Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

В Кирове успешно завершилась совместная операция правоохранительных органов и <<Лаборатории Касперского>> против киберпреступников


Антивирусный "хостинг"

Клуб пользователей антивирусных услуг (Saas, Cloud)

добавить на Яндекс
Антивирусы и безопасность (SaaS, Cloud ...)
av-host.net

В Кирове успешно завершилась совместная операция правоохранительных органов и «Лаборатории Касперского» против киберпреступников
2014-06-05 17:32

KMM поделился ссылкой

В Кирове успешно завершилась совместная операция правоохранительных органов и «Лаборатории Касперского» против киберпреступников

Специалисты отдела расследования компьютерных инцидентов и экспертно-аналитического подразделения «Лаборатории Касперского» оказали экспертную поддержку сотрудникам Управления «К» МВД России, которые совместно с ЦИБ ФСБ России и УФСБ России по Кировской области пресекли деятельность мошенников, причастных к многомиллионным хищениям денежных средств с расчетных счетов как физических лиц, так и организаций.


Обзор вирусной активности в мае 2014 года
2014-06-05 17:42

KMM поделился ссылкой

Обзор вирусной активности в мае 2014 года

5 июня 2014 года

В мае 2014 года специалисты компании «Доктор Веб» выявили рекордное по сравнению с предыдущими месяцами количество вредоносных программ, заражающих компьютеры под управлением операционных систем семейства Linux. Помимо этого, во второй половине месяца аналитики «Доктор Веб» продолжили глубокое исследование сложного многокомпонентного файлового вируса Win32.Sector. Также традиционно было выявлено значительное количество разнообразных троянцев для операционной системы Google Android — включая добавленный в вирусные базы в конце мая первый энкодер для данной мобильной платформы.

Вирусная обстановка

Согласно статистическим данным, собранным в течение мая при помощи лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой в минувшем месяце оказался Trojan.Packed.24524 — установщик нежелательных и сомнительных приложений. На втором месте расположилась рекламная надстройка для браузеров Trojan.BPlug.48, а на третьем — рекламный троянец Trojan.InstallMonster.51. Двадцатка наиболее «популярных» вредоносных программ, обнаруженных на компьютерах пользователей с помощью лечащей утилиты Dr.Web CureIt! в мае 2014 года, приведена в следующей таблице:

НазваниеКол-во%
Trojan.Packed.24524798006.15
Trojan.BPlug.48402243.10
Trojan.InstallMonster.51369902.85
Trojan.BPlug.28345872.67
Trojan.BPlug.47293472.26
Trojan.Runner.27281042.17
Trojan.BPlug.35254941.97
Trojan.BPlug.17242561.87
Trojan.Popupads.15145961.13
Trojan.DownLoader11.3101139401.07
Trojan.Packed.25266123220.95
Trojan.LoadMoney.1118110.91
Trojan.MulDrop5.10078115610.89
Trojan.Ormes.2112800.87
Trojan.Triosir.1109800.85
Trojan.BPlug.46106710.82
Trojan.LoadMoney.262104120.80
Trojan.InstallMonster.61100260.77
Trojan.LoadMoney.1597200.75
BackDoor.Maxplus.2485020.66

Ботнеты

По-прежнему функционирует ботнет, состоящий из рабочих станций, инфицированных файловым вирусом Win32.Rmnet.12. В первой из двух контролируемых специалистами компании «Доктор Веб» подсетей ежесуточная активность составляет в среднем 165 000 зараженных ПК, что практически полностью соответствует показателям прошлого месяца — активность этой подсети продемонстрирована на следующем графике:

Активность ботнета Win32.Rmnet.12 в мае 2014 года (1-я подсеть)

Во второй подсети Win32.Rmnet.12 также наблюдалась стабильная активность: ежесуточно к командным серверам обращалось в среднем 250 000 инфицированных ПК.

Проявляет активность и бот-сеть, состоящая из компьютеров, на которых фиксируется наличие вредоносного модуля Trojan.Rmnet.19. Активность этого ботнета представлена на следующей диаграмме:

Среднесуточная активность ботнета Trojan.Rmnet.19

Число компьютеров, работающих под управлением Mac OS X, инфицированных троянской программой BackDoor.Flashback.39, продолжает постепенно снижаться: в конце мая общее количество инфицированных «маков» составило 15 623, что на 2 682 меньше по сравнению с прошлым месяцем. На иллюстрации ниже представлена текущая активность этой бот-сети:

Среднесуточная активность ботнета BackDoor.Flashback.39

В мае 2014 года аналитики компании «Доктор Веб» исследовали многокомпонентный файловый вирус Win32.Sector. Основное его предназначение — загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов. Особенность ботнета, состоящего из инфицированных Win32.Sector компьютеров, заключается в том, что в силу архитектуры вируса он не имеет командных серверов, а использует для обмена данными список IP-адресов других инфицированных компьютеров. При помощи команд, позволяющих вирусу проверить наличие NAT в сети зараженной машины (если он отсутствует, бот получает уникальный идентификационный номер ID) и получить список IP-адресов других инфицированных ПК, специалистам «Доктор Веб» удалось оценить размеры бот-сети. В среднем ежесуточно активность проявляет около 60 000 инфицированных рабочих станций. График активности бот-сети Win32.Sector представлен ниже:

Среднесуточная активность ботнета Win32.Sector

С точки зрения географии распространения, больше всего зараженных вирусом Win32.Sector узлов расположено на территории Тайваня, на втором месте по числу заражений находится Египет, на третьем — Индия.

В настоящее время с использованием бот-сети Win32.Sector распространяется несколько вредоносных программ:

  • Trojan.PWS.Stealer.1630 — программа для хищения паролей и другой конфиденциальной информации;
  • Trojan.Mssmsgs.4048 — плагин для рассылки спама;
  • Trojan.DownLoader8.17844 — http- и socks5-прокси;
  • Trojan.DownLoader10.49375 — http- и socks5-прокси;
  • Trojan.Siggen6.11882 — DNS-туннель (53 udp порт), ТСР-туннель (80 порт);
  • Trojan.Rbrute — троянец для взлома Wi-Fi-роутеров;
  • Trojan.Proxy.26841 — туннель для передачи http-трафика на заданные узлы.

Также в конце мая 2014 года специалисты компании «Доктор Веб» обнаружили в сети Win32.Sector новый модуль, предназначенный для поиска открытых RDP-портов (3389) по заданному диапазону IP-адресов. Модуль получил наименование Trojan.RDPCheck.

Более подробная информация об архитектуре и распространении данного файлового вируса представлена в нашей обзорной статье.

Под угрозой — Linux

В мае компания «Доктор Веб» сообщила об обнаружении рекордного (по сравнению с предыдущими месяцами) числа вредоносных программ, ориентированных на различные версии Linux, значительная часть которых была создана злоумышленниками для проведения DDoS-атак. Так, Linux.DDoS.3 позволяет осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification). Еще одна модификация данной угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS.

Следующая группа угроз для ОС Linux, исследованных специалистами «Доктор Веб» в минувшем месяце, получила общее наименование Linux.DnsAmp. Некоторые вредоносные программы этого семейства используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux.

Наконец, следует упомянуть о вредоносной программе Linux.Mrblack одна из модификаций данной угрозы предназначена для ARM-совместимых дистрибутивов Linux, другая — для 32-разрядных. Этот троянец также предназначен для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP. Он имеет довольно примитивную архитектуру и, подобно другим аналогичным угрозам, действует по команде с управляющего сервера.

Уже после публикации на сайте компании «Доктор Веб» информационного материала, посвященного описанию внутреннего устройства и принципов работы этих угроз, вирусные аналитики добавили в вирусные базы записи еще для нескольких вредоносных программ, выделенных в отдельное семейство Linux.BackDoor.Gates. Эти троянцы сочетают в себе функции DDoS-бота и классического бэкдора. Более подробно об одном из представителей данного семейства Linux-троянцев мы расскажем в одной из наших ближайших новостей.

И вновь энкодеры

В течение мая в службу технической поддержки компании «Доктор Веб» обратилось 560 пользователей, пострадавших от различных энкодеров, при этом более 100 из них стали жертвами троянца-шифровальщика Trojan.Encoder.293. Этот троянец, написанный на языке Delphi, шифрует файлы в два этапа: на первом — с использованием алгоритма XOR, на втором — с помощью технологии RSA. К зашифрованным файлам Trojan.Encoder.293 добавляет расширения Support@casinomtgox.com, ONE@AUSI.COM, two@AUSI.COM и three@ausi.com.

Благодаря исследованиям, проведенным специалистами компании «Доктор Веб», теперь существует возможность с большой долей вероятности расшифровать пострадавшие от Trojan.Encoder.293 файлы с перечисленными выше расширениями, даже если на диске не сохранился сам файл троянской программы. При наличии шифровальщика расшифровке поддаются все файлы.

Угрозы для мобильной платформы Android

Последний весенний месяц текущего года оказался весьма насыщенным в плане появления новых Android-угроз. Так, в начале мая в вирусную базу компании «Доктор Веб» была внесена запись для троянца Android.Locker.1.origin, созданного с целью блокирования мобильных устройств и последующего вымогательства денег у пострадавших пользователей. По задумке злоумышленников, вредоносная программа должна была ограничить работу зараженной системы, постоянно демонстрируя сообщение о серьезном нарушении закона и последовавшей в связи с этим блокировкой, однако вместо этого Android.Locker.1.origin во многих случаях отображал лишь белый экран или безобидное изображение-заставку. Тем не менее, сама блокировка действовала весьма эффективно, т. к. вредоносное приложение периодически активировало свое основное рабочее окно и препятствовало нормальной работе с мобильным устройством.

Для борьбы с подобными угрозами пострадавшим пользователям рекомендуется включить безопасный режим операционной системы, после чего удалить соответствующую троянскую программу. В ряде случаев удаление также можно произвести путем последовательных попыток доступа к системным настройкам, однако для этого может потребоваться определенная сноровка и терпение.

Выявленный чуть позднее аналогичный троянец-вымогатель (Android.Locker.2.origin по классификации компании «Доктор Веб») действовал куда более агрессивно. Помимо описанного выше ограничения функционала операционной системы он выполнял и намного более опасную функцию, а именно производил поиск и шифрование с использованием алгоритма AES широкого спектра пользовательских файлов, таких как фотографии, видео и документы, после чего требовал денежное вознаграждение за их расшифровку. От действий троянца могут пострадать файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp. Фактически, данная вредоносная программа является первым полноценным троянцем-энкодером для мобильной ОС Android, появление которого свидетельствует о расширении поля деятельности киберпреступников, занимающихся вымогательством при помощи печально известных Windows-троянцев семейства Trojan.Encoder.

Данный троянец способен устанавливать связь с принадлежащим злоумышленникам управляющим сервером и передавать на него различные данные об инфицированном устройстве (включая, например, идентификатор IMEI).

В середине месяца вирусная база компании «Доктор Веб» пополнилась очередной записью для троянца из семейства Android.MMarketPay, представители которого осуществляют автоматическую оплату цифрового контента в различных электронных каталогах на китайском рынке.

В отличие от большинства других троянцев этого семейства, нацеленных на автоматическую покупку игр и приложений, новая вредоносная программа Android.MMarketPay.8.origin предназначалась для приобретения разнообразных игровых карточек, при этом она также могла обходить существующие меры защиты провайдеров услуг, такие как проверочные изображения CAPTCHA, а также СМС-подтверждения. В частности, для распознавания проверочных изображений троянец загружал их на сайт специализированного сервиса, а на заключительном этапе перехватывал поступающие контрольные СМС и автоматически отвечал на них.

Помимо данной вредоносной программы, в мае китайские пользователи вновь столкнулись с угрозой со стороны троянца Oldbot. Новая модификация, получившая имя Android.Oldboot.4.origin, как и прежде, оказалась предустановлена на множестве реализуемых на местном рынке мобильных устройств и предназначалась для скрытой загрузки и установки различных приложений.

Снова не обошлось без угроз, размещенных в официальном каталоге приложений Google Play. В частности, в конце мая вирусными аналитиками «Доктор Веб» была обнаружена утилита, имеющая в своем составе скрытый функционал: по команде с сервера она могла отправить СМС-сообщения на премиум-номера, а также загружать и устанавливать различные приложения. Т. к. подобные опасные действия никак не контролировались пользователями, данная утилита была внесена в вирусную базу как Android.Backdoor.81.origin. Подробнее об этом случае рассказано в информационном сообщении на сайте компании «Доктор Веб».

Кроме того, в мае продолжились массовые спам-рассылки СМС-сообщений, предназначенные для распространения Android-троянцев среди южнокорейских пользователей. На протяжении всего месяца специалистами компании «Доктор Веб» было зафиксировано более 180 подобных рассылок, при этом большая их часть была связана с троянцами Android.SmsBot.75.origin (33,69%), Android.Spy.40.origin (16,58%), Android.MulDrop.18.origin (16,04%), Android.Spy.64.origin (7,49%), Android.SmsSpy.82.origin (5,88%) и Android.Spy.45.origin (4,28%).

Вредоносные файлы, обнаруженные в почтовом трафике в мае

 01.05.2014 00:00 - 31.05.2014 23:00 
1Trojan.DownLoad3.327840.84%
2Trojan.Fraudster.7780.64%
3Trojan.PWS.Panda.56760.57%
4Exploit.PDF.80110.56%
5Trojan.PWS.Panda.72780.56%
6Win32.HLLM.MyDoom.544640.50%
7Trojan.DownLoader11.86760.47%
8PDF.FakeLink.10.45%
9Trojan.DownLoad3.332160.45%
10Trojan.DownLoad3.281610.45%
11Trojan.DownLoad3.333540.45%
12Trojan.SkypeSpam.110.44%
13Exploit.CVE-2010-0188.90.42%
14Trojan.PWS.Panda.47950.42%
15Trojan.DownLoad3.334980.40%
16Trojan.Packed.267750.39%
17Win32.HLLM.MyDoom.338080.36%
18Trojan.Fraudster.5170.36%
19Trojan.PWS.Panda.24010.34%
20BackDoor.Comet.8840.30%

Вредоносные файлы, обнаруженные в мае на компьютерах пользователей

 01.05.2014 00:00 - 31.05.2014 23:00 
1SCRIPT.Virus1.29%
2Trojan.Packed.245240.59%
3JS.Redirector.2280.53%
4Trojan.LoadMoney.2620.46%
5Tool.Unwanted.JS.SMSFraud.260.44%
6Trojan.InstallMonster.510.43%
7Trojan.MulDrop5.100780.40%
8Adware.Downware.20950.37%
9Adware.OpenCandy.40.37%
10Adware.Downware.1790.36%
11JS.IFrame.5660.34%
12Adware.Toolbar.2400.34%
13Tool.Skymonk.140.33%
14BackDoor.IRC.NgrBot.420.33%
15Adware.OpenCandy.30.33%
16Adware.NextLive.20.32%
17Trojan.InstallMonster.2090.31%
18Adware.Conduit.330.30%
19Trojan.InstallMonster.1460.29%
20Adware.Bandoo.130.29%


Linux.BackDoor.Gates.5 – еще один троянец для Linux
2014-06-05 17:42

KMM поделился ссылкой

Linux.BackDoor.Gates.5 – еще один троянец для Linux

5 июня 2014 года

Укоренившееся в сознании некоторых пользователей мнение о том, что для операционных систем, построенных на базе ядра Linux, на сегодняшний день не существует серьезных угроз, все чаще подвергается испытаниям на прочность. В мае 2014 года специалисты антивирусной компании «Доктор Веб» обнаружили рекордное по сравнению с предыдущими месяцами число вредоносных программ для Linux, и уже в июне этот список пополнился новыми представителями Linux-троянцев, получивших общее название Linux.BackDoor.Gates.

Вредоносные программы семейства Linux.BackDoor.Gates, об одном из представителей которого, Linux.BackDoor.Gates.5, мы хотели бы рассказать в этой статье, сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторами являются те же вирусописатели, которые разработали троянцев семейств Linux.DnsAmp и Linux.DDoS. Троянец состоит из двух функциональных модулей: основной представляет собой бэкдор, способный выполнять поступающие от злоумышленников команды, второй, сохраняемый на диск основным модулем в процессе установки троянца, предназначен для осуществления DDoS-атак. В ходе своей работы Linux.BackDoor.Gates.5 собирает и передает злоумышленникам следующую информацию об инфицированном компьютере:

  1. Количество ядер CPU (читает из /proc/cpuinfo).
  2. Скорость CPU (читает из /proc/cpuinfo).
  3. Использование CPU (читает из /proc/stat).
  4. IP Gate'a (читает из /proc/net/route).
  5. MAC-адрес Gate'a (читает из /proc/net/arp).
  6. Информацию о сетевых интерфейсах (читает из /proc/net/dev).
  7. MAC-адрес сетевого устройства.
  8. Объем памяти (используется параметр MemTotal из /proc/meminfo).
  9. Объем переданных и полученных данных (читает из /proc/net/dev).
  10. Название и версию ОС (с помощью вызова команды uname).

После своего запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен, и в зависимости от полученного результата может реализовать четыре возможные модели поведения.

Если путь расположения исполняемого файла бэкдора отличен от путей утилит netstat, lsof, ps, то троянец запускает себя в системе как демон, после чего начинает процедуру инициализации, в процессе которой расшифровывает из своего тела конфигурационный файл. Этот файл содержит различные данные, необходимые для работы троянца, такие как, например, IP-адрес и порт управляющего сервера, параметры установки бэкдора и некоторые другие.

В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле троянец либо самостоятельно соединяется с управляющим сервером, либо ожидает входящего соединения — после успешной установки такового бэкдор проверяет IP-адрес обращающегося к нему узла и работает с ним, как с командным сервером.

В процессе своей установки троянец проверяет файл /tmp/moni.lock, и, если он не пустой, читает записанное в него значение (PID процесса) и «убивает» процесс с таким ID. Затем Linux.BackDoor.Gates.5 проверяет, запущен ли в системе DDoS-модуль и собственный процесс бэкдора (если они запущены, эти процессы также «убиваются»). Если в файле конфигурации установлен специальный флаг g_iIsService, то троянец прописывает себя в автозагрузку, записывая строку #!/bin/bash\n<path_to_backdoor> в файл /etc/init.d/, после чего Linux.BackDoor.Gates.5 создает следующие символические ссылки:

ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

Если в конфигурационном файле установлен флаг g_bDoBackdoor, троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty и запускает. На финальном этапе установки Linux.BackDoor.Gates.5 создает еще одну собственную копию в папке /usr/bin/ с именем, записанным в конфигурационном файле, а также замещает собой следующие утилиты:

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

На этом процесс установки троянца завершается и вызывается функция для выполнения его основных задач.

В случае использования двух других алгоритмов поведения троянец также стартует на инфицированном компьютере как демон, проверяет, запущены ли его компоненты путем чтения соответствующего .lock-файла (и, если нет, запускает их), однако использует разные имена для сохранения файлов и регистрации себя в автозагрузке.

Установив связь с командным сервером, Linux.BackDoor.Gates.5 получает от него конфигурационные данные с заданием, которое должен выполнить бот. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом, выполнить команду из блока конфигурационных данных или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес.

Основной целью DDoS-атак, осуществляемых с помощью этого бэкдора, являются китайские серверы, однако среди избранных злоумышленниками целей встречаются и другие страны — географическое распределение DDoS-атак, реализованных с использованием этого троянца, показано на следующей иллюстрации:

map

Данная вредоносная программа внесена в вирусные базы Dr.Web и потому не представляет опасности для пользователей наших антивирусных продуктов.



Почему Windows XP больше не соответствует требованиям современного бизнеса
2014-06-05 18:21

KMM поделился ссылкой

Почему Windows XP больше не соответствует требованиям современного бизнеса

В статье рассматриваются различные аспекты использования Windows XP в современных реалиях — с точки зрения информационной безопасности, общей производительности в информационных инфраструктурах, а также её работа на мобильніх устройствах.

подробнее



В избранное