Отчеты о вредоносном ПО

Обзор вирусной активности — март 2011

Март в цифрах

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:

  • было отражено 241 151 171 сетевых атак;
  • заблокировано 85 853 567 попыток заражения через веб;
  • обнаружено и обезврежено 219 843 736 вредоносных программ (попытки локального заражения);
  • отмечено 96 702 092 срабатываний эвристических вердиктов.

Кому беда, кому — нажива

Мы уже не раз писали о том, что злоумышленники не гнушаются использовать любые трагические события в своих целях. Не стали исключением ни землетрясение и цунами в Японии, ни кончина Элизабет Тейлор.

Множество людей в Японии потеряли своих близких и лишились крова, весь мир с тревогой следит за развитием событий на пострадавшей от землетрясения японской АЭС «Фукусима-1». Но мошенники и вирусописатели цинично распространяют вредоносные ссылки на «горячие» новости, создают вредоносные веб-страницы, контент которых так или иначе связан с трагедией в Японии, и рассылают «нигерийские» письма со слезными просьбами оказать помощь пострадавшим, переслав деньги на счет отправителей.

Так, в одном из спамовых писем содержались ссылки якобы на последние новости о событиях в Японии. При переходе по этим ссылкам осуществлялась drive-by атака с помощью эксплойт-паков. В случае успешной атаки на компьютер пользователя загружался Trojan-Downloader.Win32.CodecPack. У каждого представителя этого семейства жестко прописаны три командных центра, куда он обращается и откуда получает списки вредоносных файлов для их дальнейшей загрузки и запуска на компьютере пользователя. А на одной из обнаруженных нами вредоносных веб-страниц посетителям предлагалось скачать видеоролик о происходящем в Японии. Однако вместо просмотра ролика пользователь загружал на свой компьютер бэкдор.

Самые «быстрые» злоумышленники орудуют в Твиттере: вредоносные ссылки на новости о смерти Элизабет Тейлор появились там уже на следующий день после того, как стало известно о кончине великой актрисы.

Эксплойты

Призывы компаний, занимающихся IT-безопасностью, регулярно обновлять ПО на компьютерах, по-прежнему актуальны — у злоумышленников эксплойты остаются одним из излюбленных инструментов.

Java-эксплойты

Количество Java-эксплойтов достаточно велико: они составили около 14% от общего числа обнаруженных эксплойтов. В TOP 20 вредоносных программ в интернете попали три Java-эксплойта. При этом два из них — Exploit.Java.CVE-2010-0840.d (15-е место) и Exploit.Java.CVE-2010-0840.c (19-е) — новые эксплойты для уязвимости CVE-2010-0840 в Java. Напомним, что активное использование этой бреши было обнаружено в прошлом месяце.

По данным KSN-статистики, создатели вредоносного ПО активно меняют эксплойты, которые используют в ходе drive-by атак, чтобы избежать их детектирования. Это прослеживается на графике, показывающем динамику детектирования эксплойтов семейства Exploit.Java.CVE-2010-0840.


Динамика детектирования семейства Exploit.Java.CVE-2010-0840

Пики на графике соответствуют периодам детектирования эксплойтов, которые используются в ходе drive-by атак, а провалы — времени появления новой модификации эксплойта.

Эксплойт к уязвимость в Adobe Flash Player

Вирусописатели на удивление быстро реагируют на сообщения о новых уязвимостях. Примером тому может послужить эксплойт к уязвимости в Adobe Flash Player, об обнаружении которой компания Adobe объявила 14 марта. Уязвимость содержится в authplay.dll и была отнесена к критической: ее эксплуатация дает злоумышленникам возможность взять под контроль компьютер пользователя.

И уже 15 марта «Лаборатория Касперского» задетектировала эксплойт к этой уязвимости. Он представляет собой Excel-файл, содержащий вредоносный SWF-файл, и детектируется как Trojan-Dropper.SWF.CVE-2011-0609.a.

25 марта мы обнаружили еще один вариант эксплойта — HTML-страничку, содержащую JavaScript с шеллкодом и вызов вредоносного Flash-файла. Шеллкод получал управление после вызова SWF-файла, использующего дыру в безопасности. Вредоносные HTML- и SWF- файлы детектируются соответственно как Exploit.JS.CVE-2011-0609 и Exploit.SWF.CVE-2011-0609.


Фрагмент Exploit.JS.CVE-2011-0609.d

У этой истории хороший конец: уязвимость была оперативно закрыта. Компания Adobe объявила об исправлении уязвимости 22 марта. Разумеется, хэппи-энд случится только на тех компьютерах, на которых владельцы вовремя обновили ПО.

Вредоносные HTML-страницы: защита от детектирования

Мы регулярно сообщаем о детектировании HTML-страниц, которые злоумышленники используют для распространения вредоносных программ или как часть мошеннической схемы. Создатели таких страниц постоянно придумывают новые способы, чтобы скрыть их от антивирусных программ.

Использование тега ‘textarea’

В февральском отчете мы писали, что злоумышленники использовали каскадные таблицы стилей (CSS) для защиты вредоносных скриптов от детектирования. Теперь на своих вредоносных HTML-страницах вместо CSS они используют тег ‘textarea’.

С помощью тега ‘textarea’ отображаются поля ввода.



Поле ввода данных, выполненное с помощью тега ‘textarea’

Злоумышленники применяют этот тег как контейнер для хранения данных, которые потом будут использоваться основным скриптом.

В марте Trojan-Downloader.JS.Agent.fun — детект одной из веб-страниц, на которой была обнаружена комбинация вредоносного скрипта и тега ‘textarea’, содержащего данные для скрипта, — даже попал в TOP 20 (9-е место). Скрипт, используя данные в теге ‘textarea’, с помощью различных методик запускает другие эксплойты.

Зашифрованная страница

В декабрьском и январском отчетах мы рассказывали о фальшивых онлайн-антивирусах. Теперь веб-страница, на которой имитируется сканирование компьютера и навязывается покупка «антивируса», зашифрована и выполнена в виде полиморфного JavaScript-скрипта, что усложняет процедуру ее детектирования антивирусными компаниями.


Фрагмент зашифрованной страницы с фальшивым веб-антивирусом

Такие полиморфные скрипты детектируются нами как Trojan.JS.Fraud.bl (18-е место в рейтинге вредоносных программ в интернете) и Trojan.JS.Agent.btv (8-е место).

Rustock

В марте одной из главных новостей месяца стало закрытие ботнета Rustock. Напомним, что сеть, созданная Rustock, насчитывала несколько сотен тысяч зараженных компьютеров и использовалась для рассылки спама. Операция по закрытию ботнета была организована компанией Microsoft и властями США. 17 марта Microsoft сообщила, что все управляющие серверы ботнета остановлены. На всех серверах командных центров ботнета, закрытых Microsoft, установлен редирект на microsoftinternetsafety.net.

По данным «Лаборатории Касперского», последние экземпляры Rustock загружались на компьютеры пользователей с командных серверов ботнета 16 марта, а команда на рассылку спама последний раз была отдана 17 марта. После этого никаких команд ботам не поступало. Более того, после 16 марта не было обнаружено ни одного нового загрузчика, устанавливающего Rustock на компьютеры пользователей.

Означает ли это, что одному из самых известных спам-ботнетов действительно пришел конец? Или хозяева заблокированной бот-сети просто затаились в ожидании более спокойных времен, когда можно будет без опаски восстановить утерянные мощности? Ответы на эти вопросы мы узнаем позже.

Зловреды для Android

Вредоносные программы для Android уже не являются экзотикой. В марте злоумышленникам удалось распространить их под видом легальных приложений на Android Market.

В начале марта на Android Market мы обнаружили инфицированные версии легальных приложений. Они содержали root-эксплойты «rage against the cage» и «exploid», которые позволяют вредоносной программе получить на Android-смартфонах права root-доступа, обеспечивающие полный доступ к операционной системе устройства.

Во вредоносном APK-архиве помимо root-эксплойтов содержалось два вредоносных компонента. Один из них после получения root-прав с помощью POST-метода посылал на удаленный сервер злоумышленника специальный XML-файл, содержащий IMEI и IMSI, а также другую информацию об устройстве, и в ответ ждал команды. Другой зловред обладал функционалом троянца-загрузчика, однако пока нам не удалось получить загружаемые файлы.

TOP 20 вредоносных программ в интернете

Позиция Изменение позиции Вредоносная программа
1   4 AdWare.Win32.FunWeb.gq
2   New Hoax.Win32.ArchSMS.pxm
3   3 AdWare.Win32.HotBar.dh
4   8 Trojan.HTML.Iframe.dl
5   New Hoax.HTML.OdKlas.a
6   New Trojan.JS.Popupper.aw
7   1 Exploit.JS.Pdfka.ddt
8   -8 Trojan.JS.Agent.btv
9   -9 Trojan-Downloader.JS.Agent.fun
10 -10 Trojan-Downloader.Java.OpenStream.bi
11   -7 Exploit.HTML.CVE-2010-1885.ad
12   New Trojan.JS.Agent.uo
13   New Trojan-Downloader.JS.Iframe.cdh
14   New Packed.Win32.Katusha.o
15   New Exploit.Java.CVE-2010-0840.d
16   1 Trojan.JS.Agent.bhr
17   New Trojan-Clicker.JS.Agent.om
18   New Trojan.JS.Fraud.bl
19   New Exploit.Java.CVE-2010-0840.c  
20   New Trojan-Clicker.HTML.Iframe.aky

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей

Позиция Изменение позиции Вредоносная программа
1   0 Net-Worm.Win32.Kido.ir  
2   0 Virus.Win32.Sality.aa  
3   1 Net-Worm.Win32.Kido.ih  
4   New Hoax.Win32.ArchSMS.pxm  
5   0 Virus.Win32.Sality.bh  
6   -3 HackTool.Win32.Kiser.zv  
7   -1 Hoax.Win32.Screensaver.b  
8   -1 AdWare.Win32.HotBar.dh  
9   8 Trojan.Win32.Starter.yy  
10   1 Packed.Win32.Katusha.o  
11   1 Worm.Win32.FlyStudio.cu  
12   -2 HackTool.Win32.Kiser.il  
13   -4 Trojan.JS.Agent.bhr  
14   2 Trojan-Downloader.Win32.Geral.cnh  
15   New Porn-Tool.Win32.StripDance.d  
16   New Exploit.JS.Agent.bbk  
17   New Trojan.Win32.AutoRun.azq  
18   -5 Trojan-Downloader.Win32.VB.eql  
19   -5 Worm.Win32.Mabezat.b  
20   -5 Packed.Win32.Klone.bq  

Обзор вирусной активности — март 2011

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике