Следите за новостями

Успехи в борьбе с TDL3 и другие вирусные события ноября

Обзор вирусной обстановки за ноябрь от компании «Доктор Веб».

7 декабря 2009 13:29

Одним из главных событий ноября 2009 года стала победа антивируса Dr.Web над новой модификацией руткита BackDoor.Tdss, который использует различные технологии сокрытия в системе, предоставляя злоумышленникам полный контроль над зараженным компьютером. Кроме того, активизировалось распространение вредоносных программ под видом ПО, якобы способного отслеживать местоположение владельцев сотовых телефонов. В качестве одного из основных каналов распространения троянских программ остаются различные типы сообщений в социальных сетях, а поток вирусов, распространяющихся в виде почтовых сообщений, претерпел к концу ноября локальный спад.

BackDoor.Tdss.565 и его последователи

12 ноября 2009 года компания «Доктор Веб» предложила своим пользователям новую версию сканера с графическим интерфейсом, который первым среди антивирусных решений получил возможность противодействовать руткиту BackDoor.Tdss.565 (также широко известному под названием TDL3), будучи запущенным непосредственно в зараженной системе.

Данный тип руткитов включает в себя множество новых разработок, которые позволяют обойти практически все существующие антивирусные технологии и внедрить вредоносную программу в систему абсолютно незаметно как для пользователя, так и для большинства антивирусных программ.

В числе таких «новинок» в составе BackDoor.Tdss.565 — новый метод установки в систему, который обманывает практически все ныне существующие поведенческие анализаторы. Этот факт показал, что вирусописатели работают не только над затруднением определения новых рассылаемых образцов с помощью сигнатурных и эвристических технологий, но также пытаются противодействовать (и в некоторых случаях успешно) современным реализациям поведенческих анализаторов.

Еще одним экспериментом вирусописателей стало создание собственного виртуального зашифрованного диска на винчестере пользователя, где содержатся некоторые файлы, необходимые для функционирования данного троянца. Для монтирования этого диска в системе используется специально разработанный прием, позволяющий замаскировать факт использования данного дополнительного устройства.

Для своей работы руткит также заражает один из драйверов, отвечающих за функционирование дисков на компьютере. При этом автоматически определяется, какой тип интерфейса используется дисками на заражаемом компьютере, и после этого заражается драйвер, соответствующий этому интерфейсу.

BackDoor.Tdss.565 использует для своего функционирования и другие специфические методы, что поставило перед антивирусными компаниями сложную задачу определения наличия данной вредоносной программы в системе и корректного лечения. Разработчики антивируса Dr.Web первыми решили данную задачу, а результаты этой работы воплотились в актуальной версии сканера Dr.Web, который доступен во всех антивирусных продуктах Dr.Web, предназначенных для работы в ОС Windows!

Лженавигаторы и псевдопеленгаторы

До настоящего времени продолжают активно распространяться лжеантивирусы, о которых компания «Доктор Веб» неоднократно сообщала в своих обзорах и новостях.

В последнее время популярность среди злоумышленников набирает тема «мобильного» ПО. Это и не удивительно, ведь почти у каждого современного человека есть хотя бы один сотовый телефон. За последние месяцы злоумышленники, эксплуатировавшие эту тему для реализации своих схем, не использовали вредоносные программы. Но в ноябре прошло несколько русскоязычных рассылок на тему ПО, предназначенного для слежения за пользователями мобильных телефонов. Целью этих рассылок было распространение вредоносных программ, предназначенных для похищения пользовательских паролей.

В первых числах ноября рассылалось почтовое сообщение, которое якобы содержало ПО, позволяющее обнаружить точное местоположение владельца любого мобильного телефона. При этом потенциальные жертвы заинтересовывались предложением попробовать возможности программы бесплатно. На самом деле приложенный исполняемый файл представлял собой программу — похитителя паролей Trojan.PWS.AccHunt.11.

Dr.Web

Другая аналогичная программа, Trojan.PWS.Multi.109, распространялась под видом такого же «полезного» софта, как и предыдущая, но на этот раз была названа «пеленгатором». В приложенном к письму архиве находились 2 файла, один из которых являлся вполне легальным установщиком, а другой — специально подготовленным установочным пакетом. Скрипт установщика был создан злоумышленниками таким образом, что установка из пакета происходила успешно, но у пользователя запрашивался еще один установочный пакет, которого в архиве не оказывалось. Из этого можно было сделать вывод о том, что разработчики программы забыли положить в инсталляционный пакет некоторые недостающие файлы, и пользователям приходилось отказаться от дальнейших попыток кого-либо «запеленговать». При этом они забывали о том, что однажды все-таки попытались запустить эту программу, а значит — пароли уже в руках злоумышленников.

Dr.Web

В городе танцев не всегда ясная погода

Не секрет, что интернет-пользователи тратят значительные суммы на различные специальные возможности в онлайн-играх, принося большой доход их авторам и владельцам прав. Злоумышленникам этот факт тоже не дает покоя, что приводит к созданию различных схем мошенничества, а также создает дополнительные каналы для распространения вредоносных программ.

В этом обзоре укажем на некоторые преступные схемы, направленные против пользователей популярной в настоящее время онлайн-игры, которая в России носит название «Пара Па: Город Танцев». Популярность этой игры, нацеленной на самую широкую аудиторию обоих полов, постоянно растет. Игроков, которые стремятся различными способами (в том числе нечестными) достичь некоторых виртуальных привилегий, тоже достаточное количество. Можно постоянно зарабатывать в игре очки, но для некоторых это слишком долго и утомительно. Ускорить же процесс развития персонажа в игре можно, внеся определенную сумму реальных денег на его виртуальный счет.

Зная особенности игры, злоумышленники предлагают ее участникам программы, которые якобы позволяют увеличивать виртуальный денежный счет игрока на определенную сумму каждый день, получить игроку привилегии администратора игры, а также другие возможности, которые могут оказаться ценными в виртуальном «городе танцев».

На самом деле пользователи, которые поддаются на подобные провокации, становятся жертвами. Мало того, что существует риск перевести злоумышленникам значительные суммы денег, ничего не получив взамен. Известны случаи, когда злоумышленник получал данные игрового аккаунта пользователя вместе с персонажем, на развитие которого пользователь мог потратить не один месяц. Такой персонаж впоследствии тоже может стать предметом торга. Для получения денег с жертв используются такие сервисы как files4money.com, files4sms.com, mix-file.com.

Dr.Web   Dr.Web

Кроме получения денег от пользователей имеют место случаи распространения якобы бесплатных программ, которые позволяют совершать те же действия, что и платные программы для «взлома» игры. Обычно при этом распространяются разного рода вредоносные программы, например, зафиксирован случай распространения BackDoor.Dax.47.

Dr.Web

Почтовые вирусы ноября

В ноябре продолжилось распространение представителей семейств вредоносных программ, знакомых нам по рассылкам прошлых месяцев — новых модификаций похитителей паролей Trojan.PWS.Panda и троянцев семейства Trojan.Proxy. Однако, поскольку антивирусные компании постоянно информируют пользователей о совершаемых злоумышленниками вредоносных рассылках, рано или поздно вирусописателям приходится озаботиться вопросом «смены декораций».

В течение нескольких последних месяцев в качестве прикрытия для рассылки вредоносных программ часто использовались письма от имени администрации социальной сети Facebook. В ноябре к целевой аудитории злоумышленников прибавились пользователи MySpace. Также как и пользователям Facebook, им в одних письмах сообщалось о том, что пароль доступа к социальной сети был изменен в целях безопасности, и посмотреть измененный пароль можно в приложенном архиве. В других письмах предлагалось скачать утилиту, которая произвела бы необходимые изменения для того, чтобы пользователь смог войти на сайт социальной сети. Ссылка для скачивания на самом деле вела на сайт, созданный киберпреступниками.

Dr.Web   Dr.Web

Для распространения вредоносных программ посредством почтовых сообщений злоумышленники часто используют письма от имени широко известных уважаемых организаций. В ноябре одной из таких организаций стала ассоциация электронных платежей NACHA (The electronic payment association). В письмах, отправляемых злоумышленниками, сообщалось о том, что электронный платеж пользователя был отменен, а подробности можно найти на сайте ассоциации. Со специально подготовленного вредоносного сайта на компьютер доверчивого пользователя скачивалась очередная модификация Trojan.PWS.Panda.

Dr.Web   Dr.Web

В целом активность спам-сообщений, связанных с распространением вредоносных программ, в первой половине ноября держалась на уровне предыдущего месяца. Активно совершались рассылки самых разнообразных типов с приложенными вредоносными файлами, а также со ссылками на вредоносные сайты. Однако с середины завершившегося месяца был отмечен резкий спад этих рассылок. К концу месяца доля вредоносных рассылок упала более чем в 2 раза относительно начала месяца. Тем не менее, данный спад может оказаться лишь таймаутом, который взяли злоумышленники для того, чтобы перегруппировать свои силы.

Фишинг

В заключение обзора мы расскажем о почтовых рассылках ноября, которые были связаны с получением приватных данных пользователей с использованием фишинг-методов.

Для получения доступа к аккаунтам пользователей социальной сети «ВКонтакте» была организована классическая рассылка через системы мгновенного обмена сообщениями. Ссылка вела на вредоносный сайт, на котором пользователь вводил данные своего аккаунта. Эти данные уходили к злоумышленникам, после чего совершалось автоматическое перенаправление на настоящий сайт социальной сети. Таким образом, пользователь мог и не заметить факта пропажи пароля.

Dr.Web   Dr.Web

Кроме таких простых схем злоумышленники не менее активно использовали и более сложные комбинации. Так, на протяжении второй половины ноября рассылались письма, которые состояли всего из нескольких строчек. В них пользователю от имени компании Google предлагалось начать зарабатывать деньги. Причем первым шагом на пути к «благосостоянию» был переход по ссылке для ознакомления со статьей, в которой рассказывалось про метод заработка.

Dr.Web   Dr.Web

В одних письмах ссылка шла на сообщение, размещенное в системе Twitter, в котором была опубликована ссылка на специально подготовленную статью. В других присутствовала ссылка на страницу, которая хостилась непосредственно на одном из сервисов Google.

Dr.Web   Dr.Web

В обоих случаях все эти подготовительные действия были направлены на то, чтобы вывести жертву на единый вредоносный сайт, на котором собиралась подробная информация о пользователе. Для того чтобы он меньше раздумывал, на целевом сайте работал обратный отсчет времени. После ввода пользовательских данных ничего не происходило.

Dr.Web

Вредоносные файлы, обнаруженные в ноябре в почтовом трафике

01.11.2009 00:00 — 01.12.2009 00:00 

1. Trojan.DownLoad.37236 — 10313930 (13.36%)
2. Trojan.DownLoad.47256 — 9528637 (12.34%)
3. Trojan.Fakealert.5115 — 6663095 (8.63%)
4. Trojan.MulDrop.40896 — 6638234 (8.60%)
5. Trojan.Packed.683 — 5457677 (7.07%)
6. Trojan.Fakealert.5238 — 4991544 (6.47%)
7. Trojan.DownLoad.50246 — 3843797 (4.98%)
8. Trojan.Fakealert.5825 — 3266072 (4.23%)
9. Trojan.Fakealert.5437 — 2387930 (3.09%)
10. Win32.HLLM.Netsky.35328 — 2332183 (3.02%)
11. Trojan.Fakealert.5356 — 2164543 (2.80%)
12. Trojan.Fakealert.5784 — 1871829 (2.43%)
13. Trojan.PWS.Panda.122 — 1756350 (2.28%)
14. Trojan.Fakealert.5229 — 1740878 (2.26%)
15. Trojan.Packed.2915 — 1618177 (2.10%)
16. Trojan.Fakealert.5457 — 1525194 (1.98%)
17. Win32.HLLM.Beagle — 1273271 (1.65%)
18. Win32.HLLM.MyDoom.33808 — 1015421 (1.32%)
19. Trojan.Siggen.18256 — 886946 (1.15%)
20. Trojan.Proxy.7778 — 839487 (1.09%)

Всего проверено: 78,826,014,338
Инфицировано: 77,187,250 (0.0979%)

Вредоносные файлы, обнаруженные в ноябре на компьютерах пользователей

01.11.2009 00:00 — 01.12.2009 00:00 

1. Win32.HLLW.Gavir.ini — 568913 (4.92%)
2. Win32.HLLW.Shadow.based — 518583 (4.49%)
3. Trojan.WinSpy.282 — 449187 (3.89%)
4. Trojan.Redirect.11 — 441590 (3.82%)
5. Trojan.SqlShell.9 — 382913 (3.31%)
6. Win32.Sector.17 — 346204 (3.00%)
7. Trojan.WinSpy.247 — 312848 (2.71%)
8. Trojan.AppActXComp — 303650 (2.63%)
9. Trojan.AuxSpy.74 — 272309 (2.36%)
10. Win32.Alman.1 — 256652 (2.22%)
11. Win32.HLLW.Shadow — 233635 (2.02%)
12. Win32.HLLW.Autoruner.5555 — 220766 (1.91%)
13. Trojan.Starter.881 — 201548 (1.74%)
14. Win32.Rammstein.13346 — 196029 (1.70%)
15. VBS.Autoruner.8 — 186965 (1.62%)
16. VBS.Autoruner.4 — 183627 (1.59%)
17. Trojan.NtRootKit.4672 — 136259 (1.18%)
18. Trojan.PWS.Multi.110 — 131735 (1.14%)
19. Trojan.AuxSpy.75 — 123839 (1.07%)
20. Trojan.AuxSpy.72 — 123398 (1.07%)

Всего проверено: 92,781,494,382
Инфицировано: 11,558,593 (0.0125%)

Комментарии