Разделы

Интернет Безопасность Пользователю Маркет

Май 2013: новые трояны-шпионы для Android, атака пользователей Facebook, Google Plus и Twitter

Компания «Доктор Веб» опубликовала обзор вирусной активности за май 2013 г. Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, абсолютным лидером по числу заражений в мае стал троян Trojan.Hosts.6815 (2,53% от общего количества инфицированных компьютеров), на втором месте расположился троян Trojan.Mods.1, подменяющий содержимое просматриваемых пользователем веб-страниц. Всего в течение месяца лечащей утилитой Dr.Web CureIt! было обнаружено 15 830 экземпляров этого трояна, что составляет 1,95% от общего числа выявленных угроз.

По-прежнему велико число случаев обнаружения вредоносных программ семейства Trojan.Mayachok в оперативной памяти компьютеров пользователей, также на инфицированных ПК достаточно часто встречается бэкдор BackDoor.IRC.NgrBot.42 и различные модификации троянов семейства Trojan.Redirect, рассказали CNews в компании.

Двадцатка наиболее распространенных майских угроз, по данным лечащей утилиты Dr.Web CureIt!, приведена ниже:

  1. Trojan.Hosts.6815 2,55%
  2. Trojan.Mods.1 2,01%
  3. Trojan.MayachokMEM.7 1,50%
  4. BackDoor.IRC.NgrBot.42 1,41 %
  5. Trojan.Redirect.147 1,36%
  6. Trojan.Redirect.140 1,35%
  7. Trojan.Hosts.6838 1,22%
  8. Trojan.Mods.2 1,01%
  9. Trojan.Packed.24079 0,97%
  10. Trojan.DownLoader8.48947 0,85%
  11. Trojan.Zekos 0,85%
  12. Trojan.PWS.Stealer.1932 0,74%
  13. Win32.HLLP.Neshta 0,71%
  14. BackDoor.Gurl.2 0,69%
  15. Trojan.Hosts.6708 0,59%
  16. Trojan.SMSSend.2363 0,51%
  17. Trojan.Packed.142 0,49%
  18. Trojan.Packed.142 0,44%
  19. Trojan.Packed.142 0,42%
  20. Trojan.DownLoader9.19157 0,41%

Специалисты «Доктор Веб» в настоящее время взяли под контроль две подсети ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, каждая из которых имеет собственный управляющий сервер. В мае 2013 г. общее количество активно действующих ботов в первой бот-сети Win32.Rmnet.12 составило 619 346 единиц, во второй — 459 524, при этом за последние 10 суток к первому ботнету присоединилось еще 116 617 инфицированных машин, а ко второму — 143 554. Среднее число ежесуточно регистрирующихся в каждой из подсетей ботов составляет 14 и 11 тыс. инфицированных машин соответственно.

В то же самое время, прирост бот-сети Win32.Rmnet.16 идет чрезвычайно медленными темпами: всего в период с 19 по 29 мая к этому ботнету присоединился лишь 181 инфицированный компьютер, а общее число действующих ботов в сети составило 5 220. Таким образом, можно сделать вывод, что файловый вирус Win32.Rmnet.16 сегодня не представляет серьезной эпидемиологической опасности.

В начале апреля 2013 г. «Доктор Веб» сообщила о перехвате контроля над одним из управляющих серверов ботнета, созданного с использованием трояна BackDoor.Bulknet.739. Данная вредоносная программа предназначена для массовой рассылки спама и имеет наибольшее распространение на территории Италии, Франции, Турции, США, Мексики и Таиланда. Если на начало апреля к данному управляющему серверу обращалось всего порядка 7 тыс. инфицированных компьютеров, то на конец мая количество активно действующих ботов выросло до значения 17 242.

В конце мая специалистам «Доктор Веб» удалось установить контроль еще над одним управляющим сервером бот-сети Rmnet. В этой подсети был выявлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй позволяет отключать на зараженной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG. Для этого компонент эмулирует действия пользователя, а именно нажатия мышью на соответствующие экранные формы. На 29 мая к данному управляющему серверу подключилось уже 20 235 активно действующих ботов, а в период с 19 по 29 мая на контролируемом специалистами «Доктор Веб» управляющем сервере зарегистрировалось 8 447 вновь инфицированных машин.

Продолжает действовать и ботнет BackDoor.Dande — этот троян заражает только компьютеры аптек и фармацевтических компаний, на которых установлено специальное ПО для заказа медикаментов: информацию из этих приложений и ворует вышеупомянутый троян. В настоящий момент специалистам «Доктор Веб» известно о двух подсетях BackDoor.Dande: в одной действует 331 зараженная машина, в другой насчитывается 1 291 инфицированный компьютер.

Несмотря на то, что с момента обнаружения ботнета BackDoor.Flashback.39, состоящего из Apple-совместимых компьютеров, прошло уже больше года, данная бот-сеть продолжает действовать и сегодня: на текущий момент в ней насчитывается 65 987 инфицированных «маков».

В феврале 2013 г. «Доктор Веб» обнаружила трояна Linux.Sshdkit, атакующего работающие под управлением ОС Linux серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троян встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.

Специалистам «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием метода sinkhole — таким образом было получено практическое подтверждение того, что троян транслирует на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 г. троян передал на управляющий узел злоумышленников данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

В середине мая было зафиксировано массовое распространение вредоносной программы Trojan.Facebook.311, представляющей собой написанные на языке JavaScript надстройки для браузеров Google Chrome и Mozilla Firefox. Распространялись эти вредоносные плагины с использованием специально созданной злоумышленниками веб-страницы, с которой жертве предлагалось загрузить приложение-установщик под видом «обновления безопасности для просмотра видео».

MES по-русски: чем заменить зарубежные системы управления производственными процессами
Цифровизация

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить конфигурационный файл, содержащий соответствующий набор команд от злоумышленников. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в соцсети, и начинают выполнять от ее имени различные действия, например, публиковать статусы, ставить «лайки», размещать сообщения на стене, отправлять личные сообщения и т.д. При этом вредоносная программа обладает функционалом для работы не только в Facebook, но и для взаимодействия с соцсетями Twitter и Google Plus — в частности, она наделена функцией рассылки спама.

23 мая сообщалось о массовой спам-рассылке, которой подверглись преимущественно российские пользователи Skype. Злоумышленники распространяли вредоносные программы при помощи сообщений в чате Skype. Эти сообщения, содержащие вредоносную ссылку, поступали от пользователей, добавленных в контакт-лист жертвы. Переход по ссылке приводил к загрузке с файлообменных сервисов 4shared.com или dropbox.com архива с вредоносной программой Trojan.Gapz.17, которая, в свою очередь, закачивала на инфицированный компьютер Trojan.SkypeSpam.11. Этот троян рассылает сообщения по контакт-листам месседжеров Skype, Windows Messenger, QIP, Google Talk и Digsby. Сигнатура трояна Trojan.SkypeSpam.11 была добавлена в вирусные базы Dr.Web еще 22 мая.

Для мобильной платформы Android май оказался весьма неспокойным периодом: на протяжении всего месяца специалистами «Доктор Веб» фиксировалось появление сразу нескольких вредоносных приложений-шпионов, направленных на кражу тех или иных конфиденциальных сведений пользователей Android-устройств.

Так, вредоносная программа Android.Pincer.2.origin, обнаруженная в середине месяца, является довольно опасным трояном, предназначенным для перехвата входящих SMS-сообщений и переадресации их на удаленный сервер. Авторами Android.Pincer.2.origin предусмотрена возможность отслеживать сообщения, поступающие с определенного номера, для чего трояну посредством SMS поступает соответствующая команда.

В мае также был обнаружен очередной троян-шпион, крадущий конфиденциальную информацию у японских пользователей Android. Аналогично предшественникам, новая вредоносная программа, добавленная в вирусную базу как Android.AccSteal.1.origin, распространялась под видом приложения из категории «для взрослых» и после запуска загружала на удаленный сервер следующую информацию: имя учетной записи Google Mail, IMEI-идентификатор и название модели мобильного устройства, а также номер сотового телефона пользователя.

Примечательно, что в отличие от других подобных вредоносных программ, троян действительно выполняет ожидаемую от него функцию, а именно позволяет просматривать видеоролики эротического содержания, однако делает это исключительно при наличии интернет-соединения, о чем сообщает в соответствующем диалоговом окне.

Киберпреступники не обошли стороной и китайских пользователей: троянская программа-шпион Android.Roids.1.origin, распространявшаяся на одном из китайских форумов под видом полезной системной утилиты, способна передавать на принадлежащий злоумышленникам удаленный сервер весьма внушительный объем конфиденциальных сведений. Среди них — список установленных приложений, информация об SMS-переписке и совершенных звонках, информация о контактах, находящихся в телефонной книге, список файлов, расположенных на карте памяти, и некоторая другая информация. Кроме того, троян способен записывать телефонные разговоры и отслеживать GPS-координаты пользователя мобильного устройства.

По версии «Доктор Веб», наиболее часто в почтовом трафике в мае обнаруживались следующие вредоносные файлы:

  1. Trojan.PWS.Panda.3734 1,49%
  2. Trojan.PWS.Panda.4379 1,20%
  3. Trojan.Oficla.zip 0,90%
  4. Trojan.Packed.196 0,80%
  5. Trojan.Inject2.23 0,75%
  6. Win32.HLLM.MyDoom.54464 0,63%
  7. Trojan.DownLoader9.17531 0,58%
  8. Trojan.PWS.Stealer.2877 0,54%
  9. Trojan.PWS.Panda.655 0,54%
  10. Trojan.PWS.Stealer.946 0,53%
  11. Trojan.Packed.666 0,53%
  12. Exploit.CVE2012-0158.28 0,49%
  13. Trojan.PWS.Stealer.2833 0,46%
  14. Win32.HLLM.MyDoom.33808 0,44%
  15. Trojan.PWS.Stealer.2824 0,39%
  16. Trojan.PWS.Stealer.2861 0,39%
  17. Trojan.PWS.Stealer.2864 0,37%
  18. Exploit.CVE2012-0158.27 0,34%
  19. BackDoor.IRC.NgrBot.42 0,34%
  20. VBS.Rmnet.2 0,32%

В свою очередь, на компьютерах пользователей в мае наиболее часто фиксировались следующие вредоносные файлы:

  1. SCRIPT.Virus 0,71%
  2. Adware.Downware.915 0,71%
  3. Tool.Unwanted.JS.SMSFraud.26 0,50%
  4. Win32.HLLW.MyBot 0,48%
  5. Adware.InstallCore.115 0,47%
  6. Adware.Downware.179 0,45%
  7. Adware.InstallCore.114 0,45%
  8. Adware.Downware.1157 0,44%
  9. Adware.InstallCore.101 0,36%
  10. Tool.Unwanted.JS.SMSFraud.29 0,33%
  11. Adware.Webalta.11 0,33%
  12. Adware.Downware.1132 0,32%
  13. Tool.Unwanted.JS.SMSFraud.10 0,31%
  14. Trojan.Hosts.6708 0,30%
  15. BackDoor.IRC.NgrBot.42 0,28%
  16. Trojan.DownLoader9.19157 0,28%
  17. Tool.Skymonk.11 0,28%
  18. Trojan.Hosts.6838 0,28%
  19. Win32.HLLW.Shadow 0,27%
  20. Win32.HLLW.Autoruner.59834 0,26%

Татьяна Короткова