Представляем вашему вниманию ежемесячный аналитический отчёт "Лаборатории Касперского" о вирусных угрозах, событиях и тенденциях за отчётный период. По итогам 2010 года мы наблюдали общее уменьшение количества поддельных антивирусов: достигнув максимума своей активности в феврале-марте 2010 года (примерно 200 000 инцидентов в месяц), к концу 2010 года лжеантивирусы примерно в 4 раза сократили свое распространение. Такое развитие событий может показаться несколько странным, так как для киберпреступников данный вид мошеннического программного обеспечения стал по-настоящему золотой жилой, так как является весьма и весьма доходным. Лжеантивирусов действительно стало меньше, но злоумышленники, которые продолжают заниматься данным видом деятельности, сфокусировались на конкретных странах (США, Франция, Германия, Испания), а не на повсеместном распространении поддельных антивирусов.

В мае число попыток заражения поддельными антивирусами через Web насчитывало свыше 109218 инцидентов. Но уменьшение числа rogueware не означает, что этот вид программ перестал развиваться и потерял свою актуальность. В этом месяце пользователи Mac, в отличии от пользователей Windows, чаще подверглись атакам различных поддельных антивирусов. Одним из таких можно назвать Best Mac Antivirus и MAC Defender. Первые атаки на пользователей Mac, были зафиксированы ещё 2 мая, когда интернет пестрил заголовками на тему смерти Усамы бен Ладена. В Google вместо поисковой выдачи на некоторые запросы, связанные с этим событием, пользователи могли увидеть в окне своего браузера следующее:

Несмотря на Windows-стиль поддельного сканера, при нажатии на кнопку «Remove all» пользователю предлагалось загрузить установочный MPKG-файл (MAC Defender в данном случае) для Mac OS X. Пользователя, запустившего инсталляционный пакет, просили ввести пароль от root для установки. Установив мошенническое программное обеспечение, пред взором пользователя возникало главное окно лжеантивируса MAC Defender следующего вида:

Надо отметить, что количество «сигнатур», которое находится в «антивирусной базе» MAC Defender: 184230! Это при том, что на сегодняшний день количество вредоносных программ для Mac исчисляется сотнями, но никак не десятками тысяч. Обнаружив на компьютере пользователя несколько несуществующих вредоносных программ, MAC Defender попросит немалые деньги за их «устранение». Сумма варьируется от 59 до 80 долларов США в зависимости от подписки. Жертва, оплатившая использование пустышки, получит ключ для регистрации мошеннического продукта. После его ввода поддельный антивирус имитирует удаление несуществующих угроз, после чего пользователь видит окно с сообщением о том, что теперь система якобы чиста и защищена:

Киберпреступники периодически обращают свои взоры на Mac OS X, создавая и распространяя для нее разнообразное вредоносное ПО. И в большинстве случаев данные атаки один в один повторяют сценарии атак на пользователей операционных систем Windows.

Другим ярким событием мая стало обнаружение вредоносного программного обеспечения, нацеленного на рабочие станции Win64. Продолжающийся рост количества операционных систем, работающих под x64, не мог не сказаться и на росте вредоносных программ для этой платформы. Вирусописатели продолжают портировать зловредов под x64. Еще в 2010 году были зафиксированы версии популярного руткита TDSS под Win64. В мае этого года «подтянулись» бразильские киберпреступники, а также создатели популярного троянца ZeroAccess.

К слову о бразильских умельцах. Бразильская киберпреступность на протяжении нескольких лет специализируется в основном на банковских троянцах. В мае появился первый «банковский» руткит для 64-битных ОС, который детектируется продуктами "Лаборатории Касперского" как Rootkit.Win64.Banker. Целью злоумышленников как водится в таких случаях были логины и пароли пользователей к системам онлайн-банкинга. В ходе атаки злоумышленники пытались перенаправить пользователей на фишинговые странички, имитирующие страницы веб-сайтов некоторых банков. Для этого они модифицировали HOST-файл — с помощью руткита, заражавшего систему в ходе drive-by-download атаки. Взломав популярный бразильский веб-сайт, злоумышленники разместили на нем вредоносное Java-приложение, которое, помимо эксплойта, содержало два SYS-файла с одинаковым функционалом — для Win32 и для Win64. Используя поддельный сертификат, злоумышленники с помощью стандартной утилиты bcdedit.exe запускали драйверы без цифровой подписи. Причем с помощью некоторых параметров утилиты bcdedit.exe ("DISABLE_INTEGRITY_CHECKS”, "TESTSIGNING ON” и "type= kernel start= boot error= normal”) злоумышленники копировали их в стандартную папку с драйверами и одновременно регистрировали для последующего старта вместе с системой. Зловредные драйверы после запуска модифицировали HOST-файл, добавляя туда перенаправления на фишинговые сайты (пользователь попадал на них при попытке зайти на страничку онлайн-банкинга).

