Ай Ком Сервис Dr.Web: вирусные события октября 2011 - Аналитика, тесты - uslugi_i_servis - Ай Ком Сервис
Главная » Статьи » Аналитика, тесты

Dr.Web: вирусные события октября 2011
Компания "Доктор Веб" опубликовала свой ежемесячный, аналитический отчёт о киберугрозах, зафиксированных за отчётный период. Как утверждают аналитики, октябрь 2011 года показал рост активности сетевых мошенников, использовавших в своих неблаговидных целях технологии фишинга, а также и различные методы социальной инженерии. В течение месяца под прицелом злоумышленников не раз оказывались пользователи популярной в Рунете социальной сети «ВКонтакте» и многочисленные клиенты российских хостинг-провайдеров. Из других наиболее заметных событий октября следует отметить появление нового бэкдора, реализующего функции сервера для удаленного управления инфицированным компьютером. О нём мы уже писали ранее. Но обо всём по порядку. Как мы уже сказали, сетевые мошенники продолжают осваивать виртуальные просторы популярной социальной сети «ВКонтакте», изобретая все новые и новые схемы обмана наивных или доверчивых пользователей. В частности, одна из них подразумевала отсылку потенциальной жертве личного сообщения от имени одного из людей, занесенных в список друзей.


После того, как жертва нажмёт на ссылку, последний перенаправляется на принадлежащий «Твиттеру» специализированный сервис, предназначенный для сокращения гиперссылок, а уже оттуда — на встроенное приложение, опубликованное на одной из страниц социальной сети «ВКонтакте». В процессе подобной переадресации пользователь не получает никаких предупреждений. Созданное злоумышленниками приложение демонстрирует значок учетной записи жертвы и пояснение, сообщающее, что в Интернете опубликован видеоролик с его участием. Интересная особенность данной мошеннической схемы заключается в том, что на этой же странице выводятся комментарии пользователей из списка друзей жертвы, причем комментарии весьма интригующего содержания: «Вот это да!», «Кто это придумал?» и т.д. Комментарии, естественно, генерируются программой автоматически на основе заданного злоумышленниками шаблона. Там же опубликована ссылка на сам «ролик» — она состоит из имени жертвы и расширения AVI.



Далее, после щелчка мыши по предложенной злоумышленниками ссылке происходит редирект (перенаправление) пользователя на принадлежащий мошенникам сайт, при этом на экране появляется диалоговое окно с предложением указать логин и пароль учетной записи социальной сети «В Контакте». Если жертва выполняет данное требование, эта информация передается злоумышленникам, а учетная запись оказывается скомпрометированной. Следует отметить, что попытка перехода по внешней ссылке из встроенного приложения, по всей видимости, не фиксируется программным обеспечением социальной сети, поэтому предупреждение не появляется. Вместе с тем сайт злоумышленников выводит на экран поддельное предупреждение, в тексте которого указан адрес популярного видеосервиса Youtube, на который якобы переходит пользователь. После заполнения указанной формы жертва кибермошенников перенаправляется на сайт поддельной файлообменной сети, требующей перед скачиванием файлов указать номер мобильного телефона и подписывающей таким образом доверчивых пользователей на платные услуги, за предоставление которых с их счета будет регулярно взиматься абонентская плата.

Другая мошенническая схема, направленная против пользователей «В Контакте», оказалась более изощренной. Однажды заглянув на свою страничку в социальной сети «В Контакте», пользователь может обнаружить в главном меню сайта новый пункт — «Мои гости».


Щелчок мыши по этому пункту меню открывает диалоговое окно, в котором пользователю предлагается указать свой номер мобильного телефона. На него спустя несколько секунд приходит СМС-сообщение с предложением отправить СМС, содержащее демонстрируемый на экране компьютера код. Затем жертва мошенников получает еще одно СМС с вопросом «Выслать пароль?», на которое предполагается ответ «Да». Потом поступает третье по счету сообщение, содержащее запрос «Вы принимаете условия сайта?» (еще раз «Да»), и, наконец, жертва получает код, который следует ввести в демонстрируемую на экране форму. Таким образом, выполнив все эти манипуляции, пользователь принимает условия платной подписки, согласно которым с его счета регулярно будет сниматься определенная денежная сумма. С этого момента на страничке в социальной сети «В Контакте» будет демонстрироваться информация о якобы посетивших ее пользователях:


На самом деле администрация «В Контакте» не имеет к этой истории ровным счетом никакого отношения — подобный функционал в настоящее время попросту отсутствует в данной социальной сети. Проведенное специалистами компании «Доктор Веб» расследование показало, что функция «Мои гости» автоматически добавляется в страницу социальной сети «В Контакте» после установки специального плагина для браузера Firefox, который можно загрузить с сайта makl.info. Расширение MAKLINFO позволяет скачивать со страниц социальной сети и сохранять на диске музыкальные файлы, однако помимо этого плагин обладает скрытым от пользователя функционалом: после установки он загружает с сайта makl.info несущий вредоносный функционал код, написанный на языке JavaScript, и запускает его в окне Firefox. Затем пользователю предлагается ввести данные своей учетной записи в социальной сети. После этого на страничке пользователя «В Контакте» и появляется тот самый заветный пункт меню, заставляющий его расстаться с некоторой суммой денег. Самое интересное во всей этой истории заключается в том, что перечень посетителей, демонстрируемый созданным мошенниками скриптом, генерируется абсолютно случайным образом на основе данных из списка друзей жертвы. Иными словами, представляемая на странице «Мои гости» информация не имеет ничего общего с реальностью и является чистой воды надувательством.

Ещё одним заметным событием октября можно назвать серию атак на хостинг-провайдеров. Не остались без внимания злоумышленников клиенты нескольких российских хостинг-провайдеров. Атаке фишеров подверглись пользователи компаний «Петерхост», SpaceWeb и FirstVDS, позже к ним присоединились клиенты провайдеров Timeweb и Agava. Во всех зафиксированных случаях злоумышленники действовали схожим образом. С помощью общедоступных служб WHOIS мошенники определяли список веб-сайтов, размещающихся у выбранного хостинг-провайдера, тем же способом они вычисляли контактный адрес электронной почты владельца ресурса. На этот адрес злоумышленники отправляли письмо якобы от имени администрации хостинг-провайдера. В частности, клиентам SpaceWeb и FirstVDS мошенники сообщали о том, что размещенный у этого провайдера сайт якобы превысил лимит нагрузки для текущего тарифного плана. В целях решения этой проблемы получателю письма предлагалось перейти по ссылке, ведущей на поддельную веб-страницу, внешний вид которой практически полностью копировал оформление официального сайта хостинг-провайдера. В то же время URL фишингового сайта, содержащий в себе часть адреса настоящего ресурса хостинг-провайдера, располагался на другом домене. Если жертва вводила в соответствующую форму учетные данные своего аккаунта, они незамедлительно попадали в руки мошенников.


Передача злоумышленникам учетных данных для доступа к панели управления хостингом чревата тем, что мошенники могут без ведома владельца сайта произвольным образом модифицировать его содержимое, например, организовать на нем распространение вредоносных программ или разместить незаконный контент.

Друга угроза прошедшего месяца- BackDoor.Bitsex . Эта вредоносная программа написана на языке C и сохраняется на диск под видом стандартной динамической библиотеки с именем SetupEngine.dll. После запуска BackDoor.Bitsex помещает в одну из папок два файла: Audiozombi.exe и SetupEngine.dll, а затем запускает первый на выполнение. Он, в свою очередь, вызывает библиотеку SetupEngine.dll. Затем BackDoor.Bitsex расшифровывает имя управляющего сервера и устанавливает с ним соединение. Также троянец проверяет, не загружены ли в системе антивирусные программы (для чего получает список активных процессов), отправляет соответствующий отчет на удаленный сервер злоумышленников и запускает на инфицированном компьютере кейлоггер, фиксирующий все нажатия клавиш и записывающий результат в специальный файл.


BackDoor.Bitsex обладает весьма обширным, расширеным функционалом: он позволяет злоумышленникам удаленно просматривать содержимое дисков инфицированного компьютера, получать скриншоты и фотографии с веб-камеры, открывать веб-страницы в браузере, скачивать и запускать произвольные программы, выводить на экран инфицированного компьютера заданные сообщения, реализовывать DDoS-атаки на различные серверы Интернета — всего известно более десятка заложенных в этом троянце функций, представляющих угрозу для пользователей.
Win32.HLLM.MailSpamer рассылает вредоносные письма

Известно, что сайт «Ответы@Mail.Ru» весьма популярен среди российских пользователей Интернета. Он позволяет разместить любой вопрос, ответ на который дают другие пользователи ресурса. Копии всех полученных ответов отправляются автору вопроса по электронной почте. Вероятно, именно эту особенность сервиса и учли вирусописатели и решили ею воспользоваться в своих целях. Так например созданный троянец Win32.HLLM.MailSpamer распространяется по e-mail с помощью содержащих вредоносную ссылку писем, имеющих тему «Re: С проекта Ответы@Mail.Ru».


Каждое такое письмо содержит один из вариантов сообщений, таких как «я почему-то сразу нагуглил» или «а самому было лень поискать?», и ссылку на сайт файлообменной службы, ведущую на страничку загрузки RAR-архива. Этот архив содержит исполняемый файл setup.exe и документ Readme.doc. При запуске приложения setup.exe на экране отображается стандартное окно программы-инсталлятора. Данная программа открывает на чтение файл Readme.doc, где в зашифрованном виде хранится троянец Win32.HLLM.MailSpamer. Запустившись на выполнение, Win32.HLLM.MailSpamer определяет тип и версию операционной системы, значение серийного номера жесткого диска и IP-адрес инфицированной машины, после чего отправляет соответствующий отчет на удаленный командный сервер злоумышленников. Оттуда троянец получает конфигурационный файл, в котором указан объект для последующей загрузки. Таким объектом, в частности, является программа alqon.exe, которая скачивается с удаленного узла и запускается на выполнение. Это вредоносное ПО устанавливает соединение с командным сервером и получает от него конфигурационный файл, содержащий логин и пароль для доступа к почтовому серверу, а также текст рассылаемого по почте сообщения и ссылку на вредоносный файл. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.

Теперь о других угрозах октября. В октябре специалистами компании «Доктор Веб» была выявлена новая программа-вымогатель, блокирующая главную загрузочную запись компьютера. Ее характерная особенность заключается в том, что Trojan.MBRlock.16 не содержит в своих ресурсах необходимый для разблокировки операционной системы код, а генерирует его на основе данных об аппаратной конфигурации компьютера.



Запустившись на инфицированном компьютере, Trojan.MBRlock.16, маскирующийся под утилиту Antivirus XP Hard Disk Repair, выводит на экран сообщение о том, что система якобы инфицирована вредоносной программой Trojan.Agent.ARVP, зашифровавшей всю информацию на жестких дисках (при этом фактически никакого шифрования не производится). Для спасения пользовательских данных злоумышленники предлагают жертве «купить лицензию», для чего следует отправить сгенерированный программой ключ с помощью формы, размещенной на принадлежащем мошенникам сайте, и осуществить оплату. Сам уникальный ключ (HDDKEY) и пароль для разблокировки компьютера Trojan.MBRlock.16 генерирует на основе информации об аппаратной конфигурации ПК. С целью помочь пользователям, пострадавшим от данной программы-вымогателя, специалисты компании «Доктор Веб» разработали специальный генератор паролей для разблокировки компьютера, который можно загрузить по ссылке ftp://ftp.drweb.com/pub/drweb/tools/mbrlock16keygen.exe либо воспользоваться сервисом разблокировки. Другой обнаруженный в октябре троянец, получивший название Trojan.SkynetRef.1, представляющей собой локальный http-прокси сервер, основное назначение которого — подмена веб-страниц в окне браузера. Для распространения своего детища вирусописатели не поленились создать несколько полноценных веб-сайтов, с использованием которых осуществляется раздача вредоносного программного обеспечения. Среди них следует отметить портал fvsn.org, а также сайты operadownload.info, downloadutorrent.info, downloadflashplayer.biz и другие.


При попытке получить какое-либо приложение с одного из принадлежащих злоумышленникам интернет-ресурсов пользователю предлагается скачать и запустить специальную программу-установщик. Это приложение всегда одинаковое, однако его имя может различаться в зависимости от выбранного пользователем объекта для последующей загрузки. По собственному имени установщик и определяет, что именно желает скачать пользователь: если изменить имя этого файла (как раз это и происходит в случае его проверки различными автоматизированными службами), установщик прекращает работу. Если же имя оказывается верным, он загружает и устанавливает на компьютере пользователя не только выбранную им легитимную программу, но и троянца Trojan.SkynetRef.1. Троянец может подменять в браузере страницы просматриваемых пользователем сайтов согласно параметрам, указанным в ее конфигурационном файле. Ну а теперь собственно к рейтингу вредоносных программ, обнаруженных в октябре.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2011 00:00 - 31.10.2011 23:00 
1Trojan.Oficla.zip43106 (17.04%)
2Trojan.DownLoader5.88636915 (14.59%)
3Win32.HLLM.MyDoom.3380836678 (14.50%)
4Trojan.PWS.Mailer.5623177 (9.16%)
5Win32.HLLM.MyDoom.5446418309 (7.24%)
6Trojan.MulDrop3.604212735 (5.03%)
7Win32.HLLM.Netsky.184019577 (3.78%)
8Win32.HLLM.MyDoom.based7015 (2.77%)
9Win32.HLLM.Netsky.353286221 (2.46%)
10Win32.HLLM.Netsky4288 (1.69%)
11Win32.HLLM.Beagle4140 (1.64%)
12Trojan.DownLoad2.220993508 (1.39%)
13W97M.Spool2791 (1.10%)
14JS.IFrame.1512615 (1.03%)
15BackDoor.IRC.Sdbot.45901854 (0.73%)
16Exploit.IframeBO1815 (0.72%)
17BackDoor.IRC.Bot.8721470 (0.58%)
18Win32.Sector.284801370 (0.54%)
19Win32.HLLM.Netsky.based1343 (0.53%)
20Win32.HLLM.Netsky.240641246 (0.49%)

Всего проверено: 118,243,404
Инфицировано: 253,032 (0.21%)

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2011 00:00 - 31.10.2011 23:00 
1JS.Click.21874679301 (42.06%)
2Win32.Rmnet.1233786253 (19.03%)
3Trojan.IFrameClick.322083667 (12.44%)
4Win32.HLLP.Neshta11033803 (6.21%)
5JS.IFrame.1126083679 (3.43%)
6JS.IFrame.955325180 (3.00%)
7Win32.HLLP.Sector.283324380023 (2.47%)
8JS.IFrame.1172747192 (1.55%)
9Win32.HLLP.Whboy1776446 (1.00%)
10Trojan.Fraudster.2111725067 (0.97%)
11Trojan.Mayachok.11681669 (0.95%)
12Win32.HLLP.Whboy.451640615 (0.92%)
13Win32.HLLP.Rox1106517 (0.62%)
14Win32.Virut587649 (0.33%)
15Trojan.MulDrop1.48542531951 (0.30%)
16Trojan.WMALoader511429 (0.29%)
17Win32.Siggen.8355786 (0.20%)
18BackDoor.Ddoser.131341686 (0.19%)
19HTTP.Content.Malformed338613 (0.19%)
20JS.Click.222299005 (0.17%)

Всего проверено: 17,451,623,339,426,039
Инфицировано: 177,541,621 (0.00%)









Категория: Аналитика, тесты | Добавил: Administrator (06.11.2011)
Просмотров: 778 | Теги: компьютерные вирусы, интернет угрозы, рейтинг вирусов, спам, Фишинг, top 20 вирусов, троянские программы | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]