AM_Bot

Обзор вирусной активности в ноябре 2011 года: спамеры и вирусописатели забыли о выборах

В этой теме 3 сообщения

2 декабря 2011 года

По данным аналитиков компании «Доктор Веб» ноябрь 2011 года оказался отмечен распространением новых мошеннических схем, направленных против пользователей социальной сети «В Контакте», владельцев мобильных устройств, а также появлением троянской программы, ворующей конфиденциальную информацию у фармацевтических компаний. Кроме того, в ноябре наблюдался значительный рост заражений пользовательских компьютеров вредоносными программами-энкодерами. Приближающиеся выборы в Государственную Думу РФ спамеры и вирусописатели, напротив, оставили без внимания.

Ноябрьский спам

Столь важное политическое событие, как выборы депутатов Государственной Думы Федерального Собрания Российской Федерации, назначенные на 4 декабря 2011 года, осталось практически не замеченным спамерами — вопреки ожиданиям, объем почтовых сообщений на политические темы в ноябре ничуть не увеличился по сравнению с предыдущими месяцами, оставаясь достаточно низким. Удивительно, но факт: среди спам-трафика, зафиксированного программным обеспечением Dr.Web, количество сообщений, посвященных политической жизни Украины, значительно превышает число писем, затрагивающих российские реалии.

Вместе с тем в ноябре была зафиксирована почтовая рассылка с темой письма «Зарплата военных вырастет, но количество надбавок и льгот резко снизится?» В сообщения был вложен документ Word, содержащий угрозу Exploit.Rtf.based. Данная угроза эксплуатирует уязвимость в Microsoft Word, позволяющую выполнять произвольный код при открытии инфицированного документа в формате RTF: благодаря использованию этой уязвимости вредоносное приложение может получить те же привилегии в операционной системе, что и сам пользователь. В связи с актуальностью темы сообщения для военнослужащих и их семей на удочку спамеров могло попасться значительное число получателей таких писем.

Новые атаки на пользователей «В Контакте»

В ноябре продолжились атаки мошенников на пользователей социальной сети «В Контакте». Например, в одном из случаев сетевые мошенники оставляют на стене потенциальной жертвы (либо с использованием системы личных сообщений) послание, содержащее специально подготовленный ими видеоролик. Этот ролик рекламирует веб-сайт, якобы позволяющий бесплатно отправлять виртуальные подарки другим пользователям «В Контакте» и получать дополнительные голоса. Кроме того, на страничке, где опубликована видеозапись, демонстрируется несколько восторженных отзывов других посетителей сайта, якобы успешно воспользовавшихся этим уникальным предложением. Здесь же, как правило, приводится ссылка на созданный жуликами фишинговый сайт.

vk302.1.jpg

Попытка ввести на открывающемся по ссылке сайте логин и пароль для входа в социальную сеть «В Контакте» заканчивается дискредитацией учетной записи пользователя. Вскоре уже от его имени злоумышленники начинают рассылать по списку друзей предложения посетить созданную ими веб-страничку.

После ввода логина и пароля пользователь перенаправляется на один из мошеннических сайтов, рекламирующих различные сомнительные услуги, например — «поиск двойника». Здесь потенциальной жертве предлагается найти в базах социальной сети похожих на нее людей, для чего следует указать свой номер телефона и ввести в специальную форму код, присланный в ответном СМС. Таким образом пользователь соглашается на условия платной подписки, в соответствии с которыми с его счета будет регулярно списываться определенная денежная сумма.

Еще одна мошенническая схема также использует принципы социальной инженерии. Известно, что пользователи относятся с большей степенью доверия к информации, поступающей от знакомых. Именно эту особенность человеческой психологии эксплуатируют злоумышленники, отсылая потенциальной жертве сообщение или запись на «стене» от одного из друзей с просьбой проголосовать за него на некоем сайте. Учетная запись отправителя послания к этому моменту уже является взломанной, а проводящий голосование сайт принадлежит злоумышленникам. По указанной ссылке открывается интернет-ресурс, действительно предлагающий «проголосовать» за выбранного кандидата, щелкнув мышью по его фотографии или кнопке «Like». Однако для того чтобы отдать свой голос, необходимо войти на сайт. Формы регистрации и авторизации на сайте отсутствуют, однако посетитель может выполнить «вход» с использованием специальной системы «интеграции» с социальными сетями Twitter, Facebook и «В Контакте». Естественно, эта «система интеграции» — поддельная: достаточно указать в соответствующей форме свои логин и пароль, и они будут незамедлительно переданы злоумышленникам.

006.1.jpg

Иногда сетевые жулики не ленятся даже создавать для решения своих задач целые поддельные сайты и используют для привлечения потенциальных жертв поисковую рекламу. Так, в процессе работы с сервисом Google пользователь может обратить внимание на рекламное объявление, демонстрирующее на страницах поисковой выдачи сообщение о том, что его «аккаунт заблокирован и требует активации». Тут же приводится ссылка на некий сайт vkankalte.ru, адрес которого отдаленно напоминает URL социальной сети «В Контакте» и потому может быть спутан по невнимательности с адресом vkontakte.ru. Если пользователь переходит по опубликованной в рекламном объявлении ссылке, происходит автоматическое перенаправление на другой ресурс, оформление которого имитирует интерфейс социальной сети «В Контакте». Спустя несколько секунд на экране возникает окно чата, в котором от имени «администратора» социальной сети «В Контакте» пользователю сообщают о том, что его аккаунт заблокирован за рассылку спама, при этом город, из которого якобы осуществлялась рассылка, подставляется в текст автоматически — для достоверности установленная на сервере программа подбирает город, в котором предположительно находится пользователь. Сообщения в окне чата появляются с некоторым интервалом, таким образом злоумышленники стараются имитировать общение с живым человеком. Если пользователь пытается ответить «администратору», на экране появляется сообщение о том, что возможность задавать вопросы в чате станет доступна только после активации аккаунта.

003.1.png

При этом поддельный сайт социальной сети содержит несколько страниц, открывающихся щелчком мыши по расположенному в левой части экрана навигационному меню: по замыслу мошенников, это должно вселять в потенциальную жертву уверенность, что она находится на настоящем сайте «В Контакте». Для «активации» аккаунта используется старая и давно отработанная сетевыми жуликами схема: потенциальной жертве предлагается ввести номер своего мобильного телефона в специальную форму, а затем указать код, пришедший в ответном СМС. Таким образом пользователя «подписывают» на платную услугу, за оказание которой с его счета будет регулярно списываться определенная денежная сумма.

Угрозы для мобильных устройств

Владельцы мобильных устройств с поддержкой Java также не остались без внимания кибермошенников: в ноябре жители Санкт-Петербурга, Свердловской, Воронежской, Московской, Липецкой областей, Краснодара, Екатеринбурга, Красноярска, Приморского края и Нижнего Новгорода подверглись атаке злоумышленников. Вовлечение жертвы в мошенническую схему начинается следующим образом. На телефон ничего не подозревающего пользователя приходит СМС, содержащее информацию о том, что на его номер поступило новое сообщение MMС. Для просмотра этого послания следует перейти по ссылке на предложенный сайт. Если пользователь переходит по указанной ссылке, на его мобильный телефон под видом MMС загружается какое-либо изображение или видеоролик (как правило, фотография киноактрисы или эстрадной звезды) и троянская программа, предназначенная для мобильных устройств с поддержкой Java. Во многих случаях это Java.SMSSend.251, однако подобные троянцы часто видоизменяются в целях усложнения их детектирования: согласно результатам наблюдений, новая модификация появляется в среднем каждые две недели.

mms1.png

mms3.png

Данная троянская программа, запустившись на инфицированном устройстве, отправляет СМС-сообщение на короткий номер, в результате чего со счета пользователя списывается определенная денежная сумма. Как правило, злоумышленники стараются рассылать подобные сообщения в выходные дни или ночью, чтобы максимально затянуть разбирательство пользователя со службами технической поддержки мобильного оператора. Доменов, ссылки на которые содержатся в рассылаемых сообщениях, также существует множество: на сегодняшний день в распространении вредоносного контента замечены сайты mms-center.ru, center-mms.ru, mms-new.ru, mmspicture.ru, mmsbases.ru, mmsclck.ru, mms-cntr.ru, 1-mts.ru, boxmms.ru, new-mms.org, d.servicegid.net и многие другие. Все эти ресурсы добавлены в базы Dr.Web как нежелательные для посещения.

Троянец для фармацевтов

В начале ноября вирусописатели «порадовали» нас троянцем, специально созданным для похищения информации из приложений, используемых фармацевтическими компаниями. Запускаясь на инфицированном компьютере, BackDoor.Dande (написан на языке C) проверяет, не установлен ли он уже в системе, определяет имя текущего пользователя, а также версию ОС. Если это — Windows XP или Windows Server 2003, бэкдор устанавливает соединение с удаленным управляющим сервером и загружает оттуда зашифрованный конфигурационный файл, а также код троянской программы Trojan.PWS.Dande, которая дешифруется и сохраняется в одной из папок. Кроме того, бэкдор обладает возможностью выполнять поступающие из командного центра директивы, такие как, например, команда на скачивание, сохранение и запуск модуля Trojan.PWS.Dande, удаление этого модуля, запись данных в конфигурационный файл и т. д.

Следует отметить, что этот бэкдор обладает весьма любопытным механизмом поиска управляющих серверов: в случае, если один из них внезапно окажется закрыт, троянец отыщет новый согласно заложенному в него алгоритму, позволяющему генерировать имя командного центра. Кроме того, полезная нагрузка способна запускаться только на той машине, которая была инфицирована этим вредоносным ПО. Поскольку троянец заражает библиотеку advapi32.dll, которая загружается во все запущенные в системе процессы, код беспрепятственно встраивается в них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + MapsFrontier
      Global Security Center OOO
      Total PC
      Blue Century Software co.
      Elex do Brasil Participacoes Ltda.
    • Openair
    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.