rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Зловреды в Сети. Сентябрьская активизация

По данным разработчиков и производителей решений в области информационной безопасности, в сентябре текущего года злоумышленники в Сети взялись за дело с новой силой. В частности, эксперты компании Eset отмечают, что летний спад вредоносной активности в сентябре сменился небольшим ростом. По наблюдениям же аналитиков компании «Доктор Веб», первый осенний месяц 2013 года ознаменовался целым рядом важных событий. Здесь и распространение опасного бэкдора, способного выполнять поступающие от злоумышленников команды, и обнаружение крупнейшего по масштабам ботнета, состоящего более чем из 200 тысяч инфицированных устройств, работающих под управлением операционной системы Android, и ряд других событий.

Говоря об активизации киберпреступников в сентябре, эксперты компании Eset указывают на то, что в минувшем месяце в глобальном рейтинге положительную динамику продемонстрировали почти все угрозы рейтинга, за исключением вредоносных элементов веб-страниц HTML/IFrame (1.79%) и HTML/ScrInject (1.61%). Глобальная десятка по-прежнему содержит три файловых вируса: Win32/Sality (2.07%), Win32/Ramnit (1.47%) и Win32/Virut (0.99%).

Также сентябрь ознаменовался обнаружением антивирусными компаниями целенаправленной атаки, в которой использовалась уязвимость нулевого дня во всех версиях браузера Internet Explorer, начиная с шестой версии и заканчивая новейшей на тот момент IE10 для всех поддерживаемых Microsoft операционных систем от Windows XP SP3 до Windows 8 и RT.

Кроме того, в прошлом месяце эксперты Eset сообщали об обнаружении нового мощного банковского вредоносного ПО Hesperbot. Злоумышленники использовали его в кампаниях, направленных на пользователей различных стран мира, включая Турцию, Чехию, Португалию и Великобританию. Угроза имеет в своем составе самые разные функции: перехват сетевого трафика и кража конфиденциальных данных пользователя из форм веб-страниц браузера, кейлоггер, захват видео. При распространении угрозы киберпреступники использовали убедительные схемы фишинга, чтобы заманить пользователей для перехода по вредоносным ссылкам.

В сентябре доля России в мировом объеме вредоносного ПО составила 7,75%. В российском рейтинге угроз по-прежнему лидирует троянская программа Win32/Qhost (9.82%). Среди других угроз, которые проявили активность в прошлом месяце, были вредоносные JavaScript – JS/IFrame (4.02%), модификации червя Win32/Dorkbot (1.81%), а также Win32/Bicololo (1.24%) и Conficker (0.86%).

Производители программных продуктов также не дремлют, и стремятся повысить уровень безопасности своих решений. Так, в сентябре Adobe и Microsoft закрыли ряд серьезных уязвимостей в своих продуктах. Для Microsoft это был самый насыщенный в этом году месяц по закрытию критических уязвимостей типа Remote Code Execution – как в браузере Internet Explorer, так и в других компонентах ОС и продуктах серверных версий Microsoft Office. Adobe, в свою очередь, закрыли уязвимости, приводящие к скрытой установке вредоносного кода в продуктах Adobe Flash Player, Adobe Acrobat Reader и Shockwave Player.

В свою очередь, относительно вирусной обстановки в сентябре вирусные аналитики «Доктор Веб» приводят следующую информацию: в сентябре 2013 года среди наиболее часто детектируемых на компьютерах пользователей угроз по-прежнему лидирует Trojan.LoadMoney.1 — это приложение для загрузки файлов, автоматически генерируемые партнерской программой Loadmoney. На втором месте располагается Trojan.Hosts.6815 — вредоносная программа, модифицирующая содержимое файла hosts с целью перенаправления браузера пользователя на мошеннические или фишинговые ресурсы. На третьем месте находится троянец Trojan.InstallMonster.28 — еще один файловый загрузчик, но уже от партнерской программы Installmonster. За ними следуют рекламный троянец Trojan.Packed.24524 и вредоносная программа Trojan.Mods.3, предназначенная для подмены просматриваемых пользователем в браузере веб-страниц.

Угрозой месяца аналитиками «Доктор Веб» в сентябре был назван троянец BackDoor.Saker.1, основное назначение которого заключается в перехвате нажимаемых пользователями клавиш на клавиатуре компьютера (кейлоггинг). Кроме того, троянец способен обходить механизм контроля учетных записей пользователей. BackDoor.Saker.1 собирает и передает злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объем физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.

В части распространения мобильных угроз, весьма неспокойным оказался первый осенний месяц 2013 год для ОС Android и ее пользователей. На протяжении всего сентября специалисты компании «Доктор Веб» фиксировали появление разнообразных вредоносных Android-приложений, среди которых были SMS-троянцы, поддельные антивирусные средства, троянцы-шпионы и другие угрозы.

