Новости компании «Доктор Веб»

[timur_boss]

Обзор вирусной обстановки за июль: новые «винлоки» и очередные угрозы для ОС Android

2 августа 2011 года

Июль традиционно принято считать периодом затишья: именно на этот летний месяц приходится разгар сезона отпусков, пляжного отдыха, а также школьных и студенческих каникул. Однако в вопросах, касающихся вирусной активности, июль оказался отнюдь не самым скучным по сравнению с предыдущими месяцами: вновь активизировались создатели «винлоков» и разработчики вредоносного ПО для мобильной платформы Android. Кроме того, специалистами компании «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — было обнаружено и обезврежено множество других опасных угроз.

«Винлоки» атакуют иностранцев

Российские пользователи персональных компьютеров пережили две крупные волны заражений вредоносными программами, блокирующими работу Windows: первая из них имела место в конце 2009 — начале 2010 года, вторая прокатилась по российскому сегменту Интернета летом 2010 года. С тех пор число заражений уверенно шло на спад: практически все производители антивирусного ПО научились эффективно бороться с подобными угрозами, да и сами пользователи, кажется, усвоили элементарные правила безопасности. Однако примерно с мая 2011 года фиксируются случаи появления программ-вымогателей, ориентированных на западную аудиторию. Одной из них стала программа Trojan.Winlock.3794, собирающая у пользователей данные банковских карт.

Среди реквизитов, которые троянец передает злоумышленникам, — имя, фамилия, дата рождения и адрес держателя карты, его телефонный номер, дата окончания срока действия карты, ее номер, код CVV2 и даже пинкод. Располагая подобными сведениями, вирусописателям не составит ни малейшего труда незаконно списать со счета жертвы все доступные средства. Следует особенно отметить, что это — первый случай появления троянца-блокировщика, собирающего данные о банковских картах. Напомним, что ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное СМС-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.

Используя статистическую информацию, собранную в период с конца января 2011 года, специалисты компании «Доктор Веб» проанализировали полученные сведения о распространении программ-блокировщиков в Интернете. Так, наиболее популярным именем файла, в котором скрываются подобные троянцы, является xxx_video.exe (37,8% случаев заражения), на втором месте следует pornoplayer.exe (28,6%), на третьем — xxx_video.avi (9,6%), причем в последнем случае упоминание файла с расширением .avi имеет именно вредоносная ссылка; сам файл, в котором содержится троянец, может иметь иное имя и расширение. Такие имена вредоносных файлов, как install_flash_player.exe (1%), ponostar_video.exe и mpeg.exe (по 0,4%), скромно заняли последние строчки рейтинга.

А вот по странам, размещающим на своих серверах раздающие вредоносное ПО сайты, картина складывается несколько иная. На лидирующей позиции с большим отрывом, что естественно, находится Россия с показателем 58,8%. Ее догоняют США, но с серверов этого государства пользователями загружается всего лишь 15,6% троянцев. На третьем месте Украина (7,1%), ненамного опережающая Республику Молдова (6,8%), которая, в свою очередь, вырвалась вперед относительно Канады (3,1%). Затем следуют Румыния (2,3%), Япония (2,3%), Германия (1,7%), и замыкают список Израиль, Корея и Бразилия (1,3% и по 0,5% соответственно).

Из всего сказанного выше можно сделать вывод, что наиболее популярным способом распространения троянских программ семейства Trojan.Winlock по-прежнему являются порносайты, с которых пользователи загружают троянцев под видом программы-проигрывателя либо видеоролика.

Банковские данные в опасности

За истекший месяц специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к банковским системам. Среди них нельзя не отметить троянца, описание которого было добавлено в вирусные базы под именем Trojan.Carberp.1.

