Новостной радар Anti-Malware.ru. Выпуск 3, декабрь 2012

Откройте новый выпуск Новостного радара Anti-Malware.ru, и вы узнаете:

- об антивирусе, который стал вирусом,

- о вымогателе, который научился разговаривать,

- о хакерах, которые взломали телевизор.

Начнем?

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 19 на карте большего размера

 

Нет Интернета – нет вирусов!

Это – новый рекламный слоган, который благодарные пользователи придумали для чешского антивирусного решения avast!. В конце прошлой недели этот продукт усмотрел угрозу в драйвере сетевого взаимодействия tcpip.sys от операционной системы Windows XP, после чего тщательно очистил обороняемые им компьютеры от любых следов врага. Итог – тысячи клиентов, надежно изолированных от Интернета.

Надо сказать, что, хотя avast! 7 не справился с нашим октябрьским тестом на лечение активного заражения, к борьбе с tcpip.sys он подошел весьма ответственно: пользователи сообщали, что вернуть работоспособность сетевых подключений им не удалось даже с помощью механизмов восстановления системы. В конечном счете спасение утопающих так и осталось делом их же собственных рук: пока специалисты AVAST опомнились, на блогах и форумах уже появились самодельные лекарства (которые фирма-производитель ничтоже сумняшеся и рекомендовала в числе официальных методов решения проблемы).

Откуда произросла беда, до сих пор толком не ясно. Выдвигались, к примеру, предположения, что сигнатура совпала с конкретной русскоязычной версией драйвера из пиратских сборок Windows (что, впрочем, не объясняет аналогичные проблемы у клиентов из других стран). Звучала и версия о сбое в работе автоматических анализаторов инфекций, которые случайно зафиксировали в сигнатуре фрагмент здорового файла. Так или иначе, но история эта послужила еще одним напоминанием о важности тщательного тестирования антивирусных баз.

В настоящее время мы ожидаем комментария по этому событию от эксперта Anti-Malware.ru Михаила Орешина.

 

Нужно больше золота

Хакерская группировка RedHack выразила протест против «мизерного повышения зарплат чиновников» в Турции, взломав информационные ресурсы министерства финансов этой страны. Министерство не согласно с хакерами и утверждает, что никаких фактов постороннего проникновения зарегистрировано не было.

Турецкие власти считают RedHack террористическим формированием, и в настоящее время несколько предполагаемых участников группировки находятся под следствием. Местное гуманное правосудие грозит им 24 годами лишения свободы за кибернападения на государственную инфраструктуру. В свою очередь, хакеры из Anonymous объявили операцию «Support RedHack» в поддержку своих собратьев по клавиатуре.

«В последнее время оппозиционные силы многих стран заявляют о себе посредством взлома или попыток взлома государственных веб-сайтов и веб-ресурсов. Я бы не сказал, что среди остального населения этих стран подобные действия находят большую поддержку, ибо это нарушение закона. Поэтому подобные действия оппозиции вряд ли прибавляют им значительное количество политических очков», - полагает эксперт Anti-Malware.ru Валерий Ледовской. – «Правда, это может быть вызвано тем, что в некоторых странах оппозиция не может себя проявить иначе, чем взломом государственных интернет-ресурсов. С другой стороны, правительства стран (в том числе и Россия) пытаются внести законодательные инициативы, подразумевающие значительно большую ответственность за взлом именно государственных сайтов, пытаются приравнять взлом этой категории сайтов к государственной измене. И подобную инициативу я бы тоже не назвал адекватной. Мне кажется, что существующего наказания за взлом любых сайтов (до 7 лет лишения свободы в России) вполне достаточно. Единственная проблема - с неотвратимостью наказания. Сегодня по 273-ей статье УК РФ злоумышленники не так часто получают реальные сроки лишения свободы, собственно, такие случаи единичные. Возможно, поэтому руководства стран надеются сдержать волну взломов государственных сайтов, запугивая потенциальных взломщиков значительными сроками заключения. Вероятно, они тоже видят в этом единственный путь к защите своих ресурсов. Хотя мне кажется, что при выделяемых ресурсах на создание государственных сайтов можно было бы большее внимание уделять их безопасности, защите от атак. Эти возможности сейчас используются далеко не в полной мере и оказываются более эффективными, чем запугивание потенциальных хакеров, которые в большинстве своём остаются безнаказанными.»

 

Поговорим?

Главное в работе троянского вымогателя – как следует запугать жертву. Однако, по данным Trend Micro, с этой задачей вредоносные программы справляются не очень хорошо: доля пользователей, согласных заплатить, пребывает где-то в районе статистической погрешности. Несмотря на это, глобальный доход от троянских коней этого вида может измеряться десятками тысяч долларов в день; тем не менее, злоумышленникам явно не дают покоя мысли о том, насколько больше денег они могли бы «зарабатывать» при более благоприятной статистике, поскольку в их разработках одна инновация следует за другой.

