Август отбивался от атак
Август 2010 года отметился появлением руткита, заражающего 64-битные системы Windows, новых модификаций вредоносных программ для Android, активизацией "социальных инженеров", действующих через интернет-сайты и сервисы мгновенных сообщений, сообщается в отчете компании "Доктор Веб". Но помимо этого плоды принесла борьба с блокировщиками Windows. Так, впервые в России заведено уголовное дело против мошенников, промышляющих блокировкой.
Новая версия BackDoor.Tdss поставила перед производителями защитного ПО новые задачи по совершенствованию продуктов. 64-битные системы Windows обладают защитными механизмами, которые позволяют препятствовать установке в систему драйверов вредоносных программ: все драйверы проверяются на наличие цифровой подписи, а технология PatchGuard не позволяет вредоносным программам модифицировать ядро ОС. Однако, BackDoor.Tdss успешно обходит оба этих препятствия, поскольку содержит в своем составе буткит. При установке в систему данный бэкдор модифицирует главную загрузочную область диска и берет под контроль процесс очередной загрузки операционной системы. Это позволяет драйверу руткита установиться в систему до активизации защитных механизмов, встроенных в 64-битные системы.
В настоящее время вирусная база Dr.Web содержит записи, позволяющие определять различные модификации новой версии BackDoor.Tdss. Для корректного лечения 32-битных систем Windows от данной вредоносной программы 1 сентября "Доктор Веб" выпустила обновленный сканер с графическим интерфейсом.
В августе в вирусную базу Dr.Web было добавлено несколько модификаций шпионского ПО Android.MobileSpy, а также вредоносная программа Android.SmsSend.1, которая занимается рассылкой платных SMS-сообщений с зараженного мобильного устройства без ведома его владельца. А 26 августа состоялся выпуск нового продукта Dr.Web для Android.
Все известные сейчас вредоносные программы, созданные для ОС Android, не имеют функции саморазмножения. Это значит, что введенный в заблуждение пользователь должен самостоятельно установить такую программу в систему. Несмотря на то, что любое приложение перед установкой на Android сообщает, какие функции ОС будут использоваться, злоумышленники прибегают к различным методам социальной инженерии для того, чтобы пользователь не обращал внимания на эти сообщения. Вредоносные программы распространяются под видом игр, заставок для рабочего стола, полезных приложений, которые скрывают свою истинную сущность за "мирным" функционалом.
В августе также было зафиксировано значительное количество вредоносных сайтов, которые внешне ничем не отличаются от сетевых хранилищ популярных фильмов, музыкальных записей, электронных книг. На самом деле с каждого из этих сайтов скачиваются исполняемые файлы размером от 8 до 16 Мб, которые определяются антивирусом Dr.Web как различные модификации Trojan.SMSSend.
Помимо этого, 16 августа по ICQ распространялась вредоносная программа Win32.HLLW.Natchs. В ее функционал входит завершение работы популярных ICQ-клиентов, определение пароля к аккаунту ICQ-пользователя, самостоятельное подключение к этому аккаунту через собственную реализацию ICQ-клиента и саморассылка по списку контактов пользователя-жертвы.
30 августа появилась информация о распространении спам-сообщений среди пользователей Facebook. В них содержалась ссылка на приложение, размещенное на сайте этой соцсети. Используя уязвимость сайта, данное приложение рассылало такие же сообщения по списку друзей пользователя, прошедшего по ссылке. Так злоумышленники показали потенциальные возможности встраиваемых в соцсети приложений для организации вредоносных схем.
Примечательно, что в августе правоохранительные органы Москвы впервые в истории возбудили дело против группы вымогателей, использовавших блокировщики Windows. Эта группа действовала на протяжении последнего года.
© @Astera