Ботнет Chameleon крадет по $6 миллионов ежемесячно
текст: Георгий Орлов /Infox.ru опубликовано 20 мар ‘13 16:57
Специалисты по информационной безопасности выявили в интернете новый особо крупный ботнет, названный Chameleon. «Зомбированными» оказалось уже свыше 120 тысяч компьютеров, и это только в США. Их единственная цель заключается в краже значительных сумм у рекламных агентств. По подсчетам аналитиков, ежемесячно размер «награбленного» превышает $6 млн.
Все компьютеры в ботнет Chameleon работают на базе ОС Microsoft Windows. Вредоносный код, пишет CNET.com, использует стандартный браузер Internet Explorer и его уязвимости для запуска специального скрипта JavaScript, маскирующего компьютеры под реальных пользователей и автоматически прокликивающего рекламные объявления.
Как выяснилось, о существовании Chameleon стало известно еще в конце прошлого года. Нетрудно подсчитать, сколько денег было украдено за этот период. Почему сеть по-прежнему существует, неизвестно, но ее разработчики постарались на славу: компьютеры, попавшиеся в ловушку ботнета, посещают около 200 определенных сайтов, что в общей сложности дает около 14 млрд «ложных» кликов по рекламным объявлениям.
Система поддержания работы Chameleon тоже выполнена специалистами в своем деле: ботнет использует 7 млн постоянно меняющихся куки-файлов, так что засечь робота было попросту невозможно. Вне зависимости от установленной версии Windows и браузера IE все боты идентифицируют себя как компьютеры под управлением ОС Windows 7 с Internet Explorer 9 в комплекте. Это тоже усложнило поиск зомбированных ПК, поскольку такая комбинация используемого ПО встречается в мире чаще всего.
В настоящее время специалисты компании Spider.io, занимающейся вопросом уничтожения Chameleon, составляет черный список IP-адресов наиболее часто «попадающихся» ботов. На текущий момент количество строк в нем превысило 5000. Напомним, что в ботнете Chameleon зафиксировано не меньше 120 тысяч машин.
Злоумышленники эксплуатируют уязвимость нулевого дня в Java
21.03.13, Чт, 17:05, Мск
Корпорация Symantec опубликовала результаты анализа атак с целью промышленного шпионажа, эксплуатирующих очередную уязвимость нулевого дня в Java. Для их осуществления злоумышленники использовали скомпрометированный сертификат компании Bit9. Данная преступная группа ранее использовала и другие уязвимости нулевого дня, рассказали CNews в компании.
Специалисты Symantec установили, что в рамках атаки с использованием уязвимости нулевого дня в Oracle Java Runtime Environment (CVE-2013-1493) на заражённый компьютер загружается вредоносная программа в виде DLL-библиотеки, подписанной скомпрометированным сертификатом компании Bit9, которая устанавливает связь со своим сервером управления по адресу 110.173.55.187. Антивирусные продукты Symantec определяют её как Trojan.Naid.
По оценкам экспертов компании, авторы Trojan.Naid имеют «высокий уровень подготовки и демонстрируют поразительную настойчивость в осуществлении атак с целью промышленного шпионажа сразу в нескольких отраслях». Как удалось выяснить, в их арсенале не одна уязвимость — в 2012 г. специалисты Symantec сообщали об осуществлении создателями Trojan.Naid атаки типа watering hole с применением уязвимости нулевого дня в Microsoft Internet Explorer (CVE-2012-1875).
Сценарий атаки
Атака начинается с того, что жертва заманивается на веб-страницу со встроенным вредоносным JAR-файлом, который идентифицируется Symantec как Trojan.Maljava.B. Используя эксплойт к уязвимости CVE-2013-1493, он загружает файл с названием svchost.jpg, являющийся на самом деле исполняемым файлом, определяемым Symantec как Trojan.Dropper. Далее этот загрузчик, в свою очередь, скачивает файл appmgmt.dll, определяемый как Trojan.Naid. Symantec сразу же выпустила обновление для системы предотвращения вторжений (IPS), благодаря которому вредоносный JAR-файл будет определяться как Web Attack: Malicious Java Download 4.
Специалисты Symantec продолжают вести поиск эффективных способов защиты от атак нулевого дня, используя для этого новейшие разработки собственного подразделения STAR (Security Technology and Response).
Microsoft впервые опубликовала статистику по правительственным запросам о пользователях
Microsoft впервые раскрыла данные о запросах пользовательской информации со стороны правоохранительных органов
ЛОС-АНДЖЕЛЕС, 22 марта. Корр. ИТАР-ТАСС Александра Урусова
Компания Microsoft в четверг впервые раскрыла данные о количестве запросов пользовательской информации со стороны правоохранительных органов США и других стран.
"В данном докладе /2012 Law Enforcement Requests Report/ мы предоставили информацию о запросах органов правопорядка, так как считаем важным проинформировать общественность о доступе данных структур к клиентским базам", - отметили в корпорации.
Запрашиваемые данные коснулись сервисов Outlook.com, SkyDrive, Xbox Live, Messenger, Skype и др.
В 2012 году интернет-гигант в общей сложности получил свыше 75,3 тыс. запросов от правительственных структур США и других государств, ответив на 78% из них. При этом полностью раскрытыми данные оказались лишь в 2,2% случаев. Статистика показывает, что иностранные структуры обратились к Microsoft 59 тыс. 592 раза. Корпорация сотрудничала в том числе с Францией, Германией, Турцией, Бразилией, Канадой, Ирландией, Новой Зеландией и др.
По данным компании, перечень запрашиваемых данных мог включать как IP-адреса, фамилии, почтовые адреса, так и личную переписку, документы и фотографии, то есть весь контент пользователя, хранящийся на серверах компании.
"Перед тем как ответить на запрос, мы требуем предоставить нам судебные ордера или эквивалентные документы, после этого проверяем законность сделанного запроса, тщательно рассматриваем его и, сделав экспертные выводы, принимаем решение об открытии информации", - пояснили в Microsoft.
Приведенная статистика не учитывает запросы на информацию владельцев профилей Skype, отмечается в докладе. В данном сегменте было получено всего 4 тыс. 713 запросов.
Аналитики Кремниевой долины назвали данный шаг Microsoft прорывным. Данный подход, возможно, "станет стимулом для других компаний открыть статистику по правительственным запросам", полагают эксперты.
ТАСС-Телеком
Microsoft впервые опубликовала статистику по правительственным запросам о пользователях
SecurityLab 21 марта, 2013
Интересы различных правительств затронули порядка 0,02% от всех учетных записей во всех сервисах компании
Компания Microsoft опубликовала статистику по запросам правоохранителей различных государств в отношении пользователей. Несмотря на то, что уже довольно длительное время подобной практике следуют такие крупные интернет-компании, как Google, Twitter и т.п., софтверный гигант составил подобный публичный отчет впервые. Согласно комментарию авторов документа, компания будет публиковать данную статистику каждые шесть месяцев.
69% всех запросов, общее количество которых за 2012 год насчитывает 70,665, поступили в Microsoft от правительств Турции, США, Великобритании, Франции и Германии.
Софтверный гигант также заверяет, что полный доступ к данным пользователей был предоставлен правоохранителям лишь в 2,1% случаев. В то же время, в 8 случаях из 10 компания предоставляла правительствам «не контентные данные», в число которых входят имя владельца учетной записи, его пол, адрес электронной почты, IP-адрес, страна проживания, а также даты и время активности.
Стоит также отметить, что 1,2% от общего количества запросов были отклонены сотрудниками Microsoft по причине «несоблюдения законодательства». При этом интересы различных правительств затронули порядка 0,02% от всех учетных записей во всех сервисах компании.
Если на вашем Mac рекламные картинки начали появляться на сайтах, где они обычно не появлялись, то есть риск, что компьютер был инфицирован вирусом Trojan.Yontoo.1. Программа была идентифицирована российской компанией Doctor Web. Эксперты не предоставляли данных о количестве инфицированных компьютеров.
Пока Doctor Web остается единственной компанией, которая сообщала о существовании этого вируса, так что угроза, скорее всего, не слишком распространена. Тем не менее, ее выявление красноречиво свидетельствует о том, что современные пользователи Mac все чаще становятся целью хакеров.
Trojan.Yontoo.1 работает просто. Пользователям предлагается программа-инсталлятор в виде плагина для браузера. Обычно это происходит, когда человек заходит на специфические веб-сайты, где должны показывать трейлеры к кинофильмам. Инсталлятор может появиться напрямую в медиа-плеере или в ускорителе закачек. Программа спрашивает пользователя, хочет ли он осуществить установку Free Twit Tube. После этого троян скачивается из сети и устанавливается в виде плагина на все браузеры, включая Safari, Firefox и Chrome.
Оттуда Yontoo будет следить за вашей историей посещений, и передавать информацию о страницах на удаленный сервер. После этого программа специально вставляет рекламу на те странички, которые вы посещаете, используя сторонний код. Таким образом, взломщики могут накручивать просмотры и получать необходимые клики. Самое смешное, что «пиратская» реклама показывается даже на официальном сайте Apple.
Подобные махинации не редкость в Windows-экосистеме, но сейчас они становятся все более распространенными и на Mac. Отметим, что Yontoo не проникает на компьютеры через какие-то бреши в системе защиты OS X. Программа целиком полагается на социальную инженерию.
Trojan.Yontoo.1 на гребне волны новых рекламных троянцев для «маков»
Dr.Web 19 марта 2013 года
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о наблюдаемом с начала года росте распространения рекламных приложений для компьютеров под управлением Mac OS X. Среди них выделяется троянец Trojan.Yontoo.1, который, являясь загрузчиком, устанавливает на инфицированный компьютер дополнение для популярных браузеров, основное назначение которого — демонстрация рекламы в процессе просмотра веб-сайтов.
С начала 2013 года специалисты компании «Доктор Веб» отмечают рост количества рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Ярким примером подобного ПО может служить обнаруженный недавно Trojan.Yontoo.1.
Эта троянская программа проникает на компьютер жертвы различными способами. Например, с целью распространения троянца злоумышленники создали специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. На самом деле данный диалог лишь имитирует традиционную панель, демонстрируемую пользователям в случае необходимости установки какого-либо дополнения или надстройки, и создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in происходит перенаправление пользователя на сайт для загрузки приложения, детектируемого антивирусным ПО «Доктор Веб» как Trojan.Yontoo.1.
Злоумышленники предусмотрели несколько альтернативных способов распространения этой угрозы. Например, жертва может загрузить троянца под видом медиаплеера, программы для улучшения качества просмотра видео, «ускорителя» загрузки файлов из Интернета и т. д.
После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.
Однако вместо заявленной программы после нажатия на кнопку Continue троянец загружает из Интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о том, какую веб-страницу открыл в своем браузере пользователь.
В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ. Вот так, например, будет выглядеть на инфицированном компьютере веб-страница сайта apple.com:
Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Следует отметить, что аналогичная схема распространения «рекламного троянца» существует и для пользователей ОС Windows.
Злоумышленники организовали целевую атаку на пользователей Android
28.03.13, Чт, 15:25, Мск
Эксперты «Лаборатории Касперского» зафиксировали целенаправленную атаку на пользователей мобильных устройств, работающих под управлением операционной системы Android. Как рассказали CNews в компании, она была нацелена на тибетских, уйгурских китайских и монгольских активистов, с телефонов которых киберпреступники крали списки контактов, историю сообщений и звонков, геолокационные данные и информацию о самих телефонах.
Атака проводилась в конце марта 2013 г. и организационно была очень похожа на предыдущие, направленные на уйгурских и тибетских активистов, отметили в «Лаборатории Касперского». Основное отличие состояло в том, что на этот раз злоумышленники использовали не уязвимости в DOC-, XLS- и PDF-документах для взлома компьютеров под управлением ОС Windows и Mac OS, а сосредоточили свои усилия на мобильных устройствах.
Взломав почтовый аккаунт известного тибетского активиста, они распространили фишинговые письма по всему списку его контактов. Все подобные сообщения имели вложенный файл, предназначенный для Android-устройств, внутри которого находилась вредоносная программа. После ее исследования специалисты «Лаборатории Касперского» пришли к выводу, что написана она была китайскоговорящими хакерами — об этом свидетельствуют комментарии в программном коде и определённые характеристики командного сервера злоумышленников.
