2 сентября 2013 года

В августе специалисты компании «Доктор Веб» проанализировали много новых угроз. В начале месяца был обнаружен троянец, устанавливающий на инфицированные компьютеры ПО от известного коммуникационного портала, а также вредоносная программа, взламывающая сайты, работающие под управлением популярных CMS. Во второй половине августа был обнаружен троянец-шпион, представляющий серьезную опасность для пользователей ОС Linux.

Вирусная обстановка

Согласно статистическим сведениям, собранным на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, лидером среди всех выявленных угроз по-прежнему является Trojan.Loadmoney.1, о котором мы уже сообщали ранее в одном из наших материалов. Этой записью антивирусное ПО Dr.Web детектирует приложение для загрузки торрентов одноименной партнерской программы, которое также устанавливает на компьютеры пользователей различное ПО от известного российского коммуникационного портала. Кроме того, в начале августа специалистами «Доктор Веб» был обнаружен троянец Trojan.LMclicker.1, предназначенный для накрутки показателей в партнерской программе Loadmoney.

Второе место по распространенности занимает троянец Trojan.Hosts.6815, модифицирующий на инфицированном компьютере файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. На третьем месте располагается IRC-бот BackDoor.IRC.Cirilico.119, за ним с небольшим отрывом следует Trojan.BtcMine.142 — вредоносная программа, использующая ресурсы инфицированного компьютера для добычи электронной валюты Bitcoin. Двадцатка наиболее распространенных угроз, обнаруженных в августе на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, представлена в расположенной ниже таблице.

Ботнеты

Численность ботнета, созданного злоумышленниками с использованием файлового вируса Win32.Rmnet.12, продолжает немного расти. В первой подсети среднесуточный прирост вновь инфицированных ПК составляет примерно 12 000 машин, во второй подсети — 10 500. Динамика процесса показана на представленных ниже диаграммах.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в августе 2013 года (1-я подсеть)

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в августе 2013 года (2-я подсеть)

Рост ботнета, состоящего из машин, инфицированных файловым вирусом Win32.Rmnet.16, также продолжается прежними темпами: в среднем ежесуточно к данной бот-сети присоединяется порядка 1500 вновь инфицированных ПК. Динамику процесса можно проследить на представленной ниже диаграмме.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.16 в августе 2013 года

Статистика распространения вредоносного модуля, детектируемого антивирусным ПО Dr.Web как Trojan.Rmnet.19, также демонстрирует незначительный прирост: всего в течение августа было зафиксировано 685 новых случаев заражения, а общая численность бот-сети осталась примерно на прежнем уровне и составляет на 28 августа 5014 инфицированных компьютеров. Постепенно увеличиваются и количественные показатели спам-ботнета BackDoor.Bulknet.739. Среднесуточное количество активно действующих ботов в данной сети практически не изменилось по сравнению с предыдущим месяцем и составило около двух с половиной тысяч, а среднее число регистрирующихся в сети вновь инфицированных ПК составило 500–600 рабочих станций в сутки. Динамика изменения численности данного ботнета показана на представленной ниже диаграмме:

Динамика регистрации новых ботов в ботнете BackDoor.Bulknet.739 в августе 2013 года

Общая численность ботнета, созданного с использованием троянской программы BackDoor.Dande (эта вредоносная программа предназначена для кражи информации у представителей российских фармацевтических компаний), за месяц практически не претерпела изменений: в конце августа в нем насчитывалось 1279 инфицированных компьютеров.

Практически не изменилось и количество Apple-совместимых компьютеров, инфицированных троянцем BackDoor.Flashback.39: в конце августа общее число зараженных «маков» составило 38 822. Больше всего инфицированных машин зафиксировано на территории США (20 020), на втором месте располагается Канада (7102), на третьем — Великобритания (5200). Далее следуют Австралия с показателем 3571 компьютер, 313 пользователей зараженных «макинтошей» проживают во Франции, 236 — в Мексике, 218 — в Испании, 148 — в Италии, 146 — в Германии, 129 — в Бразилии. На территории России зафиксирован только один случай заражения BackDoor.Flashback.39. География распространения этого троянца наглядно представлена на опубликованной ниже карте.

Угроза месяца: Linux.Hanthie

Еще год назад, до возникновения эпидемии троянца BackDoor.Flashback.39, пользователи были уверены в полной безопасности операционной системы Mac OS X, в настоящее время бытует мнение о том, что в природе не существует угроз для платформы Linux. Тем не менее, в августе специалисты компании «Доктор Веб» провели исследование очередного троянца для данной операционной системы, получившего название Linux.Hanthie.

Linux.Hanthie (также известен под названием Hand of Thief) позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит). Гибкая настройка бота осуществляется через файл конфигурации.

После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В троянце предусмотрены средства противодействия анализу и запуску в изолированных и виртуальных окружениях. Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии. Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE.

Основной вредоносный функционал Linux.Hanthie заключается в перехвате и отправке злоумышленникам содержимого заполняемых пользователем форм. Троянец позволяет встраивать граббер в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. Кроме того, троянец реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется. Более подробную информацию о данной вредоносной программе можно получить, ознакомившись с опубликованным на сайте компании «Доктор Веб» новостным материалом.

