Отчеты о вредоносном ПО

Современные информационные угрозы, III квартал 2005

Новая статья ежеквартального цикла от «Лаборатории Касперского» посвящена тенденциям эволюции современных информационных угроз в третьем квартале 2005 года.

На рубеже лета и осени произошло несколько знаковых событий, которые, несомненно, окажут сильное влияние на индустрию защиты информации в ближайшие месяцы. Конец лета традиционно является одним из наиболее вирусоопасных периодов. Не стал исключением и 2005 год.

Уязвимость в службе Plug’n’Play Microsoft Windows

Ранее в наших аналитических материалах мы неоднократно подчеркивали тот факт, что наблюдается явное смещение вектора приложения усилий вирусописателей с почтовых и сетевых вирусов в сторону вирусов, распространяемых при помощи уязвимых web-приложений, основным из которых, конечно, является Internet Explorer. Как следствие этого значительно увеличилось число взломов слабозащищенных сайтов с целью размещения на них эксплойтов для IE с последующей установкой троянских программ на компьютеры посетителей данных сайтов.

Наиболее заметными и многочисленными примерами таких атак являлись постоянные взломы южнокорейских игровых порталов с размещением на них троянцев-шпионов, ворующих данные пользователей онлайн-игр Legend of Mir и Lineage. Не отставали от зарубежных хакеров и российские. Здесь троянцем, ради которого преимущественно и взламывались сайты, был небезызвестный LdPinch.

Мы отмечали, что подобный вектор атак вызван отсутствием критических уязвимостей в операционной системе Windows. Действительно, с момента обнаружения «дыры» в службе LSASS прошло уже более года, и весьма значительный процент потенциально уязвимых компьютеров успел обзавестись патчами, закрывающими данную уязвимость.

Понятно, что долго такое состояние «безопасности» продолжаться не могло. 9 августа компания Microsoft опубликовала очередной список патчей для своей операционной системы. Среди них значился патч, закрывающий уязвимость в службе Plug’n’Play (MS05-039) имевшую статус «критической». Как это уже неоднократно бывало ранее, тут же представители андеграунда отреагировали на данную публикацию, попытавшись самостоятельно найти эту уязвимость и создать для нее эксплойт. Задача представлялась тем более значимой, что в списке уязвимых ОС присутствовали все актуальные на данный момент операционные системы от Microsoft:

  • Microsoft Windows 2000 (SP4);
  • Microsoft Windows XP (SP1 or SP2);
  • Microsoft Windows XP Professional x64 Edition;
  • Microsoft Windows Server 2003;
  • Microsoft Windows Server 2003 (for Itanium-based systems);
  • Microsoft Windows Server 2003 x64 Edition.

Таким образом, потенциально уязвимыми были несколько сотен миллионов компьютеров по всему миру.

Уже на следующий день, российский хакер houseofdabus создал Proof of Concept (PoC), использующий эту уязвимость на компьютерах под управлением Windows 2000. 12 августа этот эксплойт был опубликован на всех крупнейших security-сайтах, что привело к ожидаемому результату — появлению вредоносных программ, распространяющихся через данную «дыру».

Houseofdabus уже не первый раз невольно становится провокатором вирусных эпидемий. Червь Sasser, устроивший глобальную эпидемию в мае 2004 года, а также десятки и сотни других аналогичных червей использовали PoC, созданный хакером для уязвимости в службе LSASS.

Кстати, уязвимости в Plug’n’Play и LSASS очень похожи; это можно увидеть на следующих скриншотах:

 Современные информационные угрозы, III квартал 2005

Код уязвимости в сервисе LSASS (MS04-011).

 Современные информационные угрозы, III квартал 2005

Код уязвимости в сервисе Plug’n’Play (MS05-039).
Красным показано отличие от кода уязвимости в LSASS.

13 августа были обнаружены первые варианты старых червей Mytob, в которых эксплойт LSASS был просто заменен на эксплойт PnP. В течение последующих дней появилось еще несколько разнообразных червей и ботов, также содержащих в себе данный код. Некоторые из них даже попали на первые полосы новостных изданий и стали причиной одного из наиболее громких «вирусных» инцидентов этого года. Произошло это по причине заражения ими ряда крупных американских СМИ — ABC, CNN и некоторых других. Инцидент был достаточно полно описан, поэтому мы не будем повторяться. Отметим только, что глобальной эпидемии какого-то одного червя, сравнимой по своим масштабам с эпидемиями Sasser или Lovesan, в этот раз не произошло.

История уязвимости в PnP — это цепь небольших локальных эпидемий множества разных червей и ботов. Почему так произошло? Думаем, что ответы достаточно очевидны.

В первую очередь, это неуниверсальность эксплойта. Он затрагивал только Windows 2000 SP4. Вирусописатели воспользовались готовым примером и не стали утруждать себя дальнейшими исследованиями уязвимости. Если бы PoC изначально работал еще и на Windows XP и 2003, то масштабы эпидемии были бы гораздо больше.

Во-вторых, сыграло свою роль сходство уязвимости в PnP и LSASS. При атаке компьютер ведет себя абсолютно идентично и выводит точно такие же сообщения об ошибках. Уже наученные горьким опытом предыдущих заражений пользователи теперь точно знали, что делать в такой ситуации, и могли самостоятельно устранить проблему на ее начальной стадии.

Ну и конечно, опыт прошлых эпидемий привел к значительному росту технических знаний пользователей. Сейчас уже практически нельзя найти человека, не использующего антивирус и межсетевой экран. Два года назад это еще не было устоявшейся практикой.

История уязвимости в PnP — цепь небольших локальных эпидемий разных червей и ботов.

Таковы основные итоги неудавшейся эпидемии. Пользователи и крупные корпорации в целом показали, что они готовы к появлению новых уязвимостей в Windows и способны в короткие сроки установить требуемые заплатки, а в случае произошедшего заражения могут быстро устранить проблему, используя антивирусы и межсетевые экраны. Это очень приятная тенденция, которая дает основания надеяться на то, что вызванные уязвимостями в Windows, гигантские по своим масштабам вирусные эпидемии, способные на какое-то время вывести из строя отдельные сегменты интернета, в ближайшее время нам не грозят.

Другим, примечательным фактом стал арест двух подозреваемых в создании ряда червей семейства Mytob. Как мы уже говорили, именно Mytob стал первым червем, в котором был применен эксплойт PnP и именно Mytob был наиболее заметным семейством вирусов на протяжении всего 2005 года. 26 августа в Марокко и Турции одновременно были арестованы Farid Essebar (Diabl0) и Atilla Ekici (Coder). Первый из них подозревается в создании червя, второй был его помощником и занимался распространением вируса, а также поддерживал IRC-каналы для управления зараженными компьютерами.

Следствие все еще продолжается, но надо отметить тот факт, что в сентябре количество новых Mytob резко сократилось.

Это тоже тенденция, показывающая, что практически все «засветившиеся» вирусописатели, чьи вирусы стали причиной проблем в крупных корпорациях, успешно обнаруживаются полицией и привлекаются к ответственности.

Актуальность «железных» антивирусов и уязвимости в Cisco IOS

Вышеописанные события, связанные с уязвимостью в PnP, также подтвердили выводы экспертов о том, что одним из наиболее действенных способов пресечения глобальных вирусных эпидемий являются встраиваемые в сетевое оборудование антивирусные решения. Будучи интегрированными непосредственно в маршрутизаторы и коммуникаторы они способны обнаруживать тела вирусов или посылаемые эксплойтами пакеты данных прямо в сетевом трафике. Обнаружив такой пакет, они не дают ему дойти до конечного получателя.

В настоящий момент практически все крупные производители сетевого оборудования (Cisco, Juniper, SonicWall, Zyxel и т.д.) сотрудничают с антивирусными компаниями и предлагают своим клиентам такие «железные» антивирусные решения.

Без интернета могут остаться все пользователи сети, вне зависимости от используемой ими ОС.

Понятно, что такой способ защиты является весьма эффективным (хотя и дорогостоящим). Однако значительное количество исследователей IT-security обратили свое внимание на потенциальные угрозы данных решений. Действительно, атаки на сетевое оборудование могут доставить интернету куда более значительные проблемы, чем эпидемия какого-то одного червя, работающего только на Windows-машинах. В случае такой атаки без интернета могут остаться все пользователи сети, вне зависимости от используемой ими ОС.

Проблема дополнительно отягощается тем, что в прошлом году произошла утечка исходных кодов (полная или частичная) операционной системы Cisco IOS версий 12.3 и 12.3t. Утечка архивного файла объемом 800 МБ произошла 13 мая 2004 года в результате взлома внутренней корпоративной сети компании-производителя.

Операционная система Internetwork (IOS) применяется в качестве программной платформы для большей части коммутаторов и маршрутизаторов Cisco. Кроме того, по оценкам аналитиков, Cisco владеет примерно 60% мирового рынка маршрутизаторов.

Следствием происшествия стал скандал, разразившийся летом 2005 года и связанный с результатами исследования, проведенного Майклом Линном, сотрудником известной в области защиты информации компании ISS. В апреле 2005 он обнаружил в Cisco IOS критическую уязвимость, которая позволяла осуществить DoS-атаку на устройство и выполнить произвольный код в системе. Фактически эта уязвимость ставила под удар всю информационную инфраструктуру интернета. Информация была немедленно направлена в Cisco, однако спустя более чем три месяца ошибка так и не была исправлена.

Сама компания ISS прекрасно осознавала потенциальную угрозу: учитывая то, что исходные коды IOS, скорее всего, также находились и в руках представителей андеграунда, можно было ожидать, что и там эта уязвимость станет известна. К тому же пример, когда сама ISS стала виновником небольшой вирусной эпидемии, был еще свеж в памяти: в марте 2005 года в выпускаемом этой компанией программном обеспечении была обнаружена уязвимость и, несмотря на то, что она была довольно оперативно исправлена, ряд клиентов ISS все-таки пострадал от червя Witty, появившегося спустя всего два дня после обнаружения «дыры».

Линн предложил обнародовать данные об обнаруженной им уязвимости на одной из крупнейших конференций по безопасности — BlackHat. Несмотря на угрозы юридического преследования и увольнение Линна из ISS, доклад «The Holy Grail: Cisco IOS Shellcode and Exploitation Techniques» был опубликован, и информация стала доступна широкому кругу специалистов, вопреки попыткам Cisco скрыть подробности уязвимости. В настоящее время против Линна подан судебный иск со стороны Cisco.

Существует возможность атаки на интернет с использованием брешей в программном обеспечении сетевого оборудования.

Доклад Линна привлек внимание, и его работы по поиску уязвимостей в IOS были продолжены другими исследователями. Время от времени появляется информация о том, что независимые эксперты уже создали концептуальный образец IOS-червя, обнаружили возможность запуска произвольного кода и т.д. Пока эта информация не получила официального подтверждения, но мы склонны весьма серьезно отнестись к этим данным и считаем, что действительно в настоящее время существует возможность атаки на интернет с использованием брешей в программном обеспечении сетевого оборудования.

Единственным настоящим препятствием для осуществления такой атаки на практике является весьма небольшой круг людей, обладающих необходимыми знаниями и опытом. Еще одним сдерживающим фактором является отсутствие прямой коммерческой выгоды для атакующего: киберпреступники не заинтересованы в выводе из строя отдельных сегментов интернета. Однако вероятность того, что концептуальный IOS-червь вырвется на волю, все таки существует: подобное уже случалось в 1988 году с червем Морриса или в 2003 с червем Slammer.

Вне всякого сомнения, в ближайшее время произойдет смещение акцента в поиске уязвимостей в традиционных системах — Windows/Unix и их приложений — в сторону сетевого оборудования, межсетевых экранов, а также антивирусных продуктов.