Как и некоторые другие троянские программы такого типа, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данной троянской программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Загрузившись на инфицированном компьютере, троянец проверяет, запущен ли в системе процесс op_mon.exe программы Outpost Firewall, и если да, завершает его. Затем он запускает explorer.exe, встраивается в него и пытается поместить вредоносный объект в экземпляры процесса explorer.exe, владеющие Панелью задач и Рабочим столом Windows. Если сделать этого не удается, Trojan.Carberp.1 пытается встроиться в процесс svchost.exe, а в случае, если и эта попытка заканчивается неудачей, — троянец пытается инфицировать любой браузер, позволяющий открывать файлы с расширением .html. Затем вредоносная программа копирует себя в автозагрузку, завершает процесс-дроппер и запускает несколько инфицированных процессов svchost.exe. В одном из инфицированных процессов на компьютер пользователя скачивается программа miniav, выискивающая и уничтожающая конкурирующие троянские программы (BarracudaAndBlackEnergy, Zeus, Limbo, Adrenalin, Generetic, MyLoader), другой процесс устанавливает на зараженном компьютере троянца Trojan.PWS.Stealer.338, предназначенного для хищения паролей от различных клиентский приложений.

Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Кроме того, троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.

Июльские угрозы для ОС Android

Создатели вредоносных программ для мобильной ОС Android продолжают «радовать» пользователей очередными новинками, не давая скучать и аналитикам компаний — разработчиков антивирусного ПО. В июле специалистами компании «Доктор Веб» в вирусные базы были добавлены описания 29 новых угроз для этой платформы, среди которых следует отметить две новых модификации троянца Android.Gongfu и программу Android.Ggtrack.1-2, предназначенную для кражи денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.

Кроме того, в июле была обнаружена и добавлена в базы программа-шпион Android.GoldDream.1.

Эта вредоносная программа для ОС Android, как и ее предшественницы, встроена в предназначенные для мобильных устройств легитимные приложения, такие как игры Drag Racing и Draw Slasher, и распространяется через альтернативные сайты-сборники ПО. Будучи запущенным в операционной системе, троянец регистрируется в качестве фонового сервиса, собирает информацию об инфицированном устройстве, включая телефонный номер абонента и номер IMEI, после чего передает ее злоумышленникам на удаленный сервер. Вслед за этим Android.GoldDream.1 начинает отслеживать все входящие СМС-сообщения, а также входящие и исходящие телефонные звонки, и записывать сведения об этих событиях (в том числе телефонный номер, с которого или на который выполнялся звонок или отправлялось сообщение, а также само содержимое СМС) в хранящийся локально файл. Впоследствии этот файл может быть извлечен и передан авторам программы-шпиона. Кроме того, Android.GoldDream.1 в состоянии выполнять поступающие от удаленного центра команды для осуществления несанкционированной рассылки СМС, телефонных звонков, а также установки различных программ.

Компания «Доктор Веб» вновь призывает пользователей загружать приложения только из известных и проверенных источников (таких как сайты разработчиков ПО и официальный Android Market), внимательно относиться к запрашиваемым в процессе установки привилегиям, а также использовать на своих мобильных устройствах Dr.Web для Android Антивирус + Антиспам или Dr.Web для Android Light.

Другие интересные угрозы в июле

В последних числах июля 2011 г. был зафиксирован всплеск заражений троянской программой Trojan.Mayachok.1: многие пользователи неожиданно столкнулись с невозможностью выйти в Интернет. При попытке открыть в окне браузера какой-либо сайт, троянец перенаправлял пользователя на заранее определенный URL, демонстрируя веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение. Если пользователь следовал указаниям злоумышленников, с его счета незамедлительно списывались средства.

Один из способов распространения троянца - сообщения социальной сети "В контакте": пользователям предлагается скачать документ в формате .rtf, якобы рассказывающий о специальной программе для просмотра посещающих страницу пользователя гостей. Этот документ содержит ссылку, по которой и загружается вредоносная программа. Вот далеко не полный список сайтов, доступ к которым может блокировать Trojan.Mayachok.1: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru.

