Уже не раз писали о том, что злоумышленники не гнушаются использовать любые трагические события в своих целях. Не стали исключением ни землетрясение и цунами в Японии, ни кончина Элизабет Тейлор. В то время, когда множество японцев потеряли своих близких и лишились крова, а  весь мир с тревогой следит за развитием событий на пострадавшей от землетрясения японской АЭС «Фукусима-1», мошенники и вирусописатели цинично занимаются распространением вредоносных ссылок на «горячие» новости, создают вредоносные веб-страницы, контент которых так или иначе связан с трагедией в Японии, и рассылают «нигерийские» письма со слезными просьбами оказать помощь пострадавшим, переслав деньги на счет отправителей. Так, в одном из спамовых писем содержались ссылки якобы на последние новости о событиях в Японии. При переходе по этим ссылкам осуществлялась drive-by атака с помощью эксплойт-паков. В случае успешной атаки на компьютер пользователя загружался Trojan-Downloader.Win32.CodecPack. У каждого представителя этого семейства жестко прописаны три командных центра, куда он обращается и откуда получает списки вредоносных файлов для их дальнейшей загрузки и запуска на компьютере пользователя. А на одной из обнаруженных экспертами ЛК вредоносных веб-страниц посетителям предлагалось скачать видеоролик о происходящем в Японии. Однако вместо просмотра ролика пользователь загружал на свой компьютер бэкдор.

Самые «быстрые» злоумышленники орудуют в Twitter: вредоносные ссылки на новости о смерти Элизабет Тейлор появились там уже на следующий день после того, как стало известно о кончине великой актрисы.

Не взирая на призывы компаний, занимающихся IT-безопасностью, регулярно обновлять ПО на компьютерах, у злоумышленников по-прежнему актуальны  эксплойты, которые остаются одним из излюбленных инструментов. Теперь немного подробнее.

Количество Java-эксплойтов достаточно велико: они составили около 14% от общего числа обнаруженных эксплойтов. В TOP 20 вредоносных программ в интернете попали три Java-эксплойта. При этом два из них — Exploit.Java.CVE-2010-0840.d (15-е место) и Exploit.Java.CVE-2010-0840.c (19-е) — новые эксплойты для уязвимости CVE-2010-0840 в Java. Напомним, что активное использование этой бреши было обнаружено в прошлом месяце. По данным KSN-статистики, создатели вредоносного ПО активно меняют эксплойты, которые используют в ходе drive-by атак, чтобы избежать их детектирования. Это прослеживается на графике, показывающем динамику детектирования эксплойтов семейства Exploit.Java.CVE-2010-0840.

Динамика детектирования семейства Exploit.Java.CVE-2010-0840

Пики на графике соответствуют периодам детектирования эксплойтов, которые используются в ходе drive-by атак, а провалы — времени появления новой модификации эксплойта.

Надо отдать должное, что вирусописатели на удивление быстро реагируют на сообщения о новых уязвимостях. Примером тому может послужить эксплойт к уязвимости в Adobe Flash Player, об обнаружении которой компания Adobe объявила 14 марта. Уязвимость содержится в authplay.dll и была отнесена к критической: ее эксплуатация дает злоумышленникам возможность взять под контроль компьютер пользователя. Уже 15 марта «Лаборатория Касперского» задетектировала эксплойт к этой уязвимости. Он представляет собой Excel-файл, содержащий вредоносный SWF-файл, и детектируется как Trojan-Dropper.SWF.CVE-2011-0609.a. 25 марта эксперты ЛК обнаружили еще один вариант эксплойта — HTML-страничку, содержащую JavaScript с шеллкодом и вызов вредоносного Flash-файла. Шеллкод получал управление после вызова SWF-файла, использующего дыру в безопасности. Вредоносные HTML- и SWF- файлы детектируются соответственно как Exploit.JS.CVE-2011-0609 и Exploit.SWF.CVE-2011-0609.

Фрагмент Exploit.JS.CVE-2011-0609.d

У этой истории хороший конец: уязвимость была оперативно закрыта. Но так бывает не всегда. Компания Adobe объявила об исправлении уязвимости 22 марта. Разумеется, хэппи-энд случится только на тех компьютерах, на которых владельцы вовремя обновили ПО.

В Сети регулярно сообщается о детектировании HTML-страниц, которые злоумышленники используют для распространения вредоносных программ или как часть мошеннической схемы. Создатели таких страниц постоянно придумывают новые способы, чтобы скрыть их от антивирусных программ. Один из таких способов- это использоавние  тега <textarea>.  

В февральском отчете уже сообщалось, что злоумышленники использовали каскадные таблицы стилей (CSS) для защиты вредоносных скриптов от детектирования. Теперь на своих вредоносных HTML-страницах вместо CSS они используют тег <textarea>. С помощью тега <textarea> отображаются поля ввода.

Злоумышленники применяют этот тег как контейнер для хранения данных, которые потом будут использоваться основным скриптом. В марте Trojan-Downloader.JS.Agent.fun — детект одной из веб-страниц, на которой была обнаружена комбинация вредоносного скрипта и тега <textarea>, содержащего данные для скрипта, — даже попал в TOP 20 рейтинга ЛК, где занял 9-е место. Скрипт, используя данные в теге <textarea>, с помощью различных методик запускает другие эксплойты.

В декабрьском и январском отчетах мы рассказывали о фальшивых онлайн-антивирусах. Теперь веб-страница, на которой имитируется сканирование компьютера и навязывается покупка «антивируса», зашифрована и выполнена в виде полиморфного JavaScript-скрипта, что усложняет процедуру ее детектирования антивирусными компаниями.

Фрагмент зашифрованной страницы с фальшивым веб-антивирусом

Такие полиморфные скрипты детектируются продуктами Лаборатории Каперского как Trojan.JS.Fraud.bl (18-е место в рейтинге вредоносных программ в интернете) и Trojan.JS.Agent.btv (8-е место).

А теперь об одном из главных событий марта. В марте одной из главных новостей месяца стало закрытие ботнета Rustock. Напомним, что сеть, созданная Rustock, насчитывала несколько сотен тысяч зараженных компьютеров и использовалась для рассылки спама. Операция по закрытию ботнета была организована компанией Microsoft и властями США. 17 марта Microsoft сообщила, что все управляющие серверы ботнета остановлены. На всех серверах командных центров ботнета, закрытых Microsoft, установлен редирект на microsoftinternetsafety.net. По данным «Лаборатории Касперского», последние экземпляры Rustock загружались на компьютеры пользователей с командных серверов ботнета 16 марта, а команда на рассылку спама последний раз была отдана 17 марта. После этого никаких команд ботам не поступало. Более того, после 16 марта не было обнаружено ни одного нового загрузчика, устанавливающего Rustock на компьютеры пользователей. Но у экспертов и аналитиков остаётся вопрос: означает ли это, что одному из самых известных спам-ботнетов действительно пришел конец? Или хозяева заблокированной бот-сети просто затаились в ожидании более спокойных времен, когда можно будет без опаски восстановить утерянные мощности? Думаем, что ответы на эти вопросы мы узнаем позже.

В марте также активно проявили себя и вредоносные программы для Android, которые уже не являются экзотикой. В марте злоумышленникам удалось распространить их под видом легальных приложений на Android Market. В начале марта на Android Market мы обнаружили инфицированные версии легальных приложений. Они содержали root-эксплойты «rage against the cage» и «exploid», которые позволяют вредоносной программе получить на Android-смартфонах права root-доступа, обеспечивающие полный доступ к операционной системе устройства. Во вредоносном APK-архиве помимо root-эксплойтов содержалось два вредоносных компонента. Один из них после получения root-прав с помощью POST-метода посылал на удаленный сервер злоумышленника специальный XML-файл, содержащий IMEI и IMSI, а также другую информацию об устройстве, и в ответ ждал команды. Другой зловред обладал функционалом троянца-загрузчика, однако пока экспертам не удалось получить загружаемые файлы. А теперь TOP 20 марта.

TOP 20 вредоносных программ в интернете

Позиция	Изменение позиции	Вредоносная программа
1	4	AdWare.Win32.FunWeb.gq
2	New	Hoax.Win32.ArchSMS.pxm
3	3	AdWare.Win32.HotBar.dh
4	8	Trojan.HTML.Iframe.dl
5	New	Hoax.HTML.OdKlas.a
6	New	Trojan.JS.Popupper.aw
7	1	Exploit.JS.Pdfka.ddt
8	-8	Trojan.JS.Agent.btv
9	-9	Trojan-Downloader.JS.Agent.fun
10	-10	Trojan-Downloader.Java.OpenStream.bi
11	-7	Exploit.HTML.CVE-2010-1885.ad
12	New	Trojan.JS.Agent.uo
13	New	Trojan-Downloader.JS.Iframe.cdh
14	New	Packed.Win32.Katusha.o
15	New	Exploit.Java.CVE-2010-0840.d
16	1	Trojan.JS.Agent.bhr
17	New	Trojan-Clicker.JS.Agent.om
18	New	Trojan.JS.Fraud.bl
19	New	Exploit.Java.CVE-2010-0840.c
20	New	Trojan-Clicker.HTML.Iframe.aky

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей

Позиция	Изменение позиции	Вредоносная программа
1	0	Net-Worm.Win32.Kido.ir
2	0	Virus.Win32.Sality.aa
3	1	Net-Worm.Win32.Kido.ih
4	New	Hoax.Win32.ArchSMS.pxm
5	0	Virus.Win32.Sality.bh
6	-3	HackTool.Win32.Kiser.zv
7	-1	Hoax.Win32.Screensaver.b
8	-1	AdWare.Win32.HotBar.dh
9	8	Trojan.Win32.Starter.yy
10	1	Packed.Win32.Katusha.o
11	1	Worm.Win32.FlyStudio.cu
12	-2	HackTool.Win32.Kiser.il
13	-4	Trojan.JS.Agent.bhr
14	2	Trojan-Downloader.Win32.Geral.cnh
15	New	Porn-Tool.Win32.StripDance.d
16	New	Exploit.JS.Agent.bbk
17	New	Trojan.Win32.AutoRun.azq
18	-5	Trojan-Downloader.Win32.VB.eql
19	-5	Worm.Win32.Mabezat.b
20	-5	Packed.Win32.Klone.bq