Огляд вірусної активності: грудень 2010, Безпека ПЗ, Security & Hack, статті

У грудні не було відмічено значущих вірусних інцидентів. Тим не менш, протягом місяця:



Тактика, використовувана зловмисниками, залишилася незмінною. Як і раніше веб-серфінг залишається небезпечним заняттям, а зловмисники активно використовують методи соціальної інженерії, щоб спровокувати користувачів відкрити шкідливе посилання або завантажити на комп'ютер шкідливу / шахрайську програму.


Шахраї в доменній зоні. Рф


У листопаді 2010 почалася реєстрація доменних імен в зоні. Рф для всіх бажаючих. Ми вирішили простежити, як освоюють нову доменну зону зловмисники. Виявилося, що серед шкідливих переважають програми шахрайської спрямованості.


На шкідливих ресурсах в зоні ". Рф" найчастіше зустрічаються три види зловредів. Перший – фальшиві архіви. Про фальшивих архівах ми досить багато й докладно розповідали, наприклад, в початку грудня, І тут зупинятися на цьому не будемо. Другий – скриптова редиректор Trojan.JS.Redirector.ki. Він влаштований досить примітивно, а основним його завданням є перекидання користувача на шкідливу сторінку за допомогою команди "document.location".


Третій – Hoax.Win32.OdnoklAgent.a – дуже незвичайний екземпляр. Програма відкриває вікно "Однокласники Агент", де використано логотип широко відомої в Росії соціальної мережі "Однокласники". У вікні присутні посилання на сторінки соціальної мережі і навіть копірайт. Але сама програма являє собою пустушку – вона нічого не робить, навіть якщо введені вірні логін-пароль користувача мережі.

Вікно, що відкривається Hoax.Win32.OdnoklAgent.a


У кого ж виникла необхідність у Hoax.Win32.OdnoklAgent.a? Справа в тому, що в зоні ". Рф" існує безліч однотипних сайтів, на яких пропонуються "безкоштовні послуги для зручності спілкування". "Безкоштовні послуги ", звичайно, аж ніяк не безкоштовні: щоб отримати до них доступ, користувач повинен відправити платне SMS-повідомлення на преміум-номер. А сама" послуга "надається у вигляді Hoax.Win32.OdnoklAgent.a: відправивши SMS, користувач отримує програму-пустушку.


Пропозиція оплатити "послугу"


На всіх таких сайтах в кінці головної сторінки є розділ "правила", що містить вельми цікавий пункт:


  1. Також Ви розумієте, що матеріали даного сайту-жарти не несуть за собою інформаційної та смислового навантаження, і не мають ніякого відношення до ТОВ "Однокласники", і самого проекту odnoklassniki.ru, а мають лише жартівливий характер з можливістю отримання доступу до Java-скрипту і деякому софту на платній основі.


Таким чином власники сайту підстрахувалися: програма-пустушка і не повинна нічого робити, так як в правилах зазначено, що "матеріали даного сайту мають лише жартівливий характер". Тільки от за "жарти" шахраїв платити доводиться неуважним користувачам – в даному випадку за ціною SMS.


Фальшиві антивіруси – тепер онлайн


Кількість лжеантівірусов останнім часом поменшало – антивіруси успішно справляються з підробками шахраїв, і спроби їх завантаження на комп'ютери стають менш ефективними. Але шахраї придумали, як їм дістатися до користувачів альтернативним шляхом: вони стали запускати фальшиві антивіруси не на комп'ютері користувача, а в інтернеті. У цьому випадку завантаження файлу на комп'ютер не потрібно, а домогтися, щоб користувач перейшов на певну сторінку, простіше, ніж обійти антивірусний захист. За останній місяць відразу декілька таких нових "інтернет-антивірусів" виявилося в лідерах шкідливих програм, виявлених в інтернеті, а два з них навіть потрапили в TOP 20 (18-е і 20-е місця).


На скріншоті нижче можна бачити результати роботи одного з таких "антивірусів" Trojan.HTML.Fraud.ct.


Працюючий веб-фраудтул Trojan.HTML.Fraud.ct


Як видно на скріншоті, "антивірус" створює інтернет-сторінку, яка дуже схожа на вікно "Мій Комп'ютер" сімейства операційних систем Windows. Далі все розвивається по вже знайомому сценарієм: починається імітація перевірки комп'ютера на наявність вірусів, які відразу ж "знаходяться". Якщо користувач погоджується вилікувати свою систему, то до нього на комп'ютер завантажується лжеантівірус, який пропонує користувачеві оплатити ліцензію ("лікування" комп'ютера передбачається після оплати ліцензії).


Фрагмент роботи завантаженого лжеантівіруса


Більшість користувачів, на комп'ютерах яких було зафіксовано спрацьовування цього зловреда, живуть в розвинених країнах: у США, Канаді, Великобританії, Німеччини та Франції. У цьому ж списку знаходиться Індія – ймовірно через те, що в цій країні багато англомовних користувачів.


Географія детектив Trojan.HTML.Fraud.ct


Маскування шкідливих посилань


Послуги, вкорочують URL, стали досить популярними зовсім недавно. Це пов'язано з тим, що в Twitter стоїть обмеження на довжину повідомлення в 140 символів. Використання таких сервісів дозволяє зловмисникам маскувати шкідливі посилання, чим вони і користуються.


У грудні в ході однієї з шкідливих атак в сервісі мікроблогів Twitter, На головній сторінці, в списку популярних тем кілька тем набрали високі позиції штучним шляхом за допомогою зловредів. Всі теми містили посилання, згорнуті за допомогою таких сервісів, як bit.ly, alturl.com і т.д. Перейшовши за цим посиланням, користувач у результаті декількох редиректів потрапляв на заражену веб-сторінку, і на його комп'ютер непомітно завантажувалася шкідлива програма. Сервіс goo.gl від компанії Google також використовувався кіберзлочинцями для розповсюдження шкідливих посилань на Twitter на початку грудня.


Ще один спосіб маскування шкідливої ​​посилання ми виявили в кінці місяця. Була зафіксована IM-розсилка повідомлень, які містять посилання на сторінку Facebook, призначену для попередження користувача про те, що він залишає сайт соціальної мережі. Однак посилання була доповнена зловмисниками таким чином, що коли користувач, пройшовши за цим посиланням, у вікні виходу з Facebook натискав на кнопку "продовжити", він перенаправлявся на шкідливий ресурс.


TDSS розширює свої можливості


Крім організації шахрайських атак в Мережі і не самих складних атак через соціальні мережі, кіберзлочинці працюють і над "важкою артилерією" аресенала зловредів. Автори однієї з найскладнішою на сьогоднішній день шкідливої ​​програми – руткіта TDSS – продовжують удосконалювати його. У грудні остання модифікація руткіта, TDL-4, стала використовувати уразливість CVE-2010-3338. Ця вразливість була відкрита в липні 2010 року при дослідженні хробака Stuxnet.


Не тільки уразливості


У листопадовому огляді ми писали про те, що сімейство Trojan-Downloader.Java.OpenConnection активно зростає. Для завантаження шкідливих об'єктів на комп'ютери користувачів вони використовують не уразливості, а метод OpenConnection класу URL.


В грудневий рейтинг шкідливих програм в інтернеті потрапили два представники Trojan-Downloader.Java.OpenConnection (2-е і 7-е місця). На піку активності програм цього сімейства кількість унікальних користувачів, на комп'ютерах яких було зафіксовано спрацьовування Trojan-Downloader.Java.OpenConnection, в добу перевищувала 40 000.


Динаміка детектування Trojan-Downloader.Java.OpenConnection (кількість
унікальних користувачів): жовтень – грудень 2010


Як вже було сказано вище, всі представники сімейства Trojan-Downloader.Java.OpenConnection використовують для завантаження і запуску шкідливого файлу з веба не уразливі, а стандартні можливості Java. Для зловредів, написаних на мові Java, такий спосіб завантаження в даний час є одним з основних. По всій видимості, зростання популярності шкідливих програм цього сімейства триватиме до тих пір, поки компанія Oracle не закриє використовувану ними можливість скачування файлів.


Adobe XML Forms в PDF-експлойт


У грудні в TOP 20 зловредів в інтернеті потрапив Exploit.Win32.Pidief.ddl (11-е місце), що представляє собою pdf-документ, який побудований на основі Adobe XML Forms. Весь злобливий функціонал Pidief.ddl зашитий в JavaScript скрипті, який вбудований в XML-стрім. В об'єктній моделі Adobe XML Forms присутній об'єкт "event", який викликає виконання скрипта при настанні певної події. У цього об'єкта є властивість "activity", що відповідає за виконання скрипта. Ця властивість містить рядок, який вказує обробникові, коли викликати скрипт. В даному файлі в цьому рядку стоїть "initialize", що означає, що користувач, відкривши PDF-документ, ініціалізує запуск шкідливого скрипта. Цей скрипт є експлойт, який викачує і запускає другий зловреда.


Фрагмент Exploit.Win32.Pidief.ddl


Це перший зафіксований нами випадок масового поширення шкідливих PDF-документів, які використовували модель Adobe XML Forms.


Нав'язлива реклама


Рекламний софт, Детектируемая як AdWare.Win32.HotBar.dh і включає в себе рекламні програми HotBar, Zango, ClickPotato, зі значним відривом від конкурентів зайняв 1-е місце в рейтингу веб-загроз і 5-е місце в TOP 20 шкідливих програм, виявлених на комп'ютерах користувачів. Як правило, такий софт встановлюється спільно з легальними програмами і потім створює великі незручності для користувача, нав'язливо демонструючи йому рекламу.


Установка рекламної програми ClickPotato разом з VLC Media Plater


Шкідливі програми в інтернеті












































































































Позиція Зміна позиції Шкідлива програма Кількість заражених комп'ютерів
1   New AdWare.Win32.HotBar.dh   203975  
2   New Trojan-Downloader.Java.OpenConnection.cf   140009  
3   1 Trojan.HTML.Iframe.dl   105544  
4   8 Trojan.JS.Popupper.aw   97315  
5   13 Trojan.JS.Redirector.lc   73571  
6   Returned AdWare.Win32.FunWeb.di   70088  
7   -6 Trojan-Downloader.Java.OpenConnection.bu   70006  
8   -5 Exploit.Java.CVE-2010-0886.a   60166  
9   -3 Trojan.JS.Agent.bmx   57539  
10   -2 Exploit.JS.Agent.bab   54889  
11   New Exploit.Win32.Pidief.ddl   53453  
12   -5 Trojan.JS.Agent.bhr   49883  
13   New Trojan-Downloader.JS.Small.os   40989  
14   New Trojan-Clicker.JS.Agent.op   40705  
15   Returned Exploit.HTML.CVE-2010-1885.v   40188  
16   New Packed.Win32.Krap.ao   38998  
17   New AdWare.Win32.FunWeb.fq   36187  
18   New Trojan.JS.Fraud.ba   35770  
19   -9 Trojan.JS.Iframe.pg   35293  
20   New Trojan.HTML.Fraud.ct   33141  


Шкідливі програми, виявлені на комп'ютерах користувачів












































































































Позиція Зміна позиції Шкідлива програма Кількість заражених комп'ютерів
1   0 Net-Worm.Win32.Kido.ir   468580  
2   0 Net-Worm.Win32.Kido.ih   185533  
3   0 Virus.Win32.Sality.aa   182507  
4   0 Trojan.JS.Agent.bhr   131077  
5   New AdWare.Win32.HotBar.dh   122204  
6   1 Virus.Win32.Sality.bh   110121  
7   -2 Virus.Win32.Virut.ce   105298  
8   0 Packed.Win32.Katusha.o   100949  
9   New Porn-Tool.Win32.StripDance.b   92270  
10   -4 Worm.Win32.FlyStudio.cu   88566  
11   -11 Trojan.Win32.AutoRun.avp   68970  
12   -2 Exploit.JS.Agent.bab   65139  
13   1 Trojan-Downloader.Win32.Geral.cnh   63651  
14   -3 Trojan-Downloader.Win32.VB.eql   57155  
15   -3 Exploit.Win32.CVE-2010-2568.b   55578  
16   -1 Worm.Win32.Mabezat.b   54994  
17   -1 Packed.Win32.Klone.bq   53160  
18   -5 Exploit.Win32.CVE-2010-2568.d   50405  
19   -1 AdWare.Win32.FunWeb.gq   50272  
20   New Worm.VBS.VirusProtection.c   46563  

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*