Наиболее вероятной причиной столь широкого распространения данной угрозы послужила, скорее всего, популярность социальной сети «В контакте», с помощью которой распространялся троянец, а также доверчивость самих пользователей, бездумно открывающих ссылки в получаемых ими рекламных сообщениях.

Данная угроза была не единственной, так или иначе затронувшей социальную сеть «В контакте» - к таковым можно отнести и распространение троянской программы Trojan.VkSpam, инфицирующей компьютеры благодаря спам-рассылкам на сайте ВКонтакте.ру. Как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя ВКонтакте.ру. И в том и в другом случае троянец демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения. Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя.

Также в июле был обнаружен троянец, крадущий у пользователей не файлы электронных кошельков или реквизиты доступа к платежным системам, а вычислительные ресурсы. На сегодняшний день известно несколько вредоносных программ, занимающихся майнингом, или, иными словами, «добычей» электронной валюты Bitcoin, в частности, Trojan.Coinbit и некоторые версии Trojan.Vkbase. Новый троянец, Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Распространяется эта вредоносная программа с различных ресурсов, никак не связанных с официальным сайтом проекта Bitcoin.

Не отстала от Trojan.BtcMine.1 и новая, 48-я по счету модификация троянца Trojan.VkBase. Данная версия вредоносной программы, получившая название Trojan.VkBase.48, запускает на инфицированном компьютере программу-«майнер» для платежной системы Bitcoin. Благодаря этому злоумышленники могут использовать вычислительные ресурсы зараженного компьютера с целью личного обогащения.

Оказавшись на зараженном компьютере, Trojan.VkBase.48 создает в директории установки Windows папку update.4.1, сохраняется в нее под именем svchost.exe и запускается как фоновый сервис. Затем троянец проверяет наличие соединения с Интернетом, отправляя запросы по протоколу HTTP узлам Google.com, Microsoft.com и Yandex.ru, ожидая получить в ответ главную страницу этих сайтов. Если отклик получен, Trojan.VkBase.48 случайным образом генерирует логин и пароль для платежной системы Bitcoin и сохраняет их в файл %AppData%\Bitcoin\bitcoin.conf. Вслед за этим троянец проверяет собственную версию (в нем присутствует функция обновления), собирает сведения о зараженной машине (включая имя компьютера, серийный номер диска, типы используемых накопителей) и отправляет информацию на сервер злоумышленников. Затем вредоносная программа подключается к своим командным центрам и обменивается с ними данными. По команде Trojan.VkBase.48 может загрузить из Интернета сервер Bitcoin и запустить его в качестве сервиса.

[ZagiYa]

Печально... Но с большинством вирусов Dr. Web справляется, и это радует. :)

Кстати, что касается именно "Корпоративного ПО": в офф. магазине(drweb-shop.ru) довольно таки нестандартная акция. Цитирую:

"Приобретите новую лицензию или лицензию миграции на Антивирусы Dr.Web для бизнеса и получите дополнительно в подарок до 5 месяцев использования.

Дополнительный бесплатный срок зависит от температуры в вашем городе в день оплаты акционной лицензии. Также в зависимости от суммы оплаченного заказа вам будет выслан подарок с символикой Dr.Web."

:D :D :D :D :D :D

[timur_boss]

«Доктор Веб» предупреждает о троянской атаке на пользователей Counter-Strike

5 августа 2011 года

Психологи утверждают, что игромания является зависимостью, а следовательно, болезнью. Специалисты «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — могут помочь всем играющим онлайн и обезопасить даже самых опытных геймеров от очередной «болезни». 5 августа на форуме «Доктор Веб» появилось сообщение об обнаружении очередной угрозы, отправленное одним из вирусхантеров компании: при попытке подключиться к одному из игровых серверов Counter-Strike 1.6 на компьютер пользователя начинали загружаться подозрительные файлы.

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.

В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).

Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом:

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время помимо собственного троянца подключавшимся к серверу игрокам раздаются дополнительные «подарки».

Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций.

В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов.

[timur_boss]

Уважаемые партнеры!

Компания «Доктор Веб» стала официальным партнером по информационной безопасности летнего этапа Кубка мира по прыжкам на лыжах с трамплина (FIS Гран-при) - одного из самых престижных соревнований в данной дисциплине. Соревнования прошли в Алматы 29-30 августа 2011 года и собрали спортсменов со всего мира. В рамках сотрудничества «Доктор Веб» и организаторов этапа Кубка мира программные продукты Dr.Web успешно обеспечили информационную безопасность всей ИТ-инфраструктуры мероприятия.

Стабильность и бесперебойность работы информационной системы в ходе соревнований имеют первостепенную важность. Один вирусный инцидент может повлечь за собой непредвиденные изменения в графике турнира или, более того, отразиться на точности определения результатов участников, что недопустимо для состязаний такого уровня. Тем более успешный старт летнего этапа положительно скажется на спортивном имидже Республики Казахстан и даст возможность претендовать на организацию зимнего этапа Кубка мира и чемпионата мира. В связи с этим перед организаторами стояла задача создания надежной системы информационной безопасности, которая бы охватила собой все компьютеры на спортивных объектах Кубка мира. «Доктор Веб» имеет значительный опыт подобных проектов: напомним, что в начале 2011 года компания обеспечила информационную безопасность 7-х зимних Азиатских игр . Для организаторов этапа Кубка мира по прыжкам с трамплина это стало одним из веских аргументов при выборе партнера по информационной безопасности.

В ходе соревнований решения компании «Доктор Веб» успешно защитили от вирусов и других вредоносных программ всю ИТ-инфраструктуру соревнований, а технические специалисты компании, в свою очередь, выступили консультантами по информационной безопасности.

[timur_boss]

В начале текущей недели специалистами компании «Доктор Веб» был зафиксирован очередной всплеск активности сетевых мошенников в отношении пользователей социальной сети «В контакте». В первом случае опасности подвергались поклонники популярной среди посетителей данной социальной сети игры «В могиле», во втором случае мошенники задействовали для своих целей ранее взломанные аккаунты.

Судя по всему, злоумышленники тщательно выбирают свои жертвы среди поклонников известной игры «В могиле» — из числа пользователей социальной сети «В контакте» мошенники вычисляют наиболее опытных, «продвинутых» игроков. Им отсылается личное сообщение с предложением воспользоваться «уязвимостью» данного приложения, позволяющей бесплатно получить игровые предметы, которые в реальной игре можно приобрести только за деньги. Для этого жертве предлагается загрузить и установить специальное приложение. Если жертва соглашается воспользоваться столь заманчивым предложением, все дальнейшее общение сетевые мошенники переносят в Skype. Выбор данного средства коммуникации неслучаен: трафик Skype не поддается фильтрации в отличие от других протоколов мгновенного обмена сообщениями, таких как ICQ или Jabber.

В ходе дальнейшего общения злоумышленники предлагают жертве скачать и установить приложение bag_vmogile.exe, под видом которого распространяется троянская программа Trojan.KeyLogger.9754, предназначенная для перехвата нажатий клавиш и отправки на удаленный FTP-сервер украденных таким образом паролей. При попытке открыть данный файл происходит мгновенное заражение компьютера. Специалисты компании «Доктор Веб» предполагают, что распространяющие троянца злоумышленники действуют с территории Украины. В настоящий момент сигнатура данного троянца добавлена в вирусные базы «Доктор Веб».

Кроме того, сетевые мошенники продолжают эксплуатировать широко известный метод фишинга с использованием функции «Документы» социальной сети «В контакте». Ничего не подозревающему пользователю отсылается личное сообщение, включающее ссылку на скачивание документа Word, в котором содержится подробная инструкция по установке специальной программы, якобы позволяющей просматривать число посетителей его странички в социальной сети. Под видом этой программы распространяется троянец BackDoor.Piranha.2, с помощью которого злоумышленники создали несколько успешно действующих в настоящий момент бот-сетей.