Зловреды в Сети. Августовское «спокойствие»

В компании Eset отмечают, что в минувшем месяце в глобальном рейтинге угроз был зафиксирован только рост вредоносных объектов веб-страниц HTML/IFrame. Обнаружение HTML/IFrame является общим и включает не одно семейство вредоносных программ, а различные вредоносные элементы iframe, которые злоумышленники встраивают в веб-страницы для скрытного перенаправления пользователя на фишинговые ресурсы и доставки вредоносного кода.

В глобальном рейтинге Eset также присутствуют вирусы Win32/Sality (2.02%), Win32/Ramnit (1.33%) и Win32/Virut (0.94%).

Среди прочих, важным событием августа эксперты Eset называют обнаружение вредоносной модификации популярного менеджера закачек Orbit Downloader. Злоумышленники встроили в одну из его версий вредоносный код, который обладает возможностью проведения DDoS-атак. Orbit Downloader отмечен как одна из наиболее скачиваемых программ на софтверных сайтах, поэтому данная версия могла быть загружена большим количеством пользователей.

В августе доля России в мировом объеме вредоносного ПО составила 8,16%. Для России наиболее актуальной угрозой остается троянская программа Win32/Qhost (10.26%). Спад ее активности продолжается, но несмотря на это, уровень распространенности этой угрозы по-прежнему остается самым высоким. Также в российский рейтинг в августе попали вредоносные элементы веб-страниц JS/IFrame (3.84%) и HTML/ScrInject (2.87%). Кроме этих угроз, рост наблюдался у червя Win32/Dorkbot (1.56%) и вредоносных элементов автозапуска INF/Autorun (1.23%).

Из позитивных событий отмечено, что в августе компания Microsoft закрыла несколько опасных уязвимостей в браузере Internet Explorer, которые могут использоваться для скрытной установки вредоносного ПО. Исправлению подверглись все версии браузера, начиная с шестой и заканчивая новейшим IE10. Кроме того, компания исправила критические уязвимости в Microsoft Exchange Server версий 2007/2010/2013, а также уязвимость в защитном механизме ASLR, который позволяет предотвратить исполнение эксплойтов.

В свою очередь, относительно вирусной обстановки в августе вирусные аналитики «Доктор Веб» приводят следующую информацию: лидером среди всех выявленных угроз по-прежнему является Trojan.Loadmoney.1. Этой записью антивирусное ПО Dr.Web детектирует приложение для загрузки торрентов одноименной партнерской программы, которое также устанавливает на компьютеры пользователей различное ПО от известного российского коммуникационного портала. Кроме того, в начале августа специалистами «Доктор Веб» был обнаружен троянец Trojan.LMclicker.1, предназначенный для накрутки показателей в партнерской программе Loadmoney.

Второе место по распространенности занимает троянец Trojan.Hosts.6815, модифицирующий на инфицированном компьютере файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. На третьем месте располагается IRC-бот BackDoor.IRC.Cirilico.119, за ним с небольшим отрывом следует Trojan.BtcMine.142 — вредоносная программа, использующая ресурсы инфицированного компьютера для добычи электронной валюты Bitcoin.

Угрозой месяца аналитики «Доктор Веб»  называют троянец-шпион, представляющий серьезную опасность для пользователей ОС Linux.  В августе специалисты компании «Доктор Веб» провели исследование троянца для данной операционной системы, получившего название Linux.Hanthie.

Linux.Hanthie (также известен под названием Hand of Thief) позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит). Гибкая настройка бота осуществляется через файл конфигурации.

После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В троянце предусмотрены средства противодействия анализу и запуску в изолированных и виртуальных окружениях. Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии. Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE.

Основной вредоносный функционал Linux.Hanthie заключается в перехвате и отправке злоумышленникам содержимого заполняемых пользователем форм. Троянец позволяет встраивать граббер в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. Кроме того, троянец реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется.

Среди других угроз отмечено, что все большую популярность у киберпреступников приобретают различные мошеннические схемы торговли «виртуальным товаром», например «лайками» социальных сетей. Некоторые пользователи готовы платить реальные деньги за эти виртуальные «знаки внимания». Кроме того, «лайки» помогают фирмам продвигать товары или услуги на рынке: число «лайков», которыми отмечен тот или иной товар, повышают его популярность в глазах потенциальных покупателей. Злоумышленники торгуют фальшивыми учетными записями подписчиков Twitter и Instagram, используя для их создания необычную версию вредоносного ПО Trojan.PWS.Panda. Антивирусное ПО Dr.Web детектирует данную угрозу как Trojan.PWS.Panda.106.

Также в августе экспертами «Доктор Веб» было зафиксировано распространение новой версии троянца семейства BackDoor.Maxplus, выполняющей функции кейлоггера и подключающей зараженный компьютер к созданной злоумышленниками пиринговой сети. Специалистами «Доктор Веб» был также обнаружен троянец Trojan.WPCracker.1, предназначенный для взлома веб-сайтов, работающих под управлением популярных CMS.

Относительно такой категории зловредов, как мобильные угрозы, аналитики «Доктор Веб» отмечают, что последний летний месяц оказался относительно спокойным в плане появления угроз для мобильных устройств. Так, в августе вирусные базы Dr.Web пополнились очередными записями для нескольких SMS-троянцев семейства Android.SmsSend, которые служат для отправки премиум-сообщений на короткие номера и подписки абонентов на различные платные услуги. Кроме того, в течение месяца было зафиксировано большое число разнообразных коммерческих шпионских приложений, включая версии, которые предназначены для работы на iOS-устройствах, подвергавшихся процедуре jailbreak. Данные приложения опасны тем, что, будучи установленными злоумышленниками, способны скрытно от пользователя осуществлять мониторинг его активности, например, перехватывать SMS -сообщения, получать информацию о совершаемых звонках, отслеживать GPS-координаты и пересылать на удаленный сервер все собранные данные.

Кстати, говоря об угрозах для мобильных устройств, о новом способе распространения мобильных троянцев сообщают эксперты «Лаборатории Касперского». Способ заключается в распространении мобильных троянцев через мобильные ботнеты, созданные на основе другой вредоносной программы. Именно этот метод, среди прочих традиционных, избрали злоумышленники, стоящие за самым сложным мобильным троянцем Obad с широкими вредоносными функциями и хорошо зашифрованным кодом.

По данным «Лаборатории Касперского», использование сторонних мобильных ботнетов для распространения зловреда резко увеличивает возможную «область поражения», чего трудно добиться привычными способами типа традиционных спам-рассылок или перенаправления на взломанные сайты. Чаще всего жертвами этого опасного троянца становятся пользователи устройств на платформе Android в России (более 83% случаев), Узбекистане, Казахстане, Белоруссии и на Украине.

Obad распространяется с мобильных ботнетов на базе другого «популярного» в России и других странах СНГ троянца Opfake. После активации на зараженном мобильном устройстве Opfake может по команде, поступающей от сервера, начать рассылку SMS с вредоносной ссылкой по всем контактам жертвы. Если пользователь перейдет по предлагаемой ссылке, то на его устройство автоматически загрузится вредоносная программа. Как правило, таким образом Opfake распространяет ссылки на самого себя. Однако экспертами «Лаборатории Касперского» были зафиксированы и массовые рассылки сообщений со ссылками на Obad. Мощности ботнета на базе Opfake позволяют быстро и резко увеличивать объемы подобных SMS-рассылок и, как следствие, число инфицированных троянцем Obad мобильных устройств.