Троянец ZeroAccess ранее был известен только в 32-битной редакции. Теперь мы имеем дело и с 64-битной версией. Атака начинается с загрузки на пользовательский компьютер с помощью drive-by-download даунлоадера ZeroAccess, который, определив разрядность системы, скачивает нужную версию бэкдора. Если на компьютере стоит 64-рязрядная ОС, то загрузчик скачивает установщик бэкдора для Win64.

Сам бэкдор, в отличие от 32-битного «собрата», не содержит руткита. Автозапуск осуществляется с помощью ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems. Зловред лежит в папке system32 с именем consrv.dll. Дополнительный payload (например, подмена поисковых выдач, clicker), закачиваемый вредоносной программой на машину, также предназначен для x64-платформы.

Еще один инцидент одновременно и интересен и несколько странен- это Necrus. Троянец-загрузчик Trojan-Downloader.Win32.Necurs.a, распространяющийся при помощи эксплойт-пака BlackHole, содержит в себе два драйвера-руткита (один — для x32, второй — для x64) с одинаковым функционалом. Установка вредоносных программ происходит по тому же механизму, который описан выше в главе «Бразильские банкеры». После установки в операционную систему, руткит блокирует запуск драйверов, относящихся к антируткитовым компонентам и продуктам антивирусных программ. Любопытно вот что: троянец-загрузчик Necurs пытается загрузить на машину жертвы поддельные антивирусные программы для Win32, однако по одной из ссылок располагается… Hoax.OSX.Defma.f — поддельный антивирус для Mac OSX, о котором мы писали выше. И что еще более интересно, зловред пытается запустить его под Windows! Появление совершенно новых вредоносных программ под x64 обусловлено тем, что все больше и больше пользователей отдают предпочтение 64-битным операционным системам. Эксперты "Лаборатории Касперского" уверены, что в будущем количество вредоносного кода под x64 будет только расти.

Последствия взлома Sony Playstation Network и Sony Online Entertainment в конце апреля и начале мая, в результате которого произошла утечка персональных данных десятков миллионов пользователей этих сервисов, оказались не единственной проблемой, с которой корпорация столкнулась за последние два месяца. После объявленного 17 мая возобновления работы PSN пользователям было предложено изменить пароли к своим учетным записям. Для изменения пароля пользователю нужно было ввести адрес электронной почты и дату рождения. Другими словами, ввести данные, которые были украдены в ходе взлома. Располагая украденными данными, злоумышленники могли воспользоваться ими вместо пользователей. Корпорация заявила, что она осознаёт возможные проблемы, но новых инцидентов в ходе восстановления аккаунтов пользователей отмечено не было. 20 мая был взломан таиландский сайт Sony, в результате чего на hdworld.sony.co.th была размещена фишинговая страница, нацеленная на итальянских пользователей кредитных карт. Однако и на этом кошмары для компании не закончились. 22 мая был взломан сайт SonyMusic.gr, в результате чего информация о зарегистрированных пользователях (ник пользователя, его настоящее имя, адрес электронной почты) оказалась в публичном доступе. Прошло два дня, и 24 мая было обнаружено несколько уязвимостей на сайте sony.co.jp. Однако на этот раз база данных, которая была украдена, не содержала персональных данных пользователей. В  прогнозах аналитиков и экспертов "Лаборатории Касперского" на 2011 год последние говорили, что целью многих атак станет кража любой возможной информации. К сожалению, череда взломов Sony стала еще одним подтверждением  прогнозов анадитиков. Сегодня вопросы безопасности персональной информации крайне актуальны. Такие сервисы как PSN или iTunes пытаются собрать как можно больше персональной информации. К несчастью, законодательство, затрагивающее эти данные, не всегда четкое, и пользователи, помимо прекращения использования подобных сервисов, могут мало что сделать. Безусловно, атаки на Sony были хорошо спланированы и подготовлены. Не исключено, что в будущем подобные атаки могут повториться на аналогичные PSN сервисы. Поэтому их пользователям стоит быть настороже, равно как и компаниям, предоставляющим такие услуги. Ну а теперь перейдём к традиционной вирусной двадцатке.

TOP 20 вредоносных программ в интернете

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей