Все новости
|
| Новый бэкдор следит за пользователем через его веб-камеру
13 февраля 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует об обнаружении нового бэкдора, получившего наименование BackDoor.Webcam.9. Этот троянец позволяет выполнять на инфицированной машине различные команды, поступающие от удаленного сервера злоумышленников, а также перехватывает изображение с подключенной к инфицированному компьютеру веб-камеры. Таким образом личная жизнь пользователей может быть скомпрометирована.
Механизмы проникновения троянца BackDoor.Webcam.9 пока выявляются, но уже хорошо известен механизм заражения компьютера. Запустившись на исполнение, бэкдор копирует себя в системную папку для хранения временных файлов и прописывается в одну из ветвей системного реестра, отвечающую за автоматический запуск приложений. Затем троянец проверяет наличие копии самого себя на зараженной машине. После этого вредоносная программа отправляет на удаленный командный сервер серию запросов, передавая злоумышленникам ряд сведений об инфицированном компьютере, включая его IP-адрес, тип учетной записи пользователя, количество подключенных к системе веб-камер, имя компьютера и версию ОС, а затем ожидает поступления новых команд.
Кроме того, BackDoor.Webcam.9 создает в системной временной папке несколько вспомогательных файлов, используемых им в процессе работы. Все они имеют имена, начинающиеся с rundll_.*, и хранятся во временном каталоге ОС Windows.
Троянец способен выполнять поступающие от удаленного сервера команды, в частности, команду перезапуска самого себя, смены управляющего сервера, создания снимка экрана. Кроме того, троянец способен перехватывать и передавать злоумышленникам изображение, полученное с подключенной к инфицированному компьютеру веб-камеры.
BackDoor.Webcam.9 представляет существенную опасность для пользователей, так как их личная жизнь может быть скомпрометирована.
Сигнатура этой угрозы добавлена в вирусные базы Dr.Web.
| | «Доктор Веб»: обнаружены первые эксплойты для Mac OS X
10 февраля 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обнаружении уязвимостей, с использованием которых возможно заражение троянскими программами устройств под управлением платформы Mac OS X. Она по праву считается одной из самых надежных ОС в мире, но злоумышленникам все же удалось использовать известные уязвимости Java с целью распространения угроз для данной платформы.
Первыми злоумышленниками, решившими использовать уязвимости Java для заражения компьютеров под управлением Mac OS X, оказались создатели троянской программы BackDoor.Flashback, распространяемой, как известно, через зараженные сайты. Напомним, что установщик этого вредоносного ПО обычно маскируется под программу-инсталлятор Adobe Flash Player. Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль троянца, и, если это не удается, прекращает свою работу.
Теперь злоумышленники пошли другим путем: при открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, если запрос сделан из-под MacOS с определенной версией браузера, пользователю отдается веб-страница, загружающая несколько java-апплетов. Сама страница демонстрирует в окне браузера надпись «Loading.... Please wait…».
Модуль с именем rhlib.jar использует уязвимость CVE-2011-3544. Он помещает в папку /tmp/ исполняемый файл .sysenterxx, выставляет ему необходимые атрибуты и запускает на выполнение.
Запущенное приложение проверяет, присутствуют ли в операционной системе файлы
/Library/LittleSnitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
и, если их обнаружить не удалось, пытается загрузить основной модуль троянской программы BackDoor.Flashback.26. В противном случае загрузчик просто удаляет себя. Модуль clclib.jar использует уязвимость CVE-2008-5353, а ssign.jar представляет собой дроппер Java.Dropper.8, подписанный недействительной подписью: злоумышленники рассчитывают на то, что пользователь добавит эту подпись в список доверенных и тем самым разрешит выполнение кода.
Подобные уязвимости могут представлять опасность для пользователей компьютеров производства компании Apple. Сигнатура данной угрозы уже добавлена в вирусные базы Антивируса Dr.Web для Mac OS X. | | Trojan.Spamer.46 распространяет спам в социальных сетях
7 февраля 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о широком распространении троянской программы Trojan.Spamer.46, рассылающей в социальных сетях «В Контакте», «Одноклассники», а также «Мой мир @ Mail.Ru» сообщения c рекламой мошеннических сайтов.
Данный троянец, написанный на языке С++, распространяется через торренты вместе с архиватором WinRAR. После инсталляции программы-архиватора в папке установки появляется «лишний» файл RarExtr.dll, который вызывается при запуске архиватора. Загрузившись в память, данная вредоносная библиотека сохраняет в папку Windows\System32 файл kbdfv.dll, содержащий в себе троянскую программу Trojan.Spamer.46.
Затем троянец ищет среди запущенных в системе процессов firefox.exe и, если находит, встраивает в него содержимое своей библиотеки. После этого Trojan.Spamer.46 начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, добавляя в отправляемые пользователем сообщения текст «Кстати, глянь: [ссылка]». Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное СМС-сообщение.
Компания «Доктор Веб» рекомендует внимательнее относиться к программам, получаемым из недостоверных источников, и по возможности использовать ПО, загруженное с официальных сайтов производителя. Сигнатура данной угрозы уже добавлена в вирусные базы, вследствие чего Trojan.Spamer.46 не представляет опасности для пользователей антивирусных программ Dr.Web. | | Trojan.Winlock угрожает шариатским судом арабским пользователям
3 февраля 2012 года
Аналитики антивирусной лаборатории компании «Доктор Веб» — российского разработчика средств информационной безопасности — зафиксировали распространение новой модификации Trojan.Winlock, угрожающей жителям арабских стран. Напомним, что троянцы этого семейства приобрели широкую известность в России в 2010 году. Позднее появились модификации Trojan.Winlock для зарубежных пользователей. В частности, совсем недавно был обнаружен Trojan.Winlock.5490, угрожающий французским пользователям Microsoft Windows.
В последнее время появилось множество версий троянцев-блокировщиков, демонстрирующих жертвам сообщения на английском, французском, немецком и других европейских языках. Как правило, они имеют различную архитектуру и разные механизмы разблокирования операционной системы: либо с помощью специально введенного кода, либо автоматически по истечении определенного промежутка времени. На их фоне Trojan.Winlock.5416 — более чем примитивная программа-вымогатель: она не располагает ни кодом разблокировки, ни механизмом проверки локали операционной системы, а потому запускается в ОС Windows с любой языковой версией интерфейса. В базах Dr.Web имеется несколько записей для троянцев этого типа, большая часть которых демонстрирует в блокирующем окне текст на немецком языке, однако одна из модификаций Trojan.Winlock.5416 имеет весьма любопытное визуальное оформление:
Эта версия блокировщика выводит на экран пользователя текст на арабском языке, в котором говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить 300 долларов путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троянец не выполняет.
Следует отметить, что это — первый образец троянца-блокировщика на арабском языке, известный на сегодняшний день специалистам компании «Доктор Веб». Процедура удаления Trojan.Winlock.5416 вполне стандартна для вредоносных программ такого типа и потому не заслуживает отдельного описания. Сигнатура данной угрозы присутствует в вирусных базах Dr.Web. | | Новое семейство троянцев угрожает пользователям Facebook
2 февраля 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о появлении вредоносных программ семейства Trojan.OneX, которые при заражении компьютера рассылают спам в крупнейшей в мире социальной сети Facebook, а также через программы-мессенджеры. В настоящее время зафиксировано распространение двух модификаций этого троянца, незначительно различающихся по своим функциональным возможностям. Количество жертв злоумышленников при такой модели распространения может быть крайне велико.
Trojan.OneX работает только в 32-разрядной версии ОС Windows, в 64-разрядной ОС он завершает работу после загрузки с управляющего сервера текстового файла. После запуска на инфицированной машине Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида «hahaha! http://goo.gl[…].jpeg», на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook. Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троянец загружает с удаленного сервера новый конфигурационный файл.
Trojan.OneX.1 ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.
Вскоре после появления первой модификации троянца в распоряжении вирусных аналитиков компании «Доктор Веб» появился образец вредоносной программы, получившей название Trojan.OneX.2. В отличие от первой версии троянца вторая модификация Trojan.OneX использует для отправки сообщений популярные программы-мессенджеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируется мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 «умеет» работать с конфигурационными файлами в кодировке Unicode.
Среди рассылаемых троянцами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты: один из них, в частности, имитирует оформление службы RapidShare. Пользователю предлагают скачать под видом изображения в формате JPEG zip-архив, в котором располагается Photo14.JPG.scr — исполняемый файл (Trojan.Packed.22289), содержащий в себе троянца BackDoor.IRC.Bot.1446. Эта троянская программа не только открывает злоумышленникам доступ к инфицированному компьютеру и способна похищать конфиденциальные данные, но и позволяет выполнять на зараженной машине различные команды, в частности, команду загрузки и установки других приложений. Примечательно: специалистами компании «Доктор Веб» были зафиксированы случаи распространения с помощью троянцев BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая, в свою очередь, способствует дальнейшему распространению BackDoor.IRC.Bot.
Сигнатуры данных угроз уже добавлены в вирусные базы Dr.Web, благодаря чему пользователи антивирусного ПО производства компании «Доктор Веб» полностью защищены от опасности заражения этими вредоносными программами. | | Новые банковские троянцы, очередные мошенничества с пользователями социальных сетей и другие события января 2012 года
| | Trojan.Winlock.5490 угрожает французским пользователям
27 января 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении новой модификации программы-блокировщика операционной системы, получившей наименование Trojan.Winlock.5490. Данное вредоносное приложение представляет опасность в основном для французских пользователей Microsoft Windows.
Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию. Троянец обладает встроенными функциями антиотладки: в процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троянец прекращает свою работу. Напомним, что значительная часть винлоков работает автономно. Они содержат код разблокировки системы либо в собственных ресурсах (в открытом или зашифрованном виде), либо вычисляют его на основе ряда параметров, либо не имеют такого кода вовсе. Trojan.Winlock.5490 относится к последней категории программ-вымогателей: троянец автоматически удаляет сам себя через неделю после установки, однако, заблокировав операционную систему, он «отстукивается» на удаленный сервер злоумышленников, передавая туда информацию об инфицированной машине, введенных жертвой номерах платежных карт, и получает в ответ команду «ок».
Оказавшись на компьютере жертвы, Trojan.Winlock.5490 запускает процесс svchost.exe и встраивает в него собственный код, после чего отсылает команду скрытия Панели задач Windows и останавливает все потоки процессов explorer.exe и taskmgr.exe. Затем троянец прописывает себя в ветвь системного реестра, отвечающую за автозагрузку приложений, и демонстрирует на экране окно, содержащее текст на французском языке с требованием заплатить 100 евро с помощью карт оплаты платежных систем Paysafecard или Ukash. Введенный жертвой номер карты отправляется на удаленный командный сервер злоумышленников, а в ответ троянец демонстрирует сообщение приблизительно следующего содержания: «Подождите! Платеж будет обработан в течение 24 часов».
Поскольку данная троянская программа не использует код разблокировки, пострадавшим от ее действий пользователям рекомендуется выполнить проверку компьютера, загрузившись с помощью Dr.Web LiveCD. Также можно попытаться изменить в BIOS компьютера дату (переставив ее на несколько месяцев вперед) и проверить диски с помощью лечащей утилиты Dr.Web CureIt!, либо самостоятельно удалить из ветви реестра Software\Microsoft\Windows\CurrentVersion\Run\ данные о запускаемом модуле троянца. | | Предупреждаем о новой схеме распространения вредоносных ссылок
| | Раскрыты доходы злоумышленников от сетевых мошенничеств с «платными архивами»
23 января 2012 года
Количество так называемых «платных архивов», детектируемых антивирусным ПО Dr.Web как Trojan.SmsSend, с каждым месяцем неуклонно растет. Что, впрочем, неудивительно: для создания подобного рода вредоносных программ злоумышленникам не нужно обладать навыками программистов, поскольку многочисленные сайты, предлагающие так называемые «партнерские программы», заботливо предоставляют всем желающим уже готовые решения — специальные «конструкторы», с помощью которых можно собрать собственный Trojan.SmsSend за несколько минут. Объем этого подпольного рынка поистине велик: злоумышленники зарабатывают на распространении платных архивов десятки тысяч долларов в месяц. Компания «Доктор Веб» — российский разработчик средств информационной безопасности — готова поделиться с пользователями эксклюзивной информацией о том, как работает этот механизм, а также расскажет, как избежать финансовых потерь от действий злоумышленников.
Традиционно Trojan.SmsSend представляет собой исполняемый архив, имитирующий установщик какой-либо полезной программы. При попытке открыть такой архив на экране компьютера демонстрируется процесс инсталляции соответствующего приложения, после чего для продолжения установки программа просит отправить платное СМС-сообщение на указанный злоумышленниками номер. В некоторых случаях, якобы в целях активации программы, от пользователя требуют ввести номер мобильного телефона, а затем — полученный в ответном СМС-сообщении код. Таким образом, жертва соглашается с условиями подписки на некую платную услугу, за которую с ее счета ежемесячно будут списываться средства. Фокус заключается в том, что подобные «платные архивы» либо вовсе не содержат обещанное приложение, либо его можно загрузить совершенно бесплатно с официального сайта разработчика.
Несмотря на кажущуюся простоту и очевидность данной мошеннической схемы, рынок подобных «услуг» поистине огромен. На предложения сетевых жуликов откликается большое число неискушенных пользователей, отправляя платные СМС за то, что они могли бы получить бесплатно. Специалистам компании «Доктор Веб» удалось выяснить объемы прибыли, которую получают распространители подобного вредоносного ПО. Так, в рамках одной из партнерских программ, активно рекламирующейся на различных подпольных форумах и сайтах, откуда она постоянно привлекает новых членов, средний доход распространителя троянцев семейства Trojan.SmsSend, однократно отправляющих платные сообщения на премиум-номера, может достигать до 200 долларов в день. Лидеры этого незаконного рынка, входящие в десятку наиболее активных распространителей троянцев, получают от 850 до 7740 долларов в месяц, в среднем — 2678,5 долларов США.
Доходы от подписки жертв сетевых мошенников на платные услуги значительно выше, они могут достигать от 3000 до 22 000 долларов США на злоумышленника в месяц, в среднем — 8295,5 долларов США. Следует понимать, что для сетевых мошенников, зарабатывающих подобные суммы на обмане пользователей Интернета, эта деятельность является основным источником дохода, она отнимает все их свободное время. К тому же, они прекрасно осознают, что распространение подобного ПО является преступлением, ответственность за которое предусмотрена статьей 273 Уголовного кодекса РФ («Создание, использование и распространение вредоносных программ для ЭВМ»).
Пути распространения троянцев Trojan.SmsSend также отличаются завидным разнообразием: это поддельные сайты файлового обмена, специально созданные странички, имитирующие интерфейс интернет-ресурсов официальных разработчиков различных программ, спам по каналам электронной почты, в тематических форумах, массовая рассылка сообщений с использованием протокола ICQ. Кроме того, сетевые мошенники активно используют рекламные сети Яндекс.Директ и Google AdSense, размещают контекстную рекламу в социальных сетях и не гнушаются отправлять ссылки на вредоносное ПО с заранее взломанных аккаунтов.
Пользователи могут без труда избежать подобных опасностей и не попасться на удочку сетевых мошенников, если, потратив чуть больше времени, поищут в Интернете официальный сайт производителя программы, которую они планируют скачать. В большинстве случаев они смогут получить ее совершенно бесплатно и уж точно не заплатят ни копейки за архив, не содержащий ничего полезного. Ну а в случае, если вы стали жертвой сетевых злоумышленников, ничто не мешает вам написать соответствующее заявление в полицию.
Компания «Доктор Веб» планирует акцию по борьбе со злоумышленниками, использующими при распространении вредоносного ПО короткие сервисные номера. Информация о таких номерах будет оперативно передаваться мобильным операторам, технические службы которых смогут принять решение о прекращении действия отдельных номеров, используемых в мошеннических схемах. | | Пользователи «В Контакте» с телефонами, поддерживающими Java, под ударом мошенников
17 января 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередной схемы мошенничества, направленной против пользователей социальной сети «В Контакте», являющихся владельцами мобильных телефонов с поддержкой Java.
После новогодних праздников участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают пользователям скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети «В Контакте». В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями данной социальной сети.
Программа представляет собой файл в формате .jar, способный запуститься практически на любом мобильном устройстве с поддержкой Java. Справедливости ради следует отметить, что на сайте, распространяющем эту программу, размещено написанное с огромным количеством орфографических ошибок «соглашение», в котором явно сказано, что создатели программы не несут никакой ответственности за последствия ее использования, нанесенный пользователю ущерб, а также указывается, что программа в процессе установки будет отсылать СМС-сообщения на платные номера.
Как и следовало ожидать, в процессе установки приложение отсылает СМС-сообщение на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте злоумышленников полученный в ответном СМС код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться некоторая сумма.
Данное приложение и адреса распространявших его сайтов уже добавлены в базы Dr.Web. Компания «Доктор Веб» призывает пользователей проявлять внимательность и всегда читать текст лицензии или пользовательского соглашения перед установкой любого загруженного из Интернета ПО. | | Новые вредоносные программы для Android, бэкдор для Windows, троянец для Mac OS X и другие вирусные события декабря 2011 года
| | Киберкриминальный мир и Россия. Обзор вирусной активности в 2011 году
| | Android.Arspam.1 распространяет политический спам
| | Мошенники стали чаще использовать домены в зоне .рф
21 декабря 2011 года
Аналитики компании «Доктор Веб» — российского разработчика средств информационной безопасности — отмечают рост случаев использования сетевыми мошенниками кириллических доменов в российской зоне .рф. Это может быть связано, прежде всего, с уменьшением числа свободных доменов в традиционных зонах .ru, .com, .net, .org и других.
Приоритетная регистрация доменов в российской национальной доменной зоне верхнего уровня .рф впервые началась 12 мая 2010 года, однако разговоры о ее открытии велись еще за несколько лет до этого момента. Окончательное решение о введении данного доменного имени было принято на международной конференции ICANN осенью 2008 года, а свободная регистрация в зоне .рф была открыта для всех желающих 11 ноября 2010 года.
Несмотря на то что на сегодняшний день в зоне .рф зарегистрировано уже больше 949 000 доменных имен (по данным на 21 декабря 2011 года), число незанятых доменов здесь все же значительно больше по сравнению с количеством свободных доменов в других зонах, таких как .ru, .su, .com, .org или .net. Для сравнения, на сегодняшний день в зоне .ru зарегистрировано 3 593 854 домена. Это притягивает не только киберсквоттеров, но и сетевых мошенников, которым важно выбирать домены для регистрации таким образом, чтобы они были похожи на адреса известных сайтов, например, новостных порталов, сервисов бесплатной почты или социальных сетей.
Можно предположить, что именно относительная легкость подбора свободного для регистрации доменного имени стала причиной отмечаемого в последнее время специалистами «Доктор Веб» роста количества мошеннических и иных нерекомендуемых для посещения сайтов, располагающихся в кириллической зоне .рф. Вместе с тем схемы обмана пользователей, применяемые сетевыми мошенниками, в этом случае вполне стандартны и не отличаются ни оригинальностью, ни новизной. Впервые подобные ресурсы были добавлены в базы Dr.Web ровно год назад, в декабре 2010 года, и на сегодняшний день их число уже превышает 110. Среди подобных ресурсов были замечены сайты-подделки, имитирующие интерфейс социальных сетей «В Контакте», «Одноклассники», службы «Ответы@Маil.Ru», а также ряд поддельных файлообменных сетей и несколько сайтов, предлагающих всевозможные сомнительные услуги, такие как составление родословной, поиск двойников по фотографии, гадание за СМС и т. д. Подавляющее большинство расположенных в зоне .рф сайтов, попавших в базы Dr.Web, распространяют контент категории «для взрослых».
