В декабре 2010, тактика, используемая злоумышленниками, осталась неизменной. По-прежнему веб-серфинг остается одним из опаснейших занятий и таит в себе реальную угрозу, а злоумышленники продолжают активно использовать методы социальной инженерии, чтобы спровоцировать пользователей открыть вредоносную ссылку или загрузить на компьютер вредоносную или мошенническую программу.Не исключением стала и доменная зона «.рф». В ноябре 2010, когда началась регистрация доменных имен в зоне «.рф» для всех желающих, эксперты по безопасности ЛК решили проследить, как осваивают новую доменную зону злоумышленники. Оказалось, что среди вредоносных преобладают программы мошеннической направленности. Как удалось выяснить, на вредоносных ресурсах в зоне «.рф» чаще всего встречаются три вида зловредов. Первый — это фальшивые архивы.  Второй — скриптовый редиректор Trojan.JS.Redirector.ki. Он устроен достаточно примитивно, а основной его задачей является переброска пользователя на вредоносную страницу с помощью команды "document.location”. Третий в списке — Hoax.Win32.OdnoklAgent.a — очень необычный экземпляр. Программа открывает окно "Одноклассники Агент”, где использован логотип широко известной в России социальной сети "Одноклассники”. В окне присутствуют ссылки на страницы социальной сети и даже копирайт. Но сама программа представляет собой пустышку — она ничего не делает, даже если введены верные логин-пароль пользователя сети.

 

У кого же возникла необходимость в Hoax.Win32.OdnoklAgent.a? Дело в том, что в зоне ".рф” существует множество однотипных сайтов, на которых предлагаются «бесплатные услуги для удобства общения». "Бесплатные услуги”, конечно, отнюдь не бесплатны: чтобы получить к ним доступ, пользователь должен отправить платное SMS-сообщение на премиум-номер. А сама «услуга» предоставляется в виде Hoax.Win32.OdnoklAgent.a: отправив SMS, пользователь получает программу-пустышку.

На всех таких сайтах в конце главной страницы есть раздел "правила”, содержащий весьма любопытный пункт:

Количество лжеантивирусов к концу года поубавилось — антивирусы успешно справляются с подделками мошенников, и попытки их загрузки на компьютеры становятся менее эффективными. Но мошенники придумали, как им добраться до пользователей альтернативным путем: они стали запускать фальшивые антивирусы не на компьютере пользователя, а в интернете. В этом случае загрузка файла на компьютер не требуется, а добиться, чтобы пользователь перешел на определённую страницу, проще, чем обойти антивирусную защиту. За последний месяц сразу несколько таких новых «интернет-антивирусов» оказалось в лидерах вредоносных программ, обнаруженных в интернете, а два из них даже попали в TOP 20 (18-е и 20-е места). На скриншоте ниже можно видеть результаты работы одного из таких «антивирусов» Trojan.HTML.Fraud.ct.

Как видно на скриншоте, «антивирус» создаёт интернет-страничку, которая очень похожа на окно «Мой Компьютер» семейства операционных систем Windows. Дальше все развивается по уже знакомому сценарию: начинается имитация проверки компьютера на наличие вирусов, которые сразу же «находятся». Если пользователь соглашается вылечить свою систему, то к нему на компьютер загружается лжеантивирус, который предлагает пользователю оплатить лицензию («лечение» компьютера предполагается после оплаты лицензии).

Фрагмент работы загруженного лжеантивируса

Большинство пользователей, на компьютерах которых было зафиксировано срабатывание этого зловреда, живут в развитых странах: в США, Канаде, Великобритании, Германии и Франции. В этом же списке находится Индия — вероятно из-за того, что в этой стране много англоговорящих пользователей.

География детектов Trojan.HTML.Fraud.ct

Маскировка вредоносных ссылок

Сервисы, укорачивающие URL, стали довольно популярными совсем недавно. Это связано с тем, что в Twitter стоит ограничение на длину сообщения в 140 символов. Использование таких сервисов позволяет злоумышленникам маскировать вредоносные ссылки, чем они и пользуются. В декабре в ходе одной из вредоносных атак в сервисе микроблогов Twitter, на главной странице, в списке популярных тем несколько тем набрали высокие позиции искусственным путем с помощью зловредов. Все темы содержали ссылки, свернутые при помощи таких сервисов, как bit.ly, alturl.com и т.д. Перейдя по этим ссылкам, пользователь в результате нескольких редиректов попадал на зараженную веб-страницу, и на его компьютер незаметно загружалась вредоносная программа. Сервис goo.gl от компании Google также использовался киберпреступниками для распространения зловредных ссылок в Twitter в начале декабря.

Еще один способ маскировки вредоносной ссылки был обнаружен в конце месяца. Была зафиксирована IM-рассылка сообщений, содержащих ссылки на страницу Facebook, предназначенную для предупреждения пользователя о том, что он покидает сайт социальной сети. Однако ссылка была дополнена злоумышленниками таким образом, что когда пользователь, пройдя по этой ссылке, в окне выхода из Facebook нажимал на кнопку «продолжить», он перенаправлялся на вредоносный ресурс.

TDSS расширяет свои возможности

Помимо организации мошеннических атак в Сети и не самых сложных атак через социальные сети, киберпреступники работают и над «тяжёлой артиллерией» аресенала зловредов. Авторы одной из самой сложной на сегодняшний день вредоносной программы — руткита TDSS — продолжают совершенствовать его. В декабре последняя модификация руткита, TDL-4, стала использовать уязвимость CVE-2010-3338. Эта уязвимость была открыта в июле 2010 года при исследовании червя Stuxnet.

Не только уязвимости

В ноябрьском обзоре уже писали о том, что семейство Trojan-Downloader.Java.OpenConnection активно растет. Для загрузки вредоносных объектов на компьютеры пользователей они используют не уязвимости, а метод OpenConnection класса URL. В декабрьский рейтинг вредоносных программ в интернете попали два представителя Trojan-Downloader.Java.OpenConnection (2-е и 7-е места). На пике активности программ этого семейства количество уникальных пользователей, на компьютерах которых было зафиксировано срабатывание Trojan-Downloader.Java.OpenConnection, в сутки превышало 40 000.

Динамика детектирования Trojan-Downloader.Java.OpenConnection (количество уникальных пользователей): октябрь — декабрь 2010

Как уже было сказано выше, все представители семейства Trojan-Downloader.Java.OpenConnection используют для загрузки и запуска вредоносного файла из веба не уязвимости, а стандартные возможности Java. Для зловредов, написанных на языке Java, такой способ загрузки в настоящее время является одним из основных. По всей видимости, рост популярности вредоносных программ этого семейства будет продолжаться до тех пор, пока компания Oracle не закроет используемую ими возможность скачивания файлов.

Adobe XML Forms в PDF-эксплойте

В декабре в TOP 20 зловредов в вебе попал Exploit.Win32.Pidief.ddl (11-е место), представляющий собой pdf–документ, который построен на основе Adobe XML Forms. Весь зловредный функционал Pidief.ddl зашит в JavaScript скрипте, который встроен в XML-стрим. В объектной модели Adobe XML Forms присутствует объект "event”, который вызывает исполнение скрипта при наступлении определённого события. У этого объекта есть свойство "activity”, отвечающее за исполнение скрипта. Это свойство содержит строку, которая указывает обработчику, когда вызвать скрипт. В данном файле в этой строке стоит "initialize”, что означает, что пользователь, открыв PDF-документ, инициализирует запуск вредоносного скрипта. Этот скрипт представляет собой эксплойт, который скачивает и запускает другой зловред.

Фрагмент Exploit.Win32.Pidief.ddl

Это первый зафиксированный нами случай массового распространения вредоносных PDF-документов, использовавших модель Adobe XML Forms.

Навязчивая реклама

Рекламный софт, детектируемый как AdWare.Win32.HotBar.dh и включающий в себя рекламные программы HotBar, Zango, ClickPotato, со значительным отрывом от конкурентов занял 1-е место в рейтинге веб-угроз и 5-е место в TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей. Как правило, такой софт устанавливается совместно с легальными приложениями и затем создаёт большие неудобства для пользователя, навязчиво демонстрируя ему рекламу.

Установка рекламной программы ClickPotato вместе с VLC Media Plater

Вредоносные программы, обнаруженные в интернете

Позиция	Изменение позиции	Вредоносная программа	Количество зараженных компьютеров
1	New	AdWare.Win32.HotBar.dh	203975
2	New	Trojan-Downloader.Java.OpenConnection.cf	140009
3	1	Trojan.HTML.Iframe.dl	105544
4	8	Trojan.JS.Popupper.aw	97315
5	13	Trojan.JS.Redirector.lc	73571
6	Returned	AdWare.Win32.FunWeb.di	70088
7	-6	Trojan-Downloader.Java.OpenConnection.bu	70006
8	-5	Exploit.Java.CVE-2010-0886.a	60166
9	-3	Trojan.JS.Agent.bmx	57539
10	-2	Exploit.JS.Agent.bab	54889
11	New	Exploit.Win32.Pidief.ddl	53453
12	-5	Trojan.JS.Agent.bhr	49883
13	New	Trojan-Downloader.JS.Small.os	40989
14	New	Trojan-Clicker.JS.Agent.op	40705
15	Returned	Exploit.HTML.CVE-2010-1885.v	40188
16	New	Packed.Win32.Krap.ao	38998
17	New	AdWare.Win32.FunWeb.fq	36187
18	New	Trojan.JS.Fraud.ba	35770
19	-9	Trojan.JS.Iframe.pg	35293
20	New	Trojan.HTML.Fraud.ct	33141

Вредоносные программы, обнаруженные на ПК пользователей

Позиция	Изменение позиции	Вредоносная программа	Количество зараженных компьютеров
1	0	Net-Worm.Win32.Kido.ir	468580
2	0	Net-Worm.Win32.Kido.ih	185533
3	0	Virus.Win32.Sality.aa	182507
4	0	Trojan.JS.Agent.bhr	131077
5	New	AdWare.Win32.HotBar.dh	122204
6	1	Virus.Win32.Sality.bh	110121
7	-2	Virus.Win32.Virut.ce	105298
8	0	Packed.Win32.Katusha.o	100949
9	New	Porn-Tool.Win32.StripDance.b	92270
10	-4	Worm.Win32.FlyStudio.cu	88566
11	-11	Trojan.Win32.AutoRun.avp	68970
12	-2	Exploit.JS.Agent.bab	65139
13	1	Trojan-Downloader.Win32.Geral.cnh	63651
14	-3	Trojan-Downloader.Win32.VB.eql	57155
15	-3	Exploit.Win32.CVE-2010-2568.b	55578
16	-1	Worm.Win32.Mabezat.b	54994
17	-1	Packed.Win32.Klone.bq	53160
18	-5	Exploit.Win32.CVE-2010-2568.d	50405
19	-1	AdWare.Win32.FunWeb.gq	50272
20	New	Worm.VBS.VirusProtection.c	46563