Март 2012: политический спам и новые угрозы для Mac OS X и Android
Компания «Доктор Веб» опубликовала обзор вирусной активности за март 2012 г. В целом первый месяц весны 2012 г. оказался на редкость «жарким» и ознаменовался появлением целого ряда новых угроз как для операционной системы Microsoft Windows, так и для других платформ, говорится в сообщении компании.
Согласно данным статистики лечащей утилиты Dr.Web CureIt!, в марте абсолютным лидером по числу обнаружений стала вредоносная программа Trojan.Mayachok.1, блокирующая на инфицированном компьютере доступ к интернету. Широкое распространение имеют и банковские трояны, в частности, семейства Trojan.Carberp, которые предназначены в основном для похищения паролей от программ дистанционного банковского обслуживания и торговых платформ.
5 марта 2012 г. специалистами «Доктор Веб» была зафиксирована массовая почтовая рассылка, содержащая призывы принять участие в протестном митинге оппозиции на Пушкинской площади в Москве. Почтовые сообщения, имеющие тему «Митинг Честные выборы» или «Все на митинг», содержали короткий текст — например, «Внимательно изучи инструкцию, что необходимо будет делать на этом митинге», «Митинг против Путина. Внимательно прочитай инструкцию» или «Очень важно, чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию» — и вложенный файл, представляющий собой документ Microsoft Word с именем «Инструкция_митинг.doc».
Данный документ включает в себя несколько макросов, которые в момент открытия файла в текстовом редакторе сохраняют на диск и запускают на исполнение троянскую программу Trojan.KillFiles.9055, предназначенную для выведения из строя инфицированной системы Windows.
Запустившись на компьютере жертвы, троян Trojan.KillFiles.9055 копирует себя во временную папку и прописывает себя в ветвь системного реестра, отвечающую за автоматический запуск приложений. Одновременно зловред меняет содержимое всех обнаруженных на диске «С» файлов (с расширением .msc, .exe, .doc, .xls, .rar, .zip, .7z) на «цифровой мусор» и помечает их на удаление после перезагрузки системы, вследствие чего Windows приходит в нерабочее состояние (обычная перезагрузка компьютера уже ничем не поможет).Trojan.KillFiles.9055 изменяет свойства своего процесса таким образом, что он становится критичным для системы, и его завершение вызывает появление BSOD («синего окна смерти») или перезагрузку компьютера.
Затем троян отправляет на удаленный сервер злоумышленников сообщение о том, что операционная система успешно «убита». К счастью, своевременное информирование пользователей о данной угрозе, а также то обстоятельство, что на многих компьютерах в Microsoft Word по умолчанию отключена обработка макросов, позволили избежать массового заражения, сообщили в «Доктор Веб».
6 марта 2012 г. корпорация Google заявила о глобальном ребрендинге основного интернет-ресурса, распространявшего программы и игры для мобильной платформы Android — Android Market. Сайт был не только переименован в Google Play и получил новый адрес play.google.com, но и объединил в себе такие проекты, как сервис просмотра видео, Android Market, Google Music и Google eBookstore. Злоумышленники не преминули воспользоваться этим событием: в Сети стали один за другим появляться веб-сайты, копирующие своим оформлением официальный Google Play. Некоторые из них были замечены в распространении вредоносного ПО для мобильной платформы Android. Существуют специально разработанные партнерские программы, позволяющие создавать сайты-подделки, с которых посетителям раздаются различные вредоносные приложения, в том числе трояны семейства Android.SmsSend.
Среди угроз для мобильной платформы Android, добавленных в вирусные базы в марте, в «Доктор Веб» выделили трояна Android.Moghava. Вредоносный функционал содержится в модуле, который устанавливается в качестве службы с именем stamper. Запускаясь через определенные промежутки времени, эта служба осуществляет поиск изображений в формате JPEG на карте памяти устройства, а именно — в папке /DCIM/Camera/, куда по умолчанию сохраняются снимки, сделанные фотокамерой телефона. Если троян обнаруживает там графические файлы, на каждую картинку он накладывает дополнительное изображение с портретом аятоллы Хомейни.
Кроме того, в последнее время чрезвычайно широкое распространение получила программа I-Girl, активно рекламируемая в социальных сетях, на форумах и в многочисленных спам-рассылках. Программа представляет собой чат-бота, демонстрируемого на экране мобильного устройства в образе симпатичной девушки. Программа позволяет вести с виртуальной собеседницей переписку в режиме реального времени, пользователь даже может ее раздеть. Однако для общения с ботом требуется платить за каждое сообщение специальной виртуальной валютой — «голосами», и в целях пополнения баланса программа незаметно для пользователя рассылает платные SMS на премиум-номера. Кроме того, I-Girl передает на сайт разработчиков программы ID мобильного устройства, на котором она установлена.
В середине марта злоумышленники открыли для себя новый способ распространения угроз для операционной системы Mac OS X — авторами идеи стали создатели трояна Trojan.Muxler (OSX/Revir). Угроза скрывается в ZIP-архивах, содержащих различные фотографии. Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. Существует предположение, что распространение данных угроз связано с китайско-тибетским конфликтом и направлено, в первую очередь, против различных активистских организаций, борющихся за независимость Тибета, отметили в «Доктор Веб».
При распаковке содержимого архива помимо фотографий на диск сохраняется приложение, значок которого в окне Finder практически не отличается от эскизов других графических изображений. Злоумышленники рассчитывают на невнимательность пользователя: не отличив уменьшенный эскиз фотографии от значка программы, он может случайно запустить это приложение на выполнение.
Распространяемый таким способом бэкдор Trojan.Muxler.3 позволяет выполнять различные команды скачивания и запуска файлов, а также создания скриншотов рабочего стола Mac OS X. Кроме того, Trojan.Muxler.3 загружает из интернета и сохраняет в папку /tmp/ вспомогательный файл CurlUpload, который детектируется антивирусным ПО Dr.Web как Trojan.Muxler.2 и служит для закачки различных файлов с инфицированной машины на удаленный сервер злоумышленников.
Помимо троянов семейства Trojan.Muxler, в последнее время также получила распространение вредоносная программа BackDoor.Lamadai.1, эксплуатирующая уязвимость Exploit.CVE2011-3544, а также трояны BackDoor.Lamadai.2 и BackDoor.Macontrol.1, использующие для своего проникновения на компьютеры жертв уязвимость в документах Microsoft Office for Mac (Exploit.MS09-027.1).
В то же время, в марте специалистами «Доктор Веб» было отмечено распространение новой троянской программы, предназначенной для «майнинга» (добычи) электронной валюты Bitcoin. Запускаясь в инфицированной системе, Trojan.IEMine.1 создает экземпляр COM-объекта браузера Microsoft Internet Explorer с невидимым окном и отдает браузеру команду на открытие принадлежащей злоумышленникам веб-страницы. Данная страница содержит сценарий, написанный на языке JavaScript, который и осуществляет майнинг электронной валюты Bitcoin. Опасность трояна для конечного пользователя заключается в том, что выполняемые на целевой веб-странице расчеты значительно загружают аппаратные ресурсы компьютера, что на ПК со слабой конфигурацией может привести к заметному снижению быстродействия системы.
Кроме того, конкуренция между владельцами игровых серверов, работающих на GoldSource, привела к росту случаев применения против соперников специальных программ-флудеров, которые, в свою очередь, могут быть опасны для самих пользователей. Еще в феврале в свободном доступе появилось несколько приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource. Одно из них, добавленное в вирусные базы Dr.Web под именем Flooder.HLDS, представляет собой программу, обладающую графическим интерфейсом, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе.
Другая вредоносная программа, Flooder.HLDS.2, способна отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО. При этом может быть выбран один из нескольких вариантов взаимодействия с сервером. Оба приложения получили широкое распространение на форумах околоигровой тематики, и число атак на игровые серверы с помощью данных программ в течение месяца значительно возросло, сообщили в «Доктор Веб».
На сегодняшний день в распоряжении специалистов «Доктор Веб» имеются загруженные с игровых форумов экземпляры приложения Flooder.HLDS.2, которое при запуске инфицирует компьютер троянскими программами BackDoor.DarkNess.47 и Trojan.Wmchange.14. Первая из них реализует функции бэкдора и DDoS-бота, второй троян подменяет в памяти инфицированного ПК номера кошельков при операциях с электронной валютой WebMoney с целью кражи денег со счета пользователя. Таким образом, горе-злоумышленники сами становятся жертвами вирусописателей и подвергают свои компьютеры опасности заражения.
По версии «Доктор Веб», двадцатка вредоносных файлов, наиболее распространенных в почтовом трафике в марте 2011 г., выглядит следующим образом:
- JS.Siggen.192 16675353 (42,27%)
- Win32.Rmnet.12 14293914 (36,24%)
- Win32.HLLP.Whboy 3336057 (8,46%)
- Trojan.DownLoad2.24758 1260064 (3,19%)
- Trojan.Oficla.zip 775752 (1,97%)
- Win32.HLLP.Neshta 564643 (1,43%)
- Trojan.Inject.57506 276708 (0,70%)
- Trojan.DownLoad2.32643 194468 (0,49%)
- Trojan.Tenagour.9 180616 (0,46%)
- Trojan.Tenagour.3 152860 (0,39%)
- Trojan.Carberp.208 130417 (0,33%)
- Trojan.Siggen2.62026 116670 (0,30%)
- Trojan.Siggen2.58686 101121 (0,26%)
- Trojan.IFrameClick.3 99859 (0,25%)
- Trojan.PWS.Panda.368 86438 (0,22%)
- Trojan.WMALoader 79203 (0,20%)
- Trojan.Packed.19696 70133 (0,18%)
- Trojan.NtRootKit.6725 46797 (0,12%)
- Trojan.Fraudster.261 42210 (0,11%)
- Trojan.DownLoad2.34604 41211 (0,10%)
В свою очередь, мартовская двадцатка вредоносных файлов, наиболее часто обнаруживаемых на компьютерах пользователей, включает:
- JS.Siggen.192 198194452 (76,33%)
- Win32.Rmnet.12 38403209 (14,79%)
- Win32.HLLP.Neshta 8647504 (3,33%)
- JS.IFrame.112 3918622 (1,51%)
- JS.DownLoader.216 1382451 (0,53%)
- JS.IFrame.167 705427 (0,27%)
- JS.IFrame.95 642246 (0,25%)
- BAT.Batalia.491 475531 (0,18%)
- Trojan.IFrameClick.3 424833 (0,16%)
- Trojan.PWS.Ibank.456 403856 (0,16%)
- JS.IFrame.236 378860 (0,15%)
- Trojan.MulDrop1.48542 368040 (0,14%)
- JS.Autoruner 336441 (0,13%)
- Win32.HLLP.Whboy 279385 (0,11%)
- Trojan.Packed.20771 201975 (0,08%)
- Trojan.Fraudster.261 193834 (0,07%)
- Trojan.Hosts.5571 182009 (0,07%)
- Trojan.DownLoad.968 163980 (0,06%)
- Adware.Predictad.1 147480 (0,06%)
- Win32.Siggen.8 142900 (0,06%)
© CNews