Послепраздничное затишье: вирусные угрозы января, Безопасность в сети
|
Котенка
профи!
Группа: Дружинники Сообщений: 1.605 Регистрация: 18.12.2010 Пользователь №: 1.834.987
Респектов: 794
| Послепраздничное затишье: вирусные угрозы января 2011 года Новый, 2011 год на вирусном фронте начался с относительного затишья, почти никаких «праздничных» сюрпризов не наблюдалось. В январе, как и ранее, доминировали вредоносные программы, направленные на прямое получение прибыли посредством вымогательства и кражи паролей к учетным записям систем дистанционного банковского обслуживания и электронных денежных систем. Троянцы-шифровальщики» Нажмите, для открытия спойлера | Press to open the spoiler « В начале года появились новые модификации троянцев, которые при заражении системы шифруют документы пользователей и предлагают расшифровать их при помощи специальной утилиты — разумеется, небесплатной. В частности, в январе в вирусную базу Dr.Web были добавлены модификации Trojan.Encoder.94 и Trojan.Encoder.96. Напоминаем, что неквалифицированные действия пользователей в случае шифрования файлов могут нанести данным непоправимый вред. Категорически не рекомендуется производить процедуры, связанные с восстановлением системы, удалять временные системные файлы или очищать кэш интернет-браузера, так как это может привести к невозможности восстановления файлов. Кроме того, для расшифровки не рекомендуется использовать первую попавшуюся утилиту — высок риск испортить файлы окончательно. Вместо этого имеет смысл обратиться в вирусную лабораторию «Доктор Веб» с запросом помощи в лечении, выбрав в категории запроса «Запрос на лечение» и приложив несколько пар документов — в зашифрованном и незашифрованном виде. Блокировщики Windows» Нажмите, для открытия спойлера | Press to open the spoiler « В январе блокировщики Windows продолжили свое распространение, причем эти вредоносные программы стали более разнообразными. Вместе с новыми типами блокировщиков продолжили распространение и те, что были на слуху в предыдущие месяцы.
Если в последние несколько месяцев злоумышленники требовали за разблокировку системы в среднем 300–400 рублей, то в конце января получил распространение новый тип блокировщиков, требующих перечислить на счет мобильного телефона злоумышленников от 600 до 800 рублей.
Также в конце января было зафиксировано распространение блокировщиков Windows через блог-платформу LiveJournal (широко известную в России как ЖЖ). Получив комментарий в блоге и щелкнув по ссылке в нем, пользователь попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом. Там жертве мошенничества предлагается загрузить EXE-файл, за которым скрывается Trojan.Winlock. Общая статистика интернет-мошенничества в январе» Нажмите, для открытия спойлера | Press to open the spoiler « За прошедший месяц в среднем в сутки по случаям интернет-мошенничества в бесплатную техническую поддержку компании «Доктор Веб» обращалось 178 пользователей, что на 8% больше, чем в декабре 2010 года.
Количество обращений, связанных с вредоносными программами, требующими положить деньги на счет мобильного телефона злоумышленника, увеличилось до 80% (в ноябре количество таких обращений составило 60%, а в декабре — 70% от всех обращений).
При этом количество обращений по троянцам, требующим пополнить счет мобильного телефона с использованием соответствующих СМС-сервисов сотовых операторов, а не терминалов оплаты, увеличилось с 23% в декабре до 43% в январе.
Количество обращений по вредоносным программам, требующим отправить платное СМС-сообщение, продолжает снижаться и в январе 2011 года составило лишь 15% всех обращений. Банковские бот-сети» Нажмите, для открытия спойлера | Press to open the spoiler « Продолжают свое распространение клиенты бот-сетей, направленных на российских пользователей систем дистанционного банковского обслуживания и электронных денежных систем. Как правило, каждая модификация такого клиента направлена одновременно на множество целей, одна из которых может оказаться на зараженном компьютере.
Специалисты компании «Доктор Веб» фиксируют активность нескольких подобных бот-сетей, в частности WinSpy и IBank. Зараженные компьютеры по команде злоумышленников время от времени обновляют компоненты, которые составляют так называемую «полезную нагрузку» бот-сети. Обновление этих компонентов объясняется тем, что мошенники вынуждены противодействовать антивирусам, которые установлены на компьютерах пользователей, а также обусловлено меняющимися конкретными целями злоумышленников.
Среди других угроз января можно отметить продолжение распространения в Западной Европе лжеантивирусов. На этот раз в «топе» таких ложных антивирусных программ находились System Tool 2011 и Antivirus Scan. Англоязычные пользователи Facebook также находятся под ударом — через спам-сообщения в этой социальной сети во второй половине прошедшего месяца зафиксировано распространение троянца Trojan.MulDrop1.62295 под видом «сюрприза» от другого пользователя соцсети. Вредоносные файлы, обнаруженные в январе в почтовом трафике» Нажмите, для открытия спойлера | Press to open the spoiler « Всего проверено: 56,551,758,514 Инфицировано: 6,363,080 Вредоносные файлы, обнаруженные в январе на компьютерах пользователей» Нажмите, для открытия спойлера | Press to open the spoiler « Всего проверено: 127,566,192,623 Инфицировано: 61,779,350 Источник Dr.Web | |
| |
20.02.2011 - 20:14 |
Котенка
профи!
Группа: Дружинники Сообщений: 1.605 Регистрация: 18.12.2010 Пользователь №: 1.834.987
Респектов: 794
| ESET: интерес к пиратскому контенту повлиял на активность мошеннических программ Компания ESET сообщает о самых распространенных интернет-угрозах, выявленных специалистами Вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в январе 2011 года. » Нажмите, для открытия спойлера | Press to open the spoiler « В первом месяце нового года произошли интересные изменения в российской двадцатке вредоносного ПО. Лидером по обнаружению в январе стало семейство Win32/Spy.Ursnif.A с показателем распространенности в 3,62%, что на 0,07% больше, чем в декабре. Данный класс злонамеренного программного обеспечения крадет персональную информацию и учетные записи с зараженного компьютера, а затем отправляет их на удаленный сервер. Кроме того, такие троянцы могут распространяться в составе другого вредоносного ПО. Второе место рейтинга принадлежит уже знакомой угрозе - INF/Autorun, доля проникновения которого снизилась на 0,87% и составила 3,54%. Этот тип вредоносных программ использует для проникновения на компьютер пользователя функцию автозапуска Windows Autorun и распространяется на сменных носителях.
Январь был насыщен программами-вымогателями, которые провоцируют пользователя отправить SMS-сообщение на короткий номер для получения якобы желаемого контента. Третье место российской двадцатки на сей раз занимает мошенническая программа Win32/Packed.ZipMonster.A, которая маскируется под пиратский контент в виде архива, а при разархивации требует отправить SMS-сообщение на короткий номер. Резкий рост присутствия данного вредоносного ПО в нашем регионе связано с широким распространением мошеннической «партнерки» ZipMonster, в рамках которой продвигается различный нелегальный контент, начиная от электронных книг и заканчивая популярными видео новинками. Доля распространенности данной угрозы в январе составила 1,82%, что на 1,01% выше, чем в прошлом месяце. Такой показатель роста проникновения сегодня слишком высок для российского киберпространства.
Помимо вредоносного ПО Win32/Packed.ZipMonster.A, аналитики ESET отмечают повышенную активность и других программ-вымогателей в регионе, вошедших в рейтинг самых распространенных угроз: Win32/RegistryBooster (0,86%), Win32/Hoax.ArchSMS.EP (0,77%), Win32/HackKMS.A (0,76%), Win32/Hoax.ArchSMS.ER (0,73%). Рост присутствия каждой из этих угроз составил около 0,1% за декабрь.
Эксперты отмечают увеличение срабатываний эвристических технологий компании ESET на появление эксплойтов, направленных на эксплуатацию уязвимостей в программном обеспечении Adobe Reader. Так угроза PDF/Exploit.Pidief.PDS.Gen занимает 10 место российской двадцатки с показателем в 1,00%. Также остаются популярными вредоносные эксплойты для платформы Java. Вредоносное ПО Java/Exploit.CVE-2010-0094.C, эксплуатирующее уязвимость CVE-2010-0094, до сих пор присутствует в рейтинге с долей распространения в 0,60%. Данная уязвимость широко используется злоумышленниками для установки вредоносных программ посредством посещения пользователем вредоносной веб-страницы.
«Всплеск активности Java-эксплойтов на протяжении последнего времени не случайный, - комментирует Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET. - Многие пользователи своевременно не обновляют среду выполнения Java-программ, что обеспечивает высокий уровень успешных установок вредоносных программ посредством их эксплуатации».
Доля России от общего обнаружения мировых угроз в январе снова увеличилась, на сей раз на 0,66% и достигла 11,73%. При этом процент уникальных угроз, которые приходятся на регион, снизился на 0,11% и составил 3,05%.
Что касается десяти самых распространенных угроз в мире в январе, то в рейтинге в целом нет существенных изменений. Червь Win32/Conficker снова занял первую строчку с процентом проникновения в 5,38%, ненамного опередив лидера прошлого месяца - семейство вредоносных программ INF/Autorun (5,30%). Третье место мировой десятки снова занимает угроза Win32/PSW.OnLineGames, которая используется хакерами для кражи аккаунтов игроков многопользовательских игр, с показателем распространенности в 2,17%.
«Повышенная активность программ-вымогателей в начале года связана с затяжными новогодними праздниками, в течение которых многие пользователи зачастую использовали развлекательные ресурсы с пиратским контентом, - отмечает Александр Матросов. В последние несколько месяцев в нашем топе постоянно присутствуют мошеннические программы-архивы, требующие оплату за доступ к содержимому через отправку SMS-сообщений на премиум номера. Как правило, в среднем сумма которую теряет пользователь при отправке составляет порядка 200 рублей, но гарантии того, что он получит желаемый контент – нет, и в большинстве случаев архив является пустышкой.
Двадцать самых распространенных угроз в России в январе 2011: 1. Win32/Spy.Ursnif.A 3,62% 2. INF/Autorun 3,54% 3. Win32/Packed.ZipMonster.A 1,82% 4. Win32/Conficker.AA 1,53% 5. INF/Conficker 1,14% 6. Win32/Bflient.K 1,10% 7. Win32/Conficker.X 1,10% 8. INF/Autorun.Gen 1,09% 9. Win32/Tifaut.C 1,08% 10. PDF/Exploit.Pidief.PDS.Gen 1,00% 11. Win32/Toolbar.AskSBar 0,93% 12. Win32/RegistryBooster 0,86% 13. Win32/Hoax.ArchSMS.EP 0,77% 14. Win32/HackKMS.A 0,76% 15. Win32/Conficker 0,75% 16. HTML/Iframe.B.Gen 0,73% 17. Win32/Hoax.ArchSMS.ER 0,73% 18. Java/TrojanDownloader.Agent.NCA 0,73% 19. Win32/Packed.Temida 0,67% 20. Java/Exploit.CVE-2010-0094.C 0,60%
Десять самых распространенных угроз в мире в январе 2011:
1. Win32/Conficker 5,38% 2. INF/Autorun 5,30% 3. Win32/PSW.OnLineGames 2,17% 4. Win32/Sality 1,82% 5. INF/Conficker 1,39% 6. Win32/Bflient.K 1,19% 7. Win32/Tifaut.C 1,09% 8. HTML/ScrIngect.B 0,84% 9. Win32/Spy.Ursnif.A 0,83% 10. Java/TrojanDownloader.Agent.NCA 0,76%
Статистика угроз получена с помощью ThreatSense.Net – глобального сервиса, обеспечивающего автоматическую передачу новых образцов подозрительных или вредоносных программ экспертам вирусной лаборатории ESET для анализа и принятия оперативного решения. | |
| |
7.03.2011 - 12:29 |
Котенка
профи!
Группа: Дружинники Сообщений: 1.605 Регистрация: 18.12.2010 Пользователь №: 1.834.987
Респектов: 794
| Опустошители счетов и другие вирусные угрозы февраля 2011 года В феврале 2011 года сохранили свою актуальность основные тенденции прошлых месяцев. Значительную долю вирусного трафика составляют блокировщики Windows и троянцы, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания. Причем последние работают в тандеме с фальшивыми антивирусами. Блокировщики Windows» Нажмите, для открытия спойлера | Press to open the spoiler « Концепция троянцев-вымогателей, блокирующих работу компьютера, оказалась весьма живучей. В ходе развития данной идеи вирусописатели перепробовали несколько способов перечисления денег и ряд технологических решений, иногда довольно неожиданных, вплоть до блокировки ОС из загрузочной записи. В феврале 2011 года появилось несколько новых разновидностей Trojan.Winlock, отличающихся внешним видом блокирующего окна. Кроме того, блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы — программы для шифрования и «запутывания» готовых исполняемых файлов. Один из таких крипторов, популярных среди разработчиков Trojan.Winlock, размещает в исполняемом файле характерную иконку, позволяющую отличить такой файл визуально: Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. Наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества. Шифровальщики» Нажмите, для открытия спойлера | Press to open the spoiler « Другая разновидность так называемых ransomware (программ-вымогателей) — шифровальщики — также напомнила о себе в феврале. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне. Коллектив «Доктор Веб» обеспечивает своевременную разработку и поддержку утилит — расшифровщиков данных, зашифрованных троянцами семейства Trojan.Encoder. Воровство банковских аккаунтов» Нажмите, для открытия спойлера | Press to open the spoiler « В десятке вредоносных лидеров февраля 2011 года оказалось сразу несколько программ для кражи денежных средств с банковских счетов, аналогичных нашумевшему троянцу Trojan.PWS.Panda, известному также как Zeus. Все они являются модификациями одного и того же вирусного прототипа. В теле троянца зашит внушительный список URL систем дистанционного банковского обслуживания. Среди них — русские, итальянские, американские, немецкие:
libertyreserve.com perfectmoney.com laiki.com bankofcyprus.com commbank.com.au suncorpbank.com.au stgeorge.com.au online.westpac.com.au anz.com sparkasse.de commerzbanking.de finanzportal.fiducia.de deutsche-bank.de targobank.de postbank.de csebo.it poste.it gruppocarige.it cedacri.it payment.ru ibank.alfabank.ru chase.com capitalone.com
Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» троянцы имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor). Мобильные платформы» Нажмите, для открытия спойлера | Press to open the spoiler « В сравнении с январем значительно увеличилось количество троянцев для платформы Android. Android.SmsSend написаны на Java, их единственной функцией является отправка платных СМС-сообщений на короткие номера, например 6008.
В январе был обнаружен один образец такого вредоносного ПО, в феврале — уже шесть, что позволяет говорить о тенденции, и появление более сложных и опасных троянских программ под эту платформу — дело ближайшего будущего. Прочие угрозы» Нажмите, для открытия спойлера | Press to open the spoiler « Среди прочих угроз можно отметить новые модификации Win32.Virut и традиционно высокие показатели трафика различных модификаций почтовых червей Win32.HLLM.NetSky и Win32.HLLM.MyDoom.
Разработчики ботнета Trojan.WinSpy в течение февраля дважды обновляли компоненты своих ботов. В основном это коснулось алгоритмов шифрования и структуры файла sfcfiles.dll.
Отмечен спад активности червей, распространяющихся через сменные носители (Win32.HLLW.Autorunner). Вредоносные файлы, обнаруженные в феврале в почтовом трафике» Нажмите, для открытия спойлера | Press to open the spoiler « Всего проверено: 59,150,116,249 Инфицировано: 11,084,834 (0.02%) Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей» Нажмите, для открытия спойлера | Press to open the spoiler « Всего проверено:128,616,744,271 Инфицировано:47,509,667 (0.04%) | |
| |
6.04.2011 - 23:00 |
Котенка
профи!
Группа: Дружинники Сообщений: 1.605 Регистрация: 18.12.2010 Пользователь №: 1.834.987
Респектов: 794
| Обзор вирусной активности — март 2011 Март в цифрах» Нажмите, для открытия спойлера | Press to open the spoiler « В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»: было отражено 241 151 171 сетевых атак; заблокировано 85 853 567 попыток заражения через веб; обнаружено и обезврежено 219 843 736 вредоносных программ (попытки локального заражения); отмечено 96 702 092 срабатываний эвристических вердиктов. Кому беда, кому — нажива» Нажмите, для открытия спойлера | Press to open the spoiler « Мы уже не раз писали о том, что злоумышленники не гнушаются использовать любые трагические события в своих целях. Не стали исключением ни землетрясение и цунами в Японии, ни кончина Элизабет Тейлор.
Множество людей в Японии потеряли своих близких и лишились крова, весь мир с тревогой следит за развитием событий на пострадавшей от землетрясения японской АЭС «Фукусима-1». Но мошенники и вирусописатели цинично распространяют вредоносные ссылки на «горячие» новости, создают вредоносные веб-страницы, контент которых так или иначе связан с трагедией в Японии, и рассылают «нигерийские» письма со слезными просьбами оказать помощь пострадавшим, переслав деньги на счет отправителей.
Так, в одном из спамовых писем содержались ссылки якобы на последние новости о событиях в Японии. При переходе по этим ссылкам осуществлялась drive-by атака с помощью эксплойт-паков. В случае успешной атаки на компьютер пользователя загружался Trojan-Downloader.Win32.CodecPack. У каждого представителя этого семейства жестко прописаны три командных центра, куда он обращается и откуда получает списки вредоносных файлов для их дальнейшей загрузки и запуска на компьютере пользователя. А на одной из обнаруженных нами вредоносных веб-страниц посетителям предлагалось скачать видеоролик о происходящем в Японии. Однако вместо просмотра ролика пользователь загружал на свой компьютер бэкдор.
Самые «быстрые» злоумышленники орудуют в Твиттере: вредоносные ссылки на новости о смерти Элизабет Тейлор появились там уже на следующий день после того, как стало известно о кончине великой актрисы. Эксплойты» Нажмите, для открытия спойлера | Press to open the spoiler « Призывы компаний, занимающихся IT-безопасностью, регулярно обновлять ПО на компьютерах, по-прежнему актуальны — у злоумышленников эксплойты остаются одним из излюбленных инструментов. Java-эксплойтыКоличество Java-эксплойтов достаточно велико: они составили около 14% от общего числа обнаруженных эксплойтов. В TOP 20 вредоносных программ в интернете попали три Java-эксплойта. При этом два из них — Exploit.Java.CVE-2010-0840.d (15-е место) и Exploit.Java.CVE-2010-0840.c (19-е) — новые эксплойты для уязвимости CVE-2010-0840 в Java. Напомним, что активное использование этой бреши было обнаружено в прошлом месяце. По данным KSN-статистики, создатели вредоносного ПО активно меняют эксплойты, которые используют в ходе drive-by атак, чтобы избежать их детектирования. Это прослеживается на графике, показывающем динамику детектирования эксплойтов семейства Exploit.Java.CVE-2010-0840. Динамика детектирования семейства Exploit.Java.CVE-2010-0840 Пики на графике соответствуют периодам детектирования эксплойтов, которые используются в ходе drive-by атак, а провалы — времени появления новой модификации эксплойта. Эксплойт к уязвимость в Adobe Flash PlayerВирусописатели на удивление быстро реагируют на сообщения о новых уязвимостях. Примером тому может послужить эксплойт к уязвимости в Adobe Flash Player, об обнаружении которой компания Adobe объявила 14 марта. Уязвимость содержится в authplay.dll и была отнесена к критической: ее эксплуатация дает злоумышленникам возможность взять под контроль компьютер пользователя. И уже 15 марта «Лаборатория Касперского» задетектировала эксплойт к этой уязвимости. Он представляет собой Excel-файл, содержащий вредоносный SWF-файл, и детектируется как Trojan-Dropper.SWF.CVE-2011-0609.a. 25 марта мы обнаружили еще один вариант эксплойта — HTML-страничку, содержащую JavaScript с шеллкодом и вызов вредоносного Flash-файла. Шеллкод получал управление после вызова SWF-файла, использующего дыру в безопасности. Вредоносные HTML- и SWF- файлы детектируются соответственно как Exploit.JS.CVE-2011-0609 и Exploit.SWF.CVE-2011-0609. Фрагмент Exploit.JS.CVE-2011-0609.d У этой истории хороший конец: уязвимость была оперативно закрыта. Компания Adobe объявила об исправлении уязвимости 22 марта. Разумеется, хэппи-энд случится только на тех компьютерах, на которых владельцы вовремя обновили ПО. Вредоносные HTML-страницы: защита от детектирования» Нажмите, для открытия спойлера | Press to open the spoiler « Мы регулярно сообщаем о детектировании HTML-страниц, которые злоумышленники используют для распространения вредоносных программ или как часть мошеннической схемы. Создатели таких страниц постоянно придумывают новые способы, чтобы скрыть их от антивирусных программ. Использование тега В февральском отчете мы писали, что злоумышленники использовали каскадные таблицы стилей (CSS) для защиты вредоносных скриптов от детектирования. Теперь на своих вредоносных HTML-страницах вместо CSS они используют тег Rustock» Нажмите, для открытия спойлера | Press to open the spoiler « В марте одной из главных новостей месяца стало закрытие ботнета Rustock. Напомним, что сеть, созданная Rustock, насчитывала несколько сотен тысяч зараженных компьютеров и использовалась для рассылки спама. Операция по закрытию ботнета была организована компанией Microsoft и властями США. 17 марта Microsoft сообщила, что все управляющие серверы ботнета остановлены. На всех серверах командных центров ботнета, закрытых Microsoft, установлен редирект на microsoftinternetsafety.net.
По данным «Лаборатории Касперского», последние экземпляры Rustock загружались на компьютеры пользователей с командных серверов ботнета 16 марта, а команда на рассылку спама последний раз была отдана 17 марта. После этого никаких команд ботам не поступало. Более того, после 16 марта не было обнаружено ни одного нового загрузчика, устанавливающего Rustock на компьютеры пользователей.
Означает ли это, что одному из самых известных спам-ботнетов действительно пришел конец? Или хозяева заблокированной бот-сети просто затаились в ожидании более спокойных времен, когда можно будет без опаски восстановить утерянные мощности? Ответы на эти вопросы мы узнаем позже. Зловреды для Android» Нажмите, для открытия спойлера | Press to open the spoiler « Вредоносные программы для Android уже не являются экзотикой. В марте злоумышленникам удалось распространить их под видом легальных приложений на Android Market.
В начале марта на Android Market мы обнаружили инфицированные версии легальных приложений. Они содержали root-эксплойты «rage against the cage» и «exploid», которые позволяют вредоносной программе получить на Android-смартфонах права root-доступа, обеспечивающие полный доступ к операционной системе устройства.
Во вредоносном APK-архиве помимо root-эксплойтов содержалось два вредоносных компонента. Один из них после получения root-прав с помощью POST-метода посылал на удаленный сервер злоумышленника специальный XML-файл, содержащий IMEI и IMSI, а также другую информацию об устройстве, и в ответ ждал команды. Другой зловред обладал функционалом троянца-загрузчика, однако пока нам не удалось получить загружаемые файлы. TOP 20 вредоносных программ в интернете» Нажмите, для открытия спойлера | Press to open the spoiler « TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей» Нажмите, для открытия спойлера | Press to open the spoiler « | |
| |
10.05.2011 - 22:40 |
Котенка
профи!
Группа: Дружинники Сообщений: 1.605 Регистрация: 18.12.2010 Пользователь №: 1.834.987
Респектов: 794
| Первый бэкдор для Android и другие вирусные события в апреле 2011 года Самые интересные вирусные события апреля оказались связаны с мобильной платформой Android — именно на ней сосредоточили своё внимание вирусописатели. Помимо этого, прошедший месяц ознаменовался традиционным уже обнаружением уязвимостей в продукции Adobe. Как и в прошлые месяцы, топовые мировые новости нашли своё отражение в тематике спам-рассылок и мошеннических действиях в социальных сетях. На этот раз спаммеры воспользовались королевской свадьбой в Великобритании. Новые вредоносные программы для мобильных платформ» Нажмите, для открытия спойлера | Press to open the spoiler « В апреле был зафиксирован первый полноценный бэкдор для Android, уже насчитывающий две известные модификации. Android.Crusewind использует ряд новых приёмов распространения и не встречавшуюся ранее нагрузку. Жертва получает сообщение, похожее на следующее: «Получены обновления настройки MMS/GPRS/EDGE. Для активации пройдите по ссылке: http://.../flash/MM329.apk». При переходе по указанной ссылке пользователь получает троянский APK — дистрибутивный пакет ОС Android (в этом формате хранятся дистрибутивы в магазине Android Market). После установки троянец скачивает со своего командного центра конфигурационный файл в формате XML. При этом вредоносная программа обладает достаточно серьёзным набором функций. Например, она способна рассылать SMS-сообщения по команде с сервера. В ходе усложнения мобильных ОС и увеличения производительности смартфонов вредоносные программы под эти платформы также усложняются, приближаясь по своим характеристикам к вирусам для персональных компьютеров. Появления подобной Android.Crusewind программы следовало ожидать уже давно. Можно предположить, что по мере распространения антивирусного ПО для мобильных платформ вирусописатели перенесут на них свойства и других классов троянцев под платформу x86. Таких, например, как руткиты. Также было обнаружено несколько новых троянских программ под мобильную ОС Android. Появились новые модификации троянцев Android.Spy и Android.SmsSend. Android.Spy.54 был обнаружен на китайском ресурсе www.nduoa.com, который представляет собой сборник различных приложений для платформы Android. Троянец был встроен в программу Paojiao — виджет, позволяющий совершать звонки или отсылать SMS на выбранные номера. Распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy. Новая модификация Android.Spy регистрирует фоновый сервис, который соединяется с сервером злоумышленников, отсылая им идентификационные данные жертвы (в частности, международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает конфигурационный xml-файл, содержащий команды для спам-рассылки SMS с телефона жертвы и добавления определенных сайтов в закладки браузера. Adobe продолжает «радовать» пользователей» Нажмите, для открытия спойлера | Press to open the spoiler « В марте мы уже писали о критической уязвимости в продукции Adobe. Причём тогда традиционный для таких уязвимостей термин 0-day в буквальном смысле превратился в 0-week: уязвимость закрывали в течение недели, в то время как в публичном доступе находилось несколько образцов ее эксплуатации. 8 апреля 2011 года стало известно о новой уязвимости CVE-2011-0611, а вскоре появились подробные технические описания и реализации уязвимости. Как и в случае с прошлым инцидентом, речь идёт о внедрении троянского SWF-объекта в документ MS Office (DOC-файл) и в файлы PDF. Вскоре появились и образцы спам-рассылок, содержащих эксплойты уязвимости Exploit.Rtf.based и Exploit.PDF.2177. Рис. 2. Exploit.Rtf.basedРис. 3. Exploit.PDF.2177 Массовые рассылки и поддельное антивирусное ПО» Нажмите, для открытия спойлера | Press to open the spoiler « Также в прошедшем месяце были зафиксированы массовые рассылки, содержащие многочисленные модификации примитивного троянца Trojan.Download.64325. В течение двух недель было обнаружено несколько разновидностей этого загрузчика. Троянец загружал на компьютер жертвы Trojan.FakeAlert.20509. Рассылка велась через ботнет BlackEnergy. Анализ активности этого ботнета выявил в списке рассылки значительные группы корпоративных адресов, принадлежащих, в частности, фармакологическим компаниям, таким как SecureMedical Inc., что подразумевает возможность утечки баз данных почтовых адресов и передачи их в руки спамеров. Мошеннические ссылки и активность в социальных сетях» Нажмите, для открытия спойлера | Press to open the spoiler « Заключение» Нажмите, для открытия спойлера | Press to open the spoiler « Можно с уверенностью говорить о том, что наметился и окончательно оформился новый вектор вирусных атак. Злоумышленники проявляют растущий интерес к мобильным платформам. В настоящее время происходит перенос наработок и накопленного опыта вирусописателей для PC на платформу Android, очевидное усложнение и большее разнообразие троянского ПО под нее. Скорее всего, конкурирующей платформе iOS в ближайшем будущем злоумышленники также уделят внимание. Образцы троянского ПО, обнаруженные в апреле 2011 года в почтовом трафике» Нажмите, для открытия спойлера | Press to open the spoiler « Всего проверено: 32,697,947,759 Инфицировано: 45,761,288 (0.14%) Образцы троянского ПО, обнаруженные в апреле 2011 года на компьютерах пользователей» Нажмите, для открытия спойлера | Press to open the spoiler « Всего проверено: 218,706,105,678 Инфицировано: 73,187,388 (0.03%) | |
| |
11.05.2011 - 11:56 |
Котенка
профи!
Группа: Дружинники Сообщений: 1.605 Регистрация: 18.12.2010 Пользователь №: 1.834.987
Респектов: 794
| Обзор вирусной активности — апрель 2011 В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»: отражено 221 305 841 сетевых атак; заблокировано 73 211 764 попыток заражения через Web; обнаружено и обезврежено 189 999 451 вредоносных программ (попытки локального заражения); отмечено 86 630 158 срабатываний эвристических вердиктов. DDoS-атаки на LiveJournal» Нажмите, для открытия спойлера | Press to open the spoiler « Начавшиеся в самом конце марта и продолжившиеся в начале апреля DDoS-атаки на блог-хостинг LiveJournal.com стали заметным событием в России. Один из ботнетов, ответственных за атаку, находится под нашим наблюдением, что позволило выявить некоторые подробности атаки. До начала апреля практически каждый день все компьютеры, входящие в состав этого ботнета, получали в качестве мишени для DDoS-атаки одну-две ссылки. Однако 4 апреля все боты получили список из 36 ссылок. В число атакованных попали главные страницы LiveJournal: http://livejournal.com и http://livejournal.ru. Остальные ссылки в списке вели на популярные странички российских блогеров-«тысячников». Атакованные страницы периодически были недоступны 30 марта, 4 и 6 апреля. Атаки прекратились после 6 апреля. Использованный злоумышленниками ботнет построен на основе популярного бота Optima, который появился в продаже в конце 2010 года. По некоторым косвенным признакам можно сказать, что зомби-сеть, объединяющая зараженные Optima машины и принимавшая участие в DDoS-атаке, cостоит из десятков тысяч зараженных компьютеров. PDF-эксплойты» Нажмите, для открытия спойлера | Press to open the spoiler « В очередной раз мы фиксируем рост активности эксплойтов, использующих уязвимости в продуктах Adobe. Один из таких экспойтов — Exploit.JS.Pdfka.dmg — оказался на 9-м месте среди 20 наиболее распространенных программ в интернете. Количество пользователей, подвергшихся в апреле атакам различными модификациями Exploit.JS.Pdfka, исчисляется уже сотнями тысяч. Рисунок ниже иллюстрирует это. География распространенности семейства Exploit.JS.Pdfka в апреле. Первое место — Россия, второе — США, третье — Германия Злоумышленники уже в который раз используют одну и ту же тактику: на взломанном легальном ресурсе размещается вредоносный JavaScript, который эксплуатирует критическую уязвимость в одном из популярных легальных продуктов. Если пользователь, использующий уязвимое ПО, попадает на легальный взломанный ресурс, то практически сразу же в результате срабатывания эксплойта на его компьютер незаметно загружается одна или несколько вредоносных программ. То есть в очередной раз мы имеем дело с уже ставшими классическими drive-by-download атаками. В апреле компания Adobe закрыла очередной набор уязвимостей в своих продуктах Adobe Reader и Adobe Acrobat. Уровень опасности уязвимостей был обозначен как «Critical». Уязвимость MS11-020» Нажмите, для открытия спойлера | Press to open the spoiler « В апреле компания Microsoft выпустила 17 бюллетеней, закрывающих уязвимости в различных продуктах Windows. Среди 63 уязвимостей, исправленных Microsoft, есть и патч для критической «дыры» MS11-020. Опасная брешь, открывающая возможность удаленного исполнения произвольного кода в нулевом кольце, была обнаружена в SMB Server. Данная уязвимость может эксплуатироваться с использованием специально сформированного SMB-пакета, отправляемого на уязвимую систему. Уязвимость представляет серьезную опасность: в прошлом обнаружение подобной уязвимости повлекло за собой появление такого червя, как Kido. Поэтому мы настоятельно рекомендуем всем пользователям как можно быстрее обновить свои системы. SMS-троянцы» Нажмите, для открытия спойлера | Press to open the spoiler « В апреле продолжилось активное распространение SMS-троянцев (в основном, на территории России). Одним из каналов распространения по-прежнему был SMS-спам. В течение месяца мы регулярно получали жалобы пользователей на спамовые SMS-рассылки. Некоторые рассылки обладали общими признаками: рассылки осуществлялись примерно в одно и то же время (в 4 или 5 утра по московскому времени); сообщения в подавляющем большинстве случаев имели следующий вид: ‘Poluchen MMS dlya abonenta <телефонный номер получателя>. Posmotret: http://*****.do.am/имя_файла.jar’; во вредоносных ссылках использовались имена файлов YaZ.jar либо 606.jar. Пример одного из спамовых SMS-сообщений На момент осуществления всех зафиксированных нами рассылок файлы, на которые вели ссылки, детектировались «Лабораторией Касперского» как Trojan-SMS.J2ME.Smmer.f. И еще одна деталь: судя по всему, вредоносные сайты, на которые вели ссылки в спам-сообщениях, на самом деле создавались с помощью одного из популярных бесплатных онлайн-конструкторов сайтов. Владельцы данного конструктора предоставляют в том числе и услуги хостинга, которыми и воспользовались злоумышленники, разместив вредоносные страницы на домене второго уровня .do.am. Закрытие ботнета Coreflood» Нажмите, для открытия спойлера | Press to open the spoiler « Наступление на бот-сети продолжается. Вслед за закрытием ботнета Rustock, о котором мы писали в мартовском обзоре, в апреле были закрыты командные центры еще одного немаленького (порядка 2 миллионов зомби-машин) ботнета Coreflood. Большинство зараженных ботами машин располагалось на территории США.
В данном случае инициатором закрытия стало министерство юстиции США, которое получило разрешение на перехват управления ботнетом. После перехвата управления бот-сетью всем ботам была разослана команда на прекращение работы.
Уже не в первый раз государственные органы принимают активное участие в нейтрализации бот-сетей. Напомним, что ботнет Rustock был закрыт в результате совместной операции компании Microsoft и властей США, ботнет Bredolab был ликвидирован (а его предполагаемый владелец и создатель задержан) полицией Нидерландов.
Надеемся, что усилия государственных органов по закрытию ботнетов продолжатся, и в будущем мы еще не раз узнаем об успешном проведении подобных операций. Взлом PlayStation Network» Нажмите, для открытия спойлера | Press to open the spoiler « В конце апреля компания Sony сообщила о том, что PlayStation Network (PSN) была взломана. Корпорация подтвердила, что злоумышленникам стали доступны личные данные пользователей (имена, электронные и почтовые адреса, даты рождения, логины и пароли). Sony не исключила и возможности хищения данных кредитных карт, хотя доказательств кражи этой информации не было.
Sony совместно с неназванной компанией ведет расследование данного инцидента. Стоит отметить, что в PSN зарегистрировано порядка 75 миллионов аккаунтов, и данная утечка персональных данных по сути является крупнейшей за всю историю.
По-прежнему нет информации о том, когда игроки смогут вновь воспользоваться PSN. Пользователям PSN настоятельно рекомендуется сменить пароль к учетной записи игрового сервиса, а также к другим сервисам (если использовался один и тот же пароль). Также необходимо следить за своей кредитной картой, и в случае появления признаков мошенничества, сразу же ее блокировать.
P.S. Второго мая Sony опубликовала сообщение о том, что в результате хакерской атаки злоумышленникам стали доступны персональные данные (имя, адрес, email, пол, дата рождения, телефонный номер, логин и хэш пароля) не только игроков PSN, но и пользователей Sony Online Entertainment. Также компания сообщила об утечке информации о 12700 кредитных картах (номер карты и срок действия) из устаревшей базы данных 2007 года. TOP 20 вредоносных программ в интернете» Нажмите, для открытия спойлера | Press to open the spoiler « * Общее число уникальных инцидентов, зафиксированных веб-антивирусом на компьютерах пользователей. TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей» Нажмите, для открытия спойлера | Press to open the spoiler « * Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект. | |
| |
20.09.2011 - 13:07 |
Котенка
профи!
Группа: Дружинники Сообщений: 1.605 Регистрация: 18.12.2010 Пользователь №: 1.834.987
Респектов: 794
| Развитие киберугроз в августе 2011 года: корпоративные сети под давлением хакеров «Лаборатория Касперского» проанализировала развитие киберугроз в августе 2011 года. Ключевыми событиями минувшего месяца стали атаки на корпоративные сети, активность нового троянца для Android и клона нашумевшей шпионской программы ZeuS. Август принес плохие новости для пользователей онлайн-банкинга. В минувшем месяце широкое распространение получил новый клон известного троянца ZeuS, который давно считается наиболее опасной угрозой для тех, кто пользуется банковскими услугами в Интернете. Очередное детище вирусописателей получило авторское название Ice IX, и приобрести его можно за 600-1800 долларов США. Как и в истории самого Зевса, здесь также можно говорить о результатах труда русскоязычных киберпреступников. Появление Ice IX, который обладает значительным функционалом и существенно снижает цены на подобных троянцев, в ближайшей перспективе приведет к появлению новых «внебрачных сыновей» Зевса и еще большему числу атак на пользователей систем онлайн-банкинга. Не сидят сложа руки и создатели вредоносного кода для мобильных платформ. Сегодня 99% всех подобных зловредов, обнаруживаемых «Лабораторией Касперского», создаются злоумышленниками для получения нелегального дохода прямым или косвенным путем. В августе особенно ярко проявил себя троянец Nickspy. Он способен записывать все разговоры владельца зараженного устройства и загружать их на удаленный сервер злоумышленника. Одна из последних модификаций данного троянца маскируется под приложение социальной сети Google+. Он дает возможность злоумышленникам слышать все, что происходит вблизи зараженного устройства – в том числе разговоры его хозяина. Полученную таким образом информацию преступники в дальнейшем могут продать на «черном рынке» заинтересованным лицам. Отдельного внимания заслуживает способ получения нелегальных доходов при помощи виртуальных инструментов. Этим летом в центре внимания киберпреступников оказалась система генерации электронных денег Bitcoin, основанная на использовании вычислительных мощностей компьютеров. Еще в июне эксперты «Лаборатория Касперского» обнаружили первый троянец Trojan.NSIS.Miner.a, который скрытно от пользователя зараженной машины генерировал «монеты». В августе киберпреступники стали использовать для этих целей Twitter, P2P-сетей и прокси. Всего за прошедший месяц эксперты «Лаборатории Касперского» обнаружили 35 различных вредоносных программ, так или иначе нацеленных на работу с системой Bitcoin. Несмотря на традиционный в летние месяцы спад деловой активности, август оказался богат инцидентами, связанными с атаками на компании и государственные структуры по всему миру. Многие из них были совершены хакерскими группами, такими как AntiSec/Anonimous. Жертвами «хактивистов» стали итальянская киберполиция, ряд сотрудничающих с правоохранительными органами компаний в США, а также военный подрядчик Vanguard, занимающийся системами коммуникации по заказу американского министерства обороны. В публичный доступ попали гигабайты приватной информации, причем в ситуации с итальянской киберполицией были обнародованы документы, вероятней всего принадлежавшие индийскому посольству в России. Эти и другие случаи наглядно демонстрируют, что корпоративные сети остаются довольно уязвимыми и испытывают растущее давление со стороны киберпреступников. | |
| |
|
|