«До недавнего времени целенаправленные атаки на мобильные устройства не применялись на практике, хотя злоумышленники определённо интересовались этой возможностью и даже пытались экспериментировать. Для осуществления атаки киберпреступники использовали трояна, предназначенного для кражи конфиденциальных данных сразу у группы жертв. Сейчас хакеры всё ещё применяют методы социальной инженерии, вынуждая пользователей самостоятельно устанавливать вредоносные приложения, но мы не исключаем, что в будущем они начнут использовать уязвимости в мобильном ПО или целые комбинации сложных технологий атак», — подчеркнул Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».
Корпорация Symantec сообщила подробности о сложной активной угрозе Tidserv, которая использует функционал руткита, вследствие чего обнаружить ее крайне сложно.
Как рассказали CNews в компании, Tidserv (или TDL) — это сложная угроза, которая маскируется себя в системе с помощью руткит-технологий. Будучи обнаруженной еще в 2008 г., она остается активной до сих пор. Распространяемый сейчас в интернете вариант Tidserv использует в своей работе программную платформу Chromium Embedded Framework (CEF). И хотя это не первый случай, когда злоумышленники используют легитимное ПО в своих целях, в данном случае для корректной работы вируса требуется загрузка всех компонентов среды общим размером в 50 МБ, что довольно необычно для вредоносных программ, отметили в Symantec.
Backdoor.Tidserv имеет компонентную структуру, что позволяет ему подгружать новые модули и сразу же встраивать их в процессы ОС. В более ранней версии Tidserv модуль serf332 использовался для сетевых операций, таких как, например, автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. Недавно эксперты Symantec обнаружили, что Tidserv начал скачивать для использования новый модуль с названием cef32. «Этот новый модуль имеет тот же функционал, что и serf332, однако он также требует наличия библиотеки cef.dll, являющейся частью CEF. Как правило, это означает, что на зараженную систему требуется загрузить все компоненты CEF объёмом около 50 МБ», — сообщили в компании.
В целом за период с 4 по 21 марта число скачиваний CEF значительно возросло. И, хотя специалисты не могут утверждать, что это результат активности Tidserv, если этот рост действительно связан именно с атакой, то можно получить представление о её масштабах.
Статистика скачиваний CEF за период с 4 по 21 марта
CEF предоставляет функции управления веб-браузером для встраивания его в приложения. Библиотеки CEF обеспечивают весь спектр необходимых для работы браузера функций, таких как разбор HTML-кода или разбор и запуск Javascript.
Как пояснили в Symantec, использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего «браузерного» функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Оборотной же стороной медали стала необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF «вшита» непосредственно в исполняемый код модуля, и любое изменение источника, таким образом, потребует обновления и самого модуля.
«Авторы Chromium Embedded Framework (CEF) ни в коей мере не рассчитывали на использование своего продукта в криминальных целях, и предпринимают и будут предпринимать все возможные действия, чтобы пресечь подобные попытки, — подчеркнули в Symantec. — Именно поэтому с сайта Google Code была удалена библиотека, использованная злоумышленниками при создании этого вируса, и изучаются способы её предоставления пользователям лишь в максимально защищённом от подобных угроз исполнении».
Март 2013: рост числа заражений троянами-шифровальщиками в Европе и появление рекламных троянов для Mac OS X
05.04.13, Пт, 16:25, Мск
Компания «Доктор Веб» опубликовала обзор вирусной активности за март 2013 г. По наблюдениям аналитиков компании, одна из наиболее отчетливых тенденций марта — временное снижение и новый виток роста темпов массового распространения среди пользователей интернета вредоносных программ семейства Trojan.Hosts. Пик этой эпидемии пришелся на начало 2013 г. Также март был отмечен ростом числа заражений троянами-шифровальщиками в Европе и появлением рекламных троянов для операционной системы Mac OS X, сообщили CNews в компании.
По данным, полученным с использованием лечащей утилиты Dr.Web CureIt!, в марте 2013 г. наиболее распространенной угрозой стали вредоносные программы семейства Trojan.Hosts. В течение месяца было зафиксировано около 186,5 тыс. случаев изменения данными троянами системного файла hosts, ответственного за трансляцию сетевых адресов в их DNS-имена, что составляет более 10% от общего числа выявленных угроз.
Одним из наиболее популярных способов распространения этих троянов является взлом веб-сайтов с целью размещения специального командного интерпретатора, с помощью которого злоумышленники модифицировали файл .htaccess и помещали на сайт специальный вредоносный скрипт-обработчик. При обращении к такому интернет-ресурсу скрипт-обработчик выдает пользователю веб-страницу, содержащую ссылки на различные вредоносные приложения. Альтернативный способ распространения угроз семейства Trojan.Hosts — использование бэкдоров и троянов-загрузчиков. При этом наиболее популярной модификацией данной вредоносной программы, согласно статистике, является Trojan.Hosts.6815.
В начале 2013 г. распространение угроз семейства Trojan.Hosts приняло масштабы эпидемии: ежедневно антивирусное ПО Dr.Web фиксировало более 9,5 тыс. случаев заражения. Пик распространения троянов Trojan.Hosts пришелся на январь и середину февраля, в начале марта эта волна понемногу пошла на спад, а во второй половине месяца количество случаев инфицирования вновь начало расти.
Среди других наиболее распространенных угроз, обнаруженных на компьютерах пользователей в марте 2013 г., в компании отметили сетевого червя Win32.HLLW.Phorpiex.54. Эта вредоносная программа, распространяясь с использованием рассылок по каналам электронной почты, а также путем самокопирования на съемные носители. Червь способен предоставлять злоумышленникам несанкционированный доступ к инфицированному компьютеру.
На четвертом месте в статистике заражений расположился один из платных архивов, детектируемых антивирусным ПО Dr.Web как Trojan.SMSSend.2363, за ним следуют трояны BackDoor.IRC.NgrBot.42 и Win32.HLLP.Neshta.
Мартовская двадцатка наиболее распространенных вредоносных программ по данным, полученным от пользователей лечащей утилиты Dr.Web CureIt!, выглядит следующим образом:
Общий размер ботнета, состоящего из инфицированных файловым вирусом Win32.Rmnet.12 рабочих станций, с начала года увеличился на 2 млн компьютеров, достигнув в марте рекордной отметки в 8,5 млн зараженных машин (против 6,5 млн в декабре 2012 г.). Таким образом, среднесуточный прирост ботнета Win32.Rmnet.12 в феврале и марте составил 20–22 тыс. инфицированных компьютеров.
Файловый вирус Win32.Rmnet.12 может реализовывать функции бэкдора, выполняя поступающие от удаленного сервера команды. Также он способен красть пароли от популярных FTP-клиентов, которые могут быть использованы для организации сетевых атак или заражения сайтов. Как и другие файловые вирусы, Win32.Rmnet.12 обладает способностью к саморепликации и может заражать файловые объекты.
Продолжается постепенный рост бот-сети Win32.Rmnet.16 — еще одной модификации файлового вируса семейства Win32.Rmnet. В декабре численность этого ботнета составляла 259,4 тыс. инфицированных машин, а в конце марта их число достигло 262,1 тыс., увеличившись за три месяца всего на 2,6 тыс. узлов. Среднесуточный прирост ботнета составил 20–30 заражений.
Фармацевтические компании по-прежнему подвержены заражению опасным трояном BackDoor.Dande, ворующим информацию из программ электронного заказа медикаментов, таких как специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. По данным на конец 2012 г., в этой бот-сети числился 3031 инфицированный компьютер; а по состоянию на 27 марта 2013 г. в России таких компьютеров насчитывается уже 3066, и еще порядка 800 инфицированных узлов находятся за пределами РФ. В среднем ежесуточно к ботнету BackDoor.Dande присоединяется 1–2 зараженных узла.
В январе 2013 г. «Доктор Веб» сообщал о распространении (преимущественно на территории США) трояна BackDoor.Finder, подменяющего поисковые запросы пользователей браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxthon, Google Chrome, Safari, Opera, Netscape или Avant. На сегодняшний день к контролируемым специалистами «Доктор Веб» управляющим серверам подключилось 5,4 тыс. ботов.
В течение марта было отмечено широкое распространение троянов-шифровальщиков, среди которых в компании особо выделяют Trojan.ArchiveLock.20 — вредоносную программу, упаковывающую пользовательские файлы в защищенный паролем архив WinRAR. Если до недавнего времени этот троян был знаком только нашим соотечественникам, то в марте были зафиксированы многочисленные случаи заражения компьютеров пользователей европейских стран, в том числе Испании и Франции. Только в период с 23 по 26 марта в службу технической поддержки «Доктор Веб» обратилось 150 итальянских пользователей, пострадавших от данной вредоносной программы, и их количество продолжает расти.
Для распространения трояна злоумышленники пытаются получить доступ к атакуемой машине по протоколу RDP методом подбора пароля. Запустившись на инфицированном компьютере, Trojan.ArchiveLock.20 удаляет содержимое «Корзины» и хранящиеся на компьютере резервные копии данных, после чего помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы с использованием консольного приложения WinRAR. Исходные файлы при этом уничтожаются с помощью специальной утилиты, вследствие чего их восстановление становится невозможным.
В некоторых случаях специалисты «Доктор Веб» могут восстановить файлы, заархивированные Trojan.ArchiveLock.20: для этого следует создать заявку в категории «Запрос на лечение» на сайте компании.
В марте было также отмечено появление троянской программы, предназначенной для демонстрации рекламы и нацеленной на Mac OS X — Trojan.Yontoo.1. Распространяясь под видом кодеков для просмотра видео, а также иных программ, таких как медиаплееры, программы для улучшения качества просмотра видео, «ускорители» загрузки файлов из интернета и т.д., Trojan.Yontoo.1 устанавливает на инфицированный «мак» плагины для браузеров Safari, Google Chrome и Mozilla Firefox.
Этот плагин, в свою очередь, получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ, а также передает на удаленный сервер данные о том, какие веб-страницы открывает пользователь в своем браузере, пояснили в специалисты «Доктор Веб».
Для ОС Android в области вирусных событий март оказался весьма насыщенным периодом. Так, в начале месяца в вирусную базу Dr.Web была внесена запись для довольно примитивного трояна, получившего имя Android.Biggboss. Эта вредоносная программа распространялась на различных сайтах-сборниках ПО в модифицированных злоумышленниками приложениях и предназначалась для пользователей из Индии. Будучи установленным на мобильное Android-устройство, Android.Biggboss загружался в качестве системного сервиса при запуске ОС и демонстрировал диалоговое окно, в котором говорилось о получении важного сообщения из некоего отдела кадров. В случае согласия пользователя просмотреть это «сообщение» троян открывал в веб-браузере специальный URL, по которому осуществлялась загрузка изображения, содержащего поддельное обращение от отдела кадров компании TATA India Limited, не имеющей никакого отношения к настоящей корпорации TATA. Наряду с заманчивым описанием потенциальной должности, обращение содержало призыв перевести определенную денежную сумму на банковский счет мошенников с целью гарантировать кандидату получение вакантного места.
Также в марте получили распространение новые представители троянских программ-шпионов, направленных против японских пользователей и предназначенных для кражи конфиденциальной информации из телефонной книги их мобильных Android-устройств. В вирусную базу Dr.Web они были внесены под именами Android.EmailSpy.2.origin, Android.EmailSpy.3.origin и Android.EmailSpy.4.origin. Как и прежде, трояны распространялись под видом самых разнообразных приложений, например видеоплеера, эмулятора игр и фотоаппарата-рентгена.
Примечательно, что некоторые модификации этих новых вредоносных программ получили возможность рассылать по обнаруженным в телефонной книге номерам SMS-сообщения, содержащие ссылку на загрузку соответствующих версий троянов, что, в свою очередь, увеличивает скорость их распространения и число пострадавших пользователей.
Кроме того, в марте было выявлено несколько новых модификаций вредоносных программ семейства Android.SmsSend, а также очередные представители коммерческих шпионских приложений, в частности, Android.Recon.3.origin и Program.Childtrack.1.origin.
По версии «Доктор Веб», мартовская двадцатка вредоносных файлов, наиболее часто обнаруживаемых в почтовом трафике, включает:
Eset представила обзор информационных угроз за март 2013 г.
05.04.13, Пт, 16:57, Мск
Компания Eset, международный разработчик антивирусного ПО и эксперт в сфере защиты от компьютерных угроз, опубликовала отчет о наиболее активных угрозах марта 2013 г.
Согласно отчету, как и в прошлые месяцы, троянская программа Win32/Qhost возглавляет рейтинг угроз по России, причем с большим отрывом от остальных угроз «десятки». В то же время, ее активность продолжает снижаться уже третий месяц — с 15,91% в январе до 11,98% в марте 2013 г.
Как пояснили CNews в Eset, эта вредоносная программа осуществляет модификацию файла hosts для перенаправления пользователя на фишинговые ресурсы. Ее высокая активность, прежде всего, связана с довольно простой техникой работы, используемой ею, а также с широким спектром фишинговых ресурсов.
В целом угрозы по России показывают различную динамику. Тенденцию к росту продемонстрировали троянские программы Win32/StartPage (1,12%), Win32/Bicololo (2,84%), червь Win32/Dorkbot (2,04%), а также вредоносные объекты веб-страниц HTML/ScrInject (3,90%) и JS/Iframe (3,16%). Win32/Bicololo демонстрирует уверенный рост на протяжении трех последних месяцев — в январе его уровень распространенности составлял 2,07%.
Кроме Win32/Qhost, тенденцию к спаду активности продемонстрировали Win32/Conficker (1,20%), HTML/IFrame (1,95%), INF/Autorun (1,95%) и Win32/Spy.Ursnif (2,71%). В целом в марте общая доля России в мировом объеме вредоносного ПО составила 8,14%.
Файловые инфекторы по-прежнему находятся в десятке глобальных угроз; как и в прошлый месяц, их представляют Win32/Sality (2,84%), Win32/Ramnit (1,68%), Win32/Virut (1,08%). В марте каждый из них продемонстрировал незначительный спад.
Кроме этих вирусов, тенденцию к спаду показали и другие угрозы: Win32/Conficker (2,18%), Win32/Dorkbot (2,00%), Win32/Qhost (1,67%), HTML/IFrame (1,63%). В марте рост был отмечен только у HTML/ScrInject (2,99%), INF/Autorun (2,95%) и Win32/Bundpil (1,34%). Червь Win32/Bundpil, как и Win32/Dorkbot, распространяется через съемные носители, полагаясь на включенный автозапуск в ОС.
Глобальная статистика угроз, по данным Eset, выглядит следующим образом:
50% россиян не защищают свои мобильные устройства паролями
05.04.13, Пт, 18:40, Мск
Компания Norton by Symantec опубликовала данные исследования, посвященного основным сценариям и особенностям использования мобильных устройств и мобильного интернета жителями Европы и России.
В ходе исследования Norton обнаружила, что 34% пользователей в Европе (47% в России) никогда бы не смогли отказаться от использования своего телефона или планшета, а 24% (14% россиян) респондентов заявили, что мобильный гаджет был бы одной из двух вещей, которые они стали бы спасать при пожаре в доме. По данным опроса, мобильные устройства вовлечены во все аспекты жизни европейцев: начиная от профессиональной деятельности и онлайн-общения до шоппинга и проведения банковских операций.
«Сегодня люди все больше полагаются на мобильные устройства, когда хотят найти какую-то информацию, поделиться своими впечатлениями, пообщаться с друзьями или что-то приобрести, — отметил менеджер по развитию бизнеса Norton в России и СНГ Владимир Кондратьев. — Однако многие не осознают, какое количество личной информации и данных подвергается риску в случае потери или кражи устройства. Учитывая, насколько важной, а порой и деликатной бывает информация, которую пользователи хранят на своих устройствах, стоит принимать несложные, но важные меры по их защите».
Большинство европейцев — 69% — призналось, что они хранят и получают доступ к личной информации, используя свои смартфоны (75% россиян). При этом 35% подтвердили, что не устанавливают пароль на свои девайсы (50% россиян). При краже или потере устройства потенциально открывается доступ ко всей личной информации о владельце: электронной почте, деловым письмам и документам, банковским выпискам, паролям к другим учетным записям.
По данным исследования, трое из десяти европейцев когда-либо сталкивались с потерей или кражей своих мобильных устройств. В среднем, для того чтобы оплатить временное использование мобильного телефона или приобрести новый, жителю Европы приходится тратить 122 евро. Покупка нового планшета обходится почти вдвое дороже — 233 евро. При потере смартфона 43% европейцев (51% россиян) боятся получить счета за звонки, которые они не совершали, 26% (32% россиян) — совершения несанкционированных платежей, другие 26% (28% россиян) — доступа к личной информации и списку контактов.
В рамках исследования также были выявлены некоторые особенности респондентов в их отношении к мобильному интернету и информации, которую они получают с его помощью. Так, лишь 13% немцев и 15% россиян указали, что чувствуют себя в безопасности, совершая покупки с помощью мобильных устройств, тогда как число признавших это поляков (32%) и итальянцев (24%) намного выше. Датчане более склонны хранить информацию о своих банковских счетах на мобильных устройствах (13%), чем немцы (4%).
В большинстве случаев европейцы уделяют защите своих мобильных устройств мало внимания. Так, 41% пользователей признают, что загружают приложения из ненадежных источников, а свыше трети (35%) подтвердили, что во время онлайн-шоппинга не всегда используют безопасные способы оплаты. Многие оставляют о себе такую важную информацию, как данные банковской карты. Согласно исследованию, каждый десятый обладатель мобильного устройства в Европе уже стал жертвой киберпреступления с применением мобильных технологий.
Беспечное поведение распространяется и на использование Wi-Fi-сетей. Несмотря на то, что почти половина опрошенных — 46% — осознают потенциальную опасность (55% россиян), большинство европейцев продолжают подключаться к бесплатному или незащищенному беспроводному интернету в общественных местах. Регулярно к бесплатным или незащищенным Wi-Fi-сетям подключаются 62% европейцев (74% россиян). При этом свыше 40% человек используют бесплатный Wi-Fi, чтобы проверить личную почту, почти 20% — для доступа к банковским счетам, тем самым раскрывая свои финансовые данные кибермошенникам.
«Пользователи знают, насколько важно защитить свой компьютер от широкого спектра угроз, с которыми они могут столкнуться в сети, — продолжил Владимир Кондратьев. — Такие же меры нужно предпринять для безопасности подключенных к интернету мобильных устройств, которые так же уязвимы для киберпреступников в поисках быстрых денег или личной информации. В случае кражи или потери телефона или планшета ваши данные попадают в чужие руки. Но установив приложение для мобильной безопасности, вы будете чувствовать себя гораздо спокойнее, так как сможете определить местоположение мобильного устройства, дистанционно его заблокировать и удалить все данные».
Дата: Понедельник, 08.04.2013, 16:46 | Сообщение # 80
со-Админ
Wilde Jagd
Сообщений: 3420
Отсутствует
Опасный троян заражает по 100 компьютеров в час
08.04.13, Пн, 14:53, Мск
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщила о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троян помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел, рассказали CNews в компании.
Впервые BackDoor.Bulknet.739 заинтересовал аналитиков «Доктор Веб» в октябре 2012 г. Троян оказался способен объединять компьютеры в ботнеты и позволяет злоумышленникам осуществлять массовую рассылку спама.
В момент запуска трояна на инфицированном компьютере выполняется специальный модуль, распаковывающий трояна-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты, пояснили в «Доктор Веб».
Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует бинарный протокол: он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троян может отправить злоумышленникам специальным образом сформированный отчет.
Специалисты «Доктор Веб» сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 г., к управляющему серверу подключилось около 7 тыс. ботов.
В настоящий момент ботнет BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами. Географически наиболее широкое распространение троян BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России. Вот как распределена данная бот-сеть по странам и континентам:
Между тем, статистика по операционным системам зараженных компьютеров выглядит следующим образом:
По информации «Доктор Веб», для пользователей, на компьютерах которых установлено антивирусное ПО Dr.Web с последними обновлениями, BackDoor.Bulknet.739 не представляет никакой опасности, поскольку его сигнатура содержится в вирусных базах.
