Ликвидация ботнета Rustock стала главной новостью марта в сфере ИБ
В сфере информационной безопасности в марте 2011 года произошло множество изменений. В числе главных новостей - ликвидация крупнейшей в мире спам-сети, ботнета Win32.Ntldrbot, известного также под названием Rustock. 17 марта стали недоступны 26 его командных центров.
По оценкам Microsoft, компьютер, зараженный Win32.Ntldrbot, рассылал до 10 000 писем в час. При этом, по данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом, можно оценивать в несколько миллиардов сообщений в сутки. Ответственность за "уничтожение" Win32.Ntldrbot взяла на себя корпорация Microsoft, которая провела операцию совместно с американскими властями.
Также в марте компания "Доктор Веб" заявила об обнаружении новой модификации троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Этот вирус изменяет номера счетов получателей платежей, а последняя его модификация, вероятно, даже позволяет злоумышленникам создать виртуальный терминал.
Заражение терминала происходит в два этапа. Сначала на него попадает BackDoor.Pushnik, который представляет собой запакованный исполняемый файл размером около 620 Кб, и распространяется через сменные носители. После установки троянец получает управляющие данные от своих командных центров и, через несколько промежуточных шагов, загружает и запускает бинарный файл размером 60-70 Кб, содержащий Trojan.PWS.OSMP. Тот перебирает запущенные процессы в поисках процесса maratl.exe, являющегося частью программного окружения платежных терминалов. Далее троянец внедряется в процесс и изменяет счет получателя непосредственно в памяти процесса.
Компания Adobe объявила в марте об обнаружении очередной уязвимости в проигрывателе Adobe Flash Player 10.2.152.33 и некоторых более ранних версиях. Она позволяла злоумышленникам атаковать систему при помощи специально оформленного swf-файла. Уязвимость является общей для версий данного программного продукта для Windows, Mac OS, Linux, Solaris и ранних версий Android.
Еще одним подтверждением активности преступников стала массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal. Похожей атаке в марте подвергся и Facebook. Его пользователи стали получать спам-сообщения, рассылаемые от имени действующих аккаунтов. В сообщениях содержалась короткая ссылка, приводящую пользователей на мошенническую страницу, копирующую дизайн Facebook. На этой странице размещалось уведомление с запросом личной информации пользователя. В случае заполнения полей запроса злоумышленники получали доступ к аккаунту жертвы, от имени которой в дальнейшем происходила аналогичная рассылка по списку друзей.
За катастрофой в Японии последовала волна спама соответствующей тематики. Некоторые образцы рассылок содержали призывы к пожертвованиям, при этом в качестве отправителя фигурировала одна из известных благотворительных организаций, а в теле письма присутствовала ссылка на мошеннический ресурс, готовый принимать пожертвования. В других случаях пользователей заманивали на вредоносные ресурсы путем предложения просмотреть видеоролик о катастрофе. При переходе по предлагаемой ссылке на компьютер пользователя устанавливался Trojan.FakeAlert.
Подобные рассылки зафиксированы по всему миру. Так злоумышленники распространяют широкий спектр троянского ПО - лжеантивирусы, поддельные системные утилиты, всевозможные блокировщики.
© @Astera
