"Доктор Веб" раскрыл первый в истории масштабный ботнет для Mac OS X
В начале апреля 2012 года специалисты компании "Доктор Веб" обнаружили первую в истории масштабную бот-сеть, состоящую из компьютеров, работающих под управлением операционной системы Mac OS X. Она была создана с использованием вредоносной программы BackDoor.Flashback.39. Чуть позже компания объявила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила 1 млн инфицированных компьютеров.
Еще в конце марта "Доктор Веб" стал получать сообщения о том, что преступники активно используют известные уязвимости Java с целью распространения вредоносных программ для Mac OS X. BackDoor.Flashback.39, как и многие другие подобные ей программы, имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются троянцем в качестве управляющих серверов. Такой подход, во-первых, позволяет значительно увеличить "живучесть" сети, а во-вторых, оперативно перераспределять нагрузку между командными центрами, если создаваемый ботами трафик превысит некие критические значения. С другой стороны, это дает возможность специалистам по информационной безопасности вычислить используемый троянцем метод выбора управляющих центров и создать поддельный командный сервер с целью собрать необходимую статистику или даже перехватить управление сетью. Данный подход носит наименование "sinkhole" и широко используется в антивирусной практике.
Для того чтобы заразиться троянской программой, в операционной системе должна быть установлена Java и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет - специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя.
Большая часть заражений пришлась на долю США (56,6% инфицированных узлов). На втором месте расположилась Канада (19,8%), на третьем - Великобритания (12,8%), на четвертом - Австралия (6,1%).
4 апреля Apple выпустила обновление Java, закрывающее используемую троянцем BackDoor.Flashback уязвимость, однако если компьютер уже был инфицирован ранее, установка обновления не защищала пользователя от действия вредоносной программы. Вскоре количество зараженных устройств превысило 800 000.
По заявлению компании "Доктор Веб", одно из лидирующих мест среди угроз, заражающих рабочие станции под управлением Microsoft Windows, сегодня занимает файловый вирус Win32.Rmnet.12. Его распространение происходит несколькими путями, в частности, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.
Наибольшее количество зараженных ПК приходится на долю Индонезии (27,12%). На втором месте находится Бангладеш (14,08%), на третьем - Вьетнам (13,08%). Далее следуют Индия (7,05%), Пакистан (3,9%), Россия (3,6%), Египет (2,8%), Нигерия (2,3%), Непал (2,3%) и Иран (2,0%).
В середине апреля в антивирусную лабораторию "Доктор Веб" стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, троянец отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.
Троянец имеет англоязычный интерфейс, но случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Тревожные сообщения поступали и от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния.
© @Astera
