1. Шахраї в доменній зоні .рф
2. Фальшиві антивіруси - тепер онлайн
3. Маскування шкідливих посилань
4. TDSS розширює свої можливості
5. Не тільки уразливості
6. Adobe XML Forms в PDF-експлойтів
7. нав'язлива реклама

У грудні не було відмічено значущих вірусних інцидентів. Проте, протягом місяця:

• знайшло своє відображення 209064328 мережевих атак;
• заблоковано 67408107 спроб зараження через веб;
• задетектіровано і знешкоджено 196651049 шкідливих програм на комп'ютерах користувачів;
• відзначено 70951950 спрацьовувань евристичних вердиктів.

Тактика, використовувана зловмисниками, залишилася незмінною. Як і раніше веб-серфінг залишається небезпечним заняттям, а зловмисники активно використовують методи соціальної інженерії, щоб спровокувати користувачів відкрити шкідливе посилання або завантажити на комп'ютер шкідливу / шахрайську програму.

Шахраї в доменній зоні .рф

У листопаді 2010 почалася реєстрація доменних імен в зоні .рф для всіх бажаючих. Ми вирішили простежити, як освоюють нову доменну зону зловмисники. Виявилося, що серед шкідливих переважають програми шахрайської спрямованості.

На шкідливих ресурсах в зоні ".рф" найчастіше зустрічаються три види зловредів. Перший - фальшиві архіви. Про фальшивих архівах ми досить багато й докладно розповідали, наприклад, в початку грудня , І тут зупинятися на цьому не будемо. Другий - скриптова редиректор Trojan.JS.Redirector.ki. Він влаштований досить примітивно, а основним його завданням є перекидання користувача на шкідливу сторінку за допомогою команди "document.location".

Третій - Hoax.Win32.OdnoklAgent.a - дуже незвичайний екземпляр. Програма відкриває вікно "Однокласники Агент", де використано логотип широко відомої в Росії соціальної мережі "Однокласники". У вікні присутні посилання на сторінки соціальної мережі і навіть копірайт. Але сама програма являє собою пустушку - вона нічого не робить, навіть якщо введені вірні логін-пароль користувача мережі.

Вікно, що відкривається Hoax.Win32.OdnoklAgent.a

У кого ж виникла необхідність в Hoax.Win32.OdnoklAgent.a? Справа в тому, що в зоні ".рф" існує безліч однотипних сайтів, на яких пропонуються "безкоштовні послуги для зручності спілкування". "Безкоштовні послуги", звичайно, аж ніяк не безкоштовні: щоб отримати до них доступ, користувач повинен відправити платне SMS-повідомлення на преміум-номер. А сама "послуга" надається у вигляді Hoax.Win32.OdnoklAgent.a: відправивши SMS, користувач отримує програму-пустушку.

Пропозиція сплатити "послугу"

На всіх таких сайтах в кінці головної сторінки є розділ "правила", що містить вельми цікавий пункт:

1. Також Ви розумієте, що матеріали даного сайту-жарти не несуть за собою інформаційної та смислового навантаження, і не мають ніякого відношення до ТОВ "Однокласники", і самому проекту odnoklassniki.ru, а мають лише жартівливий характер з можливістю отримання доступу до Java-скрипту і деякого софту на платній основі.

Таким чином власники сайту підстрахувалися: програма-пустушка і не повинна нічого робити, так як в правилах обумовлено, що "матеріали даного сайту мають лише жартівливий характер". Тільки ось за "жарти" шахраїв платити доводиться неуважним користувачам - в даному випадку за ціною SMS.

Фальшиві антивіруси - тепер онлайн

Кількість фальшивий антивірус останнім часом поменшало - антивіруси успішно справляються з підробками шахраїв, і спроби їх завантаження на комп'ютери стають менш ефективними. Але шахраї придумали, як їм дістатися до користувачів альтернативним шляхом: вони стали запускати фальшиві антивіруси не на комп'ютері користувача, а в інтернеті. В цьому випадку завантаження файлу на комп'ютер не потрібно, а домогтися, щоб користувач перейшов на певну сторінку, простіше, ніж обійти антивірусний захист. За останній місяць відразу декілька таких нових "інтернет-антивірусів" виявилося в лідерах шкідливих програм, виявлених в інтернеті, а два з них навіть потрапили в TOP 20 (18-е і 20-е місця).

На скріншоті нижче можна бачити результати роботи одного з таких "антивірусів" Trojan.HTML.Fraud.ct.

Працюючий веб-фраудтул Trojan.HTML.Fraud.ct

Як видно на скріншоті, "антивірус" створює інтернет-сторінку, яка дуже схожа на вікно "Мій Комп'ютер" сімейства операційних систем Windows. Далі все розвивається за тим самим знайомим сценарієм: починається імітація перевірки комп'ютера на наявність вірусів, які відразу ж "знаходяться". Якщо користувач погоджується вилікувати свою систему, то до нього на комп'ютер завантажується фальшивий антивірус, який пропонує користувачеві оплатити ліцензію ( "лікування" комп'ютера передбачається після оплати ліцензії).

Фрагмент роботи завантаженого фальшивий антивірус

Більшість користувачів, на комп'ютерах яких було зафіксовано спрацьовування цього зловреда, живуть в розвинених країнах: в США, Канаді, Великобританії, Німеччині і Франції. У цьому ж списку знаходиться Індія - ймовірно через те, що в цій країні багато англомовних користувачів.

Географія детектив Trojan.HTML.Fraud.ct

Маскування шкідливих посилань

Сервіси, що скорочують URL, стали досить популярними зовсім недавно. Це пов'язано з тим, що в Twitter коштує обмеження на довжину повідомлення в 140 символів. Використання таких сервісів дозволяє зловмисникам маскувати шкідливі посилання, ніж вони і користуються.

У грудні в ході однієї з шкідливих атак в сервісі мікроблогів Twitter , На головній сторінці, в списку популярних тем кілька тем набрали високі позиції штучним шляхом за допомогою зловредів. Всі теми містили посилання, згорнуті за допомогою таких сервісів, як bit.ly, alturl.com і т.д. Перейшовши за цим посиланням, користувач в результаті декількох редиректів потрапляв на заражену веб-сторінку, і на його комп'ютер непомітно завантажувалася шкідлива програма. Сервіс goo.gl від компанії Google також використовувався кіберзлочинцями для розповсюдження шкідливих посилань в Twitter на початку грудня.

Ще один спосіб маскування шкідливої ​​посилання ми виявили в кінці місяця. Була зафіксована IM-розсилка повідомлень, що містять посилання на сторінку Facebook, призначену для попередження користувача про те, що він залишає сайт соціальної мережі. Однак посилання була доповнена зловмисниками таким чином, що коли користувач, пройшовши за цим посиланням, у вікні виходу з Facebook натискав на кнопку "продовжити", він перенаправлявся на шкідливий ресурс.

TDSS розширює свої можливості

Крім організації шахрайських атак в Мережі і не самих складних атак через соціальні мережі, кіберзлочинці працюють і над "важкою артилерією" Аресенал зловредів. Автори однієї з найскладнішою на сьогоднішній день шкідливої ​​програми - руткита TDSS - продовжують удосконалювати його. У грудні остання модифікація руткита, TDL-4, стала використовувати уразливість CVE-2010-3338. Ця вразливість була відкрита в липні 2010 року при дослідженні хробака Stuxnet.

Не тільки уразливості

У листопадовому огляді ми писали про те, що сімейство Trojan-Downloader.Java.OpenConnection активно зростає. Для завантаження шкідливих об'єктів на комп'ютери користувачів вони використовують не уразливості, а метод OpenConnection класу URL.

В грудневий рейтинг шкідливих програм в інтернеті потрапили два представники Trojan-Downloader.Java.OpenConnection (2-е і 7-е місця). На піку активності програм цього сімейства кількість унікальних користувачів, на комп'ютерах яких було зафіксовано спрацьовування Trojan-Downloader.Java.OpenConnection, в добу перевищувала 40 000.

Динаміка детектування Trojan-Downloader.Java.OpenConnection (кількість
унікальних користувачів): жовтень - грудень 2010

Як вже було сказано вище, всі представники сімейства Trojan-Downloader.Java.OpenConnection використовують для завантаження і запуску шкідливого файлу з інтернету НЕ уразливості, а стандартні можливості Java. Для зловредів, написаних на мові Java, такий спосіб завантаження в даний час є одним з основних. По всій видимості, зростання популярності шкідливих програм цього сімейства триватиме до тих пір, поки компанія Oracle ви не вийдете використовувану ними можливість скачування файлів.

Adobe XML Forms в PDF-експлойтів

У грудні в TOP 20 зловредів в інтернеті потрапив Exploit.Win32.Pidief.ddl (11-е місце), що представляє собою pdf-документ, який побудований на основі Adobe XML Forms. Весь шкідливий функціонал Pidief.ddl зашитий в JavaScript скрипті, який вбудований в XML-стрім. В об'єктній моделі Adobe XML Forms присутній об'єкт "event", який викликає виконання скрипта при настанні певної події. У цього об'єкта є властивість "activity", що відповідає за виконання скрипта. Це властивість містить рядок, яка вказує оброблювачу, коли викликати скрипт. В даному файлі в цьому рядку стоїть "initialize", що означає, що користувач, відкривши PDF-документ, ініціалізує запуск шкідливого скрипта. Цей скрипт являє собою експлойт, який викачує і запускає другий зловредів.

фрагмент Exploit.Win32.Pidief.ddl

Це перший зафіксований нами випадок масового поширення шкідливих PDF-документів, які використовували модель Adobe XML Forms.

нав'язлива реклама

Рекламний софт, що детектується як AdWare.Win32.HotBar.dh і включає в себе рекламні програми HotBar, Zango, ClickPotato, зі значним відривом від конкурентів зайняв 1-е місце в рейтингу веб-загроз і 5-е місце в TOP 20 шкідливих програм, виявлених на комп'ютерах користувачів. Як правило, такий софт встановлюється спільно з легальними програмами і потім створює великі незручності для користувача, нав'язливо демонструючи йому рекламу.

Установка рекламної програми ClickPotato разом з VLC Media Plater

Шкідливі програми в інтернеті

Шкідливі програми, виявлені на комп'ютерах користувачів