Апрель 2011: владельцы мобильных телефонов под прицелом SMS-мошенников
«Лаборатория Касперского» представила обзор вирусной активности за апрель 2011 г., согласно которому в течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено свыше 221,3 млн сетевых атак, заблокировано более 73 млн попыток заражения через Web, обнаружено и обезврежено около 190 млн вредоносных программ (попытки локального заражения), отмечено свыше 86,6 млн срабатываний эвристических вердиктов.
В начале месяца получил продолжение скандал, связанный с массированными DDoS-атаками на русскоязычную блог-платформу «Живой Журнал». Начавшись в конце марта, они продолжались на протяжении нескольких дней в апреле. «Лаборатория Касперского» наблюдала за одним из ботнетов, ответственных за атаку, что позволило выяснить некоторые подробности инцидента. Некоторые косвенные признаки, по мнению специалистов «Лаборатории Касперского», указывали на то, что зомби-сеть, объединявшая зараженные троянской программой (ботом) Optima машины и принимавшая участие в DDoS-атаке, состояла из десятков тысяч зараженных компьютеров. Жертвами атаки стали популярные страницы блогеров-«тысячников» Рунета, доступ к которым был периодически затруднен.
В апреле неприятности коснулись и многих пользователей интерактивной среды PlayStation Network (PSN) и Sony Online Entertainment. В результате хакерской атаки их личные данные, включая электронные и почтовые адреса, даты рождения, логины и пароли, оказались в руках злоумышленников. Более того, компания Sony, которой принадлежат эти ресурсы, сообщила о краже информации о 12,7 тыс. банковских карт из устаревшей базы 2007 г. Учитывая тот факт, что в одной только PSN зарегистрировано порядка 75 млн аккаунтов, утечка персональных данных стала одной из крупнейших в истории, подчеркнули в «Лаборатории Касперского».
По информации компании, в минувшем месяце под прицелом злоумышленников постоянно оказывались и владельцы мобильных телефонов. Об этом свидетельствует активное продвижение SMS-троянов, которые отправляют платные сообщения на короткие номера. Одним из способов распространения этих зловредов стали спамовые SMS-сообщения, содержащие вредоносные ссылки. Файлы, на которые вели ссылки, детектировались «Лабораторией Касперского» как Trojan-SMS.J2ME.Smmer.f. Как установили эксперты компании, сайты, на которые вели такие ссылки, были созданы с помощью одного из популярных бесплатных онлайн-конструкторов.
В апреле специалисты «Лаборатории Касперского» зафиксировали рост активности эксплойтов, использующих уязвимости в продуктах Adobe. Один из таких экспойтов — Exploit.JS.Pdfka.dmg — оказался на девятом месте среди 20 наиболее распространенных программ в интернете. Злоумышленники уже в который раз используют одну и ту же тактику: на взломанном легальном ресурсе размещается вредоносный JavaScript, который эксплуатирует критическую уязвимость в одном из легальных продуктов Adobe. Если пользователь, использующий уязвимое ПО, попадает на легальный взломанный ресурс, то практически сразу же в результате срабатывания эксплойта на его компьютер незаметно загружается одна или несколько вредоносных программ — так реализуются уже ставшие классическими drive-by-download атаки. Компания Adobe закрыла очередной набор уязвимостей в своих продуктах Adobe Reader и Adobe Acrobat. Уровень опасности уязвимостей был обозначен как «Critical».
В свою очередь, корпорация Microsoft выпустила в апреле 17 бюллетеней, закрывающих уязвимости в различных продуктах Windows. Среди 63 уязвимостей, исправленных Microsoft, есть и патч для критической «дыры» MS11-020. Опасная брешь, открывающая возможность удаленного исполнения произвольного кода в нулевом кольце, была обнаружена в SMB Server. Данная уязвимость может эксплуатироваться с использованием специально сформированного SMB-пакета, отправляемого на уязвимую систему. Как подчеркнули в «Лаборатории Касперского», уязвимость представляет серьезную опасность — в прошлом обнаружение подобной уязвимости повлекло за собой появление такого червя, как Kido.
Вслед за закрытием ботнета Rustock в апреле были закрыты командные центры еще одного немаленького (порядка 2 млн зомби-машин) ботнета Coreflood. Большинство зараженных ботами машин располагалось на территории США, сообщили в «Лаборатории Касперского».
В целом апрельская двадцатка наиболее распространенных вредоносных программ в интернете выглядит следующим образом:
- AdWare.Win32.HotBar.dh 855838
- Trojan.JS.Popupper.aw 622035
- AdWare.Win32.Zwangi.fip 356671 New
- AdWare.Win32.Agent.uxx 300287 New
- AdWare.Win32.Gaba.eng 254277 New
- AdWare.Win32.FunWeb.jp 200347 New
- AdWare.Win32.FunWeb.kd 170909 New
- AdWare.Win32.Zwangi.fmz 161067 New
- Exploit.JS.Pdfka.dmg 140543 New
- Trojan.JS.Redirector.oy 138316 New
- Trojan-Ransom.Win32.Digitala.bpk 133301 New
- Trojan.JS.Agent.uo 109770
- Trojan-Downloader.JS.Iframe.cdh 104438
- AdWare.Win32.Gaba.enc 96553 New
- Trojan.HTML.Iframe.dl 95299
- Hoax.Win32.ArchSMS.pxm 94255
- Trojan-Downloader.Win32.Zlob.aces 88092 New
- Trojan-Ransom.JS.SMSer.hi 83885 New
- Trojan.JS.Iframe.ku 77796 New
- AdWare.Win32.FunWeb.jt 65895 New
В свою очередь, рейтинг топ-20 вредоносных программ, обнаруженных в апреле 2011 г. на компьютерах пользователей, включает:
- Net-Worm.Win32.Kido.ir 428587
- Net-Worm.Win32.Kido.ih 176792
- Virus.Win32.Sality.aa 176171
- Virus.Win32.Virut.ce 130140
- Virus.Win32.Sality.bh 121389
- Trojan.Win32.Starter.yy 113815
- Hoax.Win32.ArchSMS.pxm 86908
- HackTool.Win32.Kiser.zv 80900
- Trojan-Downloader.Win32.Geral.cnh 79573
- HackTool.Win32.Kiser.il 78526
- Hoax.Win32.Screensaver.b 73664
- Worm.Win32.FlyStudio.cu 71405
- AdWare.Win32.HotBar.dh 68923
- Trojan.JS.Agent.bhr 67435
- AdWare.Win32.FunWeb.kd 62858 New
- Virus.Win32.Sality.ag 55573 New
- Trojan-Downloader.Win32.VB.eql 53055
- Worm.Win32.Mabezat.b 52385
- Trojan.Win32.AutoRun.azq 47865
- Virus.Win32.Nimnul.a 47765 New