Вирусы, вирусы, вирусы…

Алексей Комолов (С.-Петербург)

Symantec предупреждает о появлении очередного троянца-вымогателя

Антивирусная компания Symantec предупредила об обнаружении новой волны программ-вымогателей, шантажирующих пользователей и пытающаяся вымогать у них деньги. Согласно сообщению Symantec, программа-шантажист требует у пользователей денежного перевода, в противном случае угрожает удалением всех данных с компьютера пользователя.

В Symantec говорят, что угрозы программы являются фиктивными и в реальности вредоносный код ничего не стирает, а просто пытается нажиться на наивных пользователях. «Это очередная попытка кибермошенников воспользоваться человеческой слабостью в необычной ситуации», — пишет в блоге Symantec антивирусный эксперт Джит Морпариа.

По его словам, программы-вымогатели представляют собой один из самых старых классов вредоносных программ на сегодняшнем рынке. Согласно данным Symantec, первые образцы программ-шантажистов появились еще около семи лет назад и с тех пор они периодически всплывают на горизонте, неизменно находя своих жертв, которые готовы заплатить злоумышленникам, чтобы те не удаляли данные с пользовательских компьютеров.

Новый представитель данного семейства — это вымогатель Trojan.Ransomlock.G (по классификации других компаний — Reveton). Авторы нового троянца сыграли достаточно грубо: при попадании на ПК код сразу же заявляет, что компьютер заблокирован и любое действие пользователя на ПК, кроме как перечисление денег на реквизиты злоумышленников, вызовет «немедленное уничтожение всех данных». «Попытка самостоятельно разблокировать компьютер приведет к полному форматированию операционной системы. Все файлы, видео, фото, документы и иные файлы будут удалены», — говорится на приветственном экране программы.

В Symantec говорят, что это не соответствует действительности и код не может удалять данные. «Нами был проанализирован код Ransomlock, но мы не нашли к нем инструкций по уничтожению данных», — говорит Морпариа.

Под видом заплаты для новой уязвимости Java распространяется бэкдор

Специалисты компании Trend Micro обнаружили вредоносную программу, маскирующуюся под заплату для недавно обнаруженной уязвимости Java.

Oracle не так давно экстренно выпустила заплату для платформы — Java Update 11. Как сообщают в Trend Micro, по крайней мере на одном сайте обнаружено фальшивое обновление с аналогичным названием. При его установке загружается программа, открывающая «черный ход» в системе, позволяющий злоумышленнику взять под контроль зараженную систему.

Примечательно то, что сам вредонос-самозванец не пользуется уязвимостями Java, указывают в Trend Micro. Специалисты компании, как и другие эксперты по безопасности, рекомендуют деинсталлировать Java, если платформа не нужна. Можно также сохранить Java в системе, но отключить в браузере — именно через браузеры сегодня происходит большинство атак с использованием платформы. Бреши, устраненные Java, могут использоваться вредоносными аплетами, автоматически запускающимися при заходе на сайты при включенной поддержке Java.

Недавно появилось сообщение о том, что на подпольном хакерском форуме за 5 тыс. долл. предлагали сведения о новой, ранее неизвестной уязвимости в Java. В Oracle эту информацию не комментируют.

В Skype распространяется троян Shylock

Согласно сообщению экспертов безопасности из датской компании CSIS Security Group, на прошлой неделе в открытом доступе начала распространяться обновленная версия банковского трояна Shylock. Одной из новых функций вируса стала возможность распространения через Skype.

Данное дополнение позволяет трояну рассылать сообщения и вредоносные файлы с помощью клиента популярного VoIP-сервиса, установленного на инфицированной системе. При этом Shylock способен обходить предупредительные сообщения Skype, а также стирать из его истории следы своей активности.

Напомним, что ранее в трояне уже был реализован функционал самораспространения через такие службы мгновенных сообщений, как MSN Messenger и Yahoo Messenger. Вирус рассылал вредоносные ссылки случайным контактам, имеющимся в данных приложениях.

«На сегодняшний день Shylock является одним из наиболее передовых банковских троянов, нацеленных на компрометацию систем дистанционного банковского обслуживания, — сообщают в CSIS Security Group. — Код постоянно обновляется и регулярно появляются новые функциональные возможности».

Новый вредоносный код под Android похищает данные

Symantec сегодня предупредила об обнаружении нового вредоносного программного обеспечения, которое уже могло похитить данные с тысяч зараженных устройств за менее чем две недели. Новые вредоносный код Android.Exprespam был впервые обнаружен в середине января и по мнению вирусных аналитиков компании, он активен не менее двух недель.

Несмотря на непродолжительный период, антивирусная компания указывает на то, что код уже мог сделать своими жертвами многих тысяч пользователей. «Полученные нами данные — это лишь небольшая толика от общего объема, указывающая на то, что с 13 по 20 января было не менее 3000 заражений», — говорит Йоджи Хамада, аналитик Symantec. «Базируясь на нашем анализе, можно говорить, что мошенники уже похитили от 75 000 до 450 000 пользовательских файлов».

На данный момент код Android.Exprespam распространяется через несколько неофициальных каталогов программ для Android. Сам по себе вредоносный код создан для похищения широкого спектра персональных данных, хранящихся на зараженных Android-устройствах. Также в Symantec говорят, что несмотря на все усилия компании, им пока так и не удалось выявить даже примерный источник распространения вредоноса.

«Этому вредоносному коду всего две недели, поэтому оно еще достаточно молодое и на его базе, скорее всего, будут созданы новые образцы кодов и новые методы распространения», — говорит Хамада.

Троян похитил 16 тысяч учетных данных Facebook

Троянское приложение «PokerAgent», маскирующееся под программу-агента одного из наиболее популярных в мире сервисов онлайн-покера Zynga Poker, было обнаружено в Facebook антивирусными экспертами из ESET. При этом в социальной сети существует легитимное игровое приложение компании «Texas Hold’Em Poker», насчитывающее более 35 миллионов активных пользователей.

Как отметили специалисты, основное предназначение вредоносной программы, впервые обнаружить которую удалось еще в начале 2012 года, заключается в хищении учетных данных пользователей Facebook. При этом наибольшее количество жертв вируса было сосредоточено в Израиле.

Сотрудники ESET передали информацию об обнаруженной угрозе израильскому отделению CERT, местной полиции, а также администрации Facebook. В связи с ведущимся расследованием, эти данные не могли быть обнародованы ранее.

В настоящий момент выяснилось, что вирус классифицировал жертв в зависимости от их игровых показателей и количества зарегистрированных ими кредитных карт. С помощью учетных записей менее удачливых и скупых игроков троян распространял ссылки на фишинговый портал, подражающий Facebook. Остальным предлагалось приобрести различные игровые бонусы.

Обнаружен банковский троян с встроенным цифровым сертификатом

Специалисты компании MalwareBytes обнаружили банковский троян, похищающий пароли, который подписан действительным цифровым сертификатом, выданным компанией DigiCert.

Представители DigiCert подтверждают выдачу сертификата, однако заявляют, что он выдавался для законно зарегистрированного предприятия Buster Paper Comercial Ltda. Лицензия выдавалась в соответствии с руководящими принципами цифровой отрасли. В условиях использования сертификатов от DigiCert четко указано, что их действие не распространяется на вредоносные программы. Как только в DigiCert узнали о незаконной деятельности, связанной с сертификатом, его немедленно отозвали.

Обнаруженная компанией MalwareBytes вредоносная программа замаскирована под PDF-документ, который отправляется предположительным жертвам в письме электронной почты и якобы содержит счета-фактуры. По замыслу злоумышленников, такой формат файла заставит пользователей открыть его, после чего на ПК устанавливается программа keylogger, похищающая банковские учетные данные.

Дополнительные элементы трояна загружаются на устройство пользователей с сайта egnyte.com. Администрация сайта подтвердила тот факт, что один из пользователей действительно хранил на ресурсе вредоносную программу, которой можно было делиться с другими. Впоследствии учетная запись владельца трояна была заблокирована, а уведомление об инциденте было направлено в организацию IC3, которая сотрудничает с ФБР в сфере информационной безопасности.

Встроенное приложение Facebook распространяет троянские приложения

Согласно сообщению исследователей «Доктор Веб», им удалось зафиксировать в социальной сети Facebook волну распространения вредоносных программ. В ходе атаки злоумышленники используют ряд тематических групп с названиями Videos Mega, Mega Videos и т.п., а также встроенное приложение, позволяющее встраивать в web-страницу произвольный HTML-код. При этом само приложение замаскированную под видеоролик.

«Посетитель группы, желая просмотреть провокационное видео, щелкал мышью на миниатюре видеоролика, активируя тем самым заранее созданный киберпреступниками сценарий. В результате этого действия на экране отображалось диалоговое окно с предложением обновить встроенный в браузер видеопроигрыватель, причем оформление данного окна копирует дизайн страниц социальной сети Facebook», — поясняют эксперты.

В случае, если жертва соглашается установить обновление на систему загружается вредоносный архив с трояном-загрузчиком, который в свою очередь, скачивает и запускает другое вредоносное ПО. Конечной целью атаки является установка дополнений для web-обозревателей Google Chrome и Mozilla Firefox, предназначенных для массовой рассылки приглашений в различные группы Facebook и накрутки отметок «Like».

Исследователи предупреждают о распространении набора эксплоитов Whitehole

Согласно сообщению Trend Micro, экспертам антивирусной компании удалось обнаружить новый набор эксплоитов, способный избегать обнаружения антивирусными решениями, а также блокирования со стороны сервиса Google Safe Browsing.

Эксперты также отметили, что функционал Whitehole довольно схож с более распространенным набором эксплоитов Blackhole, однако в отличие от последнего он не применяет JavaScript, чтобы скрыть использование plugindetect.js.

Вместе с тем, по данным исследователей, в настоящий момент набор работает в «тестовом» режиме и постоянно обновляется. Тем не менее, Whitehole уже можно приобрести на подпольных хакерских форумах по цене от $200 до $1800.

Вредоносные программы, содержащиеся в Whitehole, способны подключаться к определенным web-сайтам для того, чтобы отправлять и получать данные, а также приостанавливать некоторые процессы. Помимо этого, он загружает другие вредоносные файлы на инфицированные системы.

Российские пользователи Android под ударом нового SMS-трояна

Компания AdaptiveMobile сообщила об обнаружении хакерской атаки, ориентированной на русскоязычных пользователей Android. Речь идет о вредоносном SMS-трояне, эксплуатирующим тягу молодых пользователей к обнаженной натуре в интернете.

В компании AdaptiveMobile говорят, что отслеживали работу трояна в рамках мониторинга Ongoing Threat Analysis и установили, что первый очаг распространения вредоносного кода был именно в России, хотя теперь очаги отмечаются и в других регионах.

Как рассказали в компании, заразив компьютер пользователя, кибер-преступники пытаются обманным путем вынудить первого перевести на их счет сумму в 20 долларов. Все российские жертвы нового Android-трояна получают SMS-сообщение на смартфон, в котором говорится, что для них пришло MMS-сообщение и для просмотра его содержимого необходимо перейти по указанной в SMS гиперссылке. При переходе на указанный адрес они перемещаются на мошенническую страницу, подделывающую настоящую страницу сотового оператора абонента. Одновременно с этим, на смартфон абонента загружается вредоносное приложение, которое в фоновом режиме начинает рассылать SMS на платные номера. Всего приложение отправляет сообщений на сумму в 20 долларов.

В компании Adaptive Mobile говорят, что мошенники специально ограничивают размер ежемесячного съема денег лимитом в 20 долларов, чтобы абоненту было труднее заметить присутствие вредоносного кода и тот как можно дольше оставался в рабочем состоянии.

По словам специалистов Adaptive Mobile, изменения происходят незаметно для большинства пользователей, так как вредоносное ПО отправляет немного сообщений, которые на месячной расшифровке счет не слишком заметны. В отчете компании говорится, что сейчас данный троян уже зафиксирован далеко за пределами России и он уже атакует операторов и их абонентов в США и других странах.

«SMS все еще остается самым популярным средством коммуникаций как среди молодежи, так и среди взрослых пользователей. Не удивительно, что телефонные мошенники и хакеры пытаются тем или иным образом использовать эту популярность в своих целях», — говорят в компании.

Также компания заявляет, что многие операторы уже внедрили различные меры по защите абонентов от SMS-спама и SMS-троянов, но вредоносные коды, так или иначе использующие SMS все еще остаются в топ-рейтингах вредоносного ПО, что однозначно говорит о необходимости дополнительных защитных мер как со стороны абонентов, так и со стороны операторов.

Червь Rodpicom нацелился на пользователей Skype и MSN Messenger

Эксперты компании Fortinet зафиксировали атаку на пользователей сервисов Skype и MSN Messenger, которые становятся жертвами червя Rodpicom.

Изначально пользователь получает сообщение с якобы ссылкой на его фотографии, которые размещены на стороннем сайте. Тех, кто проходят по ссылке, перенаправляют на вредоносный портал, на котором содержится червь Rodpicom.

Впоследствии инфицированный компьютер становится ботом злоумышленников, которые с его помощью рассылают вредоносные сообщения другим потенциальным жертвам. Помимо этого, червь устанавливает бэкдор на систему пользователя, загружает дополнительное вирусное ПО, рассылает спам, а также связывается с C&C-сервером для загрузки своих более новых версий.

Обнаруженный экспертами червь способен определять язык операционной системы Windows, установленной на компьютере потенциальной жертвы, для того, чтобы отправить вредоносное сообщение на понятном пользователю языке.

По словам эксперта из Fortinet Рауля Альвареса, вредоносная программа также наделена рядом функций, которые позволяют ей скрываться не только от антивирусных программ, но и от технологий, используемых IT-специалистами для обнаружения вирусов.

Ботнет Waledac активно заражает компьютеры в США

Руководители ботнета Waledac используют вредоносное ПО под названием Virut для создания нового ботнета. Об этом сообщают эксперты компании Symantec. В настоящее время количество зараженных компьютеров увеличивается, и большинство из них сосредоточены в США.

Эксперты связывают высокую активность ботнета с вредоносным ПО Virut, которое используется для инфицирования персональных компьютеров.

Главной целью Waledac является рассылка спам-сообщений на адреса, список которых он получает от C&C-серверов ботнета. По подсчетам Symantec, ежедневно ботнет отправляет от 1,2 млрд до 3,6 млрд мусорных писем.

Спам-сообщения рассылаются на разные адреса электронной почты, однако ссылки, которые в них содержаться, перенаправляют пользователей на канадские сайты аптек.

«Сосуществование Virut и Waledac на одном компьютере — еще один пример сотрудничества вредоносных программ для более активного распространения. Помимо этого, эти две угрозы могут сосуществовать на уже зараженном одной из них компьютере», — отмечают в Symantec.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>