Обзор вирусной активности за февраль 2012 года от Лаборатории Касперского


KasperskyLabsВ течение месяца на компьютерах пользователей с установленными продуктами "Лаборатории Касперского":

  • заблокировано - 143 574 335 попыток заражения через Web;
  • обнаружено и обезврежено - 298 807 610 вредоносных программ;
  • обнаружено - 30 036 004 вредоносных URL;
  • отражено - 261 830 529 сетевых атак.


DUQU — последние новости

В январе-феврале 2012 года эксперты Лаборатории Касперского фокусировались в основном на технических аспектах существования Duqu:

  • системах его серверов для сбора данных;
  • внутреннем устройстве модулей троянского комплекса.


С конца декабря прошлого года в сети Интернет перестали обнаруживаться какие-либо признаки наличия Duqu. 1-2 декабря 2011 года авторы троянской программы провели повторную очистку используемых ими серверов по всему миру. Они пытались исправить ошибки, допущенные ими 20 октября при первой очистке серверов.

Специалистами Лаборатории Касперского всего было зафиксировано полтора десятка инцидентов Duqu, и подавляющее большинство жертв оказалось в Иране. Анализ деятельности организаций-жертв и характер информации, интересовавшей авторов Duqu, заставляет сделать вывод, что основной целью атакующих была любая информация о системах управления производством в различных отраслях промышленности Ирана, а также информация о торговых отношениях ряда иранских организаций.

В ходе анализа кода Duqu эксперты Лаборатории Касперского пришли к выводу, что помимо использования некой единой платформы, названной Tilded, авторы Duqu вероятней всего использовали собственный фреймворк, разработанный на неизвестном языке программирования.

На основе собранных данных можно предположить, что разработчики Tilded, скорее всего, не прекратят свою работу, и в будущем (возможно ближайшем) придется столкнуться с их очередной разработкой.


Атаки на индивидуальных пользователей

Уязвимости в платежной системе Google Wallet
Осенью 2011 года компания Google запустила новую технологию Google Wallet, обеспечивающую возможность оплачивать товары и услуги посредством смартфона на базе Android с модулем NFC (Near Field Communication — технология бесконтактной связи). На смартфоне устанавливается специальное приложение Google Wallet и вводятся реквизиты кредитной карты. Для оплаты владелец телефона должен ввести в приложение Google Wallet PIN-код и поднести к считывающему устройству телефон, для передачи в зашифрованном виде данных и проведения транзакции.

Когда компания Google анонсировала новую услугу, эксперты по безопасности высказали некоторые сомнения относительно ее безопасности при потере или краже телефона, то есть когда смартфон с Google Wallet попадает в чужие руки. И вот в начале февраля было выявлено сразу два метода взлома Google-кошелька, которые могут быть использованы в подобных случаях.

Сначала инженер компании zVelo Джошуа Рубин обнаружил, как можно подобрать PIN-код, если некто получит доступ к телефону. Данные о банковском счете хранятся в специальном защищенном разделе (Secure Element) NFC-чипа, но сам хэш PIN-кода хранится в файловой системе телефона. Для чтения этого хэша необходим root-доступ к телефону, который можно получить известными хакерскими способами. Учитывая, что PIN-код — это всего лишь четырехзначное число, злоумышленнику не составит труда подобрать соответствующую комбинацию методом полного перебора. Подобрав код, злоумышленник сможет оплачивать свои покупки, используя счет Google Wallet законного владельца телефона.

На следующий же день после обнаружения этой уязвимости появилась информация еще об одном методе, дающем доступ к чужому Google-кошельку на найденном или украденном телефоне. И уже без необходимости взлома системы, то есть без получения root-доступа. На сей раз использовалась уязвимость в самом приложение Google Wallet. Если зайти в меню свойств приложений и удалить все данные, относящиеся к приложению Google Wallet, то при следующем запуске Google Wallet попросит установить новый PIN-код, не требуя ввести старый.

Об этих уязвимостях было сразу же сообщено в компанию Google, которая приостановила на несколько дней работу технологии Google Wallet до устранения выявленных угроз. Позже Google объявила об исправлении уязвимости в приложении и возобновила работу сервиса, но в начале марта все еще не было никакой информации об исправлении уязвимости с использованием метода полного перебора для подбора правильного PIN-кода. Чтобы предотвратить доступ к хэшу PIN-кода, его, как и другие критические данные о банковском счете/кредитной карте, надо хранить в безопасном разделе на NFC-чипе. Однако в этом случае ответственность за сохранность PIN-кода переходит от Google к банкам, которые ответственны за безопасный раздел — Secure Element.


Фальшивые коды Google Analytics
Взлом сайтов чаще всего используется злоумышленниками для распространения вредоносных программ. Вредоносный код внедряется в коды веб-страниц взломанных ресурсов. В начале февраля была зафиксирована волна заражений, в которых внедренный вредоносный код был замаскирован под код статистического сервиса от Google — Google Analytics.

Vredonosnii kod Google Analytics

Фальшивый код имеет несколько характерных признаков:

  • Во вредоносном коде вместо оригинального адреса google-analytics.com используется адрес с двойным тире google--analytics.com.

  • В оригинальном коде идентификатор учетной записи представляет собой уникальную строку с цифрами (например, «UA-5902056-8») и однозначно определяет сайт для статистического сервиса. Во вредоносном коде вместо уникальной строки используется строка «UA-XXXXX-X».

  • Внедренный злоумышленниками код размещается в самом начале кода странички, даже до тега <html>, тогда как оригинальный код Google Analytics разработчики обычно добавляют в конце страницы.


В результате работы этого кода в браузер пользователя с адреса злоумышленников google--analytics.com подгружался обфусцированный javascript

  • "ga.js"

и посетитель взломанной страницы после нескольких редиректов незаметно перенаправлялся на сервер, где работал набор эксплойтов

  • BlackHole Exploit Kit


При удачном срабатывании эксплойта компьютер пользователя заражался вредоносной программой.

В настоящее время сайт google--analytics.com не работает. Но на некоторых взломанных веб-ресурсах до сих пор обнаруживается фальшивый код Google Analytics.


Мобильные угрозы
Последние события в мире мобильных угроз показывают, что в 2012 году мобильные ботнеты станут одной из основных проблем, как для пользователей смартфонов, так и для антивирусных компаний.


Мобильный ботнет RootSmart
Китайским вирусописателям удалось в достаточно короткий срок создать ботнет с числом активных устройств от 10 тыс. до 30 тыс., а общее число смартфонов, зараженных за все время существования ботнета, исчисляется сотнями тысяч. По классификации Лаборатории Касперского боты относятся к семейству

  • Backdoor.AndroidOS.RootSmart


Все зараженные устройства, входящие в ботнет RootSmart, способны удаленно принимать и исполнять команды с C&C-сервера.

Такое количество зараженных устройств больше характерно для ботнетов на основе компьютеров под управлением ОС Windows. Судя по всему, соразмерность мобильных и обычных ботнетов становится реальностью, однако способы их монетизации отличаются. Если для монетизации обычных бот-сетей чаще всего используются DDoS-атаки или рассылка спама, то для мобильных ботнетов эти способы не столь эффективны.

Для получения дохода с владельцев мобильных устройств злоумышленники избрали традиционный и самый популярный среди мобильных киберпреступников способ монетизации - премиум SMS-сообщения. Лица, контролирующие ботнет, имеют возможность:

  • задавать частоту отправки дорогостоящих SMS-сообщений;
  • количество дней, в течение которых будет осуществляться отправка;
  • короткие номера, на которые будут отправляться SMS.


Злоумышленники могут действовать так, чтобы владельцы устройств ничего не заподозрили (например, использовать самые дешевые короткие номера) и контролировать монетизацию ботнета. Такой подход, в отличие от использования обычных SMS-троянов, позволяет им получать стабильный ощутимый доход на протяжении длительного времени.


Арест авторов Foncy
В январе 2012 года был обнаружен Backdoor.Linux.Foncy.a - наиболее яркий на данный момент образец вредоносной программы, с помощью которой злоумышленники могут удаленно контролировать зараженное устройство, посылая ему разнообразные команды.

Бэкдор устанавливается в систему с помощью APK-дроппера вместе с root-эксплойтом

  • Exploit.Linux.Lotoor.ac

и SMS-трояном

  • Trojan-SMS.AndroidOS.Foncy.a


В конце февраля были арестованы два человека в Париже по подозрению в заражении более 2000 устройств на базе ОС Android вредоносными программами семейства Foncy. Этот арест является первым случаем задержания авторов мобильной вредоносной программы. Причем со времени появления публичной информации о Foncy до задержания прошло всего 3 месяца. По оценкам властей, злоумышленники нанесли финансовый ущерб в размере 100 тыс. евро.


Атаки на сети корпораций и крупных организаций

В феврале продолжились атаки хактивистов — участников движения Anonymous на финансовые и политические веб-ресурсы.

Атакам хактивистов подверглись сайты американских компаний

  • Combined Systems Inc. (CSI);
  • Sur-Tec Inc.


Компании были названы ответственными за поставки в некоторые страны различных средств наблюдения за гражданами, а также слезоточивого газа и прочих инструментов для подавления митингов. Так, CSI обвинили в поставках подобных технологий в Египет во времена свергнутого президента Мубарака, а также в Израиль, Гватемалу и некоторые другие страны. Хакерам удалось украсть внутреннюю переписку компании, список ее клиентов и ряд внутренних документов — все это затем было опубликовано в общем доступе на сайте pastebin.com.

Также взломам подвергся ряд сайтов, принадлежащих Федеральной торговой комиссии (FTC) США. Эта акция проводилась в рамках борьбы Anonymous против ACTA (the Anti Counterfeiting Trade Agreement). На взломанных сайтах было размещено видео с протестом против принятия данного соглашения. С сайтов также были украдены логины и пароли пользователей ресурсов, которые хактивисты затем опубликовали на pastebin.com.

Ответственность за эти атаки взяла на себя та же группа, которая в январе организовала серию DDoS-атак в знак протеста против закрытия сайта Megaupload.com. Тогда ими были выведены из строя сайты

  • министерства юстиции США;
  • Univeral Music Group;
  • Recording Industry Association of America;
  • MPAA.


Другая группа Anonymous (LONGwave99) атаковала финансовые институты США. 14 и 15 февраля с помощью DDoS-атак им удалось на несколько часов вывести из строя сайты фондовых бирж

  • NASDAQ;
  • BATS;
  • Chicago Board Options Exchange (CBOE);
  • Miami Stock Exchange.


Атаки, получившие название "Operation Digital Tornado", по заявлениям представителей бирж не затронули сами системы торгов.

В конце февраля в результате совместной операции Интерпола и правоохранительных органов Аргентины, Чили, Колумбии и Испании были арестованы 25 человек, подозреваемых в причастности к ряду атак. В ответ на эту операцию Anonymous организовали DDoS-атаку сайта Интерпола, в результате которой сайт был выведен из строя на несколько часов.

В России в преддверии президентских выборов политически мотивированным атакам подвергались сайты средств массовой информации, оппозиционные и правительственные ресурсы. Интересно, что в целой серии атак, зафиксированных Лабораторией Касперского, использовалось несколько ботнетов одного типа (Ruskill), поочередно сменявших друг друга. В общей сложности было насчитано 8 центров управления ботнетами, расположенных в разных странах, на разных площадках у разных провайдеров. Однако все эти C&C, с большой вероятностью, управляются одними и теми же людьми.

Во многих случаях ботнеты, задействованные в политических атаках, ранее были замечены в явно коммерческих DDoS-ах, в ходе которых атакам подвергались онлайн магазины, банки, тематические форумы и персональные блоги. Очевидно, что эти ботнеты участвовали в политически мотивированных DDoS-атаках на коммерческой основе, а их хозяева — просто наемники, готовые за деньги атаковать кого угодно.


Рейтинги февраля

Данная статистика основана на детектирующих вердиктах антивируса, предоставленных пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

TOP 10 зловредов в интернете

TOP 10 zlovredov v Internete


TOP 10 стран, на ресурсах которых размещены вредоносные программы

TOP 10 stran s vredonosnimi resursami

* Для определения географического источника атаки используется методика сопоставления доменного имени реальному IP-адресу, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).


TOP 10 доменных зон, в которых расположены вредоносные программы

TOP 10 domenov s vredonosnim PO

* Суммарное число зафиксированных веб-антивирусом атак с веб-ресурсов, размещенных в доменной зоне.


10 стран, где пользователи подвергаются наибольшему риску заражения через интернет

TOP 10 stran s naibolshem riskom zarajenii

При расчетах были исключены страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
* Процент уникальных пользователей, на компьютерах которых были заблокированы веб-угрозы, от всех уникальных пользователей продуктов ЛК в стране.


10 стран, пользователи которых подвергаются наименьшему риску заражения в интернете

TOP 10 stran s naimenshem riskom zarajenii

При расчетах были исключены страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
* Процент уникальных пользователей, на компьютерах которых были заблокированы веб-угрозы, от всех уникальных пользователей продуктов ЛК в стране.