Вирусные новости августа 2010 года

Последний летний месяц оказался насыщен новостями на вирусную тематику: сбылись прогнозы о появлении руткита, заражающего 64-битные системы Windows, появились новые модификации вредоносных программ для Android, в который раз активизировались «социальные инженеры», действующие через интернет-сайты и сервисы мгновенных сообщений. Новые долгожданные плоды принесла борьба с блокировщиками Windows — впервые в России было заведено уголовное дело против мошенников, промышляющих блокировкой.

64-битный руткит

Как мы и прогнозировали в обзоре вирусной обстановки за 2009 год, на вирусную сцену вышел первый руткит для 64-битных систем. Новая версия BackDoor.Tdss поставила перед производителями защитного ПО новые задачи по совершенствованию продуктов.

64-битные системы семейства Windows обладают защитными механизмами, которые позволяют препятствовать установке в систему драйверов вредоносных программ. Во-первых, все драйверы проверяются на наличие цифровой подписи. Во-вторых, технология PatchGuard не позволяет вредоносным программам модифицировать ядро операционной системы. Однако новый BackDoor.Tdss успешно обходит оба этих препятствия, так как содержит в своем составе буткит. При установке в систему данный бэкдор модифицирует главную загрузочную область диска (MBR) и берет под контроль процесс очередной загрузки операционной системы. Это позволяет драйверу руткита установиться в систему до активизации защитных механизмов, встроенных в 64-битные системы.

В настоящее время вирусная база Dr.Web содержит записи, позволяющие определять различные модификации новой версии BackDoor.Tdss. Для корректного лечения 32-битных систем Windows от данной вредоносной программы 1 сентября 2010 года компания «Доктор Веб» выпустила обновленный сканер с графическим интерфейсом. Сегодня ведется активная разработка 64-битного варианта антируткита Dr.Web Shield, который в скором времени будет доступен всем нашим пользователям.

Вредоносные программы для Android

26 августа состоялся релиз нового продукта компании «Доктор Веб» — Dr.Web для Android, который пришелся как нельзя кстати: только в августе в вирусную базу Dr.Web было добавлено несколько модификаций шпионского ПО Android.MobileSpy, а также вредоносная программа Android.SmsSend.1, которая занимается рассылкой платных СМС-сообщений с зараженного мобильного устройства без ведома его владельца.

Все известные сейчас вредоносные программы, созданные для ОС Android, не имеют функции саморазмножения. Это значит, что введенный в заблуждение пользователь должен самостоятельно установить такую программу в систему. Тем не менее все эти программы могут представлять опасность как для приватной информации, хранящейся в телефонах, так и для кошелька пользователя.

Несмотря на то, что любое приложение перед установкой на Android сообщает, какие функции операционной системы будут использоваться, злоумышленники прибегают к различным методам социальной инженерии для того, чтобы пользователь не обращал внимания на эти сообщения. Вредоносные программы распространяются под видом игр, заставок для рабочего стола, полезных приложений, которые скрывают свою истинную сущность за «мирным» функционалом. Кроме того, шпионское ПО может установить злоумышленник, который на короткое время получит физический доступ к мобильному устройству беспечного пользователя.

Жадные архивы

В августе было зафиксировано значительное количество вредоносных сайтов, которые внешне ничем не отличаются от сетевых хранилищ популярных фильмов, музыкальных записей, электронных книг.

На самом деле с каждого из этих сайтов скачиваются исполняемые файлы размером от 8 до 16 МБ, которые определяются антивирусом Dr.Web как различные модификации Trojan.SMSSend. Внешне такие файлы выглядят как самораспаковывающиеся архивы, и пользователь, запустив один из них, наблюдает на мониторе процесс, похожий на распаковку. Но в определенный момент «распаковка» останавливается, и появляется сообщение о том, что для окончания распаковки архива необходимо отправить с мобильного телефона платное СМС-сообщение. В результате пользователя обманывают дважды — за отправку СМС со счета снимается несколько сотен рублей, а «архивы» не содержат в себе никакой полезной информации.

Мошенники, применяющие такую схему, создают сайты с использованием узнаваемых элементов дизайна известных интернет-сервисов (Google, «Яндекс», файлообменная служба QIP), а также популярного программного обеспечения (WinRAR), что нарушает права владельцев соответствующих брендов.

Доверяй, но проверяй!

В течение августа злоумышленники дважды продемонстрировали, насколько просто можно войти в доверие к обычному пользователю, как легко вынудить его запустить вредоносную программу. В обоих случаях пользователи получали сообщения от имени знакомых, которые, в свою очередь, сами оказывались жертвами злонамеренных схем.

16 августа по ICQ распространялась вредоносная программа Win32.HLLW.Natchs. В ее функционал входит завершение работы популярных ICQ-клиентов, определение пароля к аккаунту ICQ-пользователя, самостоятельное подключение к этому аккаунту через собственную реализацию ICQ-клиента и саморассылка по списку контактов пользователя-жертвы. При этом Win32.HLLW.Natchs способен вести элементарный «диалог» с потенциальной жертвой, а также передавать файлы средствами самого ICQ-протокола, а не в виде ссылки на файл, выложенный на вредоносном сайте. Все эти факторы повышали доверие пользователей к данному сообщению.

30 августа появилась информация о распространении спам-сообщений среди пользователей социальной сети Facebook. В них содержалась ссылка на специально созданное приложение, размещенное на сайте этой соцсети. Используя уязвимость сайта Facebook, данное приложение рассылало такие же сообщения по списку друзей пользователя, прошедшего по ссылке. Таким образом, злоумышленники показали большие потенциальные возможности встраиваемых в социальные сети приложений для организации вредоносных схем.

Компания «Доктор Веб» советует пользователям с осторожностью относиться к сообщениям, содержащим приложенные исполняемые файлы, а также ссылки на неизвестные ресурсы, даже если такие сообщения приходят от знакомых людей. В случае получения подобных сообщений рекомендуется связаться с отправителем другим способом и подтвердить факт отправки сообщения.

Преступление и наказание

В августе правоохранительные органы Москвы впервые в истории возбудили дело против группы вымогателей, использовавших блокировщики Windows (по классификации Dr.Web — Trojan.Winlock). Эта группа действовала на протяжении последнего года. Представители правоохранительных органов выражают надежду на то, что следствию будет оказана поддержка всего телеком-сообщества. Компания «Доктор Веб» со своей стороны благодарит всех пользователей, предоставляющих информацию об актуальных модификациях троянцев-блокировщиков.

В августе активность Trojan.Winlock в очередной раз снизилась ровно вдвое — до 140000 детектов за месяц. Тем не менее, по проблемам вредоносных программ, связанных с различными схемами интернет-мошенничества, в бесплатную техподдержку компании «Доктор Веб» продолжают обращаться около 100 человек ежедневно.

«Топ» наиболее распространенных блокировщиков в августе возглавляли 2 модификации, ни одна из которых не требовала отправки денег при помощи платного СМС-сообщения. Вместо этого предлагалось положить деньги на счет мобильного телефона или перевести их при помощи электронной платежной системы. В обоих случаях предлагалось воспользоваться терминалом оплаты услуг.

Другие новости

Список вредоносных файлов, обнаруженных в августе на компьютерах пользователей, снова возглавил Exploit.Cpllnk — ярлык, использующий уязвимость Windows для запуска вредоносных программ со съемных носителей и сетевых ресурсов. Однако в последние дни августа наблюдалось снижение распространения таких ярлыков.

Европейские пользователи продолжают страдать от банковских троянцев. При посещении сайтов интернет-банкинга предлагается ввести множество одноразовых кодов, которые позволяют совершать расходные операции с банковских счетов. Если раньше количество требуемых кодов не превышало 20, то теперь эта цифра увеличилась до 40.

Лжеантивирусы (Trojan.Fakealert) распространяются и в Европе, и в России. В первом случае пользователям предлагается оплатить «антивирус» с помощью банковской карты, а во втором — посредством отправки платного СМС-сообщения. В качестве дополнительного «стимула» для российских пользователей авторы лжеантивируса стали использовать изображения с порносайтов, с которых пользователь мог заразиться вредоносной программой. От этого «заражения» якобы и избавляет систему антивирус-самозванец.

По каналу электронной почты продолжилось распространение клиентского ПО бот-сети Oficla (Trojan.Oficla), а также похитителей паролей к интернет-сервисам Trojan.PWS.Panda.

В сентябре можно ожидать дальнейшего развития событий, связанных с появлением 64-битного руткита. Возможно, некоторые антивирусные вендоры встроят в свои продукты функционал, который позволит лечить системы, зараженные новыми руткитами. Прослеживается тенденция к уменьшению активности вредоносных программ, вымогающих у пользователей зараженных компьютеров денежные средства. Канал электронной почты будет использоваться как один из основных способов распространения вредоносных программ и в последующие месяцы.

Вредоносные файлы, обнаруженные в августе в почтовом трафике

01.07.2010 00:00 — 01.08.2010 00:00 
1. Trojan.DownLoad.41551 — 245764 (13,62%)
2. Trojan.Packed.20312 — 212565 (11,78%)
3. Trojan.DownLoad1.58681 — 207763 (11,51%)
4. Trojan.Oficla.zip — 198346 (10,99%)
5. Win32.Virut — 126509 (7,01%)
6. Trojan.Packed.20878 — 81090 (4,49%)
7. Trojan.PWS.Panda.114 — 72949 (4,04%)
8. Win32.HLLM.Netsky.18401 — 58206 (3,22%)
9. Trojan.Oficla.38 — 51422 (2,85%)
10. Trojan.DownLoader1.17157 — 46564 (2,58%)
11. Win32.HLLW.Shadow.based — 45415 (2,52%)
12. JS.Redirector.77 — 38610 (2,14%)
13. Win32.HLLM.MyDoom.33808 — 35934 (1,99%)
14. Trojan.MulDrop1.39520 — 33936 (1,88%)
15. Trojan.DownLoad2.14991 — 27392 (1,52%)
16. Trojan.Botnetlog.zip — 25509 (1,41%)
17. BackDoor.Qbot.20 — 25469 (1,41%)
18. Trojan.PWS.Panda.387 — 23430 (1,30%)
19. Win32.HLLM.Beagle — 21457 (1,19%)
20. W97M.Killer — 21093 (1,17%)

Всего проверено: 12,924,385,092
Инфицировано: 1,804,893 (0,01%)

Вредоносные файлы, обнаруженные в августе на компьютерах пользователей

01.07.2010 00:00 — 01.08.2010 00:00 
1. Exploit.Cpllnk — 2323984 (18,74%)
2. Trojan.WinSpy.921 — 1371549 (11,06%)
3. ACAD.Pasdoc — 992910 (8,01%)
4. Win32.HLLM.Dref — 630531 (5,09%)
5. Trojan.Packed.19647 — 521687 (4,21%)
6. Win32.HLLP.Neshta — 376117 (3,03%)
7. Trojan.WinSpy.922 — 348662 (2,81%)
8. Win32.Antidot.1 — 282339 (2,28%)
9. Win32.HLLP.PissOff.36864 — 258509 (2,09%)
10. Win32.HLLW.Gavir.ini — 248243 (2,00%)
11. Win32.HLLW.Shadow.based — 218202 (1,76%)
12. Trojan.Upload.40 — 215135 (1,74%)
13. Trojan.Siggen1.51459 — 212685 (1,72%)
14. BackDoor.IRC.Sdbot.4590 — 188934 (1,52%)
15. Trojan.AuxSpy.229 — 181195 (1,46%)
16. Win32.HLLW.Autoruner.5555 — 149215 (1,20%)
17. Win32.HLLW.Autoruner.11962 — 146271 (1,18%)
18. Trojan.Packed.20819 — 121070 (0,98%)
19. Win32.HLLP.Whboy.45 — 118002 (0,95%)
20. Win32.Sector.21 — 105532 (0,85%)

Всего проверено: 65,191,497,071
Инфицировано: 12,398,403 (0,02%)