Доктор Веб: Вирусные события декабря 2011 года

Hit WebВ начале декабря 2011 года специалистами компании "Доктор Веб" было выявлено:

  • 45 вредоносных приложений для мобильной платформы Google Android, распространявшихся на Android Market;
  • был обнаружен новый бэкдор для ОС Windows;
  • обнаружена очередная модификация трояна Trojan.Merin для Mac OS X.


Вредоносные программы на Android Market

В начале декабря аналитиками компании "Доктор Веб" было выявлено 33 вредоносных приложения на Android Market. Через некоторое время обнаружилось еще 12. Таким образом, общее число обнаруженных угроз достигло 45. Практически все обнаруженные вредоносные программы относятся к семейству Android.SmsSend, назначение которых — отправка без ведома пользователя платных СМС-сообщений на премиум-номера.

Ранее в Android Market были найдены трояны семейства Android.DreamExploid, Android.DDLight и некоторые другие. В Android Market трояны семейства Android.SmsSend отмечались и раньше, однако такое массовое их распространение зафиксировано впервые.

Android Market 1 Android Market 2

Большая часть приложений на Android Market маскировалась каталоги изображений, позволяющие изменять фоновый рисунок Рабочего стола Android, и они действительно обладали таким функционалом. Тематика предлагаемых картинок самая широкая: от компьютерных игр до фотографий природы. Встречались и оригинальные вредоносные приложения (программа для составления гороскопов, диет, программа-фонарик и другие), истинная цель которых - отправка с мобильного устройства жертвы платных СМС.

Принцип действия данных вредоносных приложений стандартен. После запуска программы пользователю обычно демонстрируется текст соглашения с некоторыми условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. Хитрость заключается в том, что последнее слово в данном тексте представляет собой гиперссылку на страницу с лицензионным соглашением и часто никак не выделяется на фоне окружающих слов. Для обнаружения подобной ссылки пользователю необходимо очень постараться. В приложениях других разработчиков, после запуска, на экране устройства появляется вступительный текст и две кнопки -  подтверждение согласия с условиями лицензии, и вторая, при нажатии на которую должен открываться тест соглашения. Однако, открываемое соглашение располагается на стороннем веб-сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может. После получения подтверждения приложение немедленно пытается отправлять СМС-сообщения.

Все опасные приложения были удалены из каталога Android Market после предупреждения об обнаружении вредоносов.


Политический спамер для Android
В конце декабря появилось первое вредоносное приложение для Android, предназначенное для рассылки политического спама на территории ближнего востока.

Вредоносная программа Android.Arspam.1 встроена в легитимное приложение AlSalah, предназначенное для мусульман и реализующее функции компаса, который с помощью GPS-координат абонента определяет направление на Мекку и расстояние до нее. Еще приложение демонстрирует текущую дату по мусульманскому календарю и способно высчитывать время пяти ежедневных молитв. Предлагаемая на официальном сайте Android Market версия данной программы не несет какого-либо деструктивного функционала, а вот аналогичное приложение, распространяемое на арабоязычных форумах, содержит в себе трояна. Иными словами, злоумышленники воспользовались программой AlSalah в своих интересах, добавив в нее вредоносную нагрузку.

Arspam1.1Arspam2.1

Запустив на инфицированном устройстве специальную службу, троян собирает перечень контактов, сохраненных в адресной книге мобильного устройства, и рассылает каждому из них одну из ссылок на интернет-форумы, посвященные политическим событиям на Ближнем Востоке, в частности, революции в Тунисе. Список рассылаемых адресов хранится непосредственно в теле трояна. Кроме того, если работающая в устройстве сим-карта зарегистрирована в Бахрейне, то троян скачивает с удаленного сервера PDF-документ, содержащий разработанный Независимой комиссией Бахрейна (Bahrain Independent Commission) отчет о нарушении прав человека в этой стране.

Поскольку Android.Arspam.1 уже сейчас содержит функционал, позволяющий загружать файлы с удаленных узлов, в дальнейшем можно ожидать появления новых, более совершенных его модификаций, способных получать от управляющих центров конфигурационные файлы или списки ссылок для последующей отправки получателям. Теоретически также возможно объединение работающих под управлением Android спам-ботов в ботнеты.


Взломанные сайты угрожают мобильным платформам
В декабре 2011 года специалистами компании было выявлено более 100 русскоязычных площадок, подвергшихся взлому с целью осуществления атаки на пользователей мобильных устройств. Многочисленные владельцы смартфонов и планшетов, работающих под управлением ОС Android и других системных платформ с поддержкой Java, стали замечать, что они лишились возможности посетить свои любимые сайты. При открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального веб-сайта Opera Mini и предлагающий загрузить обновление браузера. Однако, вместо обновления, пользователь получал подарок в виде трояна семейства Java.SMSSend или Android.SmsSend, скрывающихся в виде файлов .jar, либо .apk.

Center obnovleniya

Принцип действия схемы прост. Эксплуатируя уязвимости установленных на различных сайтах серверных приложений, злоумышленники получают доступ к ресурсу и подменяют хранящийся на сервере файл .htaccess. В результате таких изменений при каждом обращении к взломанному сайту сервер проверяет user-agent пользователя. В том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian OS и Android), происходит переадресация пользователя на принадлежащую злоумышленникам веб-страницу.

Поскольку злоумышленники используют одни и те же уязвимости для организации несанкционированного доступа к различным ресурсам и действуют по стандартной схеме, можно предположить, что взлом осуществляется автоматически с использованием специализированного ПО. По оценкам специалистов "Доктор Веб", в Рунете одновременно работает порядка 100 взломанных злоумышленниками площадок, при этом оперативное устранение следов заражения на некоторых из них компенсируется новыми взломами. Администрации многих интернет-ресурсов сообщают о многократных случаях взлома. Несмотря на то, что владельцам сайта удается быстро удалить вредоносные объекты, через некоторое время хакеры вновь берут ресурс под свой контроль. Можно предположить, что взломщики кооперируются с владельцами партнерских программ, распространяющих Android.SmsSend под видом поддельных обновлений для Opera Mini. В этом случае действуют две независимые группы злоумышленников, одна из которых специализируется на взломе сайтов, а вторая — на "раздаче" вредоносного ПО.


Новый бэкдор для Windows
В первой половине декабря была обнаружена вредоносная программа BackDoor.Pads, написанная на языке ассемблер и представляющая собой модуль, реализованный в виде нескольких компонентов.

shell BackDoor.Pads

BackDoor.Pads собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Если трояну удается получить права на доступ, он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем. Этот модуль внесен в вирусные базы Dr.Web под именем Trojan.PWS.Pads.

Опасность данной вредоносной программы в том, что она способна предоставлять злоумышленникам доступ к ресурсам инфицированной машины и выполнять различные команды:

  • команда поиска файлов;
  • создания/удаления папок;
  • копирования, перемещения и удаления файлов;
  • перезагрузки Windows;
  • получения списка запущенных процессов;
  • загрузки файлов и их запуска от имени определенного пользователя.


Кроме того, BackDoor.Pads может выполнять функции прокси-сервера.


Троян для Mac OS X
Также в первой половине декабря на торрент-трекере The Pirate Bay были обнаружены новые архивы, содержащие троянскую программу Trojan.Merin.3, предназначенную для майнинга электронной валюты Bitcoin и кражи паролей у пользователей Mac OS X. Вредоносная программа распространяется под видом приложений WritersCafe, Twitterrific и EvoCam.

Prilojenie TrojanMerin3

После закачки инфицированного приложения из Интернета и его выполнения, Trojan.Merin.3 запускает специальный скрипт, активизирующий загрузчик трояна. Загрузчик помещается в одну из подпапок домашней директории Library под именем eCamd или twitterd, после чего скачивает с FTP-сервера злоумышленников архив bin.bop.

Внутри архива содержится модуль биткойн-клиента для Mac OS X под названием DiabloMiner и сама троянская программа. По сравнению с предыдущими реализациями Trojan.Merin, в данной версии трояна используются новые биткойн-адреса. Основной троянский модуль Trojan.Merin.3 способен красть на инфицированном компьютере:

  • пользовательские пароли;
  • данные электронных кошельков;
  • логи командного интерпретатора bash (.bash_history);
  • отсылать все эти данные на удаленный сервер, принадлежащий злоумышленникам.


Прочие тенденции уходящего года
В течение 2011 года значительно возросло число случаев использования сетевыми мошенниками кириллических доменов в российской зоне .рф. Подобные ресурсы добавлены в базы Dr.Web, а их число уже превышает 110. Привлекает злоумышленников кирилическая доменная зона относительной легкостью при подборе свободного доменного имени. А сдерживающим фактором, скорее всего, для них служит относительная дороговизна регистрации и продления домена в зоне .рф по сравнению с другими доменными зонами.

В 2011 году значительно возросло общее количество угроз для мобильной платформы Android. На середину декабря 2011 года в вирусных базах Dr.Web числится без малого 600 вредоносных программ для Android, в то время как на начало года их насчитывалось всего 30. Т.е., за последние 12 месяцев общее число угроз для мобильной платформы Google Android увеличилось в 20 раз.

Согласно годовой статистики - за 12 месяцев почти вдвое увеличилось число программ-вымогателей семейства Trojan.Winlock, а количество блокировщиков загрузочной записи, относящихся к семейству Trojan.MBRLock, возросло с начала года в 52 раза.


Вредоносные файлы, обнаруженные в почтовом трафике в декабре

Vredonosnie faili v pochte v dekabre
Всего проверено: 180,905,399
Инфицировано: 5,603,704 (3.10%)


Вредоносные файлы, обнаруженные в декабре на компьютерах пользователей

Vredonosnie faili v dekabre na PK
Всего проверено: 140,431,895,720
Инфицировано: 170,366,888 (0.12%)


Обновлено (13.01.2012 13:49)