Социальная инженерия

Данная тема регулярно затрагивается в наших аналитических отчетах. Мы неустанно подчеркиваем, что именно человеческий фактор является основополагающим в любой системе безопасности. Понятно, что в первую очередь это волнует крупные компании, особенно — финансового сектора. В прошлой статье мы констатировали смещение вектора атак с массового пользователя в сторону угроз бизнес-структурам, отметив, что такие атаки, как правило, имеют абсолютно уникальные особенности в каждом конкретном случае, что затрудняет использование против них стандартных мер защиты.

Однако и рядовым пользователям глобальной сети не стоит ослаблять мер предосторожности. Компьютер с полностью пропатченной операционной системой, без уязвимых приложений может быть заражен с таким же успехом, как и незащищенный, и это является главной проблемой современной информационной безопасности. Самым действенным способом проникновения в подобную систему является метод «социального инжиниринга». Атакующий должен привлечь внимание и, используя интересную для атакуемого тему, заставить его выполнить определенные действия:

  • посетить сайт и ввести там какие-либо данные;
  • скачать и запустить неизвестное приложение;
  • открыть пришедший по электронной почте файл.

Фантазия социальных инженеров не знает границ. Одним из последних интересных примеров является фишинг-атака, в которой от пользователя не требуется посещать поддельный сайт и вводить там свои данные: ему просто направляется бланк письма для заполнения и отправки по факсу! Данный способ выделяется сравнительной новизной, и пользователь, который наверняка слышал о поддельных сайтах и с опаской относится к любым просьбам указать где-нибудь в сети свои персональные данные, может, как это не удивительно, с легкостью отправить их по факсу. Подорванное доверие к онлайн-системам авторизации действительно может привести к большему (и часто неоправданному) доверию к традиционным оффлайновым средствам (телефон и факс). Как видно из приведенного примера, социальные инженеры прекрасно разбираются в психологии пользователей сети и очень тонко чувствуют настроения масс.

В этой связи следует признать, что попытки различных компаний создать браузер, призванный определять «подлинность» посещаемого веб-сайта или защищать учетные данные, хранящиеся на компьютере, не способны решить проблему в полной мере и отстают на шаг от действий злоумышленников.

Третий квартал 2005 года оказался богат на различные природные и техногенные катастрофы. Как это ни прискорбно, но киберпреступность в очередной раз не удержалась от желания использовать чужое горе и человеческое любопытство в своих целях. Август и сентябрь стали самыми активными месяцами года по числу разнообразных спамерских и вирусных рассылок, использовавших темы катастроф. В целом, по некоторым оценкам, масштабы рассылок были сопоставимы с теми, что выдали мошенники в декабре-январе, спекулируя на теме цунами в Юго-Восточной Азии.

Основных тем рассылок в этом квартале было две: взрывы в Лондоне (июль), ураганы Катрина и Рита (август-сентябрь). Буквально через пару дней после взрывов в лондонском метро антивирусные компании зафиксировали несколько рассылок вредоносных программ, эксплуатировавших трагические события. Наибольшее распространение получили следующие вредоносные программы:

Но, конечно, настоящая вакханалия разразилась в конце августа — начале сентября, когда на южное побережье США обрушился один из сильнейших ураганов последних десятилетий Катрина. Уже на следующий день после удара стихии пользователям интернета был нанесен другой удар в виде десятков писем, предлагающих «посмотреть видео», «узнать секретные данные о числе жертв», «прочитать срочное обращение президента» и совершить множество различных действий, преследовавших одну и ту же цель: завлечь пользователя на специально подготовленные сайты с размещенными на них эксплойтами уязвимостей IE (как правило, традиционным Exploit.HTML.Mht, но встречались и новинки в виде Exploit.JS.JavaPrxy или IframeBof). Впрочем, в ряде случаев злоумышленники даже не утруждали себя использованием эксплойтов, просто и незатейливо предлагая скачать файл, на деле оказывавшийся троянским.

Современные информационные угрозы, III квартал 2005

Пример спама на тему урагана Катрина.

Преступники не ограничивались установкой троянских программ на компьютеры пользователей. Некоторые пытались украсть деньги более прямолинейными способами, например, рассылая письма с просьбами о пожертвовании средств на помощь жертвам урагана, выдавая себя за уполномоченные агентства. Институт SANS провел собственное исследование и зафиксировал стремительный рост числа доменов, использующих в своем названии слово «Katrina».

И тут фантазия социальных инженеров также проявилась во всей красе: «собирая пожертвования», они не преминули случаем заодно украсть и реквизиты банковских карточек пользователей. Под видом упрощенного варианта сбора средств, на некоторых сайтах предлагалось ввести номера и коды пластиковых карт. Разумеется, эта информация в дальнейшем попадала в руки кардеров.

Все те же самые методы и способы были применены еще раз, когда на США обрушился ураган Рита. К счастью, в этом случае масштабы разрушений и общественный резонанс оказались гораздо меньшими, и как следствие подобных писем и троянцев было зафиксировано также значительно меньше.

Миру была в очередной раз продемонстрирована опасность и темпы развития социальной инженерии. Необходимо постоянное обучение персонала в бизнес-структурах методам распознавания подобных атак, а для домашних пользователей интернета — повышенное внимание и здоровый скептицизм к письмам с любыми просьбами о финансовой помощи, особенно во времена техногенных и природных катастроф.

Ситуация с IM-червями

В первой статье цикла мы отметили появление и взрывообразное развитие нового класса сетевых червей — IM-Worms (черви использующие для своего размножения популярные программы мгновенного обмена сообщениями). Было замечено, что их эволюция очень похожа на историю развития P2P-червей, а также содержит признаки начальной стадии развития нового класса червей, когда большинство из них создаются на языке Visual Basic и базируются на одном стандартном примере кода.

Весной-летом 2005 года IM-черви, по всей видимости, были на пике своего развития и показывали наибольшие темпы роста среди всех классов сетевых червей. В среднем в первые полгода нами регистрировалось 28 новых IM-червей каждый месяц. Напомним, что на пике развития P2P-червей (2003 год) их показатели составляли около десяти новых вариантов в неделю.

Внезапно все изменилось. В какой-то момент времени этот поток IM-червей прервался. В настоящее время мы обнаруживаем примерно один новый вариант подобных червей в неделю, и все они являются чуть-чуть измененными вариантами старых семейств. Что же произошло с IM-malware? Попробуем разобраться в причинах этого примечательного факта вирусной истории.

Компании AOL и MSN, чьи программы-клиенты служб мгновенного обмена сообщениями стали основной платформой для функционирований подобных червей, предприняли ряд мер по защите пользователей. В первую очередь, они стали блокировать передачу файлов с именами и расширениями, соответствующим известным вариантам IM-вирусов. Несмотря на то, что подобный способ передачи своего тела использовался небольшим числом червей, данное решение оказалось вполне жизнеспособным. Следующим шагом стала блокировка передачи гиперссылок на аналогичные файлы, а этот способ и был основным для IM-червей.

Таким образом, удалось закрыть большую часть лазеек, которые использовали вирусописатели и, что самое важное, на использовании которых базировались все исходные коды подобных червей, доступные в андерграунде. Мы отмечали низкий уровень качества кода IM-червей и предполагали, что в массе своей они создаются плохо разбирающимися в предмете script kiddies. После того, как готовые решения перестали работать, эти «вирусописатели» не смогли самостоятельно найти новые способы для распространения вредоносных программ, что и повлекло за собой драматическое падение популяции IM-червей.

Уязвимость в PnP стала катализатором, моментально изменившим предпочтения злоумышленников.

