Обзор вирусной обстановки за июль: новые угрозы
Компания «Доктор Веб», российский разработчик средств информационной безопасности, представила обзор вирусной обстановки за июль 2011 г. По данным компании, в июле вновь активизировались создатели «винлоков» и разработчики вредоносного ПО для мобильной платформы Android. Кроме того, специалистами «Доктор Веб» было обнаружено и обезврежено множество других опасных угроз.
Создатели вредоносных программ для мобильной ОС Android продолжают «радовать» пользователей очередными новинками. Так, в июле специалистами «Доктор Веб» в вирусные базы были добавлены описания 29 новых угроз для этой платформы, среди которых следует отметить две новых модификации трояна Android.Gongfu и программу Android.Ggtrack.1-2, предназначенную для кражи денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.
Кроме того, в июле была обнаружена и добавлена в базы программа-шпион Android.GoldDream.1. Эта вредоносная программа для Android, как и ее предшественницы, встроена в предназначенные для мобильных устройств легитимные приложения, такие как игры Drag Racing и Draw Slasher, и распространяется через альтернативные сайты-сборники ПО. Будучи запущенным в операционной системе, троян регистрируется в качестве фонового сервиса, собирает информацию об инфицированном устройстве, включая телефонный номер абонента и номер IMEI, после чего передает ее злоумышленникам на удаленный сервер. Вслед за этим Android.GoldDream.1 начинает отслеживать все входящие SMS-сообщения, а также входящие и исходящие телефонные звонки, и записывать сведения об этих событиях (в том числе телефонный номер, с которого или на который выполнялся звонок или отправлялось сообщение, а также само содержимое SMS) в хранящийся локально файл. Впоследствии этот файл может быть извлечен и передан авторам программы-шпиона. Кроме того, Android.GoldDream.1 в состоянии выполнять поступающие от удаленного центра команды для осуществления несанкционированной рассылки SMS, телефонных звонков, а также установки различных программ.
За истекший месяц специалистами «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к банковским системам. Среди них — Trojan.Carberp.1. Этот троян обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью троянской программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных.
Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т.д. Кроме того, троян имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.
Примерно с мая 2011 г. в «Доктор Веб» стали фиксировать случаи появления программ-вымогателей, ориентированных на западную аудиторию.
Одной из них стала программа Trojan.Winlock.3794, собирающая у пользователей данные банковских карт. Среди реквизитов, которые троян передает злоумышленникам — имя, фамилия, дата рождения и адрес держателя карты, его телефонный номер, дата окончания срока действия карты, ее номер, код CVV2 и даже пинкод. Как подчеркнули в «Доктор Веб», это — первый случай появления трояна-блокировщика, собирающего данные о банковских картах. Ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное SMS-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.
Наиболее популярным именем файла, в котором скрываются подобные трояны, является xxx_video.exe (37,8% случаев заражения), на втором месте — pornoplayer.exe (28,6%), на третьем — xxx_video.avi (9,6%), причем в последнем случае упоминание файла с расширением .avi имеет именно вредоносная ссылка; сам файл, в котором содержится троян, может иметь иное имя и расширение. Такие имена вредоносных файлов, как install_flash_player.exe (1%), ponostar_video.exe и mpeg.exe (по 0,4%), скромно заняли последние строчки рейтинга. Таким образом, наиболее популярным способом распространения троянских программ семейства Trojan.Winlock по-прежнему являются порносайты, с которых пользователи загружают троянов под видом программы-проигрывателя либо видеоролика, сообщили в «Доктор Веб».
В последних числах июля 2011 г. был зафиксирован всплеск заражений троянской программой Trojan.Mayachok.1: многие пользователи неожиданно столкнулись с невозможностью выйти в интернет. При попытке открыть в окне браузера какой-либо сайт троян перенаправлял пользователя на заранее определенный URL, демонстрируя веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение. Если пользователь следовал указаниям злоумышленников, с его счета незамедлительно списывались средства. Один из способов распространения трояна — сообщения социальной сети «ВКонтакте»: пользователям предлагается скачать документ в формате .rtf, якобы рассказывающий о специальной программе для просмотра посещающих страницу пользователя гостей.
Данная угроза была не единственной, так или иначе затронувшей соцсеть «ВКонтакте» — к таковым можно отнести и распространение троянской программы Trojan.VkSpam, инфицирующей компьютеры благодаря спам-рассылкам на сайте «ВКонтакте». Как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, «голоса» или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя «ВКонтакте». И в том, и в другом случае троян демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи: это якобы необходимо для установки соответствующего приложения. Воспользовавшись полученными учетными данными, Trojan.VkSpam начинает массовую рассылку сообщений по списку контактов пользователя.
Комментарии
троян заменил файл userini.exe на свой, родной переименовал. Сделал запись в реестре для запуска своего файла.
Проанализировав веб-страницу, загружающую троян, я нашел двойное криптование(алгоритмы на подобных сайтах почти одинаковые). Оч интресный способ запуска. Сперва он пытается запустить Adobe PDF(зачем, я так и не понял, может пытается использовать скриптовый движок там), затем запускает help.exe и передает ему скрипт, таким образом он обходит ограничения на запуск ActiveX в браузере.
Запуская скрипт в хелпе он становится хозяином в компе и ему открыт доступ ко всем ресурсам, в том числе и реестру.
Нашел вроде-бы сайт, с которого он подзагружает exe-шник, но домен оказался заблокирован. Интересующимся, могу скинуть эту веб-страницу для изучения.