«Доктор Веб»: ноябрь 2009 отметился большим количество модифицированных троянов и руткитов

Производитель антивирусного программного обеспечения «Доктор Веб» сегодня представил ноябрьский отчет о вирусах и злонамеренном программном обеспечении. По версии производителя, одним из главных событий ноября 2009 года стала новая модификация руткита BackDoor.Tdss, который использует различные технологии сокрытия в системе, предоставляя злоумышленникам полный контроль над зараженным компьютером. Кроме того, в отчетном периоде активизировалось распространение вредоносных программ под видом ПО, якобы способного отслеживать местоположение владельцев сотовых телефонов. В качестве одного из основных каналов распространения троянских программ остаются различные типы сообщений в социальных сетях, а поток вирусов, распространяющихся в виде почтовых сообщений, претерпел к концу ноября локальный спад.

В компании рассказали, что в составе BackDoor.Tdss.565 присутствует новый метод установки в систему, который обманывает практически все ныне существующие поведенческие анализаторы. Этот факт показал, что вирусописатели работают не только над затруднением определения новых рассылаемых образцов с помощью сигнатурных и эвристических технологий, но также пытаются противодействовать (и в некоторых случаях успешно) современным реализациям поведенческих анализаторов.

Ещё одним экспериментом вирусописателей стало создание собственного виртуального зашифрованного диска на винчестере пользователя, где содержатся некоторые файлы, необходимые для функционирования данного троянца. Для монтирования этого диска в системе используется специально разработанный приём, позволяющий замаскировать факт использования данного дополнительного устройства.

Для своей работы руткит также заражает один из драйверов, отвечающих за функционирование дисков на компьютере. При этом автоматически определяется, какой тип интерфейса используется дисками на заражаемом компьютере, и после этого заражается драйвер, соответствующий этому интерфейсу.

BackDoor.Tdss.565 использует для своего функционирования и другие специфические методы, что поставило перед антивирусными компаниями сложную задачу определения наличия данной вредоносной программы в системе и корректного лечения. Разработчики антивируса Dr.Web первыми решили данную задачу, а результаты этой работы воплотились в актуальной версии сканера Dr.Web, который доступен во всех антивирусных продуктах Dr.Web, предназначенных для работы в ОС Windows!
Лженавигаторы и псевдопеленгаторы

В последнее время популярность среди злоумышленников набирает тема «мобильного» ПО. Это и не удивительно, ведь почти у каждого современного человека есть хотя бы один сотовый телефон. За последние месяцы злоумышленники, эксплуатировавшие эту тему для реализации своих схем, не использовали вредоносные программы. Но в ноябре прошло несколько русскоязычных рассылок на тему ПО, предназначенного для слежения за пользователями мобильных телефонов. Целью этих рассылок было распространение вредоносных программ, предназначенных для похищения пользовательских паролей.

В первых числах ноября рассылалось почтовое сообщение, которое якобы содержало ПО, позволяющее обнаружить точное местоположение владельца любого мобильного телефона. При этом потенциальные жертвы заинтересовывались предложением попробовать возможности программы бесплатно. На самом деле приложенный исполняемый файл представлял собой программу – похитителя паролей Trojan.PWS.AccHunt.11.

Другая аналогичная программа, Trojan.PWS.Multi.109, распространялась под видом такого же «полезного» софта, как и предыдущая, но на этот раз была названа «пеленгатором». В приложенном к письму архиве находились 2 файла, один из которых являлся вполне легальным установщиком, а другой - специально подготовленным установочным пакетом. Скрипт установщика был создан злоумышленниками таким образом, что установка из пакета происходила успешно, но у пользователя запрашивался ещё один установочный пакет, которого в архиве не оказывалось. Из этого можно было сделать вывод о том, что разработчики программы забыли положить в инсталляционный пакет некоторые недостающие файлы, и пользователям приходилось отказаться от дальнейших попыток кого-либо «запеленговать». При этом они забывали о том, что однажды все-таки попытались запустить эту программу, а значит – пароли уже в руках злоумышленников.

В ноябре продолжилось распространение представителей семейств вредоносных программ, ранее уже гулявших по интернету. В ноябре зафиксированы новые модификации похитителей паролей Trojan.PWS.Panda и троянцев семейства Trojan.Proxy. Однако, поскольку антивирусные компании постоянно информируют пользователей о совершаемых злоумышленниками вредоносных рассылках, рано или поздно вирусописателям приходится озаботиться вопросом «смены декораций».

В течение нескольких последних месяцев в качестве прикрытия для рассылки вредоносных программ часто использовались письма от имени администрации социальной сети Facebook. В ноябре к целевой аудитории злоумышленников прибавились пользователи MySpace. Также как и пользователям Facebook, им в одних письмах сообщалось о том, что пароль доступа к социальной сети был изменён в целях безопасности, и посмотреть изменённый пароль можно в приложенном архиве. В других письмах предлагалось скачать утилиту, которая произвела бы необходимые изменения для того, чтобы пользователь смог войти на сайт социальной сети. Ссылка для скачивания на самом деле вела на сайт, созданный киберпреступниками.

Для распространения вредоносных программ посредством почтовых сообщений злоумышленники часто используют письма от имени широко известных уважаемых организаций. В ноябре одной из таких организаций стала ассоциация электронных платежей NACHA (The electronic payment association). В письмах, отправляемых злоумышленниками, сообщалось о том, что электронный платёж пользователя был отменён, а подробности можно найти на сайте ассоциации. Со специально подготовленного вредоносного сайта на компьютер доверчивого пользователя скачивалась очередная модификация Trojan.PWS.Panda.

В целом активность спам-сообщений, связанных с распространением вредоносных программ, в первой половине ноября держалась на уровне предыдущего месяца. Активно совершались рассылки самых разнообразных типов с приложенными вредоносными файлами, а также со ссылками на вредоносные сайты. Однако с середины завершившегося месяца был отмечен резкий спад этих рассылок. К концу месяца доля вредоносных рассылок упала более чем в 2 раза относительно начала месяца. Тем не менее, данный спад может оказаться лишь таймаутом, который взяли злоумышленники для того, чтобы перегруппировать свои силы.

Практиковали злоумышленники и новые методы онлайн-мошенничества. Для получения доступа к аккаунтам пользователей социальной сети «ВКонтакте» была организована классическая рассылка через системы мгновенного обмена сообщениями. Ссылка вела на вредоносный сайт, на котором пользователь вводил данные своего аккаунта. Эти данные уходили к злоумышленникам, после чего совершалось автоматическое перенаправление на настоящий сайт социальной сети. Таким образом, пользователь мог и не заметить факта пропажи пароля.

Кроме таких простых схем злоумышленники не менее активно использовали и более сложные комбинации. Так, на протяжении второй половины ноября рассылались письма, которые состояли всего из нескольких строчек. В них пользователю от имени компании Google предлагалось начать зарабатывать деньги. Причем первым шагом на пути к «благосостоянию» был переход по ссылке для ознакомления со статьей, в которой рассказывалось про метод заработка.

В одних письмах ссылка шла на сообщение, размещённое в системе Twitter, в котором была опубликована ссылка на специально подготовленную статью. В других присутствовала ссылка на страницу, которая хостилась непосредственно на одном из сервисов Google.

В обоих случаях все эти подготовительные действия были направлены на то, чтобы вывести жертву на единый вредоносный сайт, на котором собиралась подробная информация о пользователе. Для того чтобы он меньше раздумывал, на целевом сайте работал обратный отсчёт времени. После ввода пользовательских данных ничего не происходило.

Источник: http://www.cybersecurity.ru/