Можно предположить, что в 2012 году эта тенденция будет нарастать, и количество нежелательных для посещения сайтов, зарегистрированных в зоне .рф, будет увеличиваться. Компания «Доктор Веб» вновь призывает пользователей проявлять бдительность и не поддаваться на провокации злоумышленников.
| | Взломанные сайты угрожают пользователям мобильных устройств
12 декабря 2011 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об участившихся случаях взлома веб-сайтов с целью перенаправления пользователей мобильных устройств на ресурсы, распространяющие вредоносное ПО. Подобные атаки отмечались и ранее, однако в последнее время их число заметно возросло. По оценкам специалистов «Доктор Веб», в Рунете одновременно работает порядка 100 взломанных злоумышленниками площадок, при этом оперативное устранение следов заражения на некоторых из них компенсируется новыми взломами.
Многочисленные владельцы смартфонов и планшетов, работающих под управлением ОС Android и других системных платформ с поддержкой Java (например, Symbian), в последнее время стали замечать, что они лишились возможности посетить свои любимые сайты. При открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального веб-сайта Opera Mini и предлагающий загрузить обновление браузера. Под видом такого обновления, распространяемого в зависимости от типа клиентской ОС в виде либо, файлов .jar либо, приложений для Android (.apk), обычно скрывается троянец семейства Android.SmsSend.
Антивирусное ПО не в состоянии предотвратить редирект пользователя на принадлежащие сетевым мошенникам сайты (но при этом блокирует попытку загрузки с подобных ресурсов вредоносных программ), так как перенаправление осуществляется самим веб-сайтом, к которому обращается пользователь.
Эксплуатируя уязвимости установленных на подобных сайтах серверных приложений, таких как «движки» форумов и системы управления контентом (CMS), злоумышленники получают доступ к сайту и подменяют хранящийся на сервере файл .htaccess. В результате этих изменений при каждом обращении к взломанному интернет-ресурсу сервер проверяет user-agent пользователя, и в том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian и Android), происходит переадресация пользователя на принадлежащий злоумышленникам сайт.
Поскольку злоумышленники используют одни и те же уязвимости для организации несанкционированного доступа к различным ресурсам и действуют по стандартной схеме, можно предположить, что взлом осуществляется автоматически с использованием специализированного ПО. По оценкам специалистов «Доктор Веб», в Рунете одновременно работает порядка 100 взломанных злоумышленниками площадок, при этом оперативное устранение следов заражения на некоторых из них компенсируется новыми взломами. Администрации многих интернет-ресурсов сообщают о многократных случаях взлома: несмотря на то, что владельцам сайта удается быстро удалить вредоносные объекты, через некоторое время злоумышленники вновь берут ресурс под свой контроль. Также можно предположить, что взломщики действуют в кооперации с владельцами партнерских программ, распространяющих Android.SmsSend под видом поддельных обновлений для Opera Mini. В этом случае действуют две независимые группы злоумышленников, одна из которых специализируется на взломе сайтов, а вторая — на «раздаче» вредоносного ПО. В настоящее время известно несколько «партнерских программ», предлагающих хакерам плату за перенаправление трафика на распространяющие троянцев сайты. Пример внутренней статистики одной из них показан на иллюстрации ниже.
Компания «Доктор Веб» рекомендует владельцам и администраторам веб-сайтов вовремя обновлять работающее на их площадках программное обеспечение и устанавливать все требуемые обновления безопасности, а также проверять файлы .htaccess на наличие «посторонних» директив. Адреса распространяющих вредоносное ПО ресурсов уже добавлены в базы сайтов, не рекомендованных для посещения пользователям антивирусного ПО Dr.Web. | | Новый троянец для Mac OS X скрывается на торрент-трекере The Pirate Bay
7 декабря 2011 года
Троянские программы для операционной системы Mac OS X встречаются нечасто, тем более — троянцы, предназначенные для кражи пользовательских паролей и майнинга электронной валюты Bitcoin. Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении Trojan.Merin.3 (также известного под именем OSX/DevilRobber), предназначенного для кражи различных данных, в том числе финансовой информации у пользователей Mac OS X.
Специалисты «Доктор Веб» обнаружили новые инфицированные архивы, в которых Trojan.Merin.3 раздается на торрент-трекере thepiratebay.org. Вредоносная программа распространяется под видом приложений WritersCafe, Twitterrific и EvoCam.
После завершения закачки инфицированного приложения из Интернета и его выполнения Trojan.Merin.3 запускает специальный скрипт, активизирующий загрузчик троянца. Загрузчик помещается в одну из подпапок домашней директории Library под именем eCamd или twitterd, после чего скачивает с FTP-сервера злоумышленников архив bin.bop.
Внутри архива содержится модуль биткойн-клиента для Mac OS X под названием DiabloMiner и сама троянская программа. Напомним, что электронная криптовалюта Bitcoin была создана в 2009 году японцем Сатоси Накамото. Система ее обращения не имеет централизованной управляющей структуры; она реализована в виде одноранговой сети, использующей для обмена информацией транзакции peer-to-peer. Создатель Bitcoin взял за основу данной системы видоизмененный принцип «золотодобычи»: эмиссия новых электронных «монет» (как и добыча драгоценных металлов) требует выполнения определенной работы — в данном случае пользователь должен установить на своем компьютере специальное программное обеспечение, задача которого состоит в выполнении сложных вычислений, за что владелец компьютера получает определенное вознаграждение. Впоследствии участники системы могут обмениваться заработанными электронными «монетами» и приобретать на них различные товары. Этот процесс принято называть «майнингом» (от англ. mining — «добыча»). В данной версии троянца используются новые биткойн-адреса по сравнению с предыдущими реализациями Trojan.Merin.
Основной троянский модуль Trojan.Merin.3 способен красть на инфицированном компьютере пользовательские пароли, данные электронных кошельков, а также логи командного интерпретатора bash (.bash_history), и отсылать все эти данные на удаленный сервер, принадлежащий злоумышленникам.
Сигнатура данной угрозы уже добавлена в базы Антивируса Dr.Web для Mac OS X. Пользователям рекомендуется с осторожностью относиться к сторонним приложениям, загружаемым с торрент-трекеров. | | BackDoor.Pads открывает злоумышленникам доступ к инфицированным компьютерам
6 декабря 2011 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении нового бэкдора, получившего название BackDoor.Pads. Эта вредоносная программа собирает информацию об инфицированном компьютере и передает ее злоумышленникам, кроме того, она способна выполнять команды, поступающие с удаленного сервера.
Вредоносная программа BackDoor.Pads создана вирусописателями на языке ассемблер и представляет собой модуль, реализованный в виде нескольких компонентов. После запуска бэкдора происходит расшифровка кода, которому передается управление, после чего вредоносный модуль выполняет поиск необходимых для его работы функций API в системных библиотеках Windows.
Функционал BackDoor.Pads вполне стандартен для бэкдоров подобного типа: он собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Затем BackDoor.Pads пытается определить наличие в конфигурации сети прокси-сервера, для чего бэкдор считывает из реестра настройки подключения браузера Internet Explorer. Кроме того, BackDoor.Pads ищет в системе запущенные процессы веб-браузеров Internet Explorer, Firefox, Opera, Chrome, ряда почтовых клиентов, а также иных приложений, и если находит их, расшифровывает в памяти и запускает на исполнение соответствующий базонезависимый код. Если троянцу удается получить токен explorer.exe (права на доступ), он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем. Этот модуль внесен в вирусные базы Dr.Web под именем Trojan.PWS.Pads.
Собранные сведения об инфицированном компьютере BackDoor.Pads отправляет на удаленный сервер злоумышленников, а оттуда получает управляющие команды. В бэкдоре реализован функционал, подобный возможностям небольшого telnet-сервера, однако все исполняемые вредоносной программой команды «зашиты» в ней самой, благодаря чему бэкдор не использует внешний командный интерпретатор, такой как, например, cmd.exe. Среди принимаемых бэкдором команд можно назвать команду поиска файлов, создания/удаления папок, копирования, перемещения и удаления файлов, перезагрузки Windows, получения списка запущенных процессов, загрузки файлов и их запуска от имени определенного пользователя. Кроме того, BackDoor.Pads может выполнять функции прокси-сервера.
Опасность данной вредоносной программы для пользователя кроется, прежде всего, в том, что она способна выполнять на инфицированном компьютере различные команды, предоставляя злоумышленникам доступ к ресурсам зараженной машины. Сигнатура BackDoor.Pads уже добавлена в вирусные базы Dr.Web, пользователи антивирусных продуктов Dr.Web полностью защищены от данной угрозы. | | «Доктор Веб» выявил более 30 вредоносных программ на Android Market
| | Обзор вирусной активности в ноябре 2011 года: спамеры и вирусописатели забыли о выборах
| | Новая версия сервиса разблокировки от Trojan.Winlock: удобно и эффективно!
29 ноября 2011 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — запускает новую версию сервиса разблокировки персональных компьютеров, зараженных вредоносными программами Trojan.Winlock. Основная цель переработки сервиса — повышение его удобства. Пользователи могут оценить интуитивно понятный интерфейс ресурса и простоту поиска кода разблокировки.
Trojan.Winlock — семейство троянцев-вымогателей, блокирующих ОС Windows и требующих от пользователя оплаты за разблокировку. Впервые подобные угрозы появились в 2007 году, а пик их распространения пришелся на 2009–2010 годы. На сегодняшний день потребность в средствах противодействия Trojan.Winlock носит стабильно высокий характер.
Компания «Доктор Веб» одной из первых антивирусных компаний, действующих на российском рынке, предоставила пользователям удобный инструментарий для самостоятельной разблокировки компьютеров — это произошло в апреле 2009 года. Уже в начале следующего года был создан полноценный сервис, который оказался чрезвычайно востребованным: только в первые два месяца существования сервиса его посетило более 1,5 миллиона пользователей!
Сегодня «Доктор Веб» запускает новую версию сервиса: она использует обширную и постоянно обновляемую базу данных, отличается простым и понятным интерфейсом и предлагает пользователям удобную схему поиска кода разблокировки. Пользователь может воспользоваться как поиском по номеру телефона/кошелька платежной системы, который указан на баннере блокировщика, так и поиском по изображению баннера. Отметим, что «исходники» отдельной модификации Trojan.Winlock могут одновременно использоваться большим числом злоумышленников, каждый из которых указывает на баннере свой номер телефона/кошелька. При этом коды разблокировки во всех случаях могут быть одинаковы. Если в базе данных сервиса еще не присутствует отдельный номер, есть большая вероятность, что коды разблокировки для этой модификации Trojan.Winlock уже добавлены.
База данных сервиса обновляется ежедневно и потому содержит самую актуальную информацию о троянцах Trojan.Winlock. Каждая добавленная в базу модификация сопровождается технической справкой и описанием модели поведения: подобная информация также может быть полезна в процессе разблокировки системы. Кроме того, сервис содержит отдельный информационный раздел, имеет форму обратной связи и располагает мобильной версией.
«Доктор Веб» обладает значительной экспертизой в области противодействия семейству Trojan.Winlock и реализует проекты по борьбе с троянцами-блокировщиками совместно с крупнейшими сотовыми операторами России — компаниями «Мегафон», «Билайн» и TELE2.
| |
|
|
