Обзор вирусной активности за февраль 2012 года от компании Доктор Веб


Hit WebВ феврале специалистами компании Доктор Веб было отмечено:

  • снижение темпов распространения программ-блокировщиков;

  • появлением на свет очередного трояна, представляющего угрозу для пользователей Facebook, а также ряда других вредоносных приложений;

  • использование уязвимостей Java для распространения вредоносных программ, ориентированных на платформу Mac OS Х;

С точки зрения вирусной активности, февраль не принес каких-либо сюрпризов и неожиданностей. Во втором месяце этого года, уверенно лидирует по количеству обнаружений:

  • Win32.Expiro.23 - вредоносная программа, повышающая свои привилегии в системе и заражающая исполняемые файлы. Ее основное предназначение заключается в хищении паролей от программ INETCOMM Server, Microsoft Outlook, Internet Explorer, Mozilla Firefox, FileZilla.

  • Trojan.Mayachok.1 — вредоносная программа, блокирующая пользователю доступ в Интернет или к наиболее популярным сайтам и требующая для разблокировки ввести в соответствующую форму свой номер мобильного телефона, а затем ответить на входящее СМС-сообщение. После этого жертва оказывается подписанной на различные платные услуги, за которые с ее счета будет регулярно списываться определенная денежная сумма.

help vkontakte

В десятку наиболее часто встречающихся на ПК пользователей вредоносных программ по-прежнему входят трояны семейства Trojan.Hosts.
Trojan.Hosts - троян, подменяющий в операционной системе файл

  • \drivers\etc\hosts


вследствие чего при обращении к нужному интернет-ресурсу жертва попадает на специально созданный злоумышленниками фишинговый сайт. Нередко на инфицированных машинах встречаются банковские трояны семейства Trojan.Carberp (зафиксировано за месяц более 30 000 случаев обнаружения этой вредоносной программы в различных модификациях).


Очередная угроза для пользователей Facebook
Trojan.OneX - вредоносная программа, предназначенная для рассылки спама в крупнейшей в мире социальной сети Facebook, а также через программы-месседжеры.

Trojan.OneX работает только в 32-разрядной версии ОС Windows. После запуска на инфицированной машине Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида

  • "hahaha! http://goo.gl[…].jpeg"


на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook.

Вскоре после появления первой модификации трояна, появился новый образец вредоносной программы, получившей название Trojan.OneX.2. Отличие от первой версии трояна в том, что вторая модификация Trojan.OneX использует для отправки сообщений популярные программы-месседжеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируются мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 умеет работать с конфигурационными файлами в кодировке Unicode.

Trojan.OneX.1

Среди рассылаемых троянами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты. Один из них имитирует оформление службы RapidShare. Эта троянская программа не только открывает злоумышленникам доступ к инфицированному компьютеру и способна похищать конфиденциальные данные, но и позволяет выполнять на зараженной машине различные команды, в частности, команду загрузки и установки других приложений. Специалистами компании "Доктор Веб" были зафиксированы случаи распространения с помощью троянов BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая, в свою очередь, способствует дальнейшему распространению BackDoor.IRC.Bot.


Винлоки
В феврале число обращений пользователей, пострадавших от программ-блокировщиков, сократилось еще на 28% от января-месяца. Так, в феврале специалистами "Доктор Веб" был обнаружен винлок, ориентированный на носителей арабского языка.

Trojan.Winlock.5416

Trojan.Winlock.5416 — примитивная программа-вымогатель не располагающая ни кодом разблокировки, ни механизмом проверки локали операционной системы, а потому запускается в ОС Windows с любой языковой версией интерфейса. В демонстрируемом на экране сообщении говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить $300 путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троян не выполняет. Это первый образец трояна-блокировщика на арабском языке, известный на сегодняшний день.


Троян-спамер и семейство Volk
Trojan.Spamer.46 – троян, распространяющийся через торренты вместе с архиватором WinRAR. Обосновавшись в операционной системе, троян начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов:

  • vkontakte.ru;
  • odnoklassniki.ru;
  • my.mail.ru


добавляя в отсылаемые пользователем сообщения текст:

  • "Кстати, глянь: [ссылка]"


Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное СМС-сообщение.

Trojan.Spamer

Также, в феврале было выявлено целое семейство вредоносных программ, добавленных в вирусные базы под общим именем BackDoor.Volk.

  • BackDoor.Volk.1 - написан на языке PHP, применяющемся в основном для создания скриптов и приложений, работающих на стороне сервера, и конвертирован в исполняемый код при помощи утилиты php2exe. Троян модифицирует на зараженной машине файл hosts, отвечающий за сопоставление DNS-имен IP-адресам, а также способен загружать с удаленного узла и запускать на инфицированном ПК различные приложения.

  • BackDoor.Volk.2 - написан на Visual Basic и при обращении к удаленным узлам для передачи запросов использует метод POST, а не GET. Помимо загрузки и запуска приложений, а также подмены файла hosts, эта вредоносная программа обладает функционалом для проведения DDoS-атак и способна красть пароли от FTP-клиентов, установленных на инфицированном компьютере. Модуль обмена данными с командным сервером в трояне BackDoor.Volk.2 позаимствован у BackDoor.Herpes, исходные коды которой появились в свободном доступе некоторое время назад.

  • BackDoor.Volk.3 и BackDoor.Volk.4 - написаны на Visual Basic и являются модификациями BackDoor.Volk.2. Основные изменения касаются методов обмена информацией с управляющим сервером. Функционал этих троянов в целом схож.


Трояны BackDoor.Volk способны объединяться в ботнеты, управляемые посредством специальной административной панели.

BackDoor.Volk

Благодаря возможной подмене файла hosts потенциальная жертва может быть обманом завлечена на созданные злоумышленниками фишинговые сайты, при этом способность трояна красть пароли от FTP-клиентов открывает перед вирусописателями возможность получения несанкционированного доступа к различным веб-сайтам.


Троян BackDoor.Webcam.9
BackDoor.Webcam.9 - троян, позволяющий выполнять на инфицированной машине различные команды, поступающие от удаленного сервера злоумышленников, а также перехватывает изображение с подключенной к компьютеру веб-камеры, делая личную жизнь владельца инфицированного ПК достоянием вирусописателей.

Запустившись на исполнение, бэкдор копирует себя в системную папку для хранения временных файлов и прописывается в одну из ветвей системного реестра, отвечающую за автоматический запуск приложений. Затем троян проверяет наличие копии самого себя на зараженной машине. После этого вредоносная программа отправляет на удаленный командный сервер серию запросов, передавая злоумышленникам ряд сведений об инфицированном компьютере:

  • его IP-адрес;
  • тип учетной записи пользователя;
  • количество подключенных к системе веб-камер;
  • имя компьютера и версию ОС

а затем ожидает поступления новых команд.

BackDoor.Webcam

Троян способен выполнять поступающие от удаленного сервера команды, в частности:

  • команду перезапуска самого себя;
  • смены управляющего сервера;
  • создания снимка экрана.


BackDoor.Webcam.9 - способен перехватывать и передавать злоумышленникам изображение, полученное с подключенной к инфицированному компьютеру веб-камеры, вследствие чего личная жизнь пользователя может быть скомпрометирована.


Эксплойты для Mac OS X
В феврале вирусописатели впервые начали эксплуатировать несколько известных ранее кросс-платформенных уязвимостей Java для заражения Apple-совместимых компьютеров.

При открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, если запрос сделан из-под Mac OS X с определенной версией браузера, пользователю отдается веб-страница, загружающая несколько java-апплетов.

java-code.1

Модуль с именем

  • rhlib.jar

использует уязвимость CVE-2011-3544. Он помещает в папку

  • /tmp/

исполняемый файл

  • .sysenterxx

выставляет ему необходимые атрибуты и запускает на выполнение.

java-code.2

Запущенное приложение проверяет, присутствуют ли в операционной системе файлы

  • /Library/LittleSnitch
  • /Developer/Applications/Xcode.app/Contents/MacOS/Xcode


и, если их обнаружить не удалось, пытается загрузить основной модуль троянской программы BackDoor.Flashback.26. В противном случае загрузчик просто удаляет себя. Модуль

  • clclib.jar

использует уязвимость CVE-2008-5353, а

  • ssign.jar

представляет собой дроппер Java.Dropper.8, подписанный недействительной подписью. Злоумышленники рассчитывают на то, что пользователь добавит эту подпись в список доверенных и тем самым разрешит выполнение кода. На сегодняшний день данные уязвимости используются в основном для распространения уже известного среди пользователей Mac OS X бэкдора BackDoor.Flashback.


Новый DDoS-бот
В феврале специалистами "Доктор Веб" была обнаружена вредоносная программа, представляющая собой довольно "продвинутый" инструмент для осуществления DDoS-атак на различные интернет-ресурсы - Trojan.Tenagour.9. Trojan.Tenagour.9 - состоит из инжектора и динамической библиотеки, в которой хранится полезная нагрузка. После запуска в операционной системе троян проверяет наличие своей установленной копии и, если таковая отсутствует, сохраняется в папку

  • %APPDATA%

под именем

  • smss.exe

после чего прописывает себя в ветви системного реестра, отвечающей за автоматический запуск приложений.

Затем Trojan.Tenagour.9 отправляет на удаленный командный сервер запрос, содержащий:

  • данные о версии и разрядности операционной системы;
  • MD5-хеш имени инфицированного компьютера;
  • серийный номер первого раздела жесткого диска.


В ответ Trojan.Tenagour.9 получает зашифрованную строку, содержащую URL сайта, на который будет осуществлена атака, и несколько вспомогательных параметров. Также от удаленного командного центра может быть получена директива на обновление трояна.

Trojan.Tenagour.9 позволяет осуществлять 8 типов DDoS-атак на различные интернет-ресурсы с использованием протоколов TCP/IP и UDP, методов GET и POST. Предусмотрен функционал автоматического добавления в список атакуемых ресурсов всех ссылок, обнаруженных на указанном злоумышленниками сайте.


Вредоносные файлы, обнаруженные в почтовом трафике в феврале

Всего проверено:    12,997,175,680
Инфицировано:          5,349,414


Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

Всего проверено:    148,537,446,432
Инфицировано:          83,912,629