Но, как нам кажется, не менее важным фактором стало то, о чем мы говорим в самом начале данного аналитического отчета — опасная уязвимость в PnP. Почему IM-черви так активно развивались в начале года? Потому что в условиях отсутствия новых критических уязвимостей в Windows вирусописателям пришлось обратить свое внимание на другие популярные средства передачи данных. Электронная почта не подходила по ряду объективных причин, о которых мы уже неоднократно писали. P2P-сети и IRC-каналы находятся в стадии упадка и неинтересны по причине малого числа пользователей. Оставался, наверное, самый популярный в настоящий момент способ общения — instant messaging. Отсюда и стремительный всплеск популяции подобных вредоносных программ.

Уязвимость в PnP стала катализатором, моментально изменившим предпочтения злоумышленников. Она предоставляла вирусописателям гораздо более широкие возможности и гораздо большее число потенциально уязвимых компьютеров, чем IM. Существует несколько популярных IM-клиентов, написание универсального червя для всех них, видимо, невозможно, плюс оказали свое влияние принятые меры по защите со стороны AOL и MSN.

Как видно из всего вышеизложенного, действительно дыра в PnP стала самым заметным событием 2005 года, значительно изменив весь вирусный ландшафт и определив тенденции развития вредоносных программ на несколько месяцев вперед.

Что же касается IM-червей, то пока они полностью повторяют путь P2P-червей, когда за стремительным появлением следует не менее стремительное исчезновение. И причины для этого у них весьма схожи: P2P-черви пропали с открытием уязвимостей в RPC DCOM и LSASS. Вероятнее всего, в ближайшие месяцы IM-черви не смогут вызвать каких-либо заметных эпидемий и не будут представлять угрозу пользователям. Однако со временем, при условии отсутствия новых критических уязвимостей в Windows, интерес вирусописателей к данному способу распространения, скорее всего, опять возрастет.

Вирусы для мобильных устройств

Недавно «Лаборатория Касперского» опубликовала результаты масштабного исследования текущей ситуации в сфере вирусов для мобильных устройств и прогнозы дальнейшего развития этой области вирусологии. Одним из основных выводов данного исследования было заключение о том, что общая динамика освоения вирусописателями мобильной области предположительно будет сохраняться еще как минимум полгода, в течение которого нас ждет равномерный поток аналогов уже известных вирусов с очень редкими вкраплениями технологических новшеств.

За время, прошедшее с момента данного исследования, прогноз полностью подтвердился. Появилось несколько новых троянских программ для операционной системы Symbian, которые по праву могут считаться обладателями некоторыми технологических новшеств.

Общая динамика освоения вирусописателями мобильной области будет сохраняться еще полгода.

В конце сентября был обнаружен троянец Cardtrap (Trojan.SymbOS.Cardtrap), который в полной мере соблюдает основной принцип поведения троянских программ для Symbian: при инсталляции в систему он перезаписывает пустыми или неработающими копиями файлов некоторые приложения сторонних производителей. Отличием его от всех существующих троянцев является то, что он не только перезаписывает файлы в телефоне, но и устанавливает на съемную карту памяти телефона две вредоносных программы, работающие в среде Win32! Первая из них является известным вариантом многофункционального бэкдора Padobot, а вторая представляет собой также известный вариант почтового червя Rays.

Кстати, данный червь уже второй раз обнаруживается на различных мобильных устройствах. В конце августа в Японии большая партия (около 4000 штук) MP3-проигрывателей Zen Neeons оказалась заражена этим червем. К сожалению, мы не знаем точных причин, по которым это произошло, и не располагаем результатами расследования, которое, очевидно, проводилось компанией-производителем.

Padobot и Rays не представляют непосредственной угрозы для самого мобильного телефона, эти вредоносные программы рассчитаны на работу только в операционной системе Windows. Очевидно, что авторы троянца предполагали, что пользователь зараженного телефона может запустить эти файлы на исполнение при подсоединении телефона к персональному компьютеру, в результате чего он был бы ими заражен.

Для облегчения своей задачи авторы троянца устанавливают Padobot на съемную карту памяти в виде файла автозапуска. Однако, насколько нам известно, в операционной системе Windows автозапуск со съемных карт памяти не работает, что практически исключает риск скрытого инфицирования при чтении содержимого такой карты на компьютере.

Червь Rays устанавливается на карту в виде файла с именем system.exe и имеет иконку, соответствующую изображению каталога, а не файла. Таким образом, запуск червя возможен в случае, если пользователь примет данную иконку за каталог и попытается войти в него.

До сих пор подобное поведение среди мобильных вирусов — попытка одновременного заражения двух операционных систем — нам не встречалось. Нечто похожее было отчасти реализовано в вирусе Lasco, однако там Windows-компонент только искал на персональном компьютере файлы формата sis и пытался заразить их Symbian-компонентом.

Этот пример показывает, что для авторов вирусов по-прежнему приоритетной остается ОС Windows, и заражение телефона такой троянской программой — лишь шаг на пути проникновения в персональный компьютер.

Киберпреступность нашла способ «зарабатывать» деньги при помощи вирусов для мобильных устройств.

Вторым заметным троянцем для Symbian стал обнаруженный в конце сентября Cardblock. Этот троянец относится к самому опасному виду — создан исключительно в хулиганских целях и выполняет крайне деструктивные функции. После установки в систему он удаляет системные каталоги и информацию об установленных приложениях. В результате этого удаляется адресная книга телефонных номеров, хранящихся в памяти телефона, сохраненные SMS и MMS. После таких действий многие телефоны не смогут загрузиться и потребуют ремонта.

Технологическим новшеством является проводимая троянцем атака на съемную карту памяти (MMC). Троянец блокирует ее при помощи произвольно сгенерированного пароля. Пока карточка вставлена в зараженный телефон, она функционирует нормально. После перезагрузки такого телефона или попытки чтения карты с другого устройства, она остается заблокированной и получение доступа к хранящимся на ней данным не представляется возможным без знания пароля, который, как уже было сказано выше, генерируется произвольно, и пользователь его не знает.

В данном случае мы имеем дело не просто с удалением или порчей данных в телефоне, а с первым шагом к появлению троянских программ, аналогичных Windows-троянцу Gpcode, который шифрует пользовательские данные и требует выплаты денежной «компенсации» за расшифровку. Это очень тревожный сигнал, и если он станет явно выраженной тенденцией, это будет означать, что киберпреступность все-таки нашла для себя способ «зарабатывать» деньги при помощи вирусов для мобильных устройств.

Когда статья уже была почти закончена, мы получили сообщение об обнаружении первой троянской программы для игровой консоли. Жертвой стала PlayStation Portable компании Sony. Троянец удаляет системные файлы на устройстве, выводя её из строя, что очень похоже на базовое поведение троянцев для мобильных телефонов. А еще через несколько дней было обнаружено два троянца, атакующих другую игровую платформу — Nintendo DS. Не исключено, что столь стремительное появление новых троянцев для игровых приставок это начало большого интереса вирусописателей к этому виду устройств. Более подробно мы рассмотрим эту тему в нашем отчете за четвертый квартал 2005 года.

Подведение итогов

В целом третий квартал 2005 года можно признать чрезвычайно разнообразным — как по проявлениям фантазии киберпреступников, так и по охвату инцидентов. За прошедшие три месяца не только появились новые критические уязвимости в MS Windows (к счастью, пока что толком не использованные), но и угроза для популярных маршрутизаторов Cisco; был обнаружен новый любопытный троянец для мобильных устройств, а спамеры и «фишеры», подло воспользовавшись чужим горем, развернули кампанию, аналогов которой мы не видели со времен трагедии в Юго-Восточной Азии.

С другой стороны, по-настоящему крупных вирусных эпидемий опять не случилось, а шумиха поднятая СМИ вокруг одной из версий червя Mytob объяснялась не столько опасностью его распространения, сколько безалаберностью самих же СМИ, не устанавливающих вовремя обновления для операционных систем своих компьютеров.

В следующей статье мы расскажем о событиях четвертого квартала текущего года. Кроме того, мы подведем итоги 2005 года в целом, вернувшись к основным событиям зимы, весны и лета.

Современные информационные угрозы, III квартал 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике