Август 2012: растущие ботнеты, уязвимость Java и новые угрозы для Android

Август 2012: растущие ботнеты, уязвимость Java и новые угрозы для Android

По данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt! в августе 2012 г., наиболее распространенной вредоносной программой на компьютерах пользователей по-прежнему является Trojan.Mayachok.1, однако количество обнаруженных экземпляров трояна по сравнению с предыдущим месяцем выросло на 6,5%. Этот рост можно, в частности, связать с тем, что Trojan.Mayachok.1 начали активно распространять создатели платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend, пояснили в компании.

В статистических сводках Trojan.Mayachok.1 уверенно и с большим отрывом занимает лидирующую позицию, в то время как на втором месте разместился троян-бэкдор BackDoor.Butirat.91 — эта программа способна выполнять поступающие с удаленного сервера команды, а также загружать и запускать на инфицированном ПК различные файлы. Для сравнения: число обнаружений этой угрозы на 87,1% меньше по отношению к количеству выявленных экземпляров Trojan.Mayachok.1. В то же время, общее количество компьютеров, инфицированных BackDoor.Butirat.91, за истекший месяц выросло на 41,8%, говорится в сообщении "Доктор Веб".

Число обнаруженных на инфицированных компьютерах экземпляров вредоносных программ семейства Trojan.SMSSend осталось практически на прежнем уровне, однако с недавнего времени они стали представлять значительную опасность для пользователей. К семейству Trojan.SMSSend относятся архивы, максимально правдоподобно имитирующие программу установки различных популярных приложений. При открытии такого архива пользователю предлагается либо отправить на короткий номер платное SMS-сообщение, либо указать собственный мобильный телефон и ввести в специальное поле код, полученный в ответном SMS, подписавшись таким образом на какую-нибудь ненужную услугу с абонентской платой. Внутри архива, как правило, оказывается какой-либо бесполезный "мусор". Основная опасность таких архивов заключается в том, что заражение другими вредоносными программами может произойти уже в момент запуска подобного приложения, даже если пользователь сразу закроет окно платного архива, подчеркнули в "Доктор Веб".

В целом, в топ-10 вредоносных программ, обнаруженных на компьютерах пользователей в августе с использованием лечащей утилиты Dr.Web CureIt!, попали: Trojan.Mayachok.1 (74701; 6,90%); BackDoor.Butirat.91 (9667; 0,89%); Trojan.SMSSend.2363 (5667; 0,52%); Trojan.Carberp.30 (5421; 0,50%); Trojan.Hosts.5940 (4025; 0,37%); Trojan.Fraudster.292 (3772; 0,35%); Win32.HLLW.Gavir.ini (3458; 0,32%); BackDoor.Ddoser.131 (3180; 0,29%); Win32.HLLP.Neshta (2941; 0,27%); Win32.HLLM.Reset.395 (2580; 0,24%).

Среди угроз, выявленных в течение месяца в почтовом трафике, лидирует бэкдор BackDoor.Andromeda.22:

1. BackDoor.Andromeda.22 1,97%
2. Trojan.Oficla.zip 1,70%
3. Exploit.BlackHole.12 1,45%
4. JS.Redirector.130 1,00%
5. Trojan.Necurs.21 0,90%
6. Win32.HLLM.MyDoom.54464 0,90%
7. Win32.HLLM.MyDoom.33808 0,69%
8. Win32.HLLM.Netsky.35328 0,45%
9. SCRIPT.Virus 0,42%
10. Win32.HLLM.Beagle 0,42%
11. Trojan.Fakealert.32747 0,31%
12. Trojan.PWS.Panda.655 0,31%
13. Exploit.IframeBO 0,24%
14. Win32.HLLM.Netsky.18516 0,24%
15. Trojan.PWS.Panda.786 0,24%
16. W97M.Keylog.1 0,24%
17. Trojan.DownLoader1.64229 0,24%
18. Trojan.Winlock.3020 0,24%
19. BackDoor.Bebloh.17 0,24%
20. Trojan.PWS.Panda.547 0,21%

Несмотря на то, что с момента обнаружения крупнейшей в истории бот-сети Backdoor.Flashback.39, состоящей из инфицированных "маков", прошло уже более четырех месяцев, говорить об исчезновении этого ботнета пока еще преждевременно, считают в "Доктор Веб". По данным компании, на текущий момент объем бот-сети составляет свыше 126,7 тыс. зараженных машин, что на 21711 единиц меньше, чем в конце прошлого месяца. В целом темпы сокращения численности ботнета Backdoor.Flashback.39 заметно снизились (в прошлом месяце вредоносная сеть уменьшилась на 76524 машины).

В свою очередь, численность ботнета Win32.Rmnet.12 в течение августа перевалила за четыре миллиона и составила 4,35 млн инфицированных компьютеров. По оценкам "Доктор Веб", увеличение популяции данного весьма опасного файлового вируса продвигается прежними темпами: если в июле прирост вредоносной сети свыше 480 тыс. инфицированных рабочих станций, то в августе к бот-сети присоединилось еще порядка 500 тыс. зараженных узлов. Примечательно, что наибольшую угрозу данный файловый вирус представляет, в первую очередь, для жителей стран Юго-Восточной Азии: наибольшее число заражений приходится на долю таких государств, как Индонезия, Бангладеш, Вьетнам и Индия. На территории России сегодня выявлено 105268 инфицированных машин, что составляет 2,4% от общего количества зараженных компьютеров.

Понемногу увеличивается и численность "родственного" ботнета Win32.Rmnet.16, правда, не столь высокими темпами, отметили в компании. Так, в течение августа к этой бот-сети присоединилось порядка 67 тыс. инфицированных ПК, в то время как ее общая численность составила 222,3 тыс. узлов. Среднесуточный прирост ботнета составил примерно 1,5–2 тыс. зараженных узлов, однако к концу месяца резко сократился.

Win32.Rmnet.16 по функциональным возможностям очень похож на своего "собрата" Win32.Rmnet.12, однако имеет и ряд существенных различий. Так, Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров генерируются по специальному алгоритму. Вирус способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Помимо этого, Win32.Rmnet.16 умеет "убивать" процессы большинства наиболее распространенных антивирусных программ, сообщили в "Доктор Веб". Географически вирус наиболее распространен на территории Великобритании (72,1%) и Австралии (24,9%), в границах России Win32.Rmnet.16 распространения практически не имеет.

В 20-х числах августа компания FireEye, а вслед за ней и другие разработчики антивирусного ПО, сообщили об обнаружении критической уязвимости Java Runtime Environment версий 1.7x, названной CVE-2012-4681. Первые заметки о данной уязвимости были опубликованы 26 августа, а уже на следующий день уязвимость CVE-2012-4681 успела попасть в активно распространяемый среди злоумышленников пакет эксплойтов BlackHole Exploit Кit. Разработчик JRE, корпорация Oracle, выпустила соответствующее обновление безопасности 30 августа, следовательно, пользователи Java оставались беззащитны перед злоумышленниками как минимум в течение четырех суток.

В настоящее время, по информации "Доктор Веб", с использованием уязвимостей Java распространяется троянская программа Trojan.Rodricter.21, обладающая широкими функциональными возможностями, включающими подмену пользовательских запросов, "накрутку" посещаемости различных сайтов и т.д. Была выявлена и альтернативная цепочка редиректов, в финале которой на компьютер жертвы загружается вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.DownLoader6.29607.

Август оказался весьма урожайным месяцем с точки зрения угроз, ориентированных на мобильную платформу Google Android. В течение месяца было зафиксировано рекордное количество случаев взлома веб-сайтов с целью распространения вредоносных программ для мобильных платформ. Всего, по подсчетам специалистов "Доктор Веб", атакам подверглись более 2 тыс. русскоязычных интернет-ресурсов, среди которых было отмечено множество популярных и посещаемых сайтов. Злоумышленники изменяли настройки сайтов таким образом, что при открытии веб-страницы на мобильном устройстве пользователь автоматически перенаправлялся на один из вредоносных ресурсов, с которых распространяются троянские программы семейства Android.SmsSend.

Среди других угроз для Android, добавленных в базы Dr.Web в августе, в компании выделяют Android.Luckycat.1.origin — трояна, предназначенного для хищения пользовательской информации (такой как IMEI устройства, номер телефона, хранящиеся на устройстве файлы) и ее передачи на принадлежащий злоумышленникам сервер. Помимо этого, Android.Luckycat.1.origin "умеет" обрабатывать поступающие от злоумышленников команды. Также была выявлена целая группа вредоносных программ для мобильных платформ, относящаяся к семейству Zeus/SpyEye — троянов, предназначенных для кражи паролей. Версия для ОС Android была добавлена в базы под именем Android.Panda.2.origin, версии для BlackBerry — BlackBerry.Panda.1,BlackBerry.Panda.2 и BlackBerry.Panda.3.

Наиболее интересной троянской программой из всех, обнаруженных в августе 2012 г., в "Доктор Веб" считают новую модификацию трояна Trojan.Mayachok, получившую название Trojan.Mayachok.17516. Эта вредоносная программа представляет собой динамическую библиотеку, устанавливаемую в ОС с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение. В случае успешного запуска этот исполняемый файл расшифровывает содержащую трояна библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит "накрутку" посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия ОС, сведения об установленных браузерах и т.д.

Во второй половине месяца было зафиксировано распространение троянской программы BackDoor.IRC.Codex.1, использующей для координации своих действий технологию IRC (Internet Relay Chat) — протокол, предназначенный для обмена сообщениями в режиме реального времени. Зловред способен загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения, принимать участие в DDoS-атаках, передавать злоумышленникам информацию, вводимую пользователем в веб-формы, и красть пароли от популярных FTP-клиентов.

Китайские вирусописатели сумели удивить специалистов по ИБ, создав довольно сложную и многокомпонентную вредоносную программу Trojan.Xytets, которую можно одновременно отнести и к категории буткитов, и к категории руткитов. Троян состоит из восьми функциональных модулей различного назначения, обладает технологиями антиотладки, умеет инфицировать главную загрузочную запись и скрывать следы своего присутствия в инфицированной системе.

Источник:
Cnews.ru