Ліквідація найбільшої спам-мережі та інші вірусні події березня 2011 року, Криптографія, Security & Hack, статті

Закриття ботнету Trojan.Spambot


17 березня 2011 припинив роботу найбільший генератор спаму, ботнет Trojan.Spambot. 26 командних центрів ботнету стали недоступні, і сотні тисяч ботів, залишившись без управління, впали у сплячку.


За оцінками Microsoft, комп'ютер, заражений Trojan.Spambot, Розсилав до 10000 листів на годину. При цьому, за даними деяких експертів, в спам-мережу входило близько 815 000 пошукових роботів. Таким чином, сумарний спам-трафік, створюваний ботнетом Trojan.Spambot, Можна оцінювати в кілька мільярдів повідомлень на добу. Відповідальність за обезглавлення ботнету Trojan.Spambot взяла на себе корпорація Microsoft, яка провела операцію спільно з американською владою.


Trojan.Spambot, Перші відомі зразки якого датуються 2005 роком, став одним з найбільш високотехнологічних і складних представників актуального троянського ПЗ. Розробник Trojan.Spambot кілька років удосконалював цю програму, а розбір коду троянця послужив джерелом безлічі аналітичних публікацій.


Юридичним обгрунтуванням операції був цивільний позов Microsoft проти невстановлених осіб, що стояли за даними ботнетом. За поширеною версією, зловмисниками є наші співвітчизники.


Поки складно давати прогнози щодо майбутнього спам-індустрії. Той відчутна втрата, який завдало їй закриття найбільшої спам-мережі, може бути швидко відшкодовано зростанням інших ботнетів. Лідируючі позиції поширення спаму вже зайняв давно відомий ботнет Win32.HLLM.Beagle, Активність якого останні кілька років була низькою. Обидві спам-мережі спеціалізуються на т. зв. фарм-спам – реклами лікарських препаратів.


Надалі варто також бути готовими до зміни архітектури ботнетів у бік децентралізації. Також висловлюються припущення про можливість відновлення ботнету Trojan.Spambot.


Троянці в терміналах


У березні 2011 року компанія "Доктор Веб" заявила про виявлення нової модифікації троянця Trojan.PWS.OSMP, Що спеціалізується на зараження терміналів експрес-оплати. Цей троянець змінює номери рахунків одержувачів платежів. А остання його модифікація, ймовірно, дозволяє зловмисникам створити віртуальний термінал.


Примітно, що троянець був виявлений не при аналізі зараженого терміналу, а при моніторингу бот-мережі іншого троянця, що забезпечує шляхи проникнення Trojan.PWS.OSMP на термінали.


Зараження терміналів відбувається в два етапи. Спочатку на термінал потрапляє BackDoor.Pushnik, Який представляє собою запакований виконуваний файл розміром ~ 620 КБ, написаний на Delphi, і розповсюджується через змінні носії. Після установки троянець отримує керуючі дані від своїх командних центрів і, через кілька проміжних кроків, завантажує і запускає бінарний файл розміром 60-70 КБ, що містить Trojan.PWS.OSMP. Той перебирає запущені процеси в пошуках процесу maratl.exe, Що є частиною програмного оточення платіжних терміналів. У разі успіху троянець впроваджується в процес і змінює рахунок отримувача безпосередньо в пам'яті процесу, підставляючи рахунку зловмисників.


Остання зафіксована версія троянця реалізує іншу схему шахрайства. Trojan.PWS.OSMP копіює на свій сервер конфігураційний файл ПО платіжного термінала. Крадіжка конфігураційного файлу передбачає спробу створення підробленого терміналу на комп'ютері зловмисників, що має дозволити перенаправляти безготівкові грошові кошти на рахунки розробників троянця.


Нові критичні уразливості в продукції Adobe


14 березня 2011 Adobe оголосила про виявлення черговий уразливості в плеєрі Adobe Flash Player 10.2.152.33 і деяких більш ранніх версіях.


Уразливість дозволяє зловмисникам атакувати систему за допомогою спеціально оформленого swf-файлу. Вона є спільною для версій даного програмного продукту для Windows, Mac OS, Linux, Solaris і ранніх версій Android.


Оновлення, що закривають цю уразливість, були випущені тільки 21 березня. Таким чином, уразливість залишалася актуальною протягом тижня. Незабаром після цього у відкритому доступі виявилися вихідні коди приклад експлуатації даної уразливості.


Інструмент реалізації атаки являє собою xls-файл з вбудованим swf-об'єктом:


Рис. 1. Вбудований swf-файл в таблиці Excel.


Даний swf-файл завантажує в пам'ять shell-код, потім виконує атаку на вразливий flash-програвач, використовуючи техніку Heap Spray. Потім код swf-файлу завантажувати другу swf-файл, який використовує уразливість інтерпретатора байт-коду ActionScript CVE-2011-0609, спільного для всіх вразливих систем.


Демонстрація уразливості спровокувала розсилки листів, що містять у вкладенні троянський xls-файл, що включає в себе Exploit.SWF.169. При запуску троянського файлу середу MS Excel на деякий час перестає відповідати, при цьому користувач бачить пусту таблицю з вбудованим flash-роликом без зображення.


Рис. 2. Завантаження документа MS Excel, що містить Exploit.SWF.169.


В цей час Exploit.SWF.169 здійснює свою локальну атаку, зберігає на диск і запускає виконуваний файл з навантаженням у вигляді Trojan.MulDrop1.64014 або Trojan.MulDrop.13648.


Атаки на соціальні мережі


На сьогоднішній день соціальні мережі – популярна мета хакерських атак. Підтвердив це і минулий місяць – атакам піддалися популярні сервіси LiveJournal і Facebook.


4 березня 2011 була здійснена масова розсилка фішингових листів від імені адміністрації сервісу LiveJournal, що містять повідомлення про блокування і можливому віддаленні аккаунта на LiveJournal.


При цьому в графі відправника фішингової листа було вказано адресу do-not-reply@livejournal.com, Який дійсно використовується сервісом LiveJournal для розсилки повідомлень. Шахрайська посилання, по якому пропонується перейти, веде на один з підроблених сайтів: livejorrnal.com або xn--livejurnal-ivi.com.


При переході користувач потрапляє на сторінку, що копіює дизайн оригінального LiveJournal. Дані, які тут вводить користувач, передаються шахраям.


Рис. 3. Шахрайська сторінка, яка копіює зовнішній вигляд LiveJournal.


Через кілька днів схожою атаці піддався сервіс Facebook. Його користувачі почали отримувати спам-повідомлення, що розсилаються від імені діючих акаунтів Facebook. У повідомленнях містилася коротка посилання (Така методика часто використовується при подібних атаках). При цьому користувач не може дізнатися заздалегідь, куди таке посилання веде. В даному випадку вона приводила на шахрайську сторінку, що копіює дизайн Facebook. На цій сторінці поширював повідомлення із запитом особистої інформації користувача. У разі заповнення полів запиту зловмисники отримували доступ до аккаунту жертви, від імені якої в подальшому відбувалася аналогічна розсилка по списку друзів.


Очевидно, що зловмисники продовжують удосконалювати технічні прийоми і методи соціальної інженерії при атаках з використанням соціальних мереж.


30 березня 2011 LiveJournal піддався черговий DDoS-атаці. За оцінками адміністрації сервісу, наймасштабнішою за час його існування. Атака тривала кілька годин, у цей час сервіс був практично недоступний.


Хвиля спам-розсилок, пов'язаних з катастрофою в Японії


Як і слід було очікувати, знайшлися зловмисники, готові скористатися чужою бідою, і за катастрофою в Японії пішла хвиля спаму відповідної тематики.


Деякі зразки спам-розсилок містили заклики до пожертвувань, при цьому в якості відправника фігурувала одна з відомих благодійних організацій ("Червоний хрест", "Армія порятунку" і т. п.).