Действительно, уж чем только не пугали людей вымогатели: и непристойными картинками, и милицией, и полицией, и ФБР, и судом... а все ни в какую. Поэтому вирусописатели идут все дальше: недавний вариант троянского коня Gapz научился включать веб-камеру и показывать пользователю его собственный бледный лик прямо в окне с требованием выкупа, а обнаруженная недавно программа Reveton и вовсе обрела голос. В зависимости от того, в какой стране находится жертва, вымогатель загружает с удаленного сервера аудиозапись с проникновенной речью на соответствующем языке и проигрывает ее. Сообщается, что записи сделаны качественно и даже без акцента.

Пока не ясно, повысит ли это эффективность троянских коней, или, быть может, произведет обратное воздействие. Практика показывает, что не все средства психологического воздействия в итоге оказываются столь успешны, как надеялись их создатели. Однако сам по себе творческий поиск, в котором находятся вирусописатели, по-своему интересен. Кто знает, возможно, со временем разработчики вымогателей даже встроят в них искусственный интеллект, который будет проводить тематические беседы с пользователем зараженного компьютера. Впрочем, у такой технологии могут найтись и изъяны: мало ли, вдруг жертва умудрится убедить вредоносную программу разблокировать ей компьютер?

 

Взлом телевизора

Специалисты по безопасности обнаружили изъян в программном обеспечении телевизоров Samsung Smart TV. Поскольку подобное устройство является промежуточным вариантом между собственно телевизором и ПК, то при успешной атаке злоумышленник может извлечь оттуда довольно много полезных для себя сведений – вплоть до внутренних паролей. Возможно также удаленное управление устройством и теми приборами, которые к нему подключены. Кроме того, хакер может установить в телевизор вредоносную программу.

Перспективы практического применения таких изъянов в настоящее время несколько туманны: сложно сказать, что уязвимость в телевизоре представляет существенную опасность для пользователя. Устроить акт хулиганства – возможно, но и не более того. В конце концов, вряд ли серьезных злоумышленников интересует список каналов, которые смотрит пользователь. Однако с учетом все более тесного сращивания телевизоров с персональными компьютерами потенциальный риск от ошибок безопасности в прошивках подобных приборов будет постепенно возрастать.

«История учит нас, что она никого никогда не учит. Уже много раз создавались технологии, которые выводили на рынок или без учёта потенциально возможных вредоносных манипуляций, либо без приглашения профессионалов на аудит безопасности того, что получается в конце», - говорит эксперт Anti-Malware.ru Илья Рабинович. – «Обычно это происходит в погоне за наиболее быстрым выходом на рынок, на всё остальное смотрят сквозь пальцы. Расплачиваться за такую политику безопасности приходится пользователям, теряющим свои деньги, время и нервы, а также списки просматриваемых телевизионных программ. В своё время ходил анекдот про антивирус для холодильника и телевизора. Про телевизор мы уже поняли, что анекдот превращается в правду жизни. Теперь ждём про новости об уязвимости безопасности в холодильниках и утечках секретных рецептов вкусняшек.»

 

Федот, да не тот

Эксперты компании Group-IB предупредили об обнаружении целевой вирусной атаки против пользователей услуг Сбербанка. Нападение производится в несколько этапов. Сначала на компьютер жертвы должен попасть экземпляр вредоносной программы Carberp, который отслеживает попытки выхода на сайт «Сбербанк-Онлайн»; если такая попытка предпринимается, то поверх заглавной страницы пользователю отображается окно с предложением ввести номер мобильного телефона. После того, как номер введен, на него отправляется ссылка для загрузки приложения «Сбербанк-СМС» из магазина Google Play.

Упомянутая программа, которая находилась в магазине более суток, была предназначена для перехвата и компрометации одноразовых паролей, которые «Сбербанк-Онлайн» высылает своим клиентам посредством услуги «Мобильный банк». Разработчиком ее был обозначен некий «Сергей Самсонов» (сведений о нем найти не удалось); он же является автором программы «Альфа-СМС», которая, надо полагать, имеет аналогичный функционал. Инфекция исчезла из Google Play лишь ночью с четверга на пятницу – как выразился автор материала на сайте РИА Новости Иван Шадрин, «после нескольких внушительных пинков».

«Атака оригинальна и продумана», – отмечает эксперт Anti-Malware.ru Олеся Шелестова. – «Безусловно, были подобные атаки на пользователей стационарных ПК, да и троян не новый. Антивирусы знают подобные трояны и способны отслеживать. Но очень мало кто их ставит на планшеты и телефоны. Когда то всех удивляло предложение поставить антивирус на смартфон. Абсурдность идеи и мысль о том что "все будет тормозить". А вот теперь самое время переосмыслить и вновь хорошо подумать. Двухфакторная аутентификация с применением смартфонов поставлена вновь под сомнение. А она много где применяется - банки, генерация одноразовых пинов для удаленного доступа, восстановление паролей к различным сервисам(ставшее уже почти повсеместным), он-лайн игры, kiwi\webmoney кошельки».

***

Спасибо за внимание! Новый выпуск – как и прежде, ровно через неделю, в день конца света.

До свидания!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru