Вирусы, вирусы, вирусы…

Алексей Комолов (С.-Петербург)

Новый троянец использует Google Docs как прокси-сервер

Антивирусная компания Symantec сообщает об обнаружении нового вредоносного программного обеспечения, использующего Google Docs, ставшего частью Google Drive, в качестве посредника для коммуникаций с атакующими. Подобный подход позволяет прятать вредоносный трафик.

Новый вредоносный код входит в семейство Backdoor.Makadocs и использует функцию Viewer в Google Docs в качестве прокси-сервера для получения инструкций от реального командного сервера. Google Docs Viewer был изначально создан для отображения различных типов файлов с удаленных адресов прямо в рабочем окне Google Docs. «Нарушая политику использования Google, Backdoor.Makadocs использует функцию Viewer для доступа к C&C-серверу», — говорит антивирусный специалист Symantec.

Возможно, что автор вредоноса использовал такой подход, чтобы затруднить обнаружение вредоносного кода со стороны антивирусов, так как Google Drive по умолчанию использует защищенные HTTPS-соединения, а большинство системных анализиторов запрограммированы на распознавание сервисов Google как доверенных.

В Google также подтвердили, что подобное использование нарушает условия работы.

Backdoor.Makadocs распространяется при помощи RTF или DOC файлов, но он не использует системных уязвимостей для вторжения в компьютер-жертву, он работает по методу социальной инженерии, пытаясь обманом заставить пользователя открыть реальный вредоносный код и запустить его в системе. Как большинство других бэкдоров, после заражения этот код включает компьютер в состав бот-сети для работы в интересах операторов.

У кода был найден еще один интересный аспект: он содержит элемент для обнаружения Windows Server 2012 или Windows 8, что указывает на интерес хакеров именно к новым системам.

Троян для компьютеров Apple на сайте о Далай-ламе

На одном из сайтов, посвященных Далай-ламе, специалисты компании Intego нашли троян, рассчитанный на заражение компьютеров Apple.

Вредоносу дали название Dockster. Он открывает «черный ход», позволяющий контролировать компьютер жертвы, записывать нажатия на клавиши и экспортировать файлы. Dockster использует уязвимость в Java — CVE-2012-0507, ту же, что и появившийся год назад вирус Flashback, который заразил 800 тыс. компьютеров. Apple вначале устранила саму брешь, а позднее вообще исключила Java из состава Mac OS X, начиная с версии 10.7 Lion.

Как выяснили в компании F-Secure, на том же сайте присутствует эксплойт для Windows. В 2009 году специалисты по информационной безопасности проанализировали компьютеры Центральной тибетской администрации и офиса Далай-ламы в связи с подозрениями в утечках информации. Оказалось, что системы были заражены ботами зомби-сети GhostNet, которые воровали данные.

Net-Worm.Win32.Kido.ir

Червь, создающий свои копии на съемных дисках и через локальную сеть. Программа является скриптом автозапуска Windows (AUTORUN.INF-файл). Размер файла от 59284 до 95034 байт. Не упакован.

Деструктивная активность.

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

[AUTorUN] AcTION=Open folder to view files icon=%syStEmrOot%sySTEM32sHELL32.Dll,4 OpEn=RunDll32.EXE <br>.RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn sHEllExECUTe=RUNdLl32.ExE <br>.RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn useAuTopLAY=1

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

.RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx

Данная версия скрипта отображает фразу «Открыть папку для просмотра файлов» на английском языке в диалоговом окне автозапуска.

Рекомендации по удалению.

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления можно воспользоваться специальной утилитой, которую можно скачать по следующей ссылке:

http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

либо выполнить следующие действия:

Удалить следующие файлы со всех съемных носителей:

<X>:autorun.inf <X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665 jwgkvsq.vmx,

где X – буква съемного диска.

Скачать и установить обновление системы по следующей ссылке:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Первый TOR-ботнет Skynet

Специалистами по сетевой безопасности из компании Rapid7 был обнаружен один из первых ботнетов, в котором связь зараженных машин с C&C сервером выполняется при помощи технологии TOR (The Onion Router), обеспечивающей анонимный доступ к интернету. Создатели ботнета дали ему название Skynet, по аналогии с искусственным интеллектом в фильмах о «Терминаторе».

Образец вредоносного ПО, полученный специалистами имеет большой размер (практически 15 МБ) и ранее не был загружен на Virustotal. На момент публикации сообщения, уровень обнаружения был 7/42 , а на момент написания статьи — 24/45. Базовый код ядра составляет IRC бот с поддержкой TOR. большая часть бинарника содержит мусорные данные, которые, скорей всего, используются для того, чтобы замаскировать приложение под легитимный файл. При создании бинарника также использовалось несколько методов обфускации для предотвращения обнаружения вредоноса программного обеспечения. В состав Skynet входят следующие 4 компонента:

  • Бот ZeuS
  • TOR-клиент для Windows
  • Утилита для генерации Bitcoin – CGMiner
  • Копия библиотеки OpenCL.dll, используемая CGMiner для взлома хэша посредством CPU/GPU.

При запуске вредоносная программа сначала копирует себя в каталог %AppData%, а затем начинает процедуру инициализации, в результате чего ядро маскируется либо как Internet Explorer, либо как svchost.exe.

В целях обеспечения исполнения после перезагрузки, создается традиционная запись в раздел реестра Run.

Исследователи сообщают, что Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin, исполнение произвольного кода по команде оператора, а также хищение реквизитов для доступа к web-сайтам и банковским счетам. Главной особенностью Skynet является то, что доступ к его серверам управления возможен только через сеть TOR, используемую для анонимного доступа к обычным web-сайтам, а также к чат-серверам IRC и некоторым другим сервисам.

По оценкам специалистов из Rapid7, сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. Следует отметить, что каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам.

Троян под видом платного архива нацелен на Mac OS X

Как сообщили эксперты антивирусной компании «Доктор Веб», в сети была обнаружена вредоносная программа, распространяющаяся под видом платного архива с программным обеспечением, которая нацелена на пользователей операционной системы Mac OS X от Apple.

Вирусописатели замаскировали свою разработку под платный архив, содержащий различную полезную информацию. При этом, если жертва все-таки оплатит «приобретение», в архиве оказывается либо совершенно бесполезный «мусор», либо программа, которую на легитимном ресурсе можно загрузить бесплатно.

«В процессе открытия такого архива на экране компьютера демонстрируется инфтерфейс, имитирующий оформление программы установки того или иного приложения. При этом для продолжения «инсталляции» мошенники просят жертву ввести в соответствующую форму номер мобильного телефона, а затем указать код, пришедший в ответном СМС. Если пользователь выполняет указанные действия, он соглашается с условиями платной подписки, согласно которым со счета его мобильного телефона будет регулярно списываться абонентский платеж», — отмечается в уведомлении «Доктор Веб».

По словам исследователей, вирусы из семейства Trojan.SMSSend ранее были нацелены на Windows, однако новинка, получившая название Trojan.SMSSend.3666, была обнаружена в Mac OS X.

Новый троянец блокирует доступ на некоторые веб-сайты

Антивирусная компания «Доктор Веб» сегодня предупредила о распространении нового представителя семейства вредоносных программ Trojan.BrowseBan. Этот троянец блокирует доступ на некоторые веб-сайты, мошенническим путем вынуждая пользователя оформить платную подписку на различные услуги.

При запуске троянец Trojan.BrowseBan.480 проверяет, какие браузеры установлены на компьютере пользователя, а затем сохраняет на диск модули, в которых реализован его вредоносный функционал. Для браузера Microsoft Internet Explorer модуль реализован в виде файла динамической библиотеки, для Mozilla Firefox, Opera и Google Chrome — специального плагина, для функционирования которого троянец изменяет пользовательские настройки программы.

В результате при попытке открытия определенных сайтов в окне браузера троянец модифицирует отображаемую веб-страницу, и на экране компьютера демонстрируется окно, в котором пользователю предлагается ввести номер мобильного телефона, а затем — код, полученный в ответном СМС-сообщении. Таким образом, жертва соглашается с условиями подписки, согласно которым со счета ее мобильного телефона регулярно будет списываться определенная сумма.

С недавних пор операторы «большой тройки» при подключении абонента к платным сервисам стали использовать специальные веб-страницы с информацией об условиях предоставляемых услуг и их стоимости. Поэтому для осуществления подписки Trojan.BrowseBan.480 использует официальные сервисы мобильных операторов «МТС» (moipodpiski.ssl.mts.ru) и «Билайн» (signup.beeline.ru), однако вредоносный скрипт скрывает «лишнюю» информацию, вследствие чего жертва видит лишь диалоговое окно, содержащее форму для ввода номера мобильного телефона. Например, вот так должна выглядеть страница оформления подписки, демонстрируемая оператором мобильной связи:

Причем злоумышленники не поленились разработать уникальный дизайн окна для различных сайтов, которые может посетить жертва: среди них — страницы социальных сетей «ВКонтакте», «Одноклассники», «Мой мир», Facebook, популярные поисковые системы, почтовые службы «Яндекс.Почта», Gmail, Mail.ru, а также другие популярные ресурсы. Подписку осуществляет контент-провайдер ООО «Пластик Медиа», а оплата взимается якобы за доступ к службе анонимайзера http://4anonimz.ru, однако в силу того, что троянец скрывает подробную информацию о подписке, жертва об этом даже не догадывается.

Новый вредоносный код ворует данные о кредитных картах с POS-терминалов

Эксперты компании Seculert обнаружили специализированную вредоносную программу, ворующую реквизиты банковских карт из торговых терминалов под ОС Windows.

Зловред, получивший название Dexter, внедряется в системный процесс iexplore.exe, обеспечивая его повторный запуск при отключении вручную, составляет перечень активных процессов, для каждого определяет доступные пространства памяти, производит считывание в локальный буфер, используя функцию ReadProcessMemory, и подвергает дампы разбору (парсингу), отыскивая информацию, подлежащую копированию и отсылке.

Согласно сообщению в блоге «Лаборатории Касперского», Dexter интересуют данные треков 1 и 2 пластиковой карты: имя владельца, срок годности и номер карты, включающий код эмитента, класс и тип карты, номер счета, иногда — код страны. Этой информации достаточно, чтобы изготовить подделку.

Украденные данные шифруются и отправляются через HTTP POST на удаленный C&C сервер. Ответы с этого сервера, включая обновления и команду на самоудаление, зловред получает в виде шифрованного cookie-файла. Система шифрования, используемая Dexter, подробно рассмотрена в блоге Trustwave. Обращения к командному серверу осуществляются по заданному списку из 7 доменных имен, привязанных к зоне .com. По свидетельству Verizon, 6 из них зарегистрированы на сервисе, гарантирующем конфиденциальность, и разрешаются в один и тот же IP-адрес, хорошо известный исследователям ZeuS. В более ранних, тестовых версиях Dexter вместо доменов был указан IP-адрес и единственный путь. Этот адрес, как и соответствующая AS-система (AS58001), имеют плохую репутацию. Эксперты Verizon усмотрели также некоторое сходство в поведении ZeuS и Dexter и отметили, что некоторые антивирусы списка Virus Total детектируют нового PoS-зловреда как ZeuS.

Насколько известно, Dexter существует в интернете несколько месяцев и успел поразить сотни PoS-систем в широко известных сетях розничной торговли, отелей, ресторанов, а также на частных парковках. Seculert обнаружила его присутствие в 40 странах, причем 30% заражений — на территории США, 19% в Великобритании. Способ распространения Dexter пока не определен, известно лишь, что половина жертв используют Windows XP, свыше 30% — серверные ОС.

Новый Android-троянец организует DDoS-атаки

Новая вредоносная программа инфицирует мобильные Android-устройства: троянец Android.DDoS.1.origin способен осуществлять DDoS-атаки на различные интернет-ресурсы, а также может отправлять СМС-сообщения по команде злоумышленников, рассказали в антивирусной компании «Доктор Веб».

Будучи установленным на мобильном Android-устройстве, троянец Android.DDoS.1.origin создает значок приложения, аналогичный иконке каталога Google Play. Если обманутый пользователь решит запустить эту подделку, будет открыто оригинальное приложение, что значительно снижает риск возникновения каких-либо подозрений.

После запуска троянец пытается связаться с удаленным сервером и в случае успеха передает на него номер мобильного телефона жертвы, после чего ждет дальнейших команд, которые отправляются злоумышленниками с помощью СМС. Среди поддерживаемых директив присутствует атака на заданный сервер, а также отправка СМС-сообщений. Если от троянца требуется выполнение атаки на веб-ресурс, то в поступающем от киберпреступников сообщении указывается параметр вида [сервер:порт]. При получении такой команды Android.DDoS.1.origin начинает отправлять на указанный адрес сетевые пакеты. Если же от вредоносной программы требуется отправка СМС, то в поступающей команде содержится текст сообщения и номер, на который его необходимо отправить. Действие троянца может снизить производительность зараженного мобильного Android-устройства, а также повлиять на благосостояние его владельца, поскольку доступ к сети Интернет и отправка СМС-сообщений продолжают оставаться платными услугами. Кроме того, потенциальная отправка сообщений на премиум-номера может еще больше сказаться на финансовом положении пользователя-жертвы.

Механизм распространения троянца еще остается до конца не выясненным, однако наиболее вероятными являются методы социальной инженерии с использованием образа официального Android-приложения от корпорации Google.

Стоит отметить, что код Android.DDoS.1.origin заметно обфусцирован, запутан. Принимая во внимание возможность троянца выполнять атаку на любые веб-ресурсы, а также способность отправлять различные СМС-сообщения на любые номера, в том числе номера контент-провайдеров, можно предположить, что данная вредоносная программа может быть использована ее авторами не только напрямую, но также и для осуществления противоправных действий по заказу третьих лиц (например, для выполнения атаки на сайт конкурентов, продвижения продуктов путем рассылки СМС-сообщений или подписки пользователей на платные услуги при помощи отправки СМС на короткие номера).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *