Спецпроекты

Безопасность Администратору Пользователю Интернет

Март 2011: киберпреступники под видом сообщений о трагедии в Японии распространяли вредоносное ПО

«Лаборатория Касперского» представила обзор вирусной активности за март 2011 г., согласно которому в течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было отражено свыше 241,15 млн сетевых атак, заблокировано более 85 млн попыток заражения через веб, обнаружено и обезврежено около 220 млн вредоносных программ (попытки локального заражения), отмечено свыше 96,7 млн срабатываний эвристических вердиктов.

В марте злоумышленники использовали трагические события, произошедшие в Японии, в своих целях. Мошенники и вирусописатели распространяли вредоносные ссылки на «горячие» новости, создавали вредоносные веб-страницы, контент которых так или иначе связан с трагедией в Японии, и рассылали «нигерийские» письма со слезными просьбами оказать помощь пострадавшим, переслав деньги на счет отправителей.

Так, в одном из спамовых писем содержались ссылки якобы на последние новости о событиях в Японии. При переходе по этим ссылкам осуществлялась drive-by атака с помощью эксплойт-паков. В случае успешной атаки на компьютер пользователя загружался Trojan-Downloader.Win32.CodecPack. У каждого представителя этого семейства прописаны три командных центра, куда он обращается и откуда получает списки вредоносных файлов для их дальнейшей загрузки и запуска на компьютере пользователя. А на одной из обнаруженных «Лабораторией Касперского» вредоносных веб-страниц посетителям предлагалось скачать видеоролик о происходящем в Японии. Однако вместо просмотра ролика пользователь загружал на свой компьютер бэкдор.

По данным компании, количество Java-эксплойтов достаточно велико: они составили около 14% от общего числа обнаруженных в марте эксплойтов. В топ-20 вредоносных программ в интернете попали три Java-эксплойта. При этом два из них — Exploit.Java.CVE-2010-0840.d (15-е место) и Exploit.Java.CVE-2010-0840.c (19-е) — новые эксплойты для уязвимости CVE-2010-0840 в Java. Примечательно, что активное использование этой «бреши» было обнаружено в прошлом месяце, говорится в сообщении «Лаборатории Касперского».

По мнению компании, вирусописатели на удивление быстро реагируют на сообщения о новых уязвимостях. Примером тому может послужить эксплойт к уязвимости в Adobe Flash Player, об обнаружении которой компания Adobe объявила 14 марта. Уязвимость содержится в authplay.dll и была отнесена к критической: ее эксплуатация дает злоумышленникам возможность взять под контроль компьютер пользователя. И уже 15 марта «Лаборатория Касперского» задетектировала эксплойт к этой уязвимости. Он представляет собой Excel-файл, содержащий вредоносный SWF-файл, и детектируется как Trojan-Dropper.SWF.CVE-2011-0609.a. Уязвимость в итоге была оперативно закрыта. Adobe объявила об исправлении уязвимости 22 марта.

25 марта был обнаружен еще один вариант эксплойта — HTML-страничка, содержащая JavaScript с шеллкодом и вызов вредоносного Flash-файла. Шеллкод получал управление после вызова SWF-файла, использующего «дыру» в безопасности. Вредоносные HTML- и SWF-файлы детектируются соответственно как Exploit.JS.CVE-2011-0609 и Exploit.SWF.CVE-2011-0609.

Как отметили в «Лаборатории Касперского», злоумышленники используют HTML-страницы для распространения вредоносных программ или как часть мошеннической схемы. Как сообщалось в февральском отчете компании, нередко применялись каскадные таблицы стилей (CSS) для защиты вредоносных скриптов от детектирования. Теперь на своих вредоносных HTML-страницах вместо CSS злоумышленники используют тэг textarea, с помощью которого отображаются поля ввода. Злоумышленники применяют этот тэг как контейнер для хранения данных, которые потом будут использоваться основным скриптом. Так, в марте Trojan-Downloader.JS.Agent.fun — детект одной из веб-страниц, на которой была обнаружена комбинация вредоносного скрипта и тэга textarea, содержащего данные для скрипта — даже попал в топ-20 (девятое место). Скрипт, используя данные в тэге textarea, с помощью различных методик запускает другие эксплойты.

Примечательно, что теперь веб-страницы, на которых имитируется сканирование компьютера фальшивым онлайн-антивирусом и навязывается его покупка, нередко зашифрованы и выполнены в виде полиморфного JavaScript-скрипта, что усложняет процедуру их детектирования антивирусными компаниями. Такие полиморфные скрипты детектируются «Лабораторией Касперского» как Trojan.JS.Fraud.bl (18 место в рейтинге вредоносных программ в интернете) и Trojan.JS.Agent.btv (8 место).

В марте одной из главных новостей месяца стало закрытие ботнета Rustock. Сеть, созданная Rustock, насчитывала несколько сотен тысяч зараженных компьютеров и использовалась для рассылки спама. Операция по закрытию ботнета была организована корпорацией Microsoft и властями США. 17 марта Microsoft сообщила, что все управляющие серверы ботнета остановлены. На всех серверах командных центров ботнета, закрытых Microsoft, установлен редирект на microsoftinternetsafety.net. По данным «Лаборатории Касперского», последние экземпляры Rustock загружались на компьютеры пользователей с командных серверов ботнета 16 марта, а команда на рассылку спама последний раз была отдана 17 марта. После этого никаких команд ботам не поступало. Более того, после 16 марта не было обнаружено ни одного нового загрузчика, устанавливающего Rustock на компьютеры пользователей.

Вредоносные программы для Android уже не являются экзотикой. В марте злоумышленникам удалось распространить их под видом легальных приложений на Android Market. В частности, в начале марта на Android Market специалисты «Лаборатории Касперского» обнаружили инфицированные версии легальных приложений. Они содержали root-эксплойты «rage against the cage» и «exploid», которые позволяют вредоносной программе получить на Android-смартфонах права root-доступа, обеспечивающие полный доступ к операционной системе устройства. Во вредоносном APK-архиве, помимо root-эксплойтов, содержалось два вредоносных компонента. Один из них после получения root-прав с помощью POST-метода посылал на удаленный сервер злоумышленника специальный XML-файл, содержащий IMEI и IMSI, а также другую информацию об устройстве, и в ответ ждал команды. Другой зловред обладал функционалом троянца-загрузчика.

В целом мартовская двадцатка наиболее распространенных вредоносных программ в интернете выглядит следующим образом:

  1. AdWare.Win32.FunWeb.gq
  2. Hoax.Win32.ArchSMS.pxm New
  3. AdWare.Win32.HotBar.dh
  4. Trojan.HTML.Iframe.dl
  5. Hoax.HTML.OdKlas.a New
  6. Trojan.JS.Popupper.aw New
  7. Exploit.JS.Pdfka.ddt
  8. Trojan.JS.Agent.btv
  9. Trojan-Downloader.JS.Agent.fun
  10. Trojan-Downloader.Java.OpenStream.bi
  11. Exploit.HTML.CVE-2010-1885.ad
  12. Trojan.JS.Agent.uo New
  13. Trojan-Downloader.JS.Iframe.cdh New
  14. Packed.Win32.Katusha.o New
  15. Exploit.Java.CVE-2010-0840.d New
  16. Trojan.JS.Agent.bhr
  17. Trojan-Clicker.JS.Agent.om New
  18. Trojan.JS.Fraud.bl New
  19. Exploit.Java.CVE-2010-0840.c New
  20. Trojan-Clicker.HTML.Iframe.aky New

В свою очередь, рейтинг топ-20 вредоносных программ, обнаруженных в марте 2011 г. на компьютерах пользователей, включает:

  1. Net-Worm.Win32.Kido.ir
  2. Virus.Win32.Sality.aa
  3. Net-Worm.Win32.Kido.ih
  4. Hoax.Win32.ArchSMS.pxm New
  5. Virus.Win32.Sality.bh
  6. HackTool.Win32.Kiser.zv
  7. Hoax.Win32.Screensaver.b
  8. AdWare.Win32.HotBar.dh
  9. Trojan.Win32.Starter.yy
  10. Packed.Win32.Katusha.o
  11. Worm.Win32.FlyStudio.cu
  12. HackTool.Win32.Kiser.il
  13. Trojan.JS.Agent.bhr
  14. Trojan-Downloader.Win32.Geral.cnh
  15. Porn-Tool.Win32.StripDance.d New
  16. Exploit.JS.Agent.bbk New
  17. Trojan.Win32.AutoRun.azq New
  18. Trojan-Downloader.Win32.VB.eql
  19. Worm.Win32.Mabezat.b
  20. Packed.Win32.Klone.bq

Татьяна Короткова

Короткая ссылка