Обзор вирусной обстановки за август: атака на пользователей Counter-Strike и широкое распространение Trojan.Mayachok

[AM_Bot 48]

2 сентября 2011 года

Последний летний месяц 2011 года ознаменовался появлением нового троянца, инфицирующего среду разработки Delphi, а также скачкообразным ростом числа модификаций вредоносных программ семейства Android.SmsSend для мобильных устройств, работающих под управлением ОС Android. Помимо этого в августе была зафиксирована беспрецедентная атака на поклонников компьютерной игры Counter-Strike. Наиболее распространенной угрозой за истекший месяц стали троянские программы семейства Trojan.Mayachok, заразившие большое число персональных компьютеров пользователей операционной системы Microsoft Windows.

Android.SmsSend: рост числа модификаций в августе

Как известно, Остап Бендер знал четыреста способов относительно честного отъема денег у граждан, создателям вирусов под мобильную операционную систему Android их известно значительно меньше. Большинство таких вредоносных программ либо отправляют втайне от пользователя СМС на платные сервисные номера, либо подписывают их на премиум-услуги, за предоставление которых со счета пользователя снимаются средства. Троянцы семейства Android.SmsSend не уничтожают файлы владельца мобильного устройства и не шпионят за ним. Они предлагают неискушенным пользователям отправить платное СМС-сообщение для установки программ, которые при иных обстоятельствах можно получить совершенно бесплатно.

Авторы троянцев семейства Android.SmsSend, известного еще с августа 2010 года, используют ту же мошенническую схему, которая применяется для распространения Trojan.SmsSend для настольных ПК. Жертва скачивает с одного из веб-сайтов нужное ей приложение, например, браузер Opera Mini для мобильных устройств. В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько СМС на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь перешел не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.

На начало 2011 года в вирусных базах Dr.Web значилось всего шесть модификаций данного троянца, а на текущий момент их насчитывается уже 60. Иными словами, только за истекшие семь с половиной месяцев количество версий Android.SmsSend выросло в десять раз. Резко возросло и число новых модификаций этой вредоносной программы, присланных в вирусную лабораторию компании «Доктор Веб» в августе 2011 года, — всего с начала месяца выявлено 22 неизвестные ранее версии троянца против среднего показателя, составляющего 5–7 новых детектов в месяц. Таким образом, можно говорить о 36-процентном росте числа версий данной угрозы только в августе 2011 года.

Очевидно, что столь резкое увеличение количества вариаций Android.SmsSend обусловлено выгодностью для вирусописателей финансовой модели, включающей производство и распространение этих троянцев, а также прибылью, получаемой от беспечных пользователей, мобильные устройства которых оказались инфицированы. Вполне вероятно, что указанная тенденция будет сохраняться и в дальнейшем. На приведенном ниже графике показана динамика обнаружения новых версий Android.SmsSend с начала текущего года.

Пользователям мобильных устройств, работающих под управлением ОС Android, рекомендуется предварительно проверить в Интернете информацию о приложениях, которые они планируют установить, и, если такие приложения распространяются бесплатно, не отправлять никаких сообщений на предлагаемые злоумышленниками телефонные номера. Кроме того, можно обезопасить себя от установки вредоносного ПО, загружая его только из проверенных источников, таких как официальный Android Market.

Атака на пользователей Counter-Strike

Многочисленные специалисты в области психологии утверждают, что игромания является зависимостью, а следовательно, болезнью. В августе 2011 года специалисты компании «Доктор Веб» установили, что поклонникам игр угрожают и иные опасности, одна из которых может передаваться через Интернет. 5 августа на форуме компании «Доктор Веб» появилось сообщение об обнаружении очередной угрозы: при попытке подключиться к одному из игровых серверов Counter-Strike 1.6 на компьютер пользователя начинали загружаться подозрительные файлы svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.

В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на своих ПК). Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на реальный игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом:

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и служебные серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность. Не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов. По состоянию на 29 августа 2011 года вредоносное ПО все еще продолжает распространяться с некоторых игровых серверов.

Троянец Win32.Induc.2 заражает среду Delphi

Появившаяся в августе новая троянская программа Win32.Induc.2 заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.

Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным значком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение. Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.

Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.

Бот-сети Darkness атакуют серверы LineAge2

BackDoor.DarkNess — не просто бэкдор, на основе которого любой желающий может построить бот-сеть, способную осуществить DDoS-атаку на выбранную цель. Это многопрофильный инструмент, позволяющий злоумышленникам реализовывать различные функции. Например, модификация BackDoor.DarkNess.25 умеет красть пользовательские данные из таких популярных программ, как Total Commander (параметры доступа к FTP), FlashFXP, FileZilla, WS_FTP, QIP, CuteFTP, The Bat!, но основное назначение бэкдора — реализация DDoS-атак по команде с удаленного сервера.

BackDoor.DarkNess написан на языке Delphi, административная часть реализована на языке PHP. Вот так выглядит страница административного центра бот-сети изнутри:

За последние четыре месяца специалистами компании «Доктор Веб» было зафиксировано 49 бот-сетей, построенных с использованием BackDoor.DarkNess. Порядка десяти из них действуют до сих пор, и за их активностью компания продолжает внимательно следить. Всего за этот период ботам было передано 363 уникальные команды, большинство из которых инициировало DDoS-атаки. Наиболее популярной целью таких атак стали многочисленные российские серверы онлайновой игры LineAge-2: игровые серверы LA2 подвергались нападению в 13,5% случаев (71 уникальная атака). Другие атакованные сайты имеют следующую тематическую направленность (в порядке убывания популярности): эскорт-агентства, форумы, посвященные вредоносному ПО и информационной безопасности, магазины поддельных часов ведущих мировых марок, СМИ, хостинг-провайдеры, службы доставки пиццы и, наконец, площадки биржи «Форекс». Среди наиболее популярных целей хакерских атак следует отметить следующие серверы:

• f**kav.ru (35 уникальных атак, 6,6%)
• tempelgirls.ch (31 уникальная атака, 5,8%)
• katera.ru (26 уникальных атак, 4,9%)
• flyspb.ru (16 уникальных атак 3%)
• realescort.eu (15 уникальных атак, 2,8%)
• superbeach.ru (12 уникальных атак, 2,2%)
• auction.de (8 уникальных атак, 1,5%)
• all-lineage2.ru (7 уникальных атак, 1,3%)

Если атакованный сайт имеет скрипты, обращающиеся к базе данных (например, форум), то такие скрипты также были «подключены» к DDoS-атаке в 14,5% случаев. Распределение атакованных серверов по доменным зонам (в процентах) показано на следующей диаграмме:

Одновременно с этим множество пользователей оказались подвержены заражению второй версией данной троянской программы: ее особенность заключается в том, что эта модификация Trojan.Mayachok инфицирует Volume Boot Record, после чего в браузерах пользователей появляется сообщение о том, что их компьютер якобы заражен вирусом Trojan.Win32.Ddox.ci. Для устранения «проблемы» злоумышленники предлагают жертве установить обновление браузера, для чего требуется отправить на короткий номер платное СМС-сообщение. При этом создатели троянца не поленились разработать отличающиеся своим оформлением баннеры для наиболее популярных на сегодняшний день браузеров: Microsoft Internet Explorer, Mozilla Forefox, Opera, Google Chrome.

Для устранения этих угроз пользователям, пострадавшим от троянских программ Trojan.Mayachok.1 и Trojan.Mayachok.2, рекомендуется просканировать диски своего компьютера с помощью антивирусного ПО Dr.Web либо воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!.

Угрозы в почтовом трафике

Не забывают вирусописатели и об одной из традиционных схем распространения вредоносных программ — почтовом спаме. В августе лидирующие позиции среди подобных рассылок занял троянец BackDoor.Pushnik.15, основное предназначение которого состоит в краже электронных денег пользователей платежной системы WebMoney. Довольно активно по каналам электронной почты распространяются даунлоадеры, в частности, троянец Trojan.DownLoad2.24758, зафиксированный в почтовом трафике в 13,79% случаев. Не отстает от него и давно известная вредоносная программа семейства Trojan.Oficla. Среди прочих угроз, замеченных в августе в почтовом трафике, следует упомянуть о Win32.HLLM.MyDoom в различных модификациях, а также о троянцах Trojan.Tenagour.3 и Win32.HLLM.Netsky.

Вредоносные файлы, обнаруженные в почтовом трафике в августе

01.08.2011 00:00 - 31.08.2011 17:00 1Trojan.DownLoad2.24758150146 (26.36%)2Trojan.Oficla.zip123791 (21.73%)3Exploit.Cpllnk48091 (8.44%)4BackDoor.Pushnik.1539771 (6.98%)5BackDoor.Pushnik.1627612 (4.85%)6Trojan.Tenagour.321166 (3.72%)7Win32.HLLM.MyDoom.3380818437 (3.24%)8Win32.HLLM.MyDoom.5446415161 (2.66%)9Win32.HLLM.Netsky.1840111308 (1.99%)10Trojan.DownLoad2.326437547 (1.32%)11Win32.HLLM.Netsky.353287503 (1.32%)12BackDoor.IRC.Nite.607383 (1.30%)13Win32.HLLM.Netsky6783 (1.19%)14Win32.HLLM.Beagle5135 (0.90%)15Trojan.Siggen2.586865090 (0.89%)16Trojan.Packed.2464971 (0.87%)17Trojan.Carberp.134622 (0.81%)18Win32.HLLM.MyDoom.based4373 (0.77%)19Trojan.MulDrop1.541602981 (0.52%)20Trojan.Siggen3.3452450 (0.43%)

Всего проверено: 243,888,860

Инфицировано: 569,637 (0.23%)

Вредоносные файлы, обнаруженные в августе на компьютерах пользователей

01.08.2011 00:00 - 31.08.2011 17:00 1JS.Click.218113154597 (58.49%)2Win32.Rmnet.1226016817 (13.45%)3JS.IFrame.11214774950 (7.64%)4Trojan.IFrameClick.310379698 (5.37%)5Win32.HLLP.Neshta7375872 (3.81%)6Trojan.MulDrop1.485423065544 (1.58%)7Win32.HLLP.Whboy.452091622 (1.08%)8JS.IFrame.1171645574 (0.85%)9Win32.HLLP.Whboy.1011403859 (0.73%)10JS.Click.2221270764 (0.66%)11Win32.HLLP.Novosel1089446 (0.56%)12Win32.HLLW.Whboy1083364 (0.56%)13Trojan.Click.64310810689 (0.42%)14ACAD.Pasdoc777253 (0.40%)15Trojan.DownLoader.42350593013 (0.31%)16Trojan.NtRootKit.10544477728 (0.25%)17JS.Click.232422188 (0.22%)18JS.IFrame.95412791 (0.21%)19HTTP.Content.Malformed408269 (0.21%)20Trojan.PWS.Ibank.323384619 (0.20%)

Всего проверено: 129,475,241,055

Инфицировано: 193,468,376 (0.15%)

Источник

[alexgr 556]

akado - под защитой Доктора? типо провал?