Кіберітогі січня: нові схеми роботи шахраїв, Безпека ПЗ, Security & Hack, статті

Січень в цифрах


Протягом місяця на комп'ютерах користувачів продуктів "Лабораторії Касперського":



Шахраї в Мережі


Більшість шкідливих програм, особливо складних, приховують свою присутність в системі і діють непомітно для користувача. Однак у випадку кібершахрайстві реалізація шахрайських схем вимагає участі користувачів. Дуже важливо знати про ті прийоми, які використовують зловмисники, і не піддаватися на їх прийоми.


Небезпечні подаруночки


Популярність тієї чи іншої інтернет-послуги або продукту часто використовують зловмисники. Популярність продуктів "Лабораторії Касперського" також не залишилася без уваги шахраїв, і січень став яскравим тому підтвердженням.


В інтернеті поширюються утиліти, які дозволяють використовувати деякі продукти "Лабораторії Касперського" без активації. Такі програми детектируется нами як потенційно небажане ПО сімейства Kiser. У січні два представника цього сімейства навіть потрапили до двадцятки найпопулярніших вердиктів на комп'ютерах користувачів (9-е і 11-е місця).


Після новорічних свят нами був виявлений троянець-дроппер, замаскований під генератор ключів для продуктів ЛК. Дроппер встановлює і запускає на комп'ютерах любителів безкоштовного сиру два небезпечних зловреда. Один з них краде реєстраційні дані від програм і паролі до онлайн-ігор. Другий – бекдор, який до того ж володіє функціоналом кейлоггера.


На початку січня нашими експертами був виявлений фальшивий сайт "Лабораторії Касперського", адреса якого відрізнявся від kaspersky.ru всього на одну букву. На цьому сайті користувачам пропонувалося скачати "новорічний подарунок" – безкоштовний Kaspersky Internet Security 2011.


 


Замість KIS2011 на комп'ютер завантажувався зловреда Trojan-Ransom.MSIL.FakeInstaller.e, встановлення якого приводила до перезапуску комп'ютера. Після перезавантаження троянець чомусь показував фальшиве вікно соціальної мережі "Однокласники" з повідомленням про те, що користувач виграв телефон Samsung Galaxy S, який можна отримати всього за 1200 рублів (близько 30 євро). Щоб підтвердити "виграш", необхідно було відправити SMS-повідомлення на преміум-номер. За відправку SMS з рахунку знімалася певна сума, і на цьому історія з "виграшем" закінчувалася.


Ми закликаємо користувачів бути уважними і користуватися послугами та продуктами, які пропонуються тільки на офіційних сайтах нашої компанії.


"Безкоштовний" IE за 300 рублів


Ще одна програма, популярністю якою скористалися шахраї, – Internet Explorer. У січні в Рунеті були виявлені веб-сторінки, на яких користувачеві пропонувалося "оновити браузер Internet Explorer ". Для початку треба було вибрати необхідні" оновлення ", після чого на екрані імітувалася їх встановлення і з'являлося вимога активувати вже" встановлене програмне забезпечення ", відправивши SMS на преміум-номер.


 
Фрагмент Hoax.HTML.Fraud.e з вимогою "активації"


Відправивши платне SMS-повідомлення, користувач отримував посилання на доступний всім бажаючим безкоштовний інсталятор Internet Explorer 8 і … "статті з комп'ютерної безпеки".


Такі шахрайські веб-сторінки детектируются як Hoax.HTML.Fraud.e, за підсумками місяця цей вердикт зайняв 17-е місце в TOP 20 шкідливих програм в інтернеті.


Порожні архіви


У шахраїв Мережі як і раніше популярний і інший спосіб наживи – підроблені архіви. У цьому місяці нова модифікація Hoax.Win32.ArchSMS.mvr потрапила в ТОП 20 відразу в обох рейтингах: і шкідливих програм в інтернеті (11-е місце), і зловредів, виявлених на комп'ютерах користувачів (17-е місце).


Атаки через Twitter


У попередньому огляді ми розповідали про поширення в Twitter шкідливих посилань, укорочених за допомогою сервісу goo.gl. У середині січня масове поширення укорочених шкідливих посилань продовжилося. Як і в грудні, при переході по посиланнях користувач в результаті декількох редиректів потрапляв на сторінку з "онлайн-антивірусом". Діяв фальшивий антивірус за грудневого сценарієм: відкривав на сторінці вікно, що нагадує вікно "Мій Комп'ютер", імітував сканування машини і пропонував користувачу заплатити за видалення "знайдених" шкідливих програм.


Рекламні програми


Як і раніше активно поширюються рекламні програми. Посіла 12-е місце в рейтингу шкідливих програм в інтернеті AdWare.Win32.WhiteSmoke.a без згоди користувача додає на робочий стіл ярлик Improve your PC. Після того як користувач клацає по ньому мишкою, відкривається сторінка з пропозицією "очистити комп'ютер від помилок". Якщо власник комп'ютера погоджується на цю пропозицію, на його комп'ютер встановлюється програма під назвою RegistryBooster 2011, яка просканує комп'ютер і вимагатиме заплатити за виправлення виявлених помилок.


 
RegistryBooster 2011 в дії


Компонент популярного рекламного софта FunWeb – Hoax.Win32.ScreenSaver.b – вперше потрапив в TOP 20 шкідливих програм, заблокованих на комп'ютерах користувачів, але зайняв відразу 4-е місце. Нагадаю, що FunWeb – одне з популярних сімейств рекламних програм, представники якого протягом року регулярно потрапляють до рейтингів найпопулярніших зловредів. Такі рекламні програми переважають в англомовних країнах: США, Канаді, Великобританії, а також в Індії.


 


Уразливості та безпека


У черговий раз ми закликаємо користувачів не нехтувати критичними оновленнями. У двадцятку найпоширеніших загроз, заблокованих на комп'ютерах користувачів, у січні потрапив експлойт Exploit.JS.Agent.bbk (20-е місце), який використовує уразливість CVE-2010-0806. Незважаючи на те що уразливість була виправлена ​​ще в кінці березня 2010 року (патч тут), Крім Agent.bbk її експлуатують ще кілька зловредів з TOP 20 (6-е і 13-е місця). Це означає, що пролом в ПО до сих пір не закрита на безлічі комп'ютерів, і її ефективно використовують зловмисники.


Завантаження шкідливих файлів за допомогою Java-зловредів


Завантаження шкідливих файлів за допомогою Java-зловредів методом OpenConnection, яка почала використовуватися зловмисниками в жовтні минулого року, в даний час є одним з найпопулярніших способів завантаження. Два нових представника сімейства Trojan-Downloader.Java.OpenConnection потрапили у січневу TOP 20 шкідливих програм в інтернеті (9-е і 20-е місця).


 
Динаміка детектування Trojan-Downloader.Java.OpenConnection (кількість
унікальних користувачів): жовтень 2010 – січень 2011


Відзначимо, що при використанні останніх версій JRE (робоче середовище Java) користувачу буде видаватися попередження про запуск небезпечного Java-аплета. Досить відмовитися від його запуску, щоб запобігти зараження комп'ютера.


Складні шкідливі програми: новий поштовий хробак


У січні з'явився новий поштовий хробак – Email-Worm.Win32.Hlux. Розповсюджується він за допомогою повідомлень про отриману вітальній листівці електронної, яке містить посилання на сторінку з пропозицією встановити Flash Player для коректного відображення листівки. При спробі завантажити Flash Player відкривається діалогове вікно, в якому користувача питають, чи згоден він завантажити файл. Незалежно від відповіді користувача, черв'як намагається проникнути на його комп'ютер: через п'ять секунд після відкриття діалогового вікна відбувається редірект на сторінку, що містить набір експлойтів і програми сімейства Trojan-Downloader.Java.OpenConnection, які починають завантаження Hlux на комп'ютер.


Хробак, крім самораспространения поштою, володіє функціоналом бота і включає заражений комп'ютер в ботнет. Hlux зв'язується з командним центром ботнету і виконує його команди – зокрема, розсилає фармацевтичний спам. Бот спілкується з командним центром через проксі-сервери fast-flux мережі. Якщо заражений комп'ютер володіє зовнішнім IP-адресою, то він може використовуватися як ланка Fast-Flux мережі. Велика кількість заражених машин дозволяє зловмисникам дуже часто міняти IP-адреси доменів, на яких розташовані командні центри ботнету.


 
Частота зміни IP-адрес доменів C & C ботнетів Hlux


Trojan-SMS: ще один спосіб крадіжки грошей


У січні зловмисники стали використовувати ще один спосіб викачування грошей з власників мобільних телефонів. Новий троянець Trojan-SMS.J2ME.Smmer.f поширюється стандартним для мобільних Java-зловредів способом – за допомогою розсилаємих SMS з посиланням "на віртуальну листівку". Після установки на телефон троянець відсилає по одному SMS-повідомленням на два різних преміум-номера. SMS на ці номери відправляються безкоштовно. Як же наживаються шахраї? Справа в тому, що обидва номери використовуються одним з операторів стільникового зв'язку для переказу грошей з одного рахунку на інший. У першому повідомленні, відправляється троянцем, вказана сума, яка буде знята з рахунку власника зараженого телефону (200 руб., Близько 5 євро), і номер, який використовується шахраями для отримання грошей. Друге SMS-повідомлення відправляється для підтвердження переказу.


З подібним видом шахрайства ми стикалися два роки тому, тоді від нього постраждали індонезійські користувачі. Тепер його взяли на озброєння шахраї в Росії.


TOP 20 шкідливих програм в інтернеті











































































































Позиція Зміна позиції Шкідлива програма Кількість унікальних атак *
1   0 AdWare.Win32.HotBar.dh   169173  
2   0 Trojan-Downloader.Java.OpenConnection.cf   165576  
3   New Exploit.HTML.CVE-2010-1885.aa   140474  
4   New AdWare.Win32.FunWeb.gq   114022  
5   -2 Trojan.HTML.Iframe.dl   112239  
6   New Trojan.JS.Redirector.os   83291  
7   7 Trojan-Clicker.JS.Agent.op   82793  
8   -4 Trojan.JS.Popupper.aw   80981  
9   New Trojan-Downloader.Java.OpenConnection.cg   66005  
10   2 Trojan.JS.Agent.bhr   53698  
11   New Hoax.Win32.ArchSMS.mvr   47251  
12   New AdWare.Win32.WhiteSmoke.a   44889  
13   5 Trojan.JS.Fraud.ba   44561  
14   -4 Exploit.JS.Agent.bab   42800  
15   -7 Trojan.JS.Redirector.lc   42231  
16   -8 Exploit.Java.CVE-2010-0886.a   41232  
17   New Hoax.HTML.Fraud.e   37658  
18   New Trojan-Clicker.JS.Agent.om   36634  
19   -6 Trojan-Downloader.JS.Small.os   35857  
20   New Trojan-Downloader.Java.OpenConnection.cx   35629  


* Сумарне число унікальних інцидентів, зафіксованих веб-антивірусом на комп'ютерах користувачів


TOP 20 шкідливих програм, виявлених на комп'ютерах користувачів











































































































Позиція Зміна позиції Шкідлива програма Число унікальних користувачів *
1   0 Net-Worm.Win32.Kido.ir   466686  
2   1 Virus.Win32.Sality.aa   210635  
3   -1 Net-Worm.Win32.Kido.ih   171640  
4   New Hoax.Win32.Screensaver.b   135083  
5   0 AdWare.Win32.HotBar.dh   134649  
6   -2 Trojan.JS.Agent.bhr   131466  
7   -1 Virus.Win32.Sality.bh   128206  
8   -1 Virus.Win32.Virut.ce   114286  
9   New HackTool.Win32.Kiser.zv   104673  
10   -2 Packed.Win32.Katusha.o   90870  
11   New HackTool.Win32.Kiser.il   90499  
12   -2 Worm.Win32.FlyStudio.cu   85184  
13   -1 Exploit.JS.Agent.bab   77302  
14   -1 Trojan-Downloader.Win32.Geral.cnh   62426  
15   -1 Trojan-Downloader.Win32.VB.eql   58715  
16   0 Worm.Win32.Mabezat.b   58579  
17   New Hoax.Win32.ArchSMS.mvr   50981  
18   -1 Packed.Win32.Klone.bq   50185  
19   Returned Worm.Win32.Autoit.xl   43454  
20   New Exploit.JS.Agent.bbk   41193  


* Число унікальних користувачів, на комп'ютерах яких антивірус детектувала об'єкт


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*