Методы обнаружения вирусов

Обзор вирусной активности — февраль 2012

Февраль в цифрах

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:

  • заблокировано 143 574 335 попыток заражения через Web;
  • обнаружено и обезврежено 298 807 610 вредоносных программ;
  • обнаружено 30 036 004 вредоносных URL;
  • отражено 261 830 529 сетевых атак.

DUQU — последние новости

Исследование вредоносной программы Duqu перешло из стадии активного анализа «по горячим следам» в стадию детального анализа и обобщения собранных данных. В январе-феврале 2012 эксперты «Лаборатории Касперского» фокусировались в основном на технических аспектах существования Duqu: системах его серверов для сбора данных и внутреннем устройстве модулей троянского комплекса.

С конца декабря прошлого года мы перестали обнаруживать какие-либо признаки наличия Duqu в Сети. Как нам стало известно, 1-2 декабря 2011 года авторы троянской программы провели повторную очистку используемых ими серверов по всему миру. Они пытались исправить ошибки, допущенные ими 20 октября при первой очистке серверов (об этом мы писали в шестой частисерии блогпостов про Duqu).

Таким образом, мы можем подвести промежуточные итоги последней атаки.

Мы зафиксировали полтора десятка инцидентов Duqu, и подавляющее большинство жертв оказалось в Иране. Анализ деятельности организаций-жертв и характер информации, интересовавшей авторов Duqu, заставляет нас прийти к выводу, что основной целью атакующих была любая информация о системах управления производством в различных отраслях промышленности Ирана, а также информация о торговых отношениях ряда иранских организаций.

В ходе анализа кода Duqu эксперты «Лаборатории Касперского» пришли к выводу, что помимо использования некой единой платформы (http://www.securelist.com/ru/analysis/208050731/Stuxnet_Duqu_evolyutsiya_drayverov), которую мы назвали Tilded, авторы Duqu вероятней всего использовали собственный фреймворк, разработанный на неизвестном нам языке программирования. Об этой уникальной разработке мы писали в отдельном блогпосте.

На основе собранных нами данных можно предположить, что разработчики Tilded, скорее всего, не прекратят свою работу, и в будущем (возможно ближайшем) нам придется столкнуться с их очередной разработкой.

Атаки на индивидуальных пользователей

Уязвимости в платежной системе Google Wallet

Осенью 2011 года компания Google запустила новую технологию Google Wallet, которая обеспечивает возможность оплачивать товары и услуги посредством смартфона на базе Android с модулем NFC (Near Field Communication — технология бесконтактной связи). На смартфоне устанавливается специальное приложение Google Wallet и вводятся реквизиты кредитной карты, которую следует использовать. Для оплаты владелец телефона должен ввести в приложение Google Wallet PIN-код и поднести к считывающему устройству телефон, который в зашифрованном виде передаст данные для проведения транзакции.

Когда компания Google анонсировала новую услугу, эксперты по безопасности высказали некоторые сомнения относительно ее безопасности при потере или краже телефона, то есть когда смартфон с Google Wallet попадает в чужие руки. И вот в начале февраля было выявлено сразу два метода взлома Google-кошелька, которые могут быть использованы в подобных случаях.

Сначала инженер компании zVelo Джошуа Рубин обнаружил, как может быть подобран PIN-код, если некто получит доступ к телефону (https://zvelo.com/blog/entry/google-wallet-security-pin-exposure-vulnerability). Данные о банковском счете хранятся в специальном защищенном разделе (Secure Element) NFC-чипа, но сам хэш PIN-кода хранится в файловой системе телефона. Для чтения этого хэша необходим root-доступ к телефону, который можно получить известными хакерскими способами. Учитывая, что PIN-код — это всего лишь четырехзначное число, злоумышленнику не составит труда подобрать соответствующую комбинацию методом полного перебора. Подобрав код, злоумышленник сможет оплачивать свои покупки, используя счет Google Wallet законного владельца телефона.

На следующий же день после обнаружения этой уязвимости появилась информация еще об одном методе, дающем доступ к чужому Google-кошельку на найденном или украденном телефоне. И уже без необходимости взлома системы, то есть без получения root-доступа. На сей раз использовалась уязвимость в самом приложение Google Wallet. Если зайти в меню свойств приложений и удалить все данные, относящиеся к приложению Google Wallet, то при следующем запуске Google Wallet попросит установить новый PIN-код, не требуя ввести старый.

Об этих уязвимостях было сразу же сообщено в компанию Google, которая приостановила на несколько дней работу технологии Google Wallet до устранения выявленных угроз. Позже Google объявила об исправлении уязвимости в приложении и возобновила работу сервиса, но в начале марта все еще не было никакой информации об исправлении уязвимости с использованием метода полного перебора для подбора правильного PIN-кода. Чтобы предотвратить доступ к хэшу PIN-кода, его, как и другие критические данные о банковском счете/кредитной карте, надо хранить в безопасном разделе на NFC-чипе. Но тут возникают правовые сложности: в этом случае ответственность за сохранность PIN-кода переходит от Google к банкам, которые ответственны за безопасный раздел — Secure Element.

Фальшивые коды Google Analytics

Взлом сайтов чаще всего используется злоумышленниками для распространения вредоносных программ — вредоносный код внедряется в коды веб-страниц взломанных ресурсов. Чтобы владельцы скомпрометированных сайтов как можно дольше не замечали изменений, применяются всевозможные хитрости. В начале февраля мы зафиксировали волну заражений, в которых внедренный вредоносный код был замаскирован под код статистического сервиса от Google — Google Analytics.

Фальшивый код имеет несколько характерных признаков:

  1. Во вредоносном коде вместо оригинального адреса google-analytics.com используется адрес с двойным тире google--analytics.com.
  2. В оригинальном коде идентификатор учетной записи представляет собой уникальную строку с цифрами (например, «UA-5902056-8») и однозначно определяет сайт для статистического сервиса. Во вредоносном коде вместо уникальной строки используется строка «UA-XXXXX-X».
  3. Внедренный злоумышленниками код размещается в самом начале кода странички, даже до тега <html>, тогда как оригинальный код Google Analytics разработчики обычно добавляют в конце страницы.

В результате работы этого кода в браузер пользователя с адреса злоумышленников google--analytics.com подгружался обфусцированный javascript «ga.js», и посетитель взломанной страницы после нескольких редиректов незаметно перенаправлялся на сервер, где работал набор эксплойтов BlackHole Exploit Kit. При удачном срабатывании эксплойта компьютер пользователя заражался вредоносной программой.

В настоящее время сайт google--analytics.com не работает. Но на некоторых взломанных веб-ресурсах мы до сих пор замечаем фальшивый код Google Analytics, уже (или, если хотите, пока) безвредный.

Мобильные угрозы

Последние события в мире мобильных угроз показывают, что в 2012 году мобильные ботнеты станут одной из основных проблем как для пользователей смартфонов, так и для антивирусных компаний.

Мобильный ботнет RootSmart

Китайским вирусописателям удалось в достаточно короткий срок создать ботнет, в котором число активных устройств варьируется от 10 000 до 30 000, а общее число смартфонов, зараженных за все время существования ботнета, исчисляется сотнями тысяч. По классификации «Лаборатории Касперского» боты относятся к семейству Backdoor.AndroidOS.RootSmart. Все зараженные устройства, входящие в ботнет RootSmart, способны удаленно принимать и исполнять команды с C&C-сервера.

Такое количество зараженных устройств больше характерно для ботнетов на основе компьютеров под управлением ОС Windows. Судя по всему, соразмерность мобильных и обычных ботнетов становится реальностью, однако способы их монетизации отличаются. Если для монетизации обычных бот-сетей чаще всего используются DDoS-атаки или рассылка спама, то для мобильных ботнетов эти способы не столь эффективны.

Злоумышленники, контролирующие ботнет RootSmart, избрали традиционный и самый популярный среди мобильных киберпреступников способ монетизации: премиум SMS-сообщения. Лица, контролирующие ботнет, имеют возможность задавать частоту отправки дорогостоящих SMS-сообщений (одно, два, три и т.д. в день), количество дней, в течение которых будет осуществляться отправка, короткие номера, на которые будут отправляться SMS. Учитывая, что у злоумышленников есть полный контроль над зараженными устройствами, они могут действовать так, чтобы владельцы устройств ничего не заподозрили (например, использовать самые дешевые короткие номера) и контролировать монетизацию ботнета. Такой подход, в отличие от использования обычных SMS-троянцев, позволяет им получать стабильный ощутимый доход на протяжении длительного времени.

Арест авторов Foncy

В январе 2012 года мы обнаружили, пожалуй, наиболее яркий на данный момент образец вредоносной программы, с помощью которой злоумышленники могут удаленно контролировать зараженное устройство, посылая ему разнообразные команды — Backdoor.Linux.Foncy.a.

Бэкдор устанавливается в систему с помощью APK-дроппера вместе с root-эксплойтом (Exploit.Linux.Lotoor.ac) и SMS-троянцем (Trojan-SMS.AndroidOS.Foncy.a). Напомним, что семейство SMS-троянцев Foncy было обнаружено еще в ноябре 2011 года .

Конец февраля ознаменовался хорошей новостью: два человека были арестованы в Париже по подозрению в заражении более 2000 устройств на базе ОС Android вредоносными программами семейства Foncy. Этот арест является первым случаем задержания авторов мобильной вредоносной программы. Причем со времени появления публичной информации о Foncy до задержания прошло всего 3 месяца. Будем надеяться, что дело дойдет до логического завершения и в скором времени мы услышим о первом приговоре авторам вредоносного ПО для мобильных устройств. По оценкам властей, злоумышленники нанесли финансовый ущерб в размере 100 000 евро.

Атаки на сети корпораций и крупных организаций

В феврале продолжились атаки хактивистов — участников движения Anonymous на финансовые и политические веб-ресурсы.

Атакам хактивистов подверглись сайты американских компаний Combined Systems Inc. (CSI) и Sur-Tec Inc. Компании были названы ответственными за поставки в некоторые страны различных средств наблюдения за гражданами, а также слезоточивого газа и прочих инструментов для подавления митингов. Так, CSI обвинили в поставках подобных технологий в Египет во времена свергнутого президента Мубарака, а также в Израиль, Гватемалу и некоторые другие страны. Хакерам удалось украсть внутреннюю переписку компании, список ее клиентов и ряд внутренних документов — все это затем было опубликовано в общем доступе на сайте pastebin.com.

Помимо этого взломам подвергся ряд сайтов, принадлежащих Федеральной торговой комиссии (FTC) США. Эта акция проводилась в рамках борьбы Anonymous против ACTA (the Anti Counterfeiting Trade Agreement). На взломанных сайтах было размещено видео с протестом против принятия данного соглашения. С сайтов также были украдены логины и пароли пользователей ресурсов, которые хактивисты затем опубликовали на pastebin.com.

Ответственность за эти атаки взяла на себя та же группа, которая в январе организовала серию DDoS-атак в знак протеста против закрытия сайта Megaupload.com. Тогда ими были выведены из строя сайты министерства юстиции США, сайты Univeral Music Group, Recording Industry Association of America и MPAA.

Другая группа Anonymous (LONGwave99) атаковала финансовые институты США. 14 и 15 февраля с помощью DDoS-атак им удалось на несколько часов вывести из строя сайты фондовых бирж NASDAQ, BATS, Chicago Board Options Exchange (CBOE) и Miami Stock Exchange. Атаки, получившие название «Operation Digital Tornado», по заявлениям представителей бирж не затронули сами системы торгов.

Продолжаются полицейские расследования деятельности хактивистов. В конце февраля в результате совместной операции Интерпола и правоохранительных органов Аргентины, Чили, Колумбии и Испании были арестованы 25 человек, подозреваемых в причастности к ряду атак. В ответ на эту операцию Anonymous организовали DDoS-атаку сайта Интерпола, в результате которой сайт был выведен из строя на несколько часов.

В России в преддверии президентских выборов DDoS-атаки и взломы также стали инструментами политической борьбы. Политически мотивированным атакам подвергались сайты средств массовой информации, оппозиционные и правительственные ресурсы. Интересно, что в целой серии атак, зафиксированных «Лабораторией Касперского», использовалось несколько ботнетов одного типа (Ruskill), поочередно сменявших друг друга. В общей сложности мы насчитали 8 центров управления ботнетами, расположенных в разных странах, на разных площадках у разных провайдеров. Однако все эти C&C, с большой вероятностью, управляются одними и теми же людьми.

Во многих случаях ботнеты, задействованные в «политических» атаках, ранее были замечены в явно коммерческих DDoS-ах, в ходе которых атакам подвергались онлайн магазины, банки, тематические форумы и персональные блоги. Очевидно, что эти ботнеты участвовали в политически мотивированных DDoS-атаках на коммерческой основе, а их хозяева — просто наемники, готовые за деньги атаковать кого угодно.

Рейтинги февраля

Данная статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

TOP 10 зловредов в интернете

Детекты веб-антивируса % от всех атак Изменения в рейтинге
1 Malicious URL 91,26% 0
2 Trojan.Script.Iframer 5,81% 0
3 Trojan.Script.Generic 2,15% 0
4 Trojan-Downloader.Script.Generic 0,95% 2
5 Trojan.Win32.Generic 0,47% -2
6 Trojan-Downloader.JS.Agent.gmr 0,43% new
7 Trojan-Spy.JS.Agent.c 0,37% -2
8 Trojan-Downloader.Win32.Agent.gyai 0,35% 1
9 Trojan.JS.Redirector.ue 0,31% new
10 Trojan.JS.Popupper.aw 0,30% -1

TOP 10 стран, на ресурсах которых размещены вредоносные программы

Страны* % от всех атак
1 Голландия 22,49%
2 США 20,97%
3 Россия 16,82%
4 Германия 10,09%
5 Украина 4,57%
6 Великобритания 4,43%
7 Британские Виргинские острова 1,89%
8 Франция 1,79%
9 Китай 1,45%
10 Канада 1,10%

* Для определения географического источника атаки используется методика сопоставления доменного имени реальному IP-адресу, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

TOP 10 доменных зон, в которых расположены вредоносные программы

Доменная зона Количество атак*
1 ru 48 523 586
2 com 46 111 931
3 info 15 454 153
4 net 10 140 453
5 org 5 326 917
6 in 4 724 839
7 pl 1 465 601
8 me 1 100 728
9 eu 704 525
10 biz 637 536

*Суммарное число зафиксированных веб-антивирусом атак с веб-ресурсов, размещенных в доменной зоне.

10 стран, где пользователи подвергаются наибольшему риску заражения через интернет

Страна %* Изменения
1 Россия 53,75% 0
2 Кот-д’Ивуар 49,25% new
3 Армения 45,47% -1
4 Казахстан 44,99% 1
5 Белоруссия 43,89% 1
6 Азербайджан 43,08% -2
7 Украина 41,93% 0
8 Молдавия 38,16% 2
9 Бангладеш 35,70% new
10 Узбекистан 35,37% -2

При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
* Процент уникальных пользователей, на компьютерах которых были заблокированы веб- угрозы, от всех уникальных пользователей продуктов ЛК в стране.

10 стран, пользователи которых подвергаются наименьшему риску заражения в интернете

Страны %* Изменения
1 Тайвань (КНР) 8,22% 6
2 Япония 8,23% 2
3 Бенин 9,21% -2
4 Люксембург 10,13% 2
5 Мозамбик 10,15% 3
6 Гонконг (специальный административный район, КНР) 10,35% new
7 Макао (специальный административный район, КНР) 10,68% 2
8 Дания 11,01% -4
9 Новая Зеландия 11,23% new
10 ЮАР 12,04% new

При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
* Процент уникальных пользователей, на компьютерах которых были заблокированы веб- угрозы, от всех уникальных пользователей продуктов ЛК в стране.

НОВОЕ НА САЙТЕ