернутые при помощи таких сервисов, как bit.ly, alturl.com и т.д. Перейдя по этим ссылкам, пользователь в результате нескольких редиректов попадал на зараженную веб-страницу, и на его компьютер незаметно загружалась вредоносная программа. Сервис goo.gl от компании Google также использовался киберпреступниками для распространения зловредных ссылок в Twitter в начале декабря.

Еще один способ маскировки вредоносной ссылки мы обнаружили в конце месяца. Была зафиксирована IM-рассылка сообщений, содержащих ссылки на страницу Facebook, предназначенную для предупреждения пользователя о том, что он покидает сайт социальной сети. Однако ссылка была дополнена злоумышленниками таким образом, что когда пользователь, пройдя по этой ссылке, в окне выхода из Facebook нажимал на кнопку "продолжить", он перенаправлялся на вредоносный ресурс.

TDSS расширяет свои возможности

Помимо организации мошеннических атак в Сети и не самых сложных атак через социальные сети, киберпреступники работают и над "тяжёлой артиллерией" аресенала зловредов. Авторы одной из самой сложной на сегодняшний день вредоносной программы - руткита TDSS - продолжают совершенствовать его. В декабре последняя модификация руткита, TDL-4, стала использовать уязвимость CVE-2010-3338. Эта уязвимость была открыта в июле 2010 года при исследовании червя Stuxnet.

Не только уязвимости

В ноябрьском обзоре мы писали о том, что семейство Trojan-Downloader.Java.OpenConnection активно растет. Для загрузки вредоносных объектов на компьютеры пользователей они используют не уязвимости, а метод OpenConnection класса URL.

В декабрьский рейтинг вредоносных программ в интернете попали два представителя Trojan-Downloader.Java.OpenConnection (2-е и 7-е места). На пике активности программ этого семейства количество уникальных пользователей, на компьютерах которых было зафиксировано срабатывание Trojan-Downloader.Java.OpenConnection, в сутки превышало 40 000.


Динамика детектирования Trojan-Downloader.Java.OpenConnection (количество
уникальных пользователей): октябрь - декабрь 2010

Как уже было сказано выше, все представители семейства Trojan-Downloader.Java.OpenConnection используют для загрузки и запуска вредоносного файла из веба не уязвимости, а стандартные возможности Java. Для зловредов, написанных на языке Java, такой способ загрузки в настоящее время является одним из основных. По всей видимости, рост популярности вредоносных программ этого семейства будет продолжаться до тех пор, пока компания Oracle не закроет используемую ими возможность скачивания файлов.

Adobe XML Forms в PDF-эксплойте

В декабре в TOP 20 зловредов в вебе попал Exploit.Win32.Pidief.ddl (11-е место), представляющий собой pdf-документ, который построен на основе Adobe XML Forms. Весь зловредный функционал Pidief.ddl зашит в JavaScript скрипте, который встроен в XML-стрим. В объектной модели Adobe XML Forms присутствует объект "event", который вызывает исполнение скрипта при наступлении определённого события. У этого объекта есть свойство "activity", отвечающее за исполнение скрипта. Это свойство содержит строку, которая указывает обработчику, когда вызвать скрипт. В данном файле в этой строке стоит "initialize", что означает, что пользователь, открыв PDF-документ, инициализирует запуск вредоносного скрипта. Этот скрипт представляет собой эксплойт, который скачивает и запускает другой зловред.


Фрагмент Exploit.Win32.Pidief.ddl

Это первый зафиксированный нами случай массового распространения вредоносных PDF-документов, использовавших модель Adobe XML Forms.

Навязчивая реклама

Рекламный софт, детектируемый как AdWare.Win32.HotBar.dh и включающий в себя рекламные программы HotBar, Zango, ClickPotato, со значительным отрывом от конкурентов занял 1-е место в рейтинге веб-угроз и 5-е место в TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей. Как правило, такой софт устанавливается совместно с легальными приложениями и затем создаёт большие неудобства для пользователя, навязчиво демонстрируя ему рекламу.


Установка рекламной программы ClickPotato вместе с VLC Media Plater

Вредоносные программы в интернете


Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   New AdWare.Win32.HotBar.dh   203975  
2   New Trojan-Downloader.Java.OpenConnection.cf   140009  
3   1 Trojan.HTML.Iframe.dl   105544  
4   8 Trojan.JS.Popupper.aw   97315  
5   13 Trojan.JS.Redirector.lc   73571  
6   Returned AdWare.Win32.FunWeb.di   70088  
7   -6 Trojan-Downloader.Java.OpenConnection.bu   70006  
8   -5 Exploit.Java.CVE-2010-0886.a   60166  
9   -3 Trojan.JS.Agent.bmx   57539  
10   -2 Exploit.JS.Agent.bab   54889  
11   New Exploit.Win32.Pidief.ddl   53453  
12   -5 Trojan.JS.Agent.bhr   49883  
13   New Trojan-Downloader.JS.Small.os   40989  
14   New Trojan-Clicker.JS.Agent.op   40705  
15   Returned Exploit.HTML.CVE-2010-1885.v   40188  
16   New Packed.Win32.Krap.ao   38998  
17   New AdWare.Win32.FunWeb.fq   36187  
18   New Trojan.JS.Fraud.ba   35770  
19   -9 Trojan.JS.Iframe.pg   35293  
20   New Trojan.HTML.Fraud.ct   33141  

Вредоносные программы, обнаруженные на компьютерах пользователей


Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ir   468580  
2   0 Net-Worm.Win32.Kido.ih   185533  
3   0 Virus.Win32.Sality.aa   182507  
4   0 Trojan.JS.Agent.bhr   131077  
5   New AdWare.Win32.HotBar.dh   122204  
6   1 Virus.Win32.Sality.bh   110121  
7   -2 Virus.Win32.Virut.ce   105298  
8   0 Packed.Win32.Katusha.o   100949  
9   New Porn-Tool.Win32.StripDance.b   92270  
10   -4 Worm.Win32.FlyStudio.cu   88566  
11   -11 Trojan.Win32.AutoRun.avp   68970  
12   -2 Exploit.JS.Agent.bab   65139  
13   1 Trojan-Downloader.Win32.Geral.cnh   63651  
14   -3 Trojan-Downloader.Win32.VB.eql   57155  
15   -3 Exploit.Win32.CVE-2010-2568.b   55578  
16   -1 Worm.Win32.Mabezat.b   54994  
17   -1 Packed.Win32.Klone.bq   53160  
18   -5 Exploit.Win32.CVE-2010-2568.d   50405  
19   -1 AdWare.Win32.FunWeb.gq   50272  
20   New Worm.VBS.VirusProtection.c   46563  

Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=24981