Февраль 2013 года запомнится специалистам по информационной безопасности ростом количества заражений пользовательских компьютеров троянскими программами семейства Trojan.Hosts, а также взломов веб-сайтов с целью распространения вредоносного ПО. Также в феврале был обнаружен троянец, атакующий серверы под управлением ОС Linux, активизировались и сетевые мошенники, выискивающие своих жертв на сайтах знакомств.
Вирусная обстановка
Согласно статистике, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой в последний месяц зимы как и прежде стали троянцы семейства Trojan.Mayachok, при этом чаще всего на компьютерах пользователей обнаруживалась модификация Trojan.Mayachok.18566. Не менее часто лечащая утилита фиксировала наличие платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend, при этом абсолютным лидером среди них является Trojan.SMSSend.2363.
Такие архивы злоумышленниками используются по стандартной модели - они обычно маскируются под программу установки какого-либо приложения и требуют после своего запуска отправить платное СМС-сообщение или принуждают пользователя подписаться на ту или иную "услугу". Архив, как правило, не содержит заявленного ПО и, кроме того, нередко содействует распространению других, более опасных вредоносных программ. Также достаточно велико количество заражений троянскими программами BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 и Win32.HLLP.Neshta. Сведения об угрозах, обнаруженных с использованием лечащей утилиты Dr.Web CureIt! в феврале, представлены в следующей таблице:
|
Угроза |
% |
|---|---|
| Trojan.MayachokMEM.4 | 2,00 |
| Trojan.SMSSend.2363 | 1,38 |
| Trojan.Mayachok.18566 | 1,20 |
| BackDoor.IRC.NgrBot.42 | 1,14 |
| Trojan.Click2.47013 | 0,79 |
| Win32.HLLP.Neshta | 0,78 |
| Trojan.StartPage.48148 | 0,77 |
| Trojan.Fraudster.245 | 0,73 |
| Trojan.Hosts.5268 | 0,70 |
| Win32.HLLW.Phorpiex.54 | 0,69 |
| Win32.Sector.22 | 0,65 |
| Trojan.Mayachok.18579 | 0,61 |
| Trojan.Hosts.6814 | 0,59 |
| Trojan.Hosts.6815 | 0,59 |
| Trojan.Hosts.6838 | 0,55 |
| BackDoor.Butirat.245 | 0,54 |
| Trojan.Hosts.6809 | 0,52 |
| Win32.HLLW.Gavir.ini | 0,51 |
| Exploit.CVE2012-1723.13 | 0,51 |
| Trojan.Mayachok.18397 | 0,47 |
Угроза месяца: Linux.Sshdkit
Наиболее интересной угрозой, обнаруженной в феврале специалистами компании "Доктор Веб", можно назвать троянскую программу Linux.Sshdkit, заражающую серверы под управлением операционной системы Linux. Троянец представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер. IP-адрес управляющего центра "зашит" в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный механизм выбора имени командного сервера.
Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.
Специалистам компании "Доктор Веб" удалось перехватить несколько управляющих серверов Linux.Sshdkit. На начало марта к перехваченным управляющим центрам обратилось 476 инфицированных серверов, однако многие из них принадлежат хостинг-провайдерам и поддерживают работу значительного числа веб-сайтов, к которым злоумышленники получили доступ. Больше всего инфицированных серверов, а именно 132, находится на территории США, второе место с показателем 37 случаев заражения заняла Украина, на третьем месте расположились Нидерланды. Общие статистические данные, полученные специалистами "Доктор Веб" с использованием перехваченных управляющих центров Linux.Sshdkit, приведены в следующей таблице:
|
Страна |
Кол-во инфицированных серверов |
% |
|---|---|---|
| США | 132 | 27,7 |
| Украина | 37 | 7,8 |
| Нидерланды | 29 | 6,1 |
| Таиланд | 23 | 4,8 |
| Турция | 22 | 4,6 |
| Германия | 19 | 4,0 |
| Индия | 19 | 4,0 |
| Великобритания | 17 | 3,6 |
| Италия | 17 | 3,6 |
| Франция | 15 | 3,2 |
| Индонезия | 12 | 2,5 |
| Австралия | 10 | 2,1 |
| Россия | 10 | 2,1 |
| Канада | 10 | 2,1 |
| Аргентина | 10 | 2,1 |
| Бразилия | 10 | 2,1 |
| Южная Корея | 7 | 1,5 |
| Вьетнам | 7 | 1,5 |
| Чили | 6 | 1,3 |
| Испания | 6 | 1,3 |
| Китай | 5 | 1,1 |
| Румыния | 5 | 1,1 |
| Мексика | 5 | 1,1 |
| Южная Африка | 4 | 0,8 |
| Другие страны | 39 | 7,9 |
Распространение Trojan.Hosts и взломы веб-сайтов
В конце февраля - начале марта 2013 года был зафиксирован очередной всплеск атак на веб-сайты с целью распространения вредоносного ПО. Используя украденные данные для доступа к ресурсам по протоколу FTP, злоумышленники подменяли файл .htaccess и внедряли собственный скрипт-обработчик. В результате посетители взломанного веб-сайта подвергались опасности заражения различными троянскими программами. В частности, с использованием этого метода были зафиксированы факты распространения троянцев семейства Trojan.Hosts - данные вредоносные программы модифицируют один из файлов (%systemroot%/system32/drivers/hosts), в результате чего браузер автоматически перенаправляет жертву на специально созданную злоумышленниками веб-страницу. Наглядным примером активной деятельности злоумышленников являются сайты, размещающие решенные домашние задания для учащихся средних общеобразовательных учреждений. Попав на такую страницу, пользователь перенаправлялся на зараженный интернет-ресурс, с которого на его компьютер загружался троянец Trojan.Hosts и другие опасные приложения.
Угрозы для Android
Февраль 2013 года оказался весьма неспокойным с точки зрения угроз для мобильной платформы Android. Так, в начале февраля вирусные базы Dr.Web пополнились записью для троянца Android.Claco.1.origin, который распространялся в каталоге Google Play под видом утилиты для оптимизации скорости работы операционной системы. Запускаясь на мобильном устройстве, этот троянец мог выполнить отправку СМС-сообщений по команде злоумышленников, открыть произвольный URL в браузере, а также загрузить персональную информацию пользователя (такую как содержимое карты памяти, СМС-сообщения, фотографии и контакты из телефонной книги) на удаленный сервер. Однако главной особенностью Android.Claco.1.origin являлось то, что с его помощью могли быть инфицированы компьютеры под управлением Windows: подключаясь к удаленному серверу, троянец мог загружать с него другие вредоносные файлы и помещать их на карту памяти мобильного устройства. Среди этих объектов присутствовал исполняемый файл и файл autorun.inf, который осуществлял автоматический запуск соответствующей ему вредоносной программы при подключении инфицированной карты памяти к Windows-компьютеру. Стоит отметить, что, начиная с Windows Vista, функция автозапуска имеет статус отключенной по умолчанию, поэтому для многих пользователей Windows угроза со стороны Android.Claco.1.origin была незначительной.
Другой заметной вредоносной программой в феврале стал троянец Android.Damon.1.origin, который распространялся злоумышленниками на популярных китайских веб-сайтах в модифицированных ими приложениях. Android.Damon.1.origin способен выполнять отправку СМС-сообщений в соответствии с принимаемой командой от удаленного сервера, совершать звонки, открывать произвольный URL, загружать на сервер персональную информацию владельца мобильного устройства (например, содержимое телефонной книги, историю звонков, координаты пользователя), а также выполнять некоторые другие функции.
Кроме того, в течение месяца в вирусные базы Dr.Web вносились записи для новых представителей семейства СМС-троянцев Android.SmsSend.
Другие угрозы февраля
В конце долгой зимы заметно активизировались сетевые мошенники, в частности, промышляющие в поисках жертв на сайтах знакомств. Как правило, мошенники представляются эмигрантами либо иностранцами с русскими корнями - именно этим они объясняют хороший уровень владения русским языком. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей "избраннице" какой-либо дорогой подарок: электронный планшет, смартфон или ювелирное украшение. Злоумышленники завлекают потенциальных жертв на поддельный сайт курьерской службы, где им предлагается оплатить доставку посылки. Естественно, в случае оплаты "курьерская служба", как и сам щедрый поклонник, исчезают в неизвестном направлении.
В начале февраля были зафиксированы случаи распространения вредоносных программ с использованием встроенного приложения социальной сети Facebook.
Наконец, в середине месяца специалистами компании "Доктор Веб" был обнаружен забавный троянец-винлок.
Вредоносные файлы, обнаруженные в почтовом трафике в феврале
|
01.02.2013 00:00 - 28.02.2013 11:00 | ||
| 1 | BackDoor.Andromeda.22 | 1.18% |
| 2 | JS.Redirector.185 | 1.12% |
| 3 | Win32.HLLM.MyDoom.54464 | 0.53% |
| 4 | Win32.HLLM.MyDoom.33808 | 0.39% |
| 5 | Trojan.Necurs.97 | 0.39% |
| 6 | Trojan.PWS.Panda.786 | 0.39% |
| 7 | Trojan.DownLoad3.20933 | 0.39% |
| 8 | Trojan.PWS.Stealer.1932 | 0.39% |
| 9 | Trojan.Oficla.zip | 0.37% |
| 10 | Tool.PassView.525 | 0.33% |
| 11 | Trojan.Packed.2820 | 0.31% |
| 12 | SCRIPT.Virus | 0.29% |
| 13 | Trojan.PWS.Panda.655 | 0.29% |
| 14 | BackDoor.Tordev.8 | 0.29% |
| 15 | Win32.HLLM.Beagle | 0.27% |
| 16 | Trojan.Packed.196 | 0.27% |
| 17 | Trojan.PWS.Stealer.2155 | 0.26% |
| 18 | BackDoor.Andromeda.150 | 0.26% |
| 19 | Trojan.KeyLogger.16674 | 0.24% |
| 20 | Win32.HLLM.Graz | 0.24% |
Вредоносные файлы, обнаруженные в январе на компьютерах пользователей
| 01.02.2013 00:00 - 28.02.2013 11:00 | ||
| 1 | Trojan.Fraudster.245 | 0.77% |
| 2 | SCRIPT.Virus | 0.70% |
| 3 | Tool.Unwanted.JS.SMSFraud.26 | 0.63% |
| 4 | Adware.Downware.915 | 0.61% |
| 5 | JS.IFrame.387 | 0.52% |
| 6 | Adware.Downware.179 | 0.49% |
| 7 | Tool.Unwanted.JS.SMSFraud.10 | 0.42% |
| 8 | Trojan.Fraudster.394 | 0.36% |
| 9 | Adware.Webalta.11 | 0.36% |
| 10 | Tool.Skymonk.11 | 0.33% |
| 11 | Trojan.Fraudster.407 | 0.32% |
| 12 | Win32.HLLW.Shadow | 0.31% |
| 13 | Tool.Skymonk.12 | 0.30% |
| 14 | JS.Redirector.175 | 0.30% |
| 15 | Adware.Downware.910 | 0.29% |
| 16 | Adware.InstallCore.53 | 0.29% |
| 17 | Win32.HLLW.Autoruner1.33556 | 0.29% |
| 18 | Adware.Downware.774 | 0.29% |
| 19 | Win32.HLLW.Autoruner.59834 | 0.29% |
| 20 | JS.Redirector.179 | 0.27% |