rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Опасности января. Зловреды ищут пути

Как отмечают эксперты в области информационной безопасности, первый месяц нового года в целом не преподнес серьезных неприятных сюрпризов с точки зрения информационной безопасности. Тем не менее, эксперты компаний-разработчиков антивирусных решений отмечают, что в январе 2012 года более четко проявились несколько тенденций в части вирусной активности, а точнее способов распространения вредоносного кода. В частности, эксперты говорят о выявлении новых способов распространения вредоносных ссылок среди пользователей поисковых систем, а также увеличение числа вредоносных сценариев, которые перенаправляют пользователей на злонамеренные ресурсы, что показывает достаточно высокий процент компрометации легальных ресурсов Рунета. Кроме того, традиционно под ударом в январе оказались пользователи систем ДБО (отмечено появление нескольких новых банковских троянцев) и завсегдатаи социальных сетей.

Как отмечают эксперты компании Dr.Web, в январе 2012 года был выявлен новый способ распространения вредоносных ссылок среди пользователей поисковых систем. Как отмечается в очередном исследовании специалистов компании Dr.Web, в январе сетевые мошенники обратили свое внимание на формат выдачи ссылок поисковыми системами. В процессе поиска нужных ему сведений пользователь нередко выполняет сразу несколько обращений к поисковым системам, открывая в новых вкладках или окнах браузера отдельные страницы отчета поисковиков, содержащие найденные в индексе ссылки. Такие страницы принято называть «выдачей поисковой системы» (Search Engine Results Page, SERP). Именно эти страницы и стали подделывать мошенники, надеясь на то, что в суматохе пользователь не заметит подсунутую ему «лишнюю» страничку с поисковой выдачей. Кроме того, большинство людей относится к страницам выдачи поисковых систем с большей степенью доверия, чем к простому набору ссылок. В некоторых случаях мошенники даже подделывают целые поисковые системы, как, например, поступили создатели псевдопоискового сервиса LiveTool, интерфейс которого практически полностью копирует оформление «Яндекса», а ссылка «О компании» ведет на мошеннический сайт, имитирующий страницу социальной сети «В Контакте».

Страничка поддельной поисковой системы может открыться автоматически при переходе по ссылке в выдаче настоящего поисковика. Кроме того, созданная злоумышленниками страница SERP обычно содержит ссылки, релевантные введенному ранее пользователем запросу, и потому на первый взгляд не вызывает каких-либо подозрений. В свою очередь, переход по ссылкам уже с этой страницы может привести потенциальную жертву на мошеннический сайт или ресурс, распространяющий вредоносное ПО. В настоящее время среди подобных ссылок замечены поддельные сайты, имитирующие странички социальных сетей, ресурсы, предлагающие сомнительные услуги на условиях псевдоподписки, и сайты распространяющие ПО семейства Trojan.SmsSend.

Кстати, о популярности такого способа распространения вредоносных программ как продвижение вредоносных сайтов в поисковых системах говорят и эксперты компании Eset. В особенности этот способ распространения популярен в преддверии праздничных дней, когда пользователи активно ищут подарки в Интернете.  При поиске подарка в топе выдачи поисковой системы могут оказаться ссылки на опасные сайты.

Возвращаясь к угрозам января, эксперты Eset среди прочих тенденций указывают на увеличение числа вредоносных сценариев, которые перенаправляют пользователей на злонамеренные ресурсы. «Наличие в этом месяце большого числа срабатываний наших продуктов на различные вредоносные сценарии, которые перенаправляют пользователей на злонамеренные ресурсы, показывает высокий процент компрометации легальных ресурсов Рунета», - говорит директор Центра вирусных исследований и аналитики Eset Александр Матросов.

По данным Eset, кстати, российскую десятку вредоносного ПО с показателем 8,77% в январе 2012 года возглавило семейство угроз HTML/ScrInject.B.Gen, которое с помощью Java-скриптов перенаправляет пользователя на опасные ресурсы, что позволяет киберпреступникам совершать атаки на компьютер. Однако влияние данной угрозы в России ослабевает - доля присутствия этого вредоносного ПО составила 8,77%, что меньше показателя декабря на 4,86%. Подобная киберугроза, семейство HTML/Iframe.B.Gen, расположилась на третьем месте российской десятки с долей проникновения в 2,36%.

В свою очередь, о том, что в январе злоумышленники обратили внимание на владельцев мобильных телефонов с поддержкой Java, использующих возможности социальной сети «В Контакте» говорят эксперты компании Dr.Web. По их данным, после новогодних праздников участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают пользователям скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети «ВКонтакте». В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями данной социальной сети. Программа представляет собой файл в формате .jar, способный запуститься практически на любом мобильном устройстве с поддержкой Java. В процессе установки приложение отсылает SMS-сообщение на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте злоумышленников полученный в ответном SMS код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться определенная сумма.

Возвращаясь к исследованию Eset за январь, эксперты этой компании отмечают, что в Российском пространстве Интернета по-прежнему популярной остается злонамеренная программа Win32/Spy.Ursnif.A, которая крадет персональную информацию и учетные записи с зараженного компьютера, а затем отправляет их на удаленный сервер мошенников. В январе процент проникновения Spy.Ursnif составил 2,83%, что позволило ей удержать второе место российского рейтинга. Также в регионе высок процент распространения вредоносной программы Win32/Qhost (1,91% от общего числа угроз), которая модифицирует файл hosts и перенаправляет пользователя на фишинговые ресурсы.

Еще об одной тенденции говорится в отчете компании Dr.Web. В январе 2012 года, по данным этого разработчика, на 25% сократилось число обращений в службу технической поддержки со стороны пользователей, пострадавших от действий программ-блокировщиков (так называемых «винлоков»). Связано это как с уменьшением числа самих приложений-вымогателей, так и с появлением у основных разработчиков антивирусов, решений позволяющих пользователю разблокировать компьютеры, инфицированные зловредами указанного типа.

По итогам января, эксперты Eset отмечают также, что семейство зловредов Win32/Carberp, разработанное для кражи финансовых средств через банковские системы по-прежнему остается наиболее распространенной киберугрозой, обнаруживаемой при перенаправлении пользователей с легальных веб-ресурсов. В российском рейтинге Eset за январь эта угроза занимает восьмое место.

О появлении новых банковских троянцев в январе говорят эксперты компании Dr.Web. В начале января в распоряжении специалистов Dr.Web оказался образец очередной модификации троянской программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Эта вредоносная программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность данной модификации троянца заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который, собственно, и осуществляется сеанс удаленного управления. Другая немаловажная особенность данного троянца — присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений РФ.

Примерно в это же время экспертами Dr.Web были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe. В случае если для доступа к сайту банка используется браузер Microsoft Internet Explorer, троянец вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: троянец перехватывает и закрывает это окно. Если для доступа к банковскому сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые троянец должен подменять. Впоследствии, при обращении к сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная веб-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам.

В целом же, как отмечено в исследовании Eset, доля России от общего количества обнаруженного в мире вредоносного ПО в январе составила 12,36%. При этом зафиксирован высокий процент уникальных угроз, которые приходятся на регион – 32,80%, что выше показателя предыдущего месяца почти на 7%.

Отметим также, что недавно «Лабораторией Касперского» был опубликован  годовой отчет по киберугрозам. Среди самых показательных цифр – степень риска заражения, которому подвергаются компьютеры при веб-серфинге в разных странах мира. Эксперты «Лаборатории Касперского» составили рейтинг самых опасных для интернет-серфинга государств, лидером которого по итогам 2011 года стала Россия. Более 55% уникальных интернет-пользователей в стране в 2011 году подвергались веб-атакам. Эксперты «Лаборатории Касперского» отмечают, что в 2011 году произошли значительные изменения в тройке лидеров. Россия поднялась с третьего на первое место (+2,2%). Второе место осталось за Оманом с показателем 54,8%. На третье место с пятой позиции поднялись США с 50,1%.

Автор: Денис Шишулин (info@mskit.ru)

Рубрики: ПО, Web, Безопасность

Ключевые слова: Лаборатория Касперского, Касперский, Dr Web, информационная безопасность защита, анализ информационной безопасности, троян, вирус, зловред, безопасный интернет, безопасность, Kaspersky, информационная безопасность, антивирус, eset, вирусная активность, системы безопасности, Доктор Веб, мошенничество, мошенничество в интернете

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода