Компания «Доктор Веб» сообщила о выявлении новой схемы распространения угроз для персональных компьютеров и устройств, работающих под управлением операционной системы Mac OS X. Авторами данного механизма являются создатели трояна Trojan.Muxler (OSX/Revir). Для приманки пользователей злоумышленники используют фотографии русской фотомодели Ирины Шейк.

Угроза скрывается в ZIP-архивах, содержащих различные фотографии, в том числе снимки вышеупомянутой фотомодели. Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. Специалисты «Доктор Веб» в настоящий момент не обладают полной информацией о схеме распространения таких архивов, но предполагают, что это явление не носит массовый характер.

При распаковке содержимого архива помимо фотографий на диск сохраняется приложение, значок которого в окне Finder практически не отличается от эскизов других графических изображений. Злоумышленники рассчитывают на невнимательность пользователя: не отличив уменьшенный эскиз фотографии от значка программы, он может случайно запустить это приложение на выполнение.

Данный исполняемый файл имеет имя FileAgent и представляет собой троянскую программу Trojan.Muxler.3. Троян расшифровывает и запускает модуль бэкдора, детектируемый антивирусным ПО Dr.Web как BackDoor.Muxler.3 (OSX/Imuler). Этот модуль копируется в файл с именем .mdworker, расположенный в папке /tmp/. После запуска Trojan.Muxler.3 демонстрирует пользователю увеличенную копию фотографии и удаляет себя.

По информации «Доктор Веб», бэкдор позволяет выполнять различные команды скачивания и запуска файлов, а также создания скриншотов рабочего стола Mac OS X. Кроме того, Trojan.Muxler.3 загружает из интернета и сохраняет в папку /tmp/ вспомогательный файл CurlUpload, который детектируется антивирусным ПО Dr.Web как Trojan.Muxler.2 и служит для закачки различных файлов с инфицированной машины на удаленный сервер злоумышленников.

Угроза представляет опасность для пользователей Mac OS X, поскольку бэкдор используется в качестве средства контроля над инфицированной машиной. Применяемая злоумышленниками схема позволяет фиксировать происходящие в системе события посредством снятия скриншотов, запускать незаметно для пользователя сторонние приложения и передавать на удаленный сервер хранящиеся на дисках инфицированного компьютера файлы, которые могут содержать конфиденциальную информацию, отметили в «Доктор Веб».

Trojan.Muxler.3 и BackDoor.Muxler.3 добавлены в вирусные базы антивируса Dr.Web для Mac OS X.

CNews

В Рунете появились сайты, распространяющие вредоносное ПО под видом клиента магазина Google Play.

Специалисты разработчика антивирусов Trend Micro зафиксировали появление в сети сайтов, распространяющих вредоносное ПО под видом нового развлекательного сервиса Google Play. Об этом компания на днях сообщила в своем официальном блоге.

Напомним, что Google Play был запущен 6 марта 2012 г. Он объединил в одной площадке сервис по закачке приложений и игр Android Market, Google Music и Google eBookstore, а также предоставил пользователям пространство для хранения скачанных медиафайлов. При этом полный функционал сервиса пока доступен лишь пользователям из США, а расширенный – еще в нескольких странах. В России с его помощью доступны для скачивания только приложения и игры.

В пример сайта с вредоносным ПО, замаскированным под Google Play, специалисты из Trend Micros приводят российский «экземпляр», расположенный по адресу play-google.ru. С его помощью, судя по всему, злоумышленники решили воспользоваться тем, что Google переводит пользователей устройств на ОС Android на новую версию поэтапно и еще не все устройства успели до нее обновиться.

На сайте говорится, что с появлением Google Play смартфоны на ОС Android начали автоматически переходить на версию этого магазина 3.4.6, однако через день якобы вышла его улучшенная версия 3.4.8, о которой мало кто знает. Чтобы обновиться до «новой версии» Google Play пользователю предлагается скачать файл с расширением .apk (как у программы настоящего магазина), который содержит троян Androidos_SMSboxer.ab. При установке и запуске программы открывается сомнительный сайт с Android-приложениями, имитирующий Google Play.


Под видом новой версии клиента магазина Google Play российским пользователям пытаются подсунуть трояна, ворующего деньги

Вредоносное действие Androidos_SMSboxer.ab заключается в том, что он способен рассылать SMS-сообщения на короткие номера злоумышленников без ведома на то самого пользователя. Также он может инициировать закачку других вредоносных файлов на устройство пользователя, говорится в описании этого трояна на сайте Trend Micro.

Несмотря на то, что сайт нацелен на русскоязычных пользователей, создан он был, судя по всему, зарубежными злоумышленниками. Так, описание на нем сделано довольно «кривым» языком, а сам домен зарегистрирован на Ucoz.net. По данным доменной базы Whois, создан был этот сайт 6 марта, как раз в день премьеры Google Play.

По данным исследования «Лаборатории Касперского», в 2011 г. на долю ОС Android пришлось 59% всего вредоносного ПО для мобильных устройств. При этом значительная его часть содержалась в приложениях, доступных для скачивания в официальном Android Market.

CNews

Корпорация IBM опубликовала отчет «2011 Trend and Risk Report» («Отчет о тенденциях и рисках информационной безопасности по итогам 2011 года»), подготовленный группой исследований и разработок в области информационной защиты IBM X-Force. Результаты очередного исследования X-Force отражают непредвиденные улучшения в ряде областей интернет-безопасности, в частности, уменьшение числа уязвимостей приложений и вредоносных программ (эксплойтов), использующих конкретную уязвимость ПО, а также сокращение объемов спама. В отчете отмечается, что атакующие сегодня вынуждены выбирать в качестве своих целей более нишевые «лазейки» и такие набирающие популярность технологии, как социальные сети и мобильные устройства.
«2011 год принес на удивление хорошие результаты в борьбе с компьютерными преступлениями, достигнутые благодаря старанию представителей ИТ-индустрии улучшить качество программного обеспечения, — подчеркнул Том Кросс (Tom Cross), руководитель отдела анализа и стратегии борьбы с угрозами (Threat Intelligence and Strategy) в IBM X-Force. — В ответ на это злоумышленники продолжают развивать методы атак, чтобы находить новые лазейки для проникновения в сети организаций. До тех пор, пока атакующие извлекают выгоду из киберпреступлений, организации должны с особым вниманием относиться к определению приоритетов и устранению уязвимостей ИТ-безопасности».

По-видимому, благодаря внедрению в компаниях более совершенных методов защиты, в 2011 г. в сфере ИТ-безопасности наметился ряд положительных тенденций, полагают специалисты IBM X-Force. В частности, было отмечено 30% сокращение числа доступных вредоносных программ (эксплойтов), использующих конкретную уязвимость ПО. Данное улучшение может быть связано с архитектурными и процедурными изменениями, осуществленными разработчиками ПО и затруднившими использование уязвимостей злоумышленниками.

Также было зафиксировано уменьшение числа неисправленных уязвимостей. Когда уязвимости ПО выявлены и публично обнародованы, очень важно, чтобы поставщики ПО выпустили в кратчайшие сроки соответствующие патчи, устраняющие эти уязвимости. Некоторые такие уязвимости в итоге не устраняются, однако процентное соотношение таких «незакрытых лазеек» устойчиво сокращается на протяжении последних нескольких лет. Так, в 2011 г. этот показатель снизился до 36% по сравнению с 43% в 2010 г., говорится в отчете IBM.

Среди положительных тенденций специалисты IBM X-Force также отметили двукратное сокращение количества уязвимостей ПО типа «межсайтовый скриптинг» (XSS) и сокращение объема спама. Тем не менее, данный вид уязвимости (XSS) по-прежнему присутствует в 40% приложений, обработанных сканером IBM — достаточно высокий показатель для уязвимости, хорошо изученной и поддающейся устранению, считают в корпорации.

Что же касается спама, то созданная IBM глобальная система мониторинга спама зарегистрировала в 2011 г. почти двукратное сокращение его объема. По мнению специалистов IBM X-Force, это может быть связано с ликвидацией нескольких крупных спам-сетей (ботнетов спама), вероятно, затруднившей массовую рассылку нежелательной почты.

Согласно отчету X-Force, домен .ru продолжает оставаться наиболее используемым в спам-ссылках, несмотря на принимаемые меры по ужесточению правил регистрации доменов. В тройку лидеров по этому показателю также вышла Украина.


IBM: Статистика по регионам (кликабельно)

Снижение активности рассылки спама с российских почтовых адресов, зафиксированное в 2009-10 гг., сменяется, по данным IBM, новым «укреплением позиций» в этом направлении:


IBM: Страны-источники спама (кликабельно)

Наряду с описанными выше положительными тенденциями, специалистами IBM X-Force также отмечен рост новых тенденций в организации атак, а также обнаружен целый ряд серьезных уязвимостей сетевой защиты и безопасности приложений.

В частности, команда X-Force сообщила о росте активности трех основных видов атак: Shell Command Injection; метод автоматического угадывания паролей; фишинг. Так, число атак, использующих уязвимости типа Shell Command Injection, по данным отчета, более чем удвоилось. «Многие годы одним из распространенных способов взлома веб-сайтов и веб-приложений, работающих с базами данных, были атаки, получившие название “SQL-инъекций” (SQL Injection). Этот метод, основанный на внедрении в запрос произвольного SQL-кода, позволяет атакующему манипулировать базой данных того или иного сайта. В устранении этого вида угрозы достигнут определенный прогресс, что привело в 2011 году к сокращению на 46% числа публично используемых веб-приложений и сервисов с уязвимостями типа SQL Injection, — пояснили в IBM. — В связи с этим некоторые злоумышленники стали выбирать своей мишенью новую уязвимость — Shell Command Injection, которая позволяет выполнять команды непосредственно на веб-сервере. Число этого вида атак выросло в два-три раза в течение 2011 года».

Нестойкие пароли и слабая организация парольной защиты сыграли свою негативную роль в целом ряде крупномасштабных нарушений ИТ-безопасности в 2011 г. Злоумышленники регулярно сканируют интернет в автоматическом режиме для поиска систем со слабыми паролями. Во второй половине 2011 г. IBM зафиксировала большой всплеск подобного рода активности по «угадыванию» паролей, нацеленной на системы, которые применяют программные SSH-серверы для безопасного обмена файлами в сети.

Количество фишинговой электронной почты было относительно небольшим в 2010 г. и первой половине 2011 г., однако во второй половине 2011 г. фишинг вернулся с удвоенной силой, достигнув наибольших с 2008 г. объемов, сообщается в отчете IBM. Адреса отправителей многих фишинговых писем маскировались под сайты популярных социальных сетей и почтовых рассылок. Часть этого фишингового трафика можно также отнести к так называеому рекламному «скликиванию» (click fraud) — разновидности сетевого мошенничества, при котором инициируются обманные клики на рекламных ссылках; спамеры в данном случае используют вводящие в заблуждение сообщения электронной почты с ложными ссылками для намеренного «накручивания» рейтинга количества кликов по объявлениям контекстной рекламы или для переадресации, например, на сайты интернет-магазинов, пояснили в IBM.

В свою очередь, новые технологии, такие, как мобильные устройства и облачные вычисления, продолжают создавать проблемы для безопасности предприятий. Согласно отчету IBM, в 2011 г. число выявленных и опубликованных эксплойтов для мобильных платформ выросло на 19%. Кроме того, IBM X-Force отметила резкое увеличение числа фишинговых писем со ссылками на подложные ресурсы, выдающие себя за сайты социальных медиа; к этой сфере проявляют повышенный интерес опытные злоумышленники. Конфиденциальная информация о работе и частной жизни, которую люди в той или иной форме сообщают в социальных сетях, начинает использоваться при сборе предварительных данных перед атаками с целью несанкционированного проникновения во внутренние сети организаций государственного и коммерческого сектора.

В то же время, в 2011 г. было зафиксировано достаточно много получивших широкую огласку уязвимостей облачных сред, и эти нарушения нанесли серьезный ущерб ряду известных организаций и массе их клиентов. В отчете IBM X-Force подчеркивается, что наибольшего эффекта в управлении безопасностью использования облачных сред можно достичь именно через соглашения об уровне обслуживания (Service Level Agreements, SLAs), поскольку организации могут реально влиять на услуги поставщиков сервисов облачных вычислений лишь в очень ограниченных пределах. Таким образом, при подготовке соглашения об уровне обслуживания следует уделять особое внимание вопросам прав собственности, управления и контроля, предотвращения несанкционированного доступа и прекращения обслуживания по договору, подчеркнули в IBM.

«Многие клиенты, которые пользуются сервисами облачных вычислений, задумываются об обеспечении их безопасности. В зависимости от вида развертывания облачного решения, большинство (если не все) технологий оказываются вне контроля клиента, — отметил Райан Берг (Ryan Berg), ведущий специалист IBM в области стратегии безопасности облачных вычислений (IBM Security Cloud Strategist). — Клиенты должны уделять повышенное внимание требованиям к защите данных, которые будут размещаться и обрабатываться в cloud-средах, и проверять способность поставщика облачных сервисов обеспечить необходимый уровень безопасности рабочих нагрузок».

CNews

Компания Symantec сообщила об активизации атак на российских пользователей iPhone со стороны кибер-банды Opfake. Преступники создают фишинговые веб-сайты, на которых применяют различные приемы для выманивания денег у пользователей.

Компания Symantec 27 марта 2012 г. сообщила об обнаружении атак на российских пользователей iPhone со стороны группировки киберпреступников, известной как Opfake. По словам экспертов Symantec, ранее группировка Opfake специализировалась на атаках пользователей мобильных устройств на основе операционных систем Android и Symbian, однако теперь начала атаковать и владельцев iPhone.

Изучив сайты Opfake, которые размещают в Сети вредоносные приложения, детектируемые программным обеспечением компании как Android.Opfake, специалисты Symantec пришли к выводу, что эти ресурсы содержат специфические элементы социального инжиниринга для атак пользователей iPhone. При этом, атаки направлены именно для русскоязычных пользователей iPhone, так как сайты имеют русский интерфейс.

Всего в ходе исследования экспертами было обнаружено две разновидности сайтов, используемых киберпреступниками. Попадая на сайты первой разновидности, пользователь получает сообщение о том, что его браузер устарел и нуждается в обновлении. После того, как обновление якобы было установлено, вредоносное ПО предлагает пользователю ввести свой номер телефона, что поможет защитить приложение от взлома. После введения номера сообщается о том, что было отправлено SMS-сообщение с кодом для подтверждения обновления, далее применяется обычная схема SMS-мошенничества.

Сайты второй разновидности сделаны под видом поддельного магазина Android, несмотря на то, что пользователь зашел на ресурс с устройства iPhone. Пользователям iPhone предлагают заходить на Android Market и скачивать там приложения. В случае, если пользователь хочет скачать какое-либо приложение, сайт обманом старается выяснить их номер телефона и применить одну из схем SMS-мошенничества.

«По мнению экспертов Symantec, развитие такого рода мошенничества именно в России в первую очередь, связано с широким распространением в России sms-платежей и различных связанных с ними сервисов. Несмотря на то, что iPhone отличается защищенностью доступных приложений, платформа не может обезопасить пользователей от подобных атак, а также фишинга, так как полностью полагаются на возможности браузера. Поэтому очень важно, чтобы пользователи были осведомлены об угрозах и соответствующим образом защищали себя», - говорится в сообщении экспертов по безопасности Symantec.

CNews

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о выходе релиза седьмой версии бесплатной антивирусной программы для мобильной операционной системы Android — Dr.Web Light. В обновленной версии значительно оптимизирован пользовательский интерфейс, а также реализован целый ряд других функциональных изменений.

По словам разработчиков, в седьмой версии Dr.Web Light была улучшена поддержка OS Android 4.0, серьезно переработан пользовательский интерфейс. Так, полностью изменено оформление главного окна программы, в версиях ОС выше 3.0 модифицирован способ вызова и отображения меню, появилась «Панель управления», изменяющая вид в зависимости от того, включён или выключен монитор, переработан внешний вид и алгоритм работы панелей программы.

Кроме того, был изменён механизм перерисовки виджетов и главного экрана приложения при включении и выключении монитора, а также оформление окна «Выбор типа сканирования» с целью унификации его интерфейса с главным окном антивируса.

В то же время, версия Dr.Web Light 7.0 отличается целым рядом функциональных улучшений: повышено быстродействие, увеличена стабильность работы монитора. Также в состав приложения добавлена польская локализация, говорится в сообщении «Доктор Веб».

Обновленная версия Dr.Web 7.0 для Android Light доступна для бесплатной загрузки пользователям Android на сайте Google play и с сайта «Доктор Веб».

CNews

опубликовано 30 мар ‘12 13:31
текст: Георгий Орлов /Infox.ru

Мобильные устройства на базе ОС Google Android не очень подходят для тех, кто уделяет много внимания конфиденциальности личной информации. Специалисты по вопросам безопасности выяснили, что персональные данные в таких устройствах могут быть восстановлены даже после тщательного их удаления.

К этому выводу пришел исследователь компании McAfee Роберт Сицилиано (Robert Siciliano), сравнивавший портативные устройства на различных платформах по критерию лояльности к пользовательской информации. Недобросовестное отношение к ней со стороны Android было выявлено в ходе тестирования трех десятков устройств, включая смартфоны и ноутбуки.

Веб-ресурс Electronista, интересовавшийся результатами исследования, сообщает, что из всех популярных сейчас мобильных платформ именно Google Android наименее внимательно относится к желанию пользователей избежать просмотра их личной информации третьими лицами, пусть даже и путем ее удаления. Восстановить данные на коммуникаторах и планшетах под управлением данной операционки оказалось легче всего, и в случае необходимости на это уйдет не так уж много времени.

К счастью, существуют программные платформы, которые не позволят восстановить пользовательскую информацию без применения специальных навыков в этой области, которые, разумеется, есть далеко не у всех. Потрудиться с восстановлением придется на телефонах и планшетах от компании Apple и на мобильных устройствах от канадской Research In Motion. Их операционные системы iOS и BlackBerry OS показали наилучшие результаты в сфере защиты пользовательской информации. В своем доклане Роберт Сицилиано описал Apple iOS и RIM BlackBerry OS как «абсолютно неприступные», добавив, что при сбросе настроек устройств на заводские системы очень тщательно стирают всю персональную информацию, практически не оставляя шансов на ее восстановление.

Среди настольных операционных систем наихудшие результаты показала Windows XP, пока еще самая популярная в мире, несмотря на свой солидный 10-летний возраст. Специалисты по вопросам безопасности не рекомендуют продавать бывшие в употреблении смартфоны и планшеты на ОС Android, а также компьютеры с Windows XP без предварительного форматирования накопителя на низком уровне.

Корпорация Symantec сообщила об обнаружении поддельного антивируса Windows Risk Minimizer. Подделка рекламируется при помощи нежелательных рассылок электронной почты с популярных сервисов. Сообщения с рекламой антивируса содержали ссылки на скомпрометированные домены, с которых пользователь перенаправлялся на сайт поддельного антивируса. Специалисты Symantec обнаружили 300 взломанных доменов, которые использовались всего несколько часов.

При открытии сайта поддельного антивируса пользователю показывается якобы системное сообщение JavaScript, в котором говорится, что компьютер пользователя заражен. После того, как пользователь кликает на «OK», запускается «процесс сканирования», говорится в сообщении Symantec.

На странице программы представлена флэш-анимация, имитирующая реалистичные значки, панель загрузки, а также окна диалогов. Неудивительно, что поддельный антивирус выявляет множество вирусов. Распаковка флэш-архива и его последующий анализ показали, что в нем содержится множество дополнительных файлов. Во время воспроизведения ролик выбирает файлы случайным образом и заявляет, что они заражены (названия вирусов также выбираются наугад).

После завершения сканирования появляется сообщение службы безопасности Windows, в котором представлены результаты процедуры. Данный диалог может быть перемещен по экрану, а также могут быть выбраны или исключены различные инфекции.

Когда пользователь пытается закрыть окно, появляется предупреждение о последствиях, которые якобы могут наступить, если вирус не будет побежден. После нажатия кнопки «Удалить все» в окне системы безопасности Windows Security пользователю предлагается загрузить вредоносный файл, содержащий Windows Risk Minimizer. После его запуска появляется вполне профессионально выглядящее окно. Затем «антивирус» находит новые угрозы. Однако после закрытия окна вредоносное ПО продолжает выводить всплывающие окна и уведомления на панели задач.

В частности, одно из сообщений дает пользователю ложные сведения о том, что браузер Google Chrome заражен. После нажатия на кнопку «Предупредить атаку» открывается платежное окно.

Другое сообщение заявляет о нелегальном использовании BitTorrent, ссылаясь на требования SOPA (Stop Online Piracy Act). В этом случае кнопка «Предупредить атаку» отсутствует, но вместо нее пользователю предлагается получить анонимное соединение (Get anonymous connection), для которого также открывается окно оплаты.

Еще один тип сообщения предупреждает пользователя о попытке кражи его идентификационных данных.

Все сообщения направлены на то, чтобы убедить пользователя в наличии заражений компьютера и подтолкнуть его к приобретению бесполезной программы стоимостью $99,90, подчеркнули в Symantec. Клиенты Symantec.cloud, а также пользователи других антивирусных продуктов Symantec уже защищены от подобных угроз при помощи оптимизированной системы анализа ссылок.

CNews

Эксперты исследовательского центра Positive Research обнаружили и помогли устранить множественные уязвимости в Citrix XenServer. Представленные исследовательским центром отчеты содержат описание более десятка уязвимостей различных уровней риска.

Одна из уязвимостей является, по мнению экспертов, критической и позволяет в ряде случаев получить доступ к паролю суперпользователя системы и полный контроль над виртуальной инфраструктурой. Остальные уязвимости были найдены в управляющем веб-интерфейсе двух приложений Citrix XenServer: Web Self Service и vSwitch Controller.

Среди обнаруженных в Citrix XenServer уязвимостей:
межсайтовое выполнение сценариев (Stored XSS) в Citrix License Administration Console;
межсайтовая подмена запроса в Citrix License Administration Console;
отказ в обслуживании в Citrix XenServer Workload Balancer;
уязвимость при перенаправлении URL в Citrix XenServer Virtual Switch Controller;
расщепление HTTP-запроса в Citrix XenServer Virtual Switch Controller;
недостаточная проверка авторизации в Citrix XenServer Virtual Switch Controller;
межсайтовая подмена запроса в Citrix XenServer Virtual Switch Controller.

Отметим, что Citrix XenServer — это продукт линейки Citrix Delivery Center, предназначенный для виртуализации серверов и организации работы динамических ЦОД, а Web Self Service — портал самообслуживания для пользователей виртуальных машин, которые работают с привилегиями, определенными администратором. Указанные уязвимости содержатся во всех поколениях XenServer (от 5.5 до 6.0), и для их устранения необходимо обновить Web Self Service до версии 1.1.1, говорится в сообщении Positive Research.

В свою очередь, Web vSwitch Controller является специализированным управляющим виртуальным сервером (Virtual Appliance). Обнаруженные в нем уязвимости проявляются на XenServer 5.6, 5.6 SP 1/SP 2 и 6.0. Для их устранения необходимо обновить vSwitch Controller до версии 6.0.2.

«Технологии виртуализации радикально изменили представление об ИТ-инфраструктуре и предопределили появление облачных вычислений, — отметил Александр Анисимов, руководитель исследовательского центра Positive Research. — Однако уязвимости в платформе управления виртуальной инфраструктурой — настоящий подарок для хакера. Злоумышленнику достаточно получить доступ к серверу виртуализации, чтобы проникнуть на любую виртуальную машину в инфраструктуре. Повышение защищенности продуктов, обеспечивающих работу виртуальных серверов, является приоритетной задачей для специалистов в сфере информационной безопасности».

CNews

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X.

По данным «Доктор Веб», по состоянию на 4 апреля в бот-сети действует более 550 тыс. инфицированных компьютеров, работающих под управлением ОС Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию трояна BackDoor.Flashback. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).

Заражение трояном BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.

Среди недавно выявленных вредоносных сайтов фигурируют, в частности: godofwar3.rr.nu, ironmanvideo.rr.nu, killaoftime.rr.nu, gangstasparadise.rr.nu, mystreamvideo.rr.nu, bestustreamtv.rr.nu, ustreambesttv.rr.nu, ustreamtvonline.rr.nu, ustream-tv.rr.nu и ustream.rr.nu.

По информации из некоторых источников, на конец марта в выдаче Google присутствовало более 4 млн зараженных веб-страниц, отметили в «Доктор Веб». Кроме того, на форумах пользователей Apple сообщалось о случаях заражения трояном BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 г. злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 г.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии трояна: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов: /Library/Little Snitch; /Developer/Applications/Xcode.app/Contents/MacOS/Xcode; /Applications/VirusBarrier X6.app; /Applications/iAntiVirus/iAntiVirus.app; /Applications/avast!.app; /Applications/ClamXav.app; /Applications/HTTPScoop.app; /Applications/Packet Peeper.app.

Если указанные файлы обнаружить не удалось, то троян формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

По мнению специалистов «Доктор Веб», вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной трояном директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

Для того чтобы обезопасить свои компьютеры от возможности проникновения трояна BackDoor.Flashback.39 специалисты «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности.

CNews