У тілі листа, як правило, присутня посилання на відповідний шахрайський ресурс, готовий приймати пожертвування.


Рис. 4. Підроблена сторінка "Червоного хреста".


В інших випадках користувачів заманювали на шкідливі ресурси. Наприклад, у повідомленні пропонувалося переглянути відеоролик про катастрофу, посилання на який була присутня в тілі листа.


Рис. 5. Спам-розсилка з "відео" про катастрофу в Японії.


При спробі перегляду користувач переходить на шкідливий сайт, з якого на його машину встановлюється Trojan.FakeAlert.


Рис. 6. Результат перегляду "відео" про катастрофу в Японії.


Безліч подібних розсилок зафіксовано і у нас, і за кордоном. Користуючись нагодою, зловмисники поширюють широкий спектр троянського ПЗ: лжеантівіруси, підроблені системні утиліти, всілякі блокувальники …


Шкідливі файли, виявлені в березні 2011 року в поштовому трафіку






















































































 01.03.2011 00:00 – 31.03.2011 01:00 

1 Trojan.Inject.28090  2517487 (9.89%)
2 Trojan.Inject.27975  2063777 (8.10%)
3 Trojan.DownLoad2.20306  1656904 (6.51%)
4 Trojan.DownLoader2.22364  1457945 (5.73%)
5 Trojan.Inject.28053  1358480 (5.33%)
6 Trojan.DownLoader2.265  1352313 (5.31%)
7 Win32.HLLM.MyDoom.33808  1184204 (4.65%)
8 Trojan.DownLoader2.17823  1057371 (4.15%)
9 Trojan.DownLoader2.1901  1030685 (4.05%)
10 Trojan.DownLoader2.2035  940626 (3.69%)
11 Trojan.DownLoader2.2977  837149 (3.29%)
12 Win32.HLLM.Netsky.18401  834193 (3.28%)
13 Trojan.DownLoader2.10188  682540 (2.68%)
14 Trojan.DownLoad1.58681  568003 (2.23%)
15 Trojan.DownLoader2.16572  563631 (2.21%)
16 Trojan.Packed.20878  409260 (1.61%)
17 Win32.HLLW.Texmer.51  404317 (1.59%)
18 Win32.HLLM.Netsky.35328  369690 (1.45%)
19 Trojan.MulDrop.64589  367488 (1.44%)
20 Trojan.DownLoad.41551  341949 (1.34%)










Всього перевірено:  74,983,221,402
Інфіковано:  25,463,678 (0.03%)


Шкідливі файли, виявлені в березні 2011 року на комп'ютерах користувачів






















































































 01.03.2011 00:00 – 31.03.2011 01:00 

1 Win32.HLLP.Neshta  16013222 (29.74%)
2 Win32.HLLP.Novosel  11746302 (21.82%)
3 JS.IFrame.95  5125132 (9.52%)
4 Win32.HLLP.Whboy.45  4336264 (8.05%)
5 Win32.Siggen.8  3985715 (7.40%)
6 Win32.HLLW.Whboy  2565223 (4.76%)
7 ACAD.Pasdoc  1072822 (1.99%)
8 Trojan.MulDrop1.48542  486108 (0.90%)
9 Trojan.Click.64310  462653 (0.86%)
10 Win32.Antidot.1  455366 (0.85%)
11 JS.Click.22  393754 (0.73%)
12 Win32.HLLP.Whboy  254289 (0.47%)
13 Win32.HLLW.Shadow.based  241028 (0.45%)
14 Win32.Sector.22  229577 (0.43%)
15 Win32.HLLP.Rox  216080 (0.40%)
16 Win32.Sector.12  204476 (0.38%)
17 Trojan.Packed.21230  186951 (0.35%)
18 Exploit.Cpllnk  168504 (0.31%)
19 Win32.Virut.56  155258 (0.29%)
20 Trojan.DownLoad.32973  142519 (0.26%)










Всього перевірено:  139,536,970,982
Інфіковано:  53,840,333 (0.04%)


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*