Другие события месяца

К важным новостям месяца можно отнести сообщения, касающиеся компьютерной безопасности в области банковской сферы. В материале известного специалиста по информационной безопасности, опубликованном в его блоге 19 августа, подробно рассмотрена схема атак на клиентов банков через их Android-устройства и компьютеры. Троянцы, созданные при помощи конструктора Android-программ Perkele, способны обойти многофакторную аутентификацию, которую используют многие банки. Множество клиентов немецких банков стали жертвами мошенничества, инсталлировав на свои устройства вредоносную программу, присланную злоумышленниками под видом сертификата безопасности банка. Детально преступная схема выглядит следующим образом.

Когда жертва посещает веб-сайт своего банка (см. рисунок, стрелка 1), троянец (Zeus или Citadel, или любой другой) выполняет веб-инжект (встраивает код) в браузер жертвы (стрелка 2), предлагая пользователю ввести номер мобильного телефона и тип операционной системы (позиция 9). Эта информация передается обратно на атакующий сервер (стрелка 3), который направляет запрос браузеру жертвы (стрелка 4), побуждая жертву сканировать QR-код со своего мобильного устройства, чтобы якобы установить дополнительный защитный модуль, который на самом деле является вредоносной программой. Как только жертва сканирует QR-код, вредоносная программа загружается и устанавливается на мобильный телефон жертвы, что позволяет злоумышленникам перехватывать поступающие СМС. В этот момент вредоносная программа на компьютере жертвы автоматически инициирует финансовые операции со счета жертвы (стрелка 5). Когда банк отправляет СМС с одноразовым кодом (стрелка 6), троянец его перехватывает и отправляет на сервер атакующего (стрелка 7), а вредоносный скрипт на устройстве жертвы получает код (стрелка 8) и завершает несанкционированные транзакции.

Российские финансовые учреждения также вызывают интерес у киберпреступников. По данным популярного информационного портала, некоторое время в Интернете существовал фишинговый сайт, копирующий веб-страницу находящегося в Москве Первого Депозитного Банка. Сотрудники этого банка сообщили в ЦБ РФ о мошенническом ресурсе. В настоящее время сайт-клон недоступен. Можно отметить совпадение: материал о поддельном сайте опубликован 19 августа, а на следующий день на реальном сайте банка сообщалось о другой фальшивке: на рынке появились подделки банковских гарантий, якобы выданных Первым Депозитным Банком.

Помимо махинаций с денежными средствами все большую популярность у киберпреступников приобретают различные мошеннические схемы торговли «виртуальным товаром», например «лайками» социальных сетей. Некоторые пользователи готовы платить реальные деньги за эти виртуальные «знаки внимания». Кроме того, «лайки» помогают фирмам продвигать товары или услуги на рынке: число «лайков», которыми отмечен тот или иной товар, повышают его популярность в глазах потенциальных покупателей. Злоумышленники торгуют фальшивыми учетными записями подписчиков Twitter и Instagram, используя для их создания необычную версию вредоносного ПО Trojan.PWS.Panda. Антивирусное ПО Dr.Web детектирует данную угрозу как Trojan.PWS.Panda.106.

Также в августе было зафиксировано распространение новой версии троянца семейства BackDoor.Maxplus, выполняющей функции кейлоггера и подключающей зараженный компьютер к созданной злоумышленниками пиринговой сети. Чтобы избежать детектирования антивирусным ПО, троянец использует нетривиальные способы маскировки. Запустившись на инфицированном устройстве, он копирует себя сразу в две директории, расположенные с нарушением алфавитного порядка. При этом названия исполняемых файлов BackDoor.Maxplus записаны в реестре справа налево, как в текстах, написанных на семитских языках (арабском, иврите). Сигнатура данной вредоносной программы добавлена в вирусные базы компании Dr.Web.

Также в августе специалистами «Доктор Веб» был обнаружен троянец Trojan.WPCracker.1, предназначенный для взлома веб-сайтов, работающих под управлением популярных CMS, разработана утилита дешифровки файлов, пострадавших от Trojan.Encoder.252, и описана чрезвычайно популярная в Рунете схема мошенничества.

Мобильные угрозы

Последний летний месяц оказался относительно спокойным в плане появления угроз для мобильных устройств. Так, в августе вирусные базы Dr.Web пополнились очередными записями для нескольких СМС-троянцев семейства Android.SmsSend, которые служат для отправки премиум-сообщений на короткие номера и подписки абонентов на различные платные услуги. Кроме того, в течение месяца было зафиксировано большое число разнообразных коммерческих шпионских приложений, включая версии, которые предназначены для работы на iOS-устройствах, подвергавшихся процедуре jailbreak. Данные приложения опасны тем, что, будучи установленными злоумышленниками, способны скрытно от пользователя осуществлять мониторинг его активности, например, перехватывать СМС-сообщения, получать информацию о совершаемых звонках, отслеживать GPS-координаты и пересылать на удаленный сервер все собранные данные. Подробнее об этих программах можно узнать из соответствующей публикации на сайте компании.

Вредоносные файлы, обнаруженные в почтовом трафике в августе

Вредоносные файлы, обнаруженные в августе на компьютерах пользователей