Kaspersky Security Bulletin

Эволюция вредоносных сайтов: январь-июнь 2007 года

Это первый из серии отчетов «Лаборатории Касперского», в котором отслеживается эволюция вредоносных сайтов и вредоносных программ, распространяемых через Интернет.

В последние годы способ распространения вредоносных программ изменился: от заражения компьютера через сменные носители информации (дискеты) до пересылки вредоносного ПО по электронной почте (например, печально знаменитый почтовый червь LoveLetter) и прямых сетевых атак (CodeRed). Самой последней на данный момент ступенью «эволюции» стало распространение вредоносных программ через интернет-сайты.

Есть основания полагать, что увеличению количества вредоносных программ в сети способствуют несколько факторов. Один из них – достаточно большое количество уязвимостей в Microsoft Internet Explorer, выявленных в 2003-2006 годах. Второй фактор – определенная конструктивная несовместимость большинства антивирусов со способами доступа к веб-сайтам через Интернет. Поскольку в большинстве случаев антивирусному ядру для того, чтобы определить, заражен ли файл, требуется его полная копия, возникают проблемы при необходимости проверки потока данных (как в случае веб-страниц). Конечно, эту проблему можно решить на уровне прокси-сервера: накапливать данные в кеше, а потом, после того как они полностью загрузятся, передавать их антивирусу. Однако пока такой способ еще не очень распространен.

Еще одним фактором, влияющим на увеличение количества вредоносных программ на интернет-сайтах, являются попытки блокировать исполняемые вложения в почтовых сообщениях. В 2003-2004 годах, когда большинство вредоносных программ распространялось по электронной почте (как файлы .EXE/.SCR/.PIF и т.п.), многие системные администраторы решили полностью запретить запуск исполняемых вложений, приходящих по почте. Прямым следствием этого запрета стало то, что авторы вредоносных программ стали использовать архивы (например, ZIP-файлы) для распространения своих творений. В 2006 году популярным вектором атак были документы Microsoft Office, содержащие эксплойты.

Затем авторы вредоносных программ придумали еще более простое решение: вместо того чтобы вкладывать в электронное письмо тело вредоносной программы, они начали рассылать ссылки на сайты, содержащими вредоносные программы. А поскольку антивирусное решение для почтового шлюза проверяет только тело сообщения, он не может определить наличие вируса на ресурсе, куда ведет ссылка.

Все эти факторы входят в число причин перехода от прямой рассылки вредоносных программ на почтовые ящики к размещению этих программ на веб-серверах, чтобы затем хитростью побудить пользователя самого запустить ссылку (социальная инженерия) или использовать уязвимости его браузера.

Методы распространения

Существует два основных способа заражения компьютера пользователя вредоносными программами, размещенными на сайте.
Первый способ – социальная инженерия. Например, атакующий присылает по электронной почте письмо, содержащее ссылку на интересный ресурс. Вот пример такого письма:


Рис.1. Письмо, содержащее ссылку,
которая ведет на вредоносный сайт

В вышеприведенном письме ссылка на YouTube – просто приманка, которая ведет к странице “video missing” («видео отсутствует»). Однако в HREF-ссылке указан IP-адрес другого сайта. Вот что видит пользователь, когда заходит на указанный сайт:


Рис.2. Фальшивый сайт, содержащий вредоносные исполняемые файлы

Ссылка “click here” указывает на исполняемый файл “video.exe”, вариант червя Zhelatin, также известного под именем Storm.

Другой способ заражения системы через сайт – это использование эксплойтов веб-браузера. Вот пример:


Рис. 3. HTML-страница, содержащая эксплойт,
нацеленный на Mozilla Firefox

Это фрагмент страницы, содержащей зашифрованный эксплойт для браузера. Большинство сайтов, содержащих эксплойты веб-браузеров, используют своего рода умышленное запутывание, чтобы избежать распознавания системой обнаружения вторжений (IDS), которая сканирует TCP/IP-поток на наличие известных последовательностей данных или простым антивирусом, использующим сигнатурный метод. После расшифровки вредоносный код можно проанализировать.


Рис. 4. Часть расшифрованного вредоносного кода
(Trojan-Downloader.JS.Agent.ep)

В данном случае вредоносный код просто пытается загрузить файл «.WMV» с очень длинным названием. Это эксплойт под названием Windows Media Player Plug-In EMBED Overflow (описано в Microsoft Security Bulletin MS06-006: «Уязвимость в подключаемом модуле проигрывателя Windows Media делает возможным удаленный запуск программного кода в обозревателях Интернета сторонних разработчиков (911564)»). Современные браузеры передают такие запросы в Windows Media Player, и, если система уязвима, результатом может стать ее заражение. Интересно, что, даже если в системе установлена последняя версия веб-браузера, но при этом в Windows Media Player есть уязвимость, система будет заражена.

Как уже говорилось выше, есть два основных способа попадания вредоносных программ на компьютер жертвы через интернет-сайты: с помощью социальной инженерии или через эксплойты браузера. Неудивительно, что в большинстве случаев авторы вредоносных программ используют комбинацию этих двух способов для увеличения шансов на успех.

Хорошим примером такой комбинации является Zhelatin, о котором уже упоминалось ранее. Скрипт, распространяющий червя, судя по всему, написан на PHP, и прежде чем отправить зараженную страницу пользователю, он выполняет еще несколько действий. Самое главное – он проверяет строку идентификации браузера «User-Agent». Если строка не слишком распространенная, как, например, Safari в MacOS или Lynx в Linux, он попытается отправить страницу, где будет использоваться технология социальной инженерии. Получив строку идентификации, характерную для Internet Explorer, например, “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”, скрипт пришлет страницу с эксплойтами именно для Internet Explorer. То же относится к Firefox.

«Горячая двадцатка» вредоносных программ, распространяемых через интернет-сайты

В 2006 году «Лаборатория Касперского» обнаружила тенденцию к увеличению количества вредоносных программ, распространяемых через интернет-сайты, по отношению к классическим способам распространения через компьютерные сети и электронную почту и разработала систему проверки веб-сайтов на наличие вредоносных программ, получившую название «Akross». С начала своей работы «Akross» выявила более 53 000 сайтов, содержащих вредоносные программы, из них более 28 000 – в первые шесть месяцев 2007 года.

Место Название вредоносной программы %%
1 Trojan-Downloader.Win32.Small.on 11,26
2 Trojan-Downloader.Win32.Zlob.bbr 6,01
3 Trojan-Downloader.Win32.Zlob.bjt 4,59
4 Trojan.Win32.DNSChanger.is 3,19
5 Trojan-Downloader.Win32.Zlob.bon 3,17
6 Trojan.Win32.DNSChanger.ih 2,74
7 Trojan.Win32.DNSChanger.hk 2,50
8 not-a-virus:Porn-Dialer.Win32.PluginAccess.s 2,08
9 Trojan.Win32.DNSChanger.io 1,77
10 Trojan.Win32.DNSChanger.jb 1,02
11 Trojan.Win32.DNSChanger.ik 0,76
12 Trojan-Downloader.Win32.Small.dam 0,62
13 Trojan-Spy.Win32.Banker.ciy 0,59
14 Trojan-PSW.Win32.OnLineGames.es 0,48
15 Backdoor.Win32.Rbot.gen 0,48
16 Trojan-Spy.Win32.Banker.anv 0,42
17 Trojan-Spy.Win32.Banker.awa 0,40
18 Trojan-Downloader.Win32.CWS.j 0,36
19 Trojan.Win32.DNSChanger.hj 0,36
20 Trojan-Spy.Win32.Bancos.zm 0,34

Таблица 1. 20 самых известных вредоносных программ, загружаемых
с зараженных сайтов (по состоянию на I полугодие 2007 года)

Возглавляет рейтинг Trojan-Downloader.Win32.Small.on, типичная троянская программа-загрузчик, которая загружает другой исполняемый файл с ресурса в Интернете, находящегося по прописанному в явном виде адресу, а затем запускает ее. Троянские программы-загрузчики широко используются на многоуровневых вредоносных сайтах, где эксплойт, занимающий небольшой объем памяти, загружает маленького троянца-загрузчика, который в свою очередь загружает «конечную» вредоносную программу или еще одну программу-загрузчик.

Еще один интересный случай – несколько модификаций Zlob, также занимающих верхние строчки рейтинга. В начале года Zlob действительно был очень популярен, потом стал терять очки, и сейчас он уже почти не встречается. Zlob в основном распространялся с помощью социальной инженерии: создавались специальные сайты, с которых якобы можно было загрузить кодеки для просмотра DVD и других видеоформатов.


Рис. 5. Фальшивый сайт, используемый для распространения
различных модификаций Zlob

Как показывает онлайн-двадцатка, широко распространен и DNSChanger. На самом деле, между Zlob и DNSChanger есть связь: мы полагаем, что они создавались одной и той же группой злоумышленников. И хотя DNSChanger за время своего существования претерпел ряд изменений, основная его функция – это замена адресов DNS-серверов в настройках пользователя на два своих IP-адреса. IP-адреса выбираются из огромной базы. Модификации вредоносной программы отличаются друг от друга тем, что каждая прописывает свою пару IP-адресов в настройках DNS на компьютере пользователя. Сама по себе подмена адресов DNS-серверов не считается чем-то действительно вредоносным, но атакующий, который проделывает все эти действия, может причинить много вреда, например, переадресовать запрос пользователя, который хочет попасть на такие сайты, как Amazon.com или Bank Of America, на фишинговые сайты, так что пользователь почти наверняка ничего не заподозрит.

Чтобы антивирусу сложнее было удалить их, большинство современных DNSChangers содержат руткит-компоненты и даже загружают дополнительные вредоносные программы.

Not-a-virus:Porn-Dialer.Win32.PluginAccess.s – это, как понятно из названия, не вирус. В классификации – это семейство программ, пограничных между вредоносными и такими, которые пользователи сознательно устанавливают на своих компьютерах.


Рис. 6. Два исполняемых файла not-a-virus:Porn-Dialer.Win32.PluginAccess.s
с типичными для этой вредоносной программы иконками

Модификации PluginAccess.s обычно содержат большой набор платных номеров для разных стран. Выбор номеров зависит от правил набора, установленных в апплете «Телефон и модем» панели управления Windows. При наборе платного номера пользователь получает маркер аутентификации, открывающий доступ к различным услугам через Интернет. Социальная инженерия – обычный способ, который используется для установки PluginAccess.s, поскольку эта программа применяется для получения доступа к различным «взрослым» сайтам. Упоминание о том, что этот доступ платный, присутствует, и внимательный пользователь заметит его. Случайные заражения PluginAccess.s достаточно редки, поэтому программа классифицируется не как вредоносная, а как «не вирус». Причиной популярности таких программ является, скорее всего, то, что они предоставляют доступ к платным услугам без необходимости иметь кредитную карту, пользователю выставляется счет за телефонные услуги.

Весьма заметно в рейтинге присутствие Trojan-Spy.Win32.Banker.ciy. Banker Trojans – вредоносные программы, которые пытаются похитить данные для доступа к услуге электронного банкинга; некоторые заходят настолько далеко, что проводят атаки типа MITM (man-in-the-middle – “человек посередине”) во время веб-сессий клиентов с банком. В последние несколько месяцев увеличилось количество атак на банки с использованием троянских программ из группы Banker. В мартовском выпуске 2007 года «Киберпаноптикума» «Лаборатории Касперского» Trojan-Spy.Win32.Banker.ciy даже был номинирован как «Самый жадный зловред по отношению к пластиковым картам», потому что он покушался на пять систем пластиковых карт (предыдущий рекорд был три системы пластиковых карт).

Еще одна довольно существенная тенденция в эволюции вредоносных программ – создание и распространение троянских программ, с помощью которых похищаются виртуальные ценности в интерактивных играх, таких как World of Warcraft, EVE Online или Legend of Mir. Эти игры очень популярны в азиатских странах, особенно Корее и Китае, но и по всему миру количество игроков исчисляется миллионами. Редкие виртуальные ценности в этих играх могут быть невероятно дорогими; они, как правило, продаются на eBay или других аукционных сайтах либо за виртуальные, либо за реальные деньги. Поскольку спрос на такие ценности очень высок, мошенничество с ними также «на высоте». В качестве примера того, сколько может стоить виртуальная ценность, приведем самый дорогой космический корабль в игре EVE Online, цена на который с полным комплектом вооружения и средств обороны в переводе на реальные деньги составляет $10 000. Неудивительно, что существует такой большой интерес к созданию вредоносных программ, ориентированных на кражу виртуальных ценностей. Мотив понятен – получение реальной прибыли.

Trojan-PSW.Win32.OnLineGames.es – типичный представитель жанра. Хотя существует много модификаций этой троянской программы , мишенью большинства из них является виртуальная игра World of Warcraft. Эти программы следят за процессом игры и собирают информацию обо всех нажатиях клавиш пользователем, а затем передают эту информацию атакующим. Последние могут зарегистрироваться в игре с помощью украденного пароля и потом продавать ценности, валюту или фигуры. Чтобы не быть узнанными, атакующие используют сложные схемы отмывания виртуальных денег, это еще более усложняет отслеживание виртуальной собственности.

И, наконец, еще одна вредоносная программа — Trojan-Downloader.Win32.CWS.j. Это программа-загрузчик, представляющая собой небольшую утилиту, единственной задачей который является загрузка и установка различных вариантов программы CWS, более известной как CoolWebSearch. Эта вредоносная программа появилась в 2003 году. С тех пор было найдено огромное количество ее модификаций, большинство которых действует по одной и той же схеме: меняют стартовую страницу браузера и открывают всплывающие окна порнографических сайтов. Со временем стали появляться все более сложные модификации CWS, и последние версии содержат руткит-компоненты и функционал, предназначенный для нейтрализации антивирусных программ.

Подводя итог всему сказанному, еще раз отметим, что большинство вредоносных программ, распространявшихся через интернет-сайты в первом полугодии 2007 года, можно разделить на четыре категории: программы, которые выдаются за видео- и DVD-плееры и кодеки и устанавливаются с помощью социальной инженерии (Zlob etc.), троянские программы, поражающие системы электронного банкинга, вредоносные программы, «нацеленные» на виртуальные игры, и так называемые «пограничные» программы, которые облегчают доступ к «взрослым» сайтам.

Первая двадцатка стран — источников вредоносных программ

Откуда же берутся все эти вредоносные программы? Чтобы ответить на этот вопрос, нужно посмотреть на решения, которые используют киберпреступники для размещения вредоносных программ.

Способов размещения вредоносных программ в Интернете достаточно много. Например, на зараженных домашних компьютерах, где вредоносной программой-ботом организован маленький HTTP-сервер, используемый для дальнейшего распространения вредоносных программ. Или на взломанных сайтах провайдеров интернет-услуг. Пользуются большой «популярностью» компании, на чьих серверах пользователи могут бесплатно разместить домашние страницы. К ним относятся www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru или www.home.ro. Были случаи, когда для покупки у законопослушного провайдера доменного имени и пакета хостинг-услуг для размещения вредоносного ПО использовались краденые кредитные карты.

В начале этого года одна американская хостинговая компания пострадала от атаки киберпреступников, использовавших уязвимость в Control Panel и получивших доступ ко всем учетным записям, расположенным на сервере компании. Атакующие прошлись по всем индекс-страницам всех сайтов на зараженных машинах и добавили маленькую программку, использующую уязвимость Internet Explorer. Дальше эксплойт уже сам устанавливал вредоносные программы, включая руткит. Приблизительно таким же образом в феврале подвергся нападению хакеров сайт стадиона Super Bowl Dolphins: в код страниц сайта были введены эксплойты. Последним в этой длинной цепочке хакерских атак стало нападение на веб-сайт Bank of India, случившееся в августе 2007 года, когда код домашней страницы банка был модифицирован с целью внедрения в него эксплойта IE IFRAME, который затем стал распространять вредоносные программы.

Если воспользоваться результатами «работы» Akross и список IP-адресов для рассылки вредоносных программ расположить в таблице по географическому принципу, получится следующее:

Место Страна %%
1 Китай 31,44
2 США 25,90
3 Россия 11,05
4 Бразилия 4,40
5 Южная Корея 3,64
6 Аргентина 2,90
7 Германия 2,31
8 Франция 1,70
9 Панама 1,53
10 Голландия 1,31
11 Украина 1,26
12 Канада 1,24
13 Испания 1,15
14 Великобритания 1,15
15 Гонконг 0,83
16 Италия 0,72
17 Португалия 0,70
18 Румыния 0,68
19 Тайвань 0,65
20 Малайзия 0,52

Таблица 2. Ведущая двадцатка стран —
источников вредоносных программ

Лидирует в списке Китай (31,44%) как страна, которая «приютила» большинство зараженных сайтов. За ним идет США (25,90%). В последние годы эти две страны оказываются «впереди планеты всей» в любых статистических отчетах, касающихся вредоносных программ. Иногда, правда, они меняются местами в зависимости от тенденций в написании этих программ и эволюции в развитии операционных систем. Интересно, что в Китае самым популярным носителем вредоносных программ являются взломанные сайты и так называемый «пуленепробиваемый хостинг», а в США — это чаще всего взломанные сайты в домене .com и пакеты хостинг-услуг, купленные у законопослушных хостинг-провайдеров на деньги с украденных карт.

Россия и Бразилия занимают 3-е и 4-е места соответственно. Для обеих стран характерно то, что большинство вредоносных программ расположено на «бесплатных хостингах» – у поставщиков интернет-услуг, на серверах которых пользователи могут размещать свои сайты.

Другие страны в «табели о рангах», похоже, балансируют между взломанными компьютерами, бесплатными хостинг-услугами и лицензионными пакетами хостинг-услуг, купленными на украденные деньги.

Особые случаи

В процессе отслеживания вредоносных сайтов в 2007 году были обнаружены несколько сайтов, которые оказались несколько большим, чем обычный веб-сервер, доставляющий по требованию исполняемый файл или HTML-страницу, содержащую эксплойт.

Среди этих случаев самыми интересными были такие, когда был использован так называемый «серверный полиморфизм». Как правило, полиморфизм используется в вирусах, «умеющих» модифицировать свой собственный код во время каждого цикла репликации. Поскольку код, ответственный за эти превращения, является частью самого вируса, модификации можно предсказать и, следовательно, можно создать алгоритмы обнаружения и воплотить их в программном коде.

Вот пример из практики. В начале 2006 года мы обнаружили URL, по которому загружался ЕХЕ-файл, менявшийся от загрузки к загрузке. В данном случае сам ЕХЕ-файл менялся не очень сильно (хотя все же иногда менялся). Однако последние 42 байта файла каждый раз были разными . Выглядело все так, как будто в конце добавлялась комбинация «время загрузки + IP-адрес загрузки» как своего рода идентификатор загружаемой вредоносной программы. Затем, когда вредоносная программа (а это был Trojan-Spy) пересылала автору данные, она присоединяла к ним этот идентификатор. Таким образом автор мог соотнести каждую конкретную версию вредоносной программы с IP-адресом компьютера, на который она была загружена, и получить картину заражения компьютеров по всему миру.

В 2006 году были отмечены случаи, когда атакующий создавал от 1000 до 5000 модификаций троянской программы, запаковывая их с помощью встроенной утилиты, которая при каждом вызове использовала произвольно выбранный шифровальный ключ. Затем РНР-интерфейс произвольно выбирал модификацию и отправлял ее пользователю. Для антивирусной компании, не знакомой с такой техникой, поначалу все это будет выглядеть как нескончаемый поток новых троянских программ, по крайней мере, до тех пор, пока не будет собрано достаточное количество их образцов для разработки общей процедуры обнаружения. Тщательное изучение этого и других подобных сайтов позволяет нам разработать общую процедуру обнаружения и – в некоторых случаях – распаковки троянских программ нового типа, которые не перестают появляться.

Еще с одним интересным случаем мы столкнулись в этом году, когда начали тщательно анализировать сайт, распространяющий модификации Zhelatin. Эти модификации менялись на сервере приблизительно каждые 90 секунд, и через 500 модификаций происходила интересная вещь. Используемая шифровальная утилита использовала случайное значение, размер которого составлял порядка 9 бит. Когда сгенерированное значение попадало на некоторое число, соответствующая модификация Zhelatin оказывалась незашифрованной. Это позволило нам получить несколько модификаций семейства Zhelatin 0-поколения, которые оказались полезными для анализа.

Выводы

При постоянно меняющихся методах распространения вредоносных программ можно предположить, что их авторы и дальше будут придумывать способы заражения компьютеров. Прослеживаются тенденции к распространению вредоносных программ через одноранговые сети или через программное обеспечение с открытым исходным кодом.

На данный момент для авторов вредоносных программ веб-сайт, без сомнения, является предпочтительным способом распространения их творений, и использование этого метода, похоже, достигло пика в мае 2007 года. С тех пор количество новых вредоносных программ пошло на убыль. И хотя это хорошая новость, каждый день все равно появляется много новых зараженных сайтов, а социальная инженерия и эксплойты, используемые для того, чтобы заманить пользователей, становятся все более сложными.

Китай и США – два лидера по количеству вредоносных сайтов. Несмотря на все усилия властей этих двух стран, они по-прежнему остаются бесспорными победителями в этом сомнительном рейтинге. И если в США в течение 48 часов вредоносный сайт чаще всего удается закрыть, то в Китае это невозможно. Мы знаем китайские сайты, которые активны уже больше года, и все попытки закрыть их ничем не кончились. При таком положении дел все больше и больше вредоносных сайтов, скорее всего, будут располагаться в Китае, поскольку эта страна оказывается для них надежным убежищем.

«Лаборатория Касперского» будет продолжать следить за ситуацией. В следующих статьях мы предоставим информацию, которая позволит понять, привели ли совместные усилия антивирусных компаний и органов кибер-безопасности к уменьшению количества веб-сайтов, содержащих вредоносный код.

А пока пользователям следует поддерживать свои операционные системы на современном уровне, переходить от Internet Explorer 6 к другим браузерам, таким как Firefox, IE7 и Opera, которые лучше защищены. И, наконец, очень важно использовать антивирусные продукты, способные контролировать веб-трафик, поскольку большая часть вредоносных программ распространяется сейчас через веб-сайты.

Эволюция вредоносных сайтов: январь-июнь 2007 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике