(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Обзор вирусной активности - май 2011

Источник: SecureList
Денис Масленников

В течение месяца на компьютерах пользователей продуктов "Лаборатории Касперского":

  • отражено 242 663 383 сетевых атак;
  • заблокировано 71 334 947 попыток заражения через Web;
  • обнаружено и обезврежено 213 713 174 вредоносных программ (попытки локального заражения);
  • отмечено 84287491 срабатываний эвристических вердиктов.

Поддельный антивирус для Mac OS X

По итогам 2010 года мы наблюдали общее уменьшение количества поддельных антивирусов: достигнув максимума своей активности в феврале-марте 2010 года (примерно 200 000 инцидентов в месяц), к концу 2010 года лжеантивирусы примерно в 4 раза сократили свое распространение. Такое развитие событий может показаться несколько странным, так как для киберпреступников данный вид мошеннического ПО стал по-настоящему золотой жилой. Лжеантивирусов действительно стало меньше, но злоумышленники, которые продолжили заниматься данным видом деятельности, сфокусировались на конкретных странах (США, Франция, Германия, Испания), а не на повсеместном распространении поддельных антивирусов.

Распределение детектов одного из семейств поддельных антивирусов по странам (май 2011)

В мае число попыток заражения поддельными антивирусами через Web составило 109218 инцидентов. Но уменьшение числа rogueware не означает, что этот вид программ перестал развиваться. В этом месяце пользователи Mac подверглись атакам различных поддельных антивирусов, например Best Mac Antivirus и MAC Defender. Первые атаки были зафиксированы 2 мая, когда интернет пестрил заголовками на тему смерти Усамы бен Ладена. В Google вместо поисковой выдачи на некоторые запросы, связанные с этим событием, пользователи могли увидеть в окне своего браузера следующее:

Несмотря на Windows-стиль поддельного сканера, при нажатии на кнопку "Remove all" пользователю предлагалось загрузить установочный MPKG-файл (MAC Defender в данном случае) для Mac OS X. Пользователя, запустившего инсталляционный пакет, просили ввести пароль от root для установки.

Установив мошенническое ПО, пользователь видел главное окно лжеантивируса MAC Defender следующего вида:

Не могу не отметить количество "сигнатур", которое находится в "антивирусной базе" MAC Defender: 184230! Это при том, что на сегодняшний день количество вредоносных программ для Mac исчисляется сотнями, но никак не десятками тысяч.

Обнаружив на компьютере пользователя несколько несуществующих вредоносных программ, MAC Defender попросит немалые деньги за их "устранение": от 59 до 80 долларов США в зависимости от подписки. Жертва, оплатившая использование пустышки, получит ключ для регистрации мошеннического продукта. После его ввода поддельный антивирус имитирует удаление несуществующих угроз, после чего пользователь видит окно с сообщением о том, что теперь система якобы чиста и защищена:

Киберпреступники периодически обращают свои взоры на Mac OS X, создавая и распространяя для нее разнообразное вредоносное ПО. И в большинстве случаев данные атаки один в один повторяют сценарии атак на пользователей Windows.

Вредоносные программы для Win64

Продолжающийся рост количества операционных систем, работающих под x64, не мог не сказаться и на росте вредоносных программ для этой платформы. Вирусописатели продолжают портировать зловредов под x64. Еще в 2010 году были зафиксированы версии популярного руткита TDSS под Win64. В мае этого года "подтянулись" бразильские киберпреступники, а также создатели популярного троянца ZeroAccess.

Бразильские банкеры

Бразильская киберпреступность на протяжении нескольких лет специализируется в основном на банковских троянцах. В мае появился первый "банковский" руткит для 64-битных ОС, который детектируется нами как Rootkit.Win64.Banker.

Целью злоумышленников были логины и пароли пользователей к системам онлайн-банкинга. В ходе атаки злоумышленники пытались перенаправить пользователей на фишинговые странички, имитирующие страницы веб-сайтов некоторых банков. Для этого они модифицировали HOST-файл - с помощью руткита, заражавшего систему в ходе drive-by-download атаки.

Взломав популярный бразильский веб-сайт, злоумышленники разместили на нем вредоносное Java-приложение, которое, помимо эксплойта, содержало два SYS-файла с одинаковым функционалом - для Win32 и для Win64. Используя поддельный сертификат, злоумышленники с помощью стандартной утилиты bcdedit.exe запускали драйверы без цифровой подписи. Причем с помощью некоторых параметров утилиты bcdedit.exe ("DISABLE_INTEGRITY_CHECKS", "TESTSIGNING ON" и "type= kernel start= boot error= normal") злоумышленники копировали их в стандартную папку с драйверами и одновременно регистрировали для последующего старта вместе с системой.

Зловредные драйверы после запуска модифицировали HOST-файл, добавляя туда перенаправления на фишинговые сайты (пользователь попадал на них при попытке зайти на страничку онлайн-банкинга).

Троянец ZeroAccess

Троянец ZeroAccess ранее был известен только в 32-битной редакции. Теперь мы имеем дело и с 64-битной версией. Атака начинается с загрузки на пользовательский компьютер с помощью drive-by-download даунлоадера ZeroAccess, который, определив разрядность системы, скачивает нужную версию бэкдора.

Если на компьютере стоит 64-рязрядная ОС, то загрузчик скачивает установщик бэкдора для Win64.

Код, определяющий разрядность ОС

Сам бэкдор, в отличие от 32-битного "собрата", не содержит руткита. Автозапуск осуществляется с помощью ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems. Зловред лежит в папке system32 с именем consrv.dll.

Дополнительный payload (например, подмена поисковых выдач, clicker), закачиваемый вредоносной программой на машину, также предназначен для x64-платформы.

Necurs

Еще один инцидент одновременно и интересен и несколько странен.

Троянец-загрузчик Trojan-Downloader.Win32.Necurs.a, распространяющийся при помощи эксплойт-пака BlackHole, содержит в себе два драйвера-руткита (один - для x32, второй - для x64) с одинаковым функционалом. Установка вредоносных программ происходит по тому же механизму, который описан выше в главе "Бразильские банкеры". После установки в операционную систему, руткит блокирует запуск драйверов, относящихся к антируткитовым компонентам и продуктам антивирусных программ.

Любопытно вот что: троянец-загрузчик Necurs пытается загрузить на машину жертвы поддельные антивирусные программы для Win32, однако по одной из ссылок располагается… Hoax.OSX.Defma.f - поддельный антивирус для Mac OSX, о котором мы писали выше. И что еще более интересно, зловред пытается запустить его под Windows!

Появление совершенно новых вредоносных программ под x64 обусловлено тем, что все больше и больше пользователей отдают предпочтение 64-битным операционным системам. Мы уверены, что в будущем количество вредоносного кода под x64 будет только расти.

Sony - продолжение взломов

Последствия взлома Sony Playstation Network и Sony Online Entertainment в конце апреля и начале мая, в результате которого произошла утечка персональных данных десятков миллионов пользователей этих сервисов, оказались не единственной проблемой, с которой корпорация столкнулась за последние два месяца.

После объявленного 17 мая возобновления работы PSN пользователям было предложено изменить пароли к своим учетным записям. Для изменения пароля пользователю нужно было ввести адрес электронной почты и дату рождения. Другими словами, ввести данные, которые были украдены в ходе взлома. Располагая украденными данными, злоумышленники могли воспользоваться ими вместо пользователей. Корпорация заявила, что она осознаёт возможные проблемы, но новых инцидентов в ходе восстановления аккаунтов пользователей отмечено не было.

20 мая был взломан таиландский сайт Sony, в результате чего на hdworld.sony.co.th была размещена фишинговая страница, нацеленная на итальянских пользователей кредитных карт.

Однако кошмары для компании не закончились. 22 мая был взломан сайт SonyMusic.gr, в результате чего информация о зарегистрированных пользователях (ник пользователя, его настоящее имя, адрес электронной почты) оказалась в публичном доступе.

Прошло два дня, и 24 мая было обнаружено несколько уязвимостей на сайте sony.co.jp. Однако на этот раз база данных, которая была украдена, не содержала персональных данных пользователей.

В наших прогнозах на 2011 год мы говорили, что целью многих атак станет кража любой возможной информации. К сожалению, череда взломов Sony стала еще одним подтверждением наших прогнозов. Сегодня вопросы безопасности персональной информации крайне актуальны. Такие сервисы как PSN или iTunes пытаются собрать как можно больше персональной информации. К несчастью, законодательство, затрагивающее эти данные, не всегда четкое, и пользователи, помимо прекращения использования подобных сервисов, могут мало что сделать.

Безусловно, атаки на Sony были хорошо спланированы и подготовлены. Не исключено, что в будущем подобные атаки могут повториться на аналогичные PSN сервисы. Поэтому их пользователям стоит быть настороже, равно как и компаниям, предоставляющим такие услуги.

TOP 20 вредоносных программ в интернете

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 AdWare.Win32.HotBar.dh   783931  
2   0 Trojan.JS.Popupper.aw   739998  
3   4 AdWare.Win32.FunWeb.kd   472777  
4   New Trojan-Downloader.JS.IstBar.cx   364197  
5   1 AdWare.Win32.FunWeb.jp   243612  
6   New Trojan-Downloader.JS.Agent.fxq   233868  
7   New Exploit.HTML.CVE-2010-4452.h   182151  
8   New Trojan.JS.Agent.bun   180370  
9   New Trojan-Downloader.JS.Iframe.cew   172075  
10   New Exploit.JS.CVE-2010-1885.k   150738  
11   4 Trojan.HTML.Iframe.dl   135098  
12   New Trojan-Downloader.HTML.JScript.l   127424  
13   New Trojan-Downloader.SWF.Agent.ec   123600  
14   New Exploit.Java.CVE-2010-4452.a   118110  
15   -3 Trojan.JS.Agent.uo   112662  
16   New Trojan-Downloader.JS.Agent.fww   81024  
17   -4 Trojan-Downloader.JS.Iframe.cdh   80158  
18   New Trojan-Downloader.JS.Agent.fyk   73666  
19   New Hoax.Win32.Screensaver.b   72975  
20   New Hoax.Win32.ArchSMS.huey   71125  

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ir   465397  
2   1 Virus.Win32.Sality.aa   200381  
3   -1 Net-Worm.Win32.Kido.ih   183936  
4   New AdWare.Win32.FunWeb.kd   179700  
5   1 Trojan.Win32.Starter.yy   158218  
6   -1 Virus.Win32.Sality.bh   147599  
7   2 Trojan-Downloader.Win32.Geral.cnh   93831  
8   8 Virus.Win32.Sality.ag   84662  
9   1 HackTool.Win32.Kiser.il   83925  
10   New Trojan-Downloader.Win32.FlyStudio.kx   70375  
11   New Exploit.Win32.CVE-2010-2568.d   67924  
12   8 Virus.Win32.Nimnul.a   67094  
13   -5 HackTool.Win32.Kiser.zv   64813  
14   -2 Worm.Win32.FlyStudio.cu   64593  
15   -8 Hoax.Win32.ArchSMS.pxm   64074  
16   2 Worm.Win32.Mabezat.b   62011  
17   -6 Hoax.Win32.Screensaver.b   60218  
18   -4 Trojan.JS.Agent.bhr   59722  
19   -2 Trojan-Downloader.Win32.VB.eql   58577  
20   New Trojan.Win32.AutoRun.bhs   55422  


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 08.06.2011 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Kaspersky Internet Security для всех устройств. 3-Device 1 year Base Download Pack
Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 10-14 Node 1 year Base License
Kaspersky Internet Security для всех устройств. 2-Device 1 year Base Download Pack
SAP CRYSTAL Reports 2013 WIN INTL NUL
ABBYY Lingvo x6 Европейская Домашняя версия, электронный ключ
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Вопросы и ответы по MS SQL Server
Один день системного администратора
Работа в Windows и новости компании Microsoft
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Модульный метод создания сайтов (5)
Модульный метод создания (компоновки) сайтов на основе наборов типовых отлаженных функциональных...
 
Excell не печатает :-( (2)
Почему то Excell не печатает страницы в альбомной ориентаций, то есть страница в аольбомной...
 
Как извлечь рисунки из файла Word (41)
Вообще-то есть еще способ - сделать в Word-е Copy рисунка, открыть Microsoft Photo Editor и там:...
 
Надстройка "Поиск решения" MS Excel (6)
Помогите решить задачу с помощью " поиск решения" мука яйца ...
 
Corel. Сохранение файла в старом формате. (27)
у меня есть горящий вопрос по Корелу и никто мне не может дать на него ответ. Я работаю в...
 
 
 



    
rambler's top100 Rambler's Top100