2 мая 2012 года

Апрель 2012 года запомнится пользователям как самый насыщенный месяц с точки зрения событий, связанных с угрозами информационной безопасности. В начале месяца специалистами компании «Доктор Веб» была обнаружена первая в истории масштабная бот-сеть, состоящая из компьютеров, работающих под управлением операционной системы Mac OS X. Чуть позже компания «Доктор Веб» объявила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила миллион инфицированных компьютеров. А во второй половине апреля началось нашествие троянцев-шифровальщиков, обеспокоившее сначала жителей западноевропейских стран, а чуть позже — и пользователей по всему миру. Эти и другие значимые апрельские события мы рассмотрим в рамках настоящего обзора.

«Маки» подверглись глобальной атаке

Первый в истории ботнет, созданный злоумышленниками с использованием вредоносной программы BackDoor.Flashback.39, в прямом смысле поразил более 800 000 работающих под управлением Mac OS X компьютеров, а в переносном — многочисленные информационные интернет-порталы и значительное число средств массовой информации. Новость быстро облетела весь мир, став сенсацией.

Еще в конце марта в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения о том, что злоумышленники активно используют известные уязвимости Java с целью распространения вредоносных программ для Mac OS X. Поскольку подобная информация приходила с определенной регулярностью и из различных источников, было высказано предположение, что использующий уязвимости Java троянец BackDoor.Flashback.39 может образовать бот-сеть на Apple-совместимых компьютерах. Данная вредоносная программа, как и многие другие подобные ей, имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются троянцем в качестве управляющих серверов: такой подход, во-первых, позволяет значительно увеличить «живучесть» сети, а во-вторых, оперативно перераспределять нагрузку между командными центрами, если создаваемый ботами трафик превысит некие критические значения. С другой стороны, это дает возможность специалистам по информационной безопасности «вычислить» используемый троянцем метод выбора управляющих центров и создать «поддельный» командный сервер с целью собрать необходимую статистику или даже перехватить управление сетью. Данный подход носит наименование «sinkhole» и широко используется в антивирусной практике. Для проверки гипотезы о наличии ботнета, работающего на платформе Mac OS X, 3 апреля 2012 года специалистами компании «Доктор Веб» было зарегистрировано несколько доменов управляющих серверов BackDoor.Flashback.39. В тот момент никто всерьез не рассчитывал обнаружить самую крупную в истории бот-сеть для Mac OS X, учитывая достаточно высокую надежность и архитектурные особенности операционной системы, обеспечивающие относительную безопасность пользователя. Однако действительность превзошла самые смелые ожидания: в первые же часы контролируемые компанией «Доктор Веб» серверы зафиксировали активность более чем 130 000 ботов, к утру их число достигло 550 000, и управляющие центры просто перестали справляться с нагрузкой. 4 апреля 2012 года компания «Доктор Веб» выпустила пресс-релиз, сообщающий об обнаружении ею ботнета BackDoor.Flashback.39. Данное сообщение произвело эффект разорвавшейся бомбы — в течение суток оно было процитировано многими авторитетными мировыми новостными агентствами и другими СМИ.

Для того чтобы заразиться троянской программой BackDoor.Flashback.39, вполне достаточно соблюдения двух несложных условий: в операционной системе пользователя должна быть установлена Java, и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет — специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя. Фактически жертва вообще не замечает момента заражения — пользователь просматривает в браузере веб-страницу, в то время как его «мак» уже инфицирован вредоносной программой.

Изначально компания «Доктор Веб» располагала данными только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback, но уже 16 апреля были зарегистрированы дополнительные домены, имена которых генерируются на основе даты. Поскольку данные домены используются всеми подверсиями ботнета BackDoor.Flashback.39, регистрация дополнительных доменов управляющих серверов позволила более точно подсчитать размер вредоносной сети. Большая часть заражений приходится на долю США (56,6% инфицированных узлов), на втором месте находится Канада (19,8% инфицированных компьютеров), третье место занимает Великобритания (12,8% случаев заражения), на четвертой позиции — Австралия с показателем 6,1%.

4 апреля 2012 года корпорация Apple выпустила обновление Java, «закрывающее» используемую троянцем BackDoor.Flashback уязвимость, однако если компьютер был уже инфицирован ранее, установка обновления не защищала пользователя от действия вредоносной программы. Вскоре количество зараженных «маков» превысило 800 000. Несмотря на это уже спустя несколько дней многочисленные эксперты в сфере компьютерной безопасности отрапортовали о значительном сокращении численности бот-сети BackDoor.Flashback.39. Тем не менее, радость оказалась преждевременной: проведенное специалистами компании «Доктор Веб» расследование показало, что в расчеты экспертов закралась досадная ошибка.

Троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. Однако следом за серверами, принадлежащими компании «Доктор Веб», троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. Это и является причиной появления противоречивой статистики от разных антивирусных компаний — с одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой — данные компании «Доктор Веб» неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению. Реальная динамика изменения численности бот-сети BackDoor.Flashback.39 показана на представленном ниже графике:

По данным на 28 апреля 2012 года, в сети BackDoor.Flashback.39 всего было зарегистрировано 824 739 ботов, из них проявляло активность 334 592.

Отдельный интерес представляет файл, загружаемый троянцем BackDoor.Flashback.39 на инфицированные компьютеры. Данное вредоносное приложение может быть запущено с привилегиями администратора или простого пользователя (в момент установки полезной нагрузки троянец демонстрирует на экране «мака» диалоговое окно для ввода пароля администратора) и использует два типа управляющих серверов. Первая категория командных центров реализует функции перехвата поискового трафика, перенаправления пользователя на контролируемые злоумышленниками сайты в процессе веб-серфинга и некоторые другие действия. Вторая группа позволяет отдавать ботам различные команды, реализующие на инфицированной машине функции бэкдора. Специалистам компании «Доктор Веб» удалось перехватить используемые полезной нагрузкой троянца BackDoor.Flashback домены управляющих серверов и произвести анализ обращений к ним ботов.

Первая категория управляющих доменов генерируется троянцем на основе заложенного в его конфигурационных данных списка, в дополнение к ним формируется еще один перечень доменов, имена которых зависят от текущей даты. При этом сформированное вредоносной программой имя домена второго уровня одинаковое, в то время как в качестве домена верхнего уровня используются различные варианты, такие как .org, .com, .co.uk, .cn, .in. Все управляющие серверы опрашиваются троянцем по очереди в порядке составленного списка, при этом командному центру передается GET-запрос /owncheck/ или /scheck/, содержащий в поле useragent значение UUID инфицированного «мака». Если в ответ троянец получит подписанное значение SHA1 от имени домена, то такой домен будет считаться доверенным и в дальнейшем будет использоваться в качестве командного сервера. Первые домены из этой категории были успешно перехвачены компанией «Доктор Веб» начиная с 12 апреля 2012 года.

После того как вредоносная программа определит домен из первой категории, начинается поиск доменов второго типа. На основе заложенного в конфигурационных данных списка бот опрашивает ряд доменов управляющих серверов, передавая им GET-запрос /auupdate/, содержащий в поле useragent подробную информацию об инфицированной системе. Если управляющий сервер не вернет правильный ответ, троянец формирует на основе текущей даты строку, которую использует в качестве хеш-тега для поиска по адресу http://mobile.twitter.com/searches?q=#<строка>. Если в Twitter удается обнаружить сообщение, включающее метки bumpbegin и endbump, между которыми содержится адрес управляющего сервера, он будет использован в качестве имени домена. Перехват доменов этой категории компания «Доктор Веб» начала 13 апреля, однако уже на следующий день, в субботу 14 апреля, зарегистрированная специалистами «Доктор Веб» учетная запись в Twitter была заблокирована.

По данным на 13 апреля 2012 года, на управляющие домены первой группы в течение суток поступило 30 549 запросов с уникальными UUID, на домены второй категории — 28 284 запросов с уникальными UUID за аналогичный промежуток времени. Общее количество запросов с уникальными UUID, отправленных на управляющие серверы полезной нагрузки ботнета BackDoor.Flashback, в период с 12 по 26 апреля 2012 года составило 95 563. Ниже представлены графики, демонстрирующие собранные специалистами компании «Доктор Веб» статистические данные на основе суточного анализа обращений полезной нагрузки ботнета BackDoor.Flashback к управляющим серверам за 13 апреля 2012 года.

Вскоре после выявления ботнета BackDoor.Flashback компания «Доктор Веб» создала специальный информационный сайт, посвященный данной угрозе. Воспользовавшись этим интернет-ресурсом, владельцы Apple-совместимых компьютеров могут проверить свой «мак» на наличие заражения. Здесь же опубликованы дополнительные материалы, посвященные троянцу BackDoor.Flashback, размещена видеопрезентация, рассказывающая о данной вредоносной программе, а также приведены ссылки на бесплатный сканер для Mac OS Х, позволяющий проверить операционную систему и удалить троянца в случае его обнаружения. Компания «Доктор Веб» продолжает внимательно следить за дальнейшим развитием ситуации.

Знакомьтесь: Rmnet — еще один ботнет

Согласно имеющейся в распоряжении компании «Доктор Веб» статистике, одно из лидирующих мест среди угроз, заражающих рабочие станции под управлением Microsoft Windows, занимает сейчас файловый вирус Win32.Rmnet.12. Распространение вируса происходит несколькими путями, в частности, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 года, вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 года аналитиками компании «Доктор Веб» был применен известный метод «sinkhole», который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12. Динамика изменения численности контролируемой специалистами «Доктор Веб» бот-сети показана на представленном ниже графике.

Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машин, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46802 бота, или 3,9%), Россия (43153 инфицированных машины, или 3,6%), Египет (33261 бот, или 2,8%), Нигерия (27877 ботов, или 2,3%), Непал (27705 ботов, или 2,3%) и Иран (23742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19773 случая заражения, или 1,67%) и Беларуси (14196 ботов, или 1,2%). В Украине зафиксирован 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане. Географическое распределение ботнета Win32.Rmnet.12 продемонстрировано на предложенной ниже иллюстрации.

Шифровальщики покоряют Европу

В апреле неприятности выпали и на долю жителей европейских государств: ближе к середине месяца в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, Trojan.Encoder.94 отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.

Троянец имеет англоязычный интерфейс, однако случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Вскоре стали поступать тревожные сообщения от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния. Специалисты «Доктор Веб» сумели расшифровать данные по запросам пользователей практически в ста процентах случаев, что говорит о высокой эффективности применяемых для этого технологий.

В конце апреля был зафиксирован всплеск распространения почтовых сообщений с заголовком «Ute Lautensack Vertrag Nr 46972057» и вложенным zip-архивом с именем Abrechnung или Rechnung. Архивы содержат троянскую программу Trojan.Matsnu.1, попытка запустить которую приводит к тому, что все файлы на дисках компьютера жертвы оказываются зашифрованными. Специалисты компании «Доктор Веб» в кратчайшие сроки проанализировали вредоносную программу Trojan.Matsnu.1 и разработали специальную утилиту, позволяющую расшифровать пользовательские данные. Эту утилиту можно бесплатно скачать по адресу ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe. Напоминаем, что если вы стали жертвой троянца-шифровальщика, воспользуйтесь следующими несложными рекомендациями:

• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никаких файлов на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
• к тикету приложите зашифрованный троянцем файл;
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Для минимизации последствий заражения вредоносными программами Trojan.Encoder.94 и Trojan.Matsnu.1 компания «Доктор Веб» рекомендует пользователям своевременно создавать резервные копии всех необходимых в работе файлов.

Другие «апрельские тезисы» и вирусные угрозы

По сравнению с уже описанными выше событиями все остальные угрозы информационной безопасности, выявленные и обезвреженные экспертами «Доктор Веб» в апреле 2012 года, не выглядят столь же сенсационно и представляют значительно меньшую опасность для пользователей. Так, в вирусные базы было добавлено описание вредоносной программы Trojan.Spambot.11349, предназначенной для кражи учетных записей почтовых клиентов (в частности, Microsoft Outlook и The Bat!) и передачи злоумышленникам данных, используемых функцией автозаполнения форм в веб-браузерах. Троянец распространяется с использованием бот-сети весьма известных бэкдоров Backdoor.Andromeda.

Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка. Функции приложения-загрузчика в целом обычны для подобного рода вредоносных программ: это обход брандмауэра и установка в систему вредоносной библиотеки, которой после загрузки в память инфицированного компьютера передается управление.

Получив управление, вредоносная библиотека проверяет наличие на диске собственной копии и записывает в системный реестр значение из девяти случайных цифр, служащее уникальным идентификатором бота. Затем Trojan.Spambot.11349 сохраняет на диск библиотеку для работы с SSL и библиотеку zlib, с использованием которой троянец сжимает строки своих запросов. При этом в поле HOST отправляемых ботом запросов содержится посторонний IP-адрес, что является характерной особенностью Trojan.Spambot.11349. Использование отдельной динамической библиотеки для работы с zlib и SSL также можно назвать нечастым явлением в архитектуре вредоносных программ.

Одной из отличительных особенностей Trojan.Spambot.11349 является то, что эта вредоносная программа отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах троянца подсетей. Затем Trojan.Spambot.11349 устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла. В случае если эта операция завершается успешно, троянец формирует строку запроса, содержащую украденные учетные данные почтовых клиентов Microsoft Outlook и The Bat!, упаковывает ее с помощью библиотеки zlib и передает на принадлежащий злоумышленникам удаленный сервер. Инфицировав систему, Trojan.Spambot.11349 проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троянец получает с удаленного сервера данные для последующего проведения спам-рассылки. По информации на 24 апреля, троянцы Trojan.Spambot.11349 осуществляли распространение почтовых сообщений, содержащих рекламу виагры.

Появились в истекшем месяце и новые угрозы для мобильной операционной системы Android. Так, еще в начале апреля семейство вредоносных программ Android.Gongfu пополнилось новым вредоносным экземпляром. Обновленная модификация троянца Android.Gongfu была обнаружена сразу в нескольких приложениях, распространяющихся через неофициальные сайты-сборники программного обеспечения. В частности, этот троянец был выявлен в модифицированном злоумышленниками дистрибутиве популярной игры Angry Birds Space.

В отличие от первых реализаций Android.Gongfu, новые модификации троянца не используют уязвимость Android, позволявшую им без участия пользователя повысить собственные привилегии в системе до уровня root. Вместо этого в комплекте с инфицированным приложением пользователю предлагается специальная пошаговая инструкция, позволяющая запустить ОС с полномочиями администратора. В инструкции утверждается, что это якобы необходимо для корректной работы программы или ее обновления. После запуска с администраторскими привилегиями Android.Gongfu получает возможность встраиваться в системные процессы Android, включая процессы, критичные для стабильной работы ОС. Троянец способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного узла команды, но также загружать и устанавливать в ОС другие приложения без ведома пользователя.

Помимо этого, специализирующиеся на мобильных платформах вирусописатели стали использовать новую психологическую уловку для распространения вредоносного ПО, а именно — озабоченность пользователей вопросами безопасности. С помощью различных систем отображения рекламы злоумышленники демонстрируют пользователю сообщение с предложением срочной проверки мобильного устройства на вирусы. Нажав на это рекламное сообщение, пользователь попадает на сайт, якобы сканирующий мобильное устройство. Этот сайт заимствует одну из иконок Dr.Web Security Space версии 7.0 и внешнее оформление программы. Однако сымитировав пользовательский интерфейс, злоумышленники ошиблись в деталях: фальшивый «антивирус» находит на мобильном устройстве несуществующие угрозы, например, вредоносную программу Trojan.Carberp.60, относящуюся к категории банковских троянцев для Windows, мобильной версии которого в настоящее время не существует. Если пользователь соглашается «обезвредить» угрозу, на его устройство скачивается троянец семейства Android.SmsSend.

Все эти угрозы успешно детектируются и обезвреживаются антивирусным программным обеспечением Dr.Web, но пользователям все же рекомендуется проявлять осмотрительность и не запускать программы, полученные из неблагонадежных источников.

Вредоносные файлы, обнаруженные в почтовом трафике в апреле

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей