Трояны зовут на митинги
Компания "Доктор Веб" сообщила результаты исследования мартовской вирусной активности. Этот месяц ознаменовался появлением целого ряда новых угроз как для операционной системы Microsoft Windows, так и для других платформ.
По данным статистики Dr.Web CureIt!, абсолютным лидером по числу обнаружений в марте стала вредоносная программа Trojan.Mayachok.1, блокирующая на инфицированном компьютере доступ к интернету. Широкое распространение получили и банковские троянцы, в частности, семейства Trojan.Carberp, предназначенные в основном для похищения паролей от программ дистанционного банковского обслуживания и торговых платформ.
5 марта специалистами антивирусной компании была зафиксирована массовая почтовая рассылка, содержащая призывы принять участие в протестном митинге оппозиции в Москве. Сообщения содержали короткий текст: "Внимательно изучи инструкцию, что необходимо будет делать на этом митинге", "Митинг против Путина. Внимательно прочитай инструкцию" или "Очень важно, чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию", и вложенный файл, представляющий собой документ Microsoft Word с именем Инструкция_митинг.doc. Данный документ включал в себя несколько макросов, которые в момент открытия файла в текстовом редакторе сохраняли на диск и запускали на исполнение программу Trojan.KillFiles.9055, предназначенную для выведения из строя инфицированной системы Windows.
На следующий день, 6 марта, Google заявила о глобальном ребрендинге Android Market. Сайт был не только переименован в Google Play и получил новый адрес play.google.com, но и объединил в себе такие проекты, как сервис просмотра видео, Android Market, Google Music и Google eBookstore. Подобные действия не могли не привлечь злоумышленников: в сети стали появляться сайты, копирующие своим оформлением официальный Google Play. Некоторые из них были замечены в распространении вредоносного ПО для мобильной платформы Android. Существуют специально разработанные партнерские программы, позволяющие создавать сайты-подделки, с которых посетителям раздаются различные вредоносные приложения, в том числе троянцы семейства Android.SmsSend.
Вместе с тем еще не все пользователи Android осведомлены, что Android Market больше не существует. В интернете опубликовано огромное количество статей, написанных различными экспертами, в которых владельцам мобильных устройств рекомендуется скачивать ПО только с официального сайта Android Market. Пользователи обращаются с соответствующими запросами к поисковым системам и получают в выдаче ссылки на сайты, подражающие своим оформлением оригинальному порталу Android Market. Часть из них предлагает для загрузки вполне безопасные программы и игры, однако встречаются среди подобных ресурсов и сайты, распространяющие вредоносное ПО.
В середине месяца киберпреступники открыли и новый способ распространения угроз для операционной системы Mac OS X. Авторами идеи стали создатели троянца Trojan.Muxler (OSX/Revir). Угроза скрывается в ZIP-архивах, содержащих различные фотографии. Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. При распаковке содержимого архива помимо фотографий на диск сохраняется приложение, значок которого в окне Finder практически не отличается от эскизов других графических изображений. В данном случае злоумышленники рассчитывают на невнимательность пользователя: не отличив уменьшенный эскиз фотографии от значка программы, он может случайно запустить это приложение на выполнение. Trojan.Muxler.3 позволяет выполнять различные команды скачивания и запуска файлов, а также создания скриншотов рабочего стола Mac OS X. Кроме того, вирус загружает из интернета и сохраняет в папку /tmp/ вспомогательный файл CurlUpload, который детектируется антивирусным ПО Dr.Web как Trojan.Muxler.2 и служит для закачки различных файлов с инфицированной машины на удаленный сервер злоумышленников.
В последнее время также получила распространение вредоносная программа BackDoor.Lamadai.1, эксплуатирующая уязвимость Exploit.CVE2011-3544, а также троянцы BackDoor.Lamadai.2 и BackDoor.Macontrol.1, использующие для своего проникновения на компьютеры жертв уязвимость в документах Microsoft Office for Mac (Exploit.MS09-027.1).
В марте специалистами компании "Доктор Веб" также было отмечено распространение новой троянской программы, предназначенной для добычи электронной валюты Bitcoin. Запускаясь в инфицированной системе, Trojan.IEMine.1 создает экземпляр COM-объекта браузера Microsoft Internet Explorer с невидимым окном и отдает браузеру команду на открытие принадлежащей злоумышленникам веб-страницы. Данная страница содержит сценарий, написанный на языке JavaScript, который и осуществляет добычу электронной валюты Bitcoin. Опасность для конечного пользователя заключается в том, что выполняемые на целевой веб-странице расчеты значительно загружают аппаратные ресурсы компьютера, что на ПК со слабой конфигурацией может привести к заметному снижению быстродействия системы.
Конкуренция между владельцами игровых серверов, работающих на GoldSource, привела к росту случаев применения против соперников специальных программ-флудеров, которые, в свою очередь, могут быть опасны для самих пользователей. В феврале в свободном доступе появилось несколько приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource. Flooder.HLDS представляет собой программу, обладающую графическим интерфейсом, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе. Другой вредонос, Flooder.HLDS.2, способен отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО. При этом может быть выбран один из нескольких вариантов взаимодействия с сервером. Оба приложения получили широкое распространение на форумах околоигровой тематики. Число атак на игровые серверы с помощью данных программ в течение марта значительно возросло.
© @Astera
