Доктор Веб: Вирусная активность в феврале 2009 года

Компания «Доктор Веб» опубликовала обзор вирусной активности в феврале 2009 года. После традиционных январских «каникул» кибер-преступники вновь принялись за дело. За последний месяц значительно выросло число вредоносных программ, с помощью которых пополняется число компьютеров, из которых состоят бот-сети. Кроме того, злоумышленники все чаще используют в Интернете схемы, близкие к «финансовым пирамидам».

По-прежнему, большое количество вредоносных программ распространяется с целью увеличения числа так называемых зомби-компьютеров, из которых строятся гигантские бот-сети, охватывающие практически весь Интернет. Такие сети называются бот-сетями. В качестве примера активно развивающихся в настоящее время бот-сетей можно привести такие как Tdss и Virut.

Рассмотрим подробно один из методов заражения, которые используют владельцы бот-сети Tdss. Через съёмные носители и в виде фальшивых кодеков для проигрывания видео-файлов на компьютер пользователя поступает и запускается вредоносный файл, который определяется Dr.Web как Win32.HLLW.Autoruner.4612. После запуска вирус заражает все доступные жёсткие и съёмные диски, а затем создаёт свой второй компонент - вредоносный файл, который так же определяется как Win32.HLLW.Autoruner.4612.

Для запуска данного компонента вирус создаёт модифицированную копию одной из системных библиотек, определяемая Dr.Web как Trojan.Starter.896, а также осуществляется перезапуск одной из системных служб для того, чтобы система начала использовать модифицированную библиотеку.

Win32.HLLW.Autoruner.4612 является бэкдором, т.к. выполняет действия по команде злоумышленника незаметно от пользователя. К счастью, набор возможных действий данного бэкдора ограничен загрузкой и исполнением файлов, загружаемых с заранее подготовленного сервера. Передача файлов инициируется Win32.HLLW.Autoruner.4612 самостоятельно. В ответ на этот запрос сервер бот-сети Tdss передаёт зашифрованные данные, представляющие из себя исполняемые файлы и инструкции, необходимые для установки загружаемых вредоносных программ и их запуска.

Одной из загружаемых Win32.HLLW.Autoruner.4612 программ с сервера бот-сети Tdss является троянец Trojan.DnsChange.1008. Данная вредоносная программа изменяет DNS-сервера на компьютере пользователя, что может привести как к перехвату пользовательского интернет-трафика, так и в целом к блокировке доступа в Интернет.

Владельцы бот-сети Virut для заражения компьютеров используют полиморфный файловый вирус Win32.Virut, который заражает исполняемые файлы Windows, а также записывает в конец HTML-документов специальный тег, с помощью которого при открытии такого документа активируется загрузка вредоносных программ с серверов бот-сети. Таким механизмом работы Win32.Virut объясняется его значительное присутствие в почтовом трафике – пользователи часто прикладывают HTML-документы к своим письмам, многие из которых оказываются заражёнными Win32.Virut, что выводит этот вирус на первые места в статистике вредоносного почтового трафика в условиях отсутствия крупномасштабных массовых рассылок писем с вредоносными вложениями.

Актуальная версия вредоносной программы Win32.Virut.56 использует несколько способов заражения исполняемых файлов в зависимости от их структуры, но в любом случае основное тело вируса всегда дописывается в конец файла, код вируса шифруется. При этом код расшифровщика вставляется в неиспользуемые участки заражённого файла и является полиморфным, т.е. отличается в различных заражённых файлах. Также в полиморфном коде вируса может прятаться код, заимствованный из заражённого файла, если вирусу это необходимо для осуществления процедуры заражения.

Win32.Virut.56 содержит в себе собственную реализацию IRC-клиента, с помощью которого данная вредоносная программа может получать команды по скачиванию и запуску других вредоносных программ на заражённом компьютере.

В течение первой половины февраля 2009 года в почтовом трафике значительное количество вредоносных почтовых сообщений содержали ссылки на вредоносные сайты с якобы открытками, приуроченными ко дню Святого Валентина. На самом деле вместо открытки по ссылке пользователь скачивал одну из множества модификаций Trojan.Spambot – вредоносной программы, которая занимается несанкционированной рассылкой спама с заражённых компьютеров.

Авторы вредоносных программ в погоне за прибылью не всегда хорошо тестируют свои творения, в результате чего вирусописатель не получает деньги, на которые рассчитывает, но пользователь при этом всё равно теряет доступ к документам. Так Trojan.Encoder.36 записывает свой код к пользовательским документам, что приводит к невозможности их открыть. Но из-за ошибки, допущенной автором данной вредоносной программы, после порчи документов не выводится сообщение с контактными данными злоумышленника и параметрами электронного счёта, на который по задумке пользователи должны были отправлять денежные средства за расшифровку документов.

В последние месяцы количество спам-рассылок с вредоносными вложениями значительно сократилось. Но и в настоящее время встречаются единичные рассылки подобного типа. В одной из спам-рассылок конца февраля сообщалось о том, что одна из фотографий пользователя была размещена в Интернете. Эта фотография якобы прикреплена к письму в виде zip-архива. В архиве расположен файл Foto_Jenna.Jpg[множество символов подчёркивания].exe, который определяется антивирусом Dr.Web как Trojan.DownLoad.9125.

Авторы спам-рассылок всё чаще пользуются повышенным интересом населения к теме нестабильной финансовой обстановки. Всё чаще приходят сообщения, в которых предлагается поучаствовать в финансовых схемах, похожих на «финансовые пирамиды», либо предлагаются другие способы «быстро заработать в Интернете».

Многие предприятия в последние месяцы испытывают проблемы, связанные с недостаточностью заказов на выпускаемую продукцию или оказываемые услуги, поэтому всё чаще происходят рассылки, в которых предлагается «реклама в Интернете», которая на самом деле ограничивается рассылкой обычных спам-писем, содержащих рекламу. Именно благодаря подобным рекламным рассылкам во второй половине февраля 2009 года значительно увеличился общий поток спама, который при сохранении данной тенденции может уже в следующем месяце превысить уровень первой половины декабря прошлого года, до закрытия нескольких крупных спам-хостеров.

Что касается фишинга и других методов мошенничества, то в последнее время сократилось число подобных рассылок на английском языке. При этом увеличилось число локализованных сообщений. В частности, в феврале были замечены фишинг-рассылки, нацеленные на клиентов Правэкс-банка (Украина) и клиентов Raiffeisen Bank, находящихся в Румынии.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Рынок ИБ жалуется, но переходит на отечественный софт

ИБ сегодня испытывает большие трудности. Преодолеть их можно, объединив усилия всех участников рынка. Такое общее мнение высказывали эксперты на полях Positive Hack Days 11, который проходил на днях в Москве.

«Ситуацию на российском рынке ИБ напоминает игру в шахматы, — говорит представитель "Ростелеком-Солар" Владимир Дрюков. — Ферзь, ладья и другие сильные фигуры вдруг исчезли с доски защищающейся стороны. И эти фигуры надо спешно заменить, одновременно пытаясь какими-то способами увидеть атаки и отбить их пешками».

Эксперты видят в этой «партии» и плюсы. Компании, которые раньше только конкурировали, теперь объединились и стали вместе бороться с новыми угрозами. Они обмениваются информацией по TI, утечкам и поставкам ПО.

«Крайне важно, чтобы информация по атакам не окуклилась внутри заказчика, а была донесена до сообщества — через НКЦИ, ФСТЭК и все доступные возможности», — подчеркивает Дрюков.

Процесс импортозамещения в ИБ начался задолго до 24 февраля. Многие решения существовали раньше, но интересовались ими только единицы.

«Сейчас эти продукты, которые словно ждали своего часа, выходят на поверхность и неизбежно будут завоевывать рынок», — полагает генеральный директор Axoft Global Вячеслав Бархатов.

«Ускоренное импортозамещение» связано с двумя рисками: сокращение бюджетов у заказчика и отсутствие аппаратных платформ. Уход иностранных вендоров резко повысил интерес к продукции российских производителей, но у тех — пробелы в оборудовании.

«Вопрос с железом довольно острый, — рассказывает директор по продажам и развитию бизнеса компании «КриптоПро» Павел Луцик. — Мы тоже столкнулись с задержками по поставкам серверов и другого оборудования. Критической ситуации нет, но увеличились сроки».

Спикеры PHD соглашались: российский рынок ИБ получил сильный толчок в развитии. Отечественные продукты активно развиваются, в них появляются технологии, которых еще полгода назад не было.

Но не все так оптимистичны. В «РТК-Солар» приводят такие цифры:

«Более 80% решений в нашем портфеле — это отечественное ПО. По экосистемам, по незаметности для пользователей наше ПО пока отстает», — говорит директор центра комплексных проектов направления «Solar Интеграция» Николай Белобров. Он считает, что не нужно второпях заниматься «востокозамещением» западных решений:

«Возможно, следует искать свой путь, чтобы в дальнейшем мы были конкурентоспособны как в области ПО, так и в элементной базе — создании совместных предприятий полного цикла, специальных инвестиционных зон и прочего».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru