04.10.2010
Доктор Веб: вирусные события сентября 2010 года
Средства массовой информации в сентябре были переполнены сообщениями о начавшейся кибервойне, связанной с распространением вредоносной программы Trojan.Stuxnet, и предположениями о целях создателей данного трояна.Тем временем интернет-мошенники тестировали нестандартные приемы вымогания денег, владельцы бот-сетей использовали беспечность сетевых системных администраторов, а авторы вредоносных программ для Android наносили "точечные удары". Об этом говорится в ежемесячном отчете компании "Доктор Веб".В сентябре СМИ пестрели новостями о трояне Trojan.Stuxnet, появление которого получило широкую огласку в связи с географией распространения. Публикации эти зачастую носили политический характер: распространение Trojan.Stuxnet связывалось с саботажем запуска иранской атомной электростанции, на фоне чего технические новинки вирусописателей, примененные при создании трояна, отошли на второй план. В последних числах сентября появилась информация о том, что данный троянец получил широкое распространение в Китае и направлен против китайских предприятий. Некоторые эксперты пытаются выявить цели авторов программы с помощью лингвистического анализа надписей, обнаруженных в коде трояна.
"Trojan.Stuxnet действительно является достаточно технологичной современной вредоносной программой. Для ее распространения использовалось несколько неизвестных ранее уязвимостей Windows. Несмотря на политику, для специалистов компании "Доктор Веб" этот троян — не более чем еще одна вредоносная программа, от которой необходимо защитить пользователей", - говорят в компании. В настоящее время распространяются и другие, не менее технологичные вирусы, например, 64-битная модификация руткита Trojan.Tdss (известен также как TDL), над организацией лечения которых также ведется кропотливая работа.
В сентябре увеличилось количество запросов по вопросам разблокировки компьютера, а также доступа к сайтам и популярному ПО. Если в августе таких обращений было в среднем 107 в сутки, то в сентябре эта планка поднялась до 124 обращений.
В то же время блокировщики Windows продолжают вытесняться другим мошенническим ПО. В частности, в сентябре появилось несколько троянцев, использующих новые методы перенаправления страниц в браузерах. Появились троянцы, блокирующие возможность работы в интернет-мессенджерах. Из каналов монетизации преступных доходов интернет-мошенников преобладала отправка денег на счет мобильного телефона злоумышленника (около 25%) и отправка платных СМС-сообщений (около 70%), из которых примерно в 80% случаев требовалась отправка платного СМС-сообщения на номер 6681.
За прошедший месяц злоумышленники применили сразу два новых метода, позволяющих подменять страницы в интернет-браузерах пользователей. Как и всегда в таких случаях, не обошлось без внесения дополнительных записей в системный файл hosts, но при этом были использованы новые технологии.
Trojan.Hosts.1581 подменял страницы сайтов нескольких российских банков таким образом, что вводимые на вредоносных сайтах параметры удаленного доступа к банковским счетам отправлялись злоумышленникам. Было обнаружено, что данная модификация Trojan.Hosts обладает руткит-составляющей, позволяющей трояну фильтровать файловые операции и операции с системным реестром.
Трояны семейства Trojan.HttpBlock применили другую тактику. На заражаемом компьютере эта вредоносная программа устанавливает собственный веб-сервер, именно на него и происходит перенаправление с популярных сайтов, в частности с поисковых систем. Целью злоумышленников было вымогание денег за разблокировку доступа к ним.
В конце сентября началось распространение троянца Trojan.IMLock, который после заражения системы блокирует запуск популярных интернет-мессенджеров ICQ, QIP и Skype, выводя при этом сообщение, оформленное в стиле заблокированного ПО. В этом сообщении говорится о том, что для доступа к своему аккаунту пользователь должен отправить платное СМС-сообщение на номер 6681.
В сентябре появилась новая вредоносная программа для Android (Android.SmsSend.2), которая по функционалу мало отличалась от известных ранее — рассылала платные СМС-сообщения с зараженных мобильных устройств. Но при этом важной особенностью Android.SmsSend.2 явился тот факт, что эта программа начинала загружаться с вредоносного сайта только тогда, когда пользователь заходил туда с мобильного устройства под управлением Android. Видимо, это, по задумке злоумышленников, должно воспрепятствовать мониторингу вредоносных сайтов, с которых рассылаются подобные троянцы.
В конце сентября специалисты компании "Доктор Веб" обнаружили бот-сеть, состоящую из компьютеров, на которых установлена и работает серверная часть ПО Radmin. Это ПО широко используется для удаленного управления компьютерами. Вредоносная программа, которая заражает компьютеры и подключает их к бот-сети, по классификации Dr.Web получила наименование Win32.HLLW.RAhack.
Заражение происходило лишь на тех компьютерах, на которых административный пароль для доступа к Radmin оказывался в списке известных червю паролей. Оказалось, что простые пароли используют многие администраторы.
"Если говорить о возможных тенденциях октября 2010 года, то в этом месяце вполне можно ждать новые типы вредоносных программ, которые подменяют страницы при просмотре некоторых сайтов в браузере, а также позволяют осуществлять новые схемы интернет-мошенничества. Это две наиболее доходные статьи незаконного заработка киберпреступников в последнее время. Владельцы бот-сетей, которые часто являются транспортом для распространения вредоносных программ, будут и далее пытаться создать их на основе нестандартных программных либо аппаратных решений, т.к. в этом случае достигается главная цель – пользователь часто не подозревает о том, что компьютер заражен", - говорят антивирусные аналитики.