Обзор вирусной активности - июнь 2011

В течение месяца на компьютерах пользователей продуктов "Лаборатории Касперского":

• отражено 249 345 057 сетевых атак;
• заблокировано 68 894 639 попыток заражения через Web;
• обнаружено и обезврежено 216 177 223 вредоносных программ (попытки локального заражения);
• отмечено 83 601 457 срабатываний эвристических вердиктов.

Основные события месяца

Первый месяц лета прошел относительно спокойно: никаких значимых инцидентов, к счастью, не произошло. Киберкриминальный фон месяца можно назвать "классическим". В развивающихся странах злоумышленники использовали неграмотность пользователей в сфере IT-безопасности для распространения своих поделок. В развитых странах преобладали зловреды, охотящиеся за информацией и деньгами пользователей. В Бразилии, как всегда, распространялись банкеры, а в России вполне традиционно вредоносные программы использовались в разнообразных мошеннических схемах.

В последнее время много говорят про "облачные" услуги, предоставляемые различными компаниями. В июне "облачный" сервис сети Amazon был использован злоумышленниками для размещения и распространения вредоносного ПО. Оно нацелено на пользователей Бразилии и крадет данные клиентов 9 банков этой страны. Чтобы повысить свои шансы на успех, вредоносная программа препятствует корректной работе антивирусных программ и специальных плагинов, обеспечивающих безопасность онлайн-банкинга. В ее функционал также входит кража цифровых сертификатов и учетных записей Microsoft Live Messenger.

Российские мошенники, помимо типичных фальшивых архивов и троянцев-блокеров, требующих отправить для разблокирования компьютера SMS на премиум-номер, попытались использовать возможность получения денег "из воздуха" с помощью системы виртуальных денег BitCoins. В этой системе для процесса эмиссии необходимо всего лишь на определённое время задействовать мощности процессора. Эксперты "Лаборатории Касперского" обнаружили зловред, который для начала генерации кибервалюты запускает на компьютере жертвы легальный файлсистемы BitCoins "bcm.exe". Этот файл встроен во вредоносную программу и записывается на диск после ее запуска . Судя по тому что администрация сайта быстро заблокировала аккаунт злоумышленника, на который зачислялся "заработок", всерьез поживиться мошеннику не удалось.

Злоумышленники не оставляют в покое платформу Mac OS X. Если в мае были обнаружены поддельные антивирусы под эту платформу, то сейчас мошенники распространяют бэкдор Backdoor.OSX.Olyx.a. Эта вредоносная программа предназначена для удалённого управления компьютером: злоумышленники могут использовать заражённую систему в своих целях: скачивать другие зловреды, запускать программы и выполнять команды интерпретатора.

Июнь порадовал успехами в борьбе с киберкриминалом правоохранительных органов разных стран, при этом ряд успешных операций стал следствием их совместных действий. Так, в США была пресечена криминальная деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По предварительным оценкам, ущерб от их деятельности составил 74 млн. долларов. Помимо американских спецслужб, в операции приняли участие силовые структуры Германии, Франции, Голландии, Швеции, Великобритании, Румынии, Канады, Украины, Литвы, Латвии и Кипра. В нескольких странах Юго-Восточной Азии было задержано около 600 человек, подозреваемых в реализации мошеннических схем в интернете. В операции приняли участие полицейские подразделения Китая, Тайваня, Камбоджи, Индонезии, Малайзии и Таиланда. А в России по обвинению в организации DDoS-атаки на конкурирующий сервис был арестован Павел Врублевский, владелец крупнейшего в России процессингового центра ChronoPay. Стоит упомянуть и еще одно значимое событие в сфере борьбы с киберкриминалом на законодательном уровне: в июне японский парламент принял ряд поправок к существующим законам, назначив тюремные сроки за создание и распространение вредоносных программ.

Рейтинг вредоносных программ

Как и в предыдущие месяцы, в июне TOP 20 вредоносных программ в интернете пополнился большим количеством новых представителей, а рейтинг зловредов, обнаруженных на компьютерах пользователей, практически не изменился.

Вредоносные программы в интернете

В TOP 20 вредоносных программ в интернете по-прежнему преобладают зловреды, которые используются для осуществления drive-by атак: редиректоры, скриптовые загрузчики и эксплойты. Такие вредоносные программы заняли 14 из 20 строчек рейтинга.

Редиректоры

В TOP 20 попали четыре редиректора: Trojan-Downloader.JS.Agent.fzn (12-е место), Trojan-Downloader.JS.Agent.gay (13-е место), Trojan-Downloader.JS.IFrame.cfw (14-е место) и Trojan.JS.IFrame.tm (15-е место).

Если последние два зловреда примитивны и с помощью тэга "<iframe>" просто перенаправляют пользователя на веб-страницы злоумышленников, то первые два применяют более изощрённую технику. Помимо того что ими заражают легальные js-файлы, они ещё вызывают загрузку другого скрипта JavaScript - правда, только при условии наступления события "mousemove" объекта "window" (т.е. когда курсор мыши двигается в пределах рабочего окна). По-видимому, такая техника применяется для обхода некоторых "песочниц" и эмуляторов.

Фрагмент скрипта, заражённого Trojan-Downloader.JS.Agent.gay

Загрузчики

Скриптовые загрузчики представлены в рейтинге двумя группами. Первая: Trojan.JS.Redirector.pz (5-е место), Trojan.JS.Redirector.qa (7-е место) и Trojan.JS.Redirector.py (8-е место), Trojan.JS.Redirector.qb (9-е место). Вторая: Trojan-Downloader.JS.Agent.gbj (11-е место) и Trojan-Downloader.JS.Agent.gaf (19-е место).

Все эти загрузчики для хранения основных данных скрипта используют html-тэги. Скрипты первой группы - поле "alt" тэга "<img>", а второй - тэг "<div>". Скорее всего, этот метод также применяется для обхода разнообразных эмуляторов и "песочниц", которые недостаточно поддерживают интеграцию JavaScript и HTML. Для исполнения Java-эксплойтов эти загрузчики используют уязвимости CVE-2010-4452 и CVE-2010-0886. Для встраивания PDF-документов и HTML-страниц используется "iframe", а для скачивания и запуска EXE-файла применяются старые дыры в ПО Microsoft - Adodb.Stream и MDAC, для которых, судя по всему, многие пользователи до сих пор не установили заплатки.

Фрагмент вредоносного загрузчика Trojan.JS.Redirector.qa

Эксплойты

Отметим появление в рейтинге эксплойта Trojan-Downloader.SWF.Small.df (20-е место) в SWF-файлах. Его функционал заключается в скрытом запуске другого вредоносного SWF-файла, расположенного в той же папке на сервере.

Два эксплойта в PDF-документах - Exploit.JS.Pdfka.dyi (16-е место) и Exploit.JS.Pdfka.duj (17-е место) - используют уязвимость CVE-2010-1885 в формате TIFF. В PDF-файлах для усложнения анализа злоумышленники разбрасывают код эксплойта по нескольким объектам. В одном объекте находится начало JavaScript-скрипта, во втором - его конечный фрагмент, а в третьем - основные данные. Код в меру обфусцирован - все названия переменных произвольные, а часть названий объектов и функций собираются на лету.

Фрагмент обфусцированного JavaScript-скрипта Exploit.JS.Pdfka.duj

Последний новый эксплойт, попавший в TOP 20, - Exploit.HTML.CVE-2010-4452.bc (10-е место). Он использует простейшую уязвимость CVE-2010-4452 для скачивания и запуска Java-эксплойта, передавая специальные параметры Java-апплету через тэг "<param>". Exploit.HTML.CVE-2010-4452.bc злоумышленники решили замаскировать: большинство символов в тэгах "<param>" были заменены на последовательности "&#number", а в оставшихся символах были изменены регистры.

Эксплойт Exploit.HTML.CVE-2010-4452.bc

Вредоносные программы на компьютерах пользователей

Как уже было сказано выше, рейтинг вредоносных программ, обнаруженных на компьютерах пользователей, изменился незначительно. Однако помимо типичных зловредов в TOP 20 попал довольно необычный представитель вредоносной фауны - файловый вирус Virus.Win32.Nimnul.a.

Nimnul-инфектор

Впервые в TOP 20 этот зловред попал в мае и за два месяца добрался с 20-й позиции до 11-й. Это весьма необычно, учитывая, что файловые инфекторы постепенно сходят на нет. В настоящее время злоумышленники предпочитают зловреды, защищенные полиморфными упаковщиками (что обеспечивает уникальность упакованной вредоносной программы). Использовать файловые вирусы стало просто невыгодно: их разработка и поддержка достаточно сложны, при этом обнаружить их в системе относительно просто.

Вирус Nimnul.a заражает исполняемые файлы, добавляя в конец файла дополнительную секцию ".text" и модифицируя точку входа. После запуска любой заражённый файл проверяет наличие уникального идентификатора вируса в ОС (Mutex). Наличие объекта Mutex означает, что другой заражённый файл уже был запущен в системе. В этом случае вирус только запускает оригинальное приложение. Если же искомый Mutex не обнаружен, то сначала рассматриваемый синхронизирующий объект будет создан, а затем на диск будет сброшен основной компонент Nimnul. Этот компонент записывает на диск ещё несколько вредоносных библиотек.

Зловред крадёт персональные конфигурационные файлы популярных браузеров, подключается к удалённому серверу и в состоянии подменять вывод веб-страниц.

Распространяется вирус через сменные носители с помощью autorun.inf и собственно инфицированных файлов. Интересен регион обитания этого вируса: Индия, Индонезия, Бангладеш, Вьетнам. В этих странах самый большой процент пользователей из числа участников KSN, на компьютерах которых обнаружено вредоносное ПО: Бангладеш - 85,76%, Индия - 65,27%, Индонезия - 59,51%, Вьетнам - 54,16%. Очевидно, что пользователи в этих странах недостаточно внимательно относятся к вопросам информационной безопасности и используют непропатченные версии ОС Windows. А ведь компания Microsoft еще 8 февраля 2011 года выпустила обновления, которые отключают автозапуск со сменных носителей.

TOP 20 вредоносных программ в интернете

Позиция	Изменение позиции	Вредоносная программа
1	2	AdWare.Win32.FunWeb.kd
2	4	Trojan-Downloader.JS.Agent.fxq
3	2	AdWare.Win32.FunWeb.jp
4	-2	Trojan.JS.Popupper.aw
5	New	Trojan.JS.Redirector.pz
6	5	Trojan.HTML.Iframe.dl
7	New	Trojan.JS.Redirector.qa
8	New	Trojan.JS.Redirector.py
9	New	Trojan.JS.Redirector.qb
10	New	Exploit.HTML.CVE-2010-4452.bc
11	New	Trojan-Downloader.JS.Agent.gbj
12	New	Trojan-Downloader.JS.Agent.fzn
13	New	Trojan-Downloader.JS.Agent.gay
14	New	Trojan-Downloader.JS.Iframe.cfw
15	New	Trojan.JS.Iframe.tm
16	New	Exploit.JS.Pdfka.dyi
17	New	Exploit.JS.Pdfka.duj
18	New	Trojan-Ransom.JS.SMSer.id
19	New	Trojan-Downloader.JS.Agent.gaf
20	-1	Hoax.Win32.Screensaver.b

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей

Позиция	Изменение позиции	Вредоносная программа
1	0	Net-Worm.Win32.Kido.ir
2	2	AdWare.Win32.FunWeb.kd
3	-1	Virus.Win32.Sality.aa
4	-1	Net-Worm.Win32.Kido.ih
5	0	Trojan.Win32.Starter.yy
6	0	Virus.Win32.Sality.bh
7	1	Virus.Win32.Sality.ag
8	-1	Trojan-Downloader.Win32.Geral.cnh
9	0	HackTool.Win32.Kiser.il
10	Return	AdWare.Win32.HotBar.dh
11	1	Virus.Win32.Nimnul.a
12	-2	Trojan-Downloader.Win32.FlyStudio.kx
13	5	Trojan.JS.Agent.bhr
14	0	Worm.Win32.FlyStudio.cu
15	1	Worm.Win32.Mabezat.b
16	-3	HackTool.Win32.Kiser.zv
17	0	Hoax.Win32.Screensaver.b
18	1	Trojan-Downloader.Win32.VB.eql
19	-4	Hoax.Win32.ArchSMS.pxm
20	New	Trojan-Downloader.SWF.Small.dj