Одним из наиболее заметных событий, связанных с безопасностью Android, стало обнаружение самого крупного в мире ботнета, который состоял из мобильных устройств, инфицированных вредоносными программами семейства Android.SmsSend. По подсчетам вирусных аналитиков компании, суммарное число зараженных смартфонов и планшетных компьютеров, входящих в эту бот-сеть, превысило 200 тысяч единиц.

Наиболее актуальна рассматриваемая угроза как раз для российских пользователей. По сведениям, собранным специалистами компании «Доктор Веб», на 25 сентября 2013 года в данном ботнете насчитывалось уже 226 464 инфицированных Android-устройства, из них 142 302 расположены на территории России, 45 010 — в Украине, 23 608 — в Казахстане и 2 915 в Белоруссии. Ежедневно к ботнету подключается в среднем 2209 вновь зараженных устройств, работающих под управлением мобильной платформы Android.

Для построения данного ботнета злоумышленники использовали несколько SMS-троянцев, имеющих в своем составе функцию приема и выполнения поступающих от удаленного сервера команд. Для заражения мобильных устройств и включения их в состав бот-сети злоумышленники использовали несколько вредоносных приложений: среди них — новый троянец Android.SmsSend.754.origin, а также вредоносные программы Android.SmsSend.412.origin (распространяется под видом мобильного браузера), Android.SmsSend.468.origin (известна с апреля 2013 года) и маскирующийся под мобильный клиент для социальной сети «Одноклассники» троянец Android.SmsSend.585.origin. В большинстве случаев источниками заражения являются принадлежащие злоумышленникам, а также взломанные сайты, распространяющие вредоносные программы.

Родственником некоторых SMS-троянцев можно считать и вредоносную программу Android.SmsBot.5, обнаруженную в середине месяца и распространяющуюся под видом клиента для социальной сети «ВКонтакте». Троянец Android.SmsBot.5, после попадания на мобильное устройство, переходит в ждущий режим, проверяя все входящие SMS на наличие в них специальных управляющих команд, среди которых может быть указание на отправку или удаление определенных коротких сообщений, открытие URL, сбор информации о мобильном устройстве, совершение звонков и ряд других.

Также в сентябре было зафиксировано появление нескольких троянцев-шпионов семейства Android.SmsSpy, которые распространялись под видом различных приложений, например, флеш-плеера. Главная функция этих вредоносных программ – кража входящих SMS-сообщений, в которых, в частности, могут содержаться проверочные mTAN-коды, необходимые для подтверждения финансовых операций систем онлайн-банкинга.

Получила дальнейшее развитие и тема поддельных антивирусов для ОС Android. В прошедшем месяце специалистами компании «Доктор Веб» было зафиксировано появление сразу трех таких вредоносных программ, внесенных в вирусную базу как Android.Fakealert.8.origin, Android.Fakealert.9.origin и Android.Fakealert.10.origin. Напомним, что подобные приложения представляют собой мошеннические продукты, обнаруживающие на мобильных устройствах несуществующие угрозы, за лечение которых требуется заплатить определенную сумму. Интересно, что одна из этих программ, а именно Android.Fakealert.10.origin, распространялась под видом приложения для просмотра видео категории «для взрослых», однако после запуска имитировала внешний вид существующего в действительности антивирусного средства и демонстрировала предупреждение о необходимости выполнить проверку мобильного устройства на наличие заражения. Найденные в дальнейшем «угрозы» тут же предлагалось обезвредить, купив полную версию программы.

Также в сентябре была обнаружена очередная модификация троянца Obad (Android.Siggen.3.origin). Данная вредоносная программа способна отправлять SMS-сообщения на премиум-номера, а также загружать на мобильное устройство другие вредоносные приложения, однако одной из главных ее особенностей является использование ошибки в ОС Android, позволяющей троянцу избежать деинсталляции. При установке в систему Android.Siggen.3.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, и, если необходимые полномочия ему предоставляются, в дальнейшем скрывает себя из соответствующего системного списка, тем самым исключая возможность изменения пользователем настроек ОС и минимизируя вероятность своего удаления стандартными способами.

Автор: Тимофей Белосельцев (info@mskit.ru)

Рубрики: Web, Безопасность

Ключевые слова: Dr Web, анализ информационной безопасности, троян, вирус, зловред, безопасность, антивирус, eset, вирусная активность, Доктор Веб, мобильное мошенничество, мошенничество

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

13.11.2024 Т2 запустил первый тариф после ребрендинга

31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборота

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода