Методы обнаружения вирусов

Обзор вирусной активности — апрель 2012

Апрель в цифрах

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:

  • обнаружено и обезврежено 280 млн вредоносных программ;
  • заблокировано 134 млн попыток заражения через Web (48% от общего числа угроз);
  • обнаружено свыше 24 млн вредоносных URL.

Киберугрозы и актуальные темы

Mac OS X: Массовая эксплуатация и APT

Необыкновенно высокая активность вредоносного ПО для Mac OS X, которую мы отмечали в Марте, была лишь вершиной айсберга. В апреле произошли два события, которые навсегда изменят взгляд на безопасность Mac OS X: первое — это массовое применение эксплойтов, второе — использование Mac OS X как части APT-атаки.

Flashfake

Мы начнем с ботнета Flashfake, также известного как Flashback. Первый троянец из семейства вредоносных программ Flashback (Trojan-Downloader.OSX.Flashfake) был обнаружен в 2011 году. Он распространялся как поддельное обновление Flash Player, с чем связано и название зловреда. С сентября 2011 до февраля 2012 года для распространения Flashfake использовалась только социальная инженерия: посетителям различных сайтов предлагалось загрузить поддельное обновление Adobe Flash Player.

В мартовском обзоре мы сообщали, что сотни тысяч взломанных блогов WordPress стали новым инструментом распространения зловреда. Результатом этих взломов стало заметное ухудшение ситуации, так как зловред Flashfake использовал эксплойты для заражения компьютеров жертв и включению их в ботнет Flashfake, который в результате насчитывал свыше 750 тысяч Mac OS X компьютеров.

Для распространения Flashfake через WordPress его авторы пользовались услугами киберкриминальной партнерской программы rr.nu, которая обеспечивала пользовательский трафик со взломанных блогов WordPress. Около 85% взломанных блогов находились в США, а использование каналов WordPress позволяло авторам перенаправлять посетителей страниц WordPress на взломанные сайты, находящиеся под контролем злоумышленников. После того как жертва заходила на взломанный сайт, сразу три разных эксплойта делали попытку заразить компьютер пользователя. Это эксплойты к уязвимостям CVE 2011-3544, CVE 2008-5353 и CVE 2012-0507. В случае неудачи веб-сайт сам пробует обмануть пользователя, предложив загрузить и установить JAR-файл, якобы подписанный компанией Apple. Если же произойдет запуск одного из эксплойтов, машина будет заражена без каких-либо действий со стороны самого пользователя. В свою очередь, подписанный JAR-файл заработает, только если сама жертва разрешит запуск. Подробная техническая информация, процесс установки и поведение Flashfake приведены здесь.

Однако, успеху этой кампании способствовал не только новый метод распространения Flashfake, но и использование эксплойтов. Интересна и выбранная цель — Java, патчи для исправления уязвимостей которой компания Apple подготавливает и распространяет сама, не используя готовые пакеты от Oracle, что приводит к задержкам обновлений пользовательских версий Mac OS X. К примеру, патч уязвимости CVE 2012-0507 для всех остальных платформ был выпущен Oracle 14 февраля этого года, а Apple, в свою очередь, не распространяла подобное обновление вплоть до 3 апреля, оставляя своих пользователей без защиты. При инсталляции операционной системы Lion Java не устанавливается по умолчанию, однако каждый может загрузить ее дополнительно. В конце концов патч был выпущен, но только для версий Lion и Snow Leopard.

В результате Flashback заразил свыше 700 тысяч пользователей, 58% которых находились в США. «Лабораторией Касперского» создан веб-сайт Flashbackcheck.com, где можно проверить, заражен ли компьютер, и загрузить бесплатное приложение для удаления зловреда.

  1. Анатомия Flashfake. Часть I
  2. Flashfake — Mac OS X ботнет
  3. Flashfake Removal Tool и сайт онлайн-проверки
  4. Массовое заражение OS X — почему именно сейчас?

В апреле была обнаружена активная угроза класса APT — SabPub. Для заражения пользовательских компьютеров применялись троянцы-бэкдоры двух видов. Первый, созданный в феврале 2012 года, использовал для проникновения на компьютер эксплойт к уязвимости в Microsoft Word. Второй вариант, созданный в марте 2012 года, был нацелен на платформу Mac OS X. В данном случае использовался эксплойт к уязвимости в Java. После заражения компьютера жертвы специально созданный бэкдор получал возможность делать снимки экрана текущей пользовательской сессии и выполнять на зараженном компьютере команды. В настоящее время группа киберпреступников, стоящая за SabPub, продолжает активно атаковать пользовательские компьютеры.

Новые кампании по распространению спама с применением пакета эксплойтов BlackHole.

Активная кампания по распространению спама в Twitter

«Лаборатория Касперского» обнаружила новую рассылку спама в Twitter, проводимую в настоящее время, в которой задействованы свыше 500 тысяч взломанных учетных записей. Посредством спама рассылались ссылки, перенаправлявшие пользователей на вредоносные сайты с пакетом эксплойтов BlackHole. Сайты устанавливали на компьютеры жертв лжеантивирусы, которые выглядят как уведомления антивируса и призывают пользователя проверить систему на вирусы. Клиенты «Лаборатории Касперского» защищены от этого вредоносного ПО с самого начала рассылки: оно детектируется как Trojan-FakeAV.Win32.Agent.dqs и Trojan-FakeAV.Win32.Romeo.dv.

Фишинговые письма от US Airways

В начале апреля Лаборатория Касперского сообщила о волне фишинговых писем, начавшейся в конце марта, которые рассылались от имени US Airways. Преступники рассылали фишинговые письма, призывая пользователей перейти по одной из ссылок в теле сообщения и получить подробную информацию об онлайн-бронировании и регистрации на рейс. Если пользователь переходил по ссылке, его перенаправляли на поддельный веб-сайт, содержащий пакет эксплойтов BlackHole и троянец Zeus (GameOver), в котором использовались сложные технологии. На компьютер пользователя устанавливается банкер, который крадет данные, необходимые для проведения банковских операций. Такой спам рассылался в огромных количествах, с расчетом на то, что он попадет пользователям, забронировавшим билет на рейс US Airways, что повышало вероятность перехода по ссылке.

Мобильные угрозы

Атаки на японских пользователей Android

В настоящее время бОльшая часть вредоносного ПО под Android имеет довольно узкую локализацию, поскольку злоумышленники каждой конкретной страны создают свой тип вредоносного ПО, нацеленного на жителей именно этой страны. Другими словами, вероятность того, что российский пользователь окажется заражен китайской вредоносной программой, крайне мала. Однако это не означает, что количество зараженных компьютеров (а значит, и объем прибыли хакеров), не увеличивается.

Что касается создания зловредов, ориентированных на определенный регион, то Япония не исключение, и мы уже начинаем замечать увеличение активности в этой стране. В начале апреля был обнаружен зловред нового типа для Android, который написан японскими вирусописателями для устройств на базе Android, используемых в Японии. Продукты «Лаборатории Касперского» определяют этого троянца как Trojan.AndroidOS.FakeTimer.

К сожалению, на Goggle Play было доступно почти 30 различных вредоносных приложений и как минимум 70 тысяч пользователей успели загрузить хотя бы одно из них. Зловред, упомянутый выше, способен подключаться к удаленному серверу. Если соединение установлено успешно, он загружает видеофайл формата MP4. Он также может украсть важную информацию с зараженного устройства, в том числе имена, адреса электронной почты и номера телефонов из списка контактов жертвы. Зловред загружает украденные данные на удаленный сервер.

TigerBot — еще один SMS-бот

Вредоносное ПО для мобильных устройств, контролируемое посредством SMS-сообщений, становится все более и более популярным. В апреле был обнаружен бэкдор, получивший название TigerBot. После заражения приложение скрывает себя и не оставляет следов присутствия на дисплее устройства. Если жертва проверит список запущенных процессов, то может и не определить, что название «System» принадлежит программе TigerBot. Для перехвата всех входящих SMS-сообщений и проверки на предмет присутствия в них особых команд, программа регистрируется как “android.provider.Telephony.SMS_RECEIVED”.

Различные команды могут привести к записи телефонных разговоров, краже координат GPS, отправке SMS-сообщений, изменению настроек сети. Все эти функции могут привести к серьезной утечке данных. Зловред способен также перезагружать зараженное устройство, хотя вряд ли подобное произойдет — жертва может начать искать причины неполадок в телефоне.

К счастью, нет никаких подтверждений того, что TigerBot доступен (или был доступен) на Google Play, однако при установке любого приложения из любого источника нельзя терять бдительность.

Kaspersky Mobile Security детектирует эту угрозу как Backdoor.AndroidOS.TigerBot.

Рейтинги апреля

Данная статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

Угрозы в интернете


Карта риска заражения в ходе интернет-серфинга

 
TOP 10 доменных зон, в которых расположены вредоносные программы

Источник web-атак в соответствии с доменной зоной

*Количество атак с web-ресурсов в соответствии с доменными именами, детектируемыми интернет-антивирусом.

TOP 10 стран, на ресурсах которых размещены вредоносные программы

Географическое распределение зараженных сайтов и ресурсов, используемых для распространения вредоносного ПО

 

TOP 10 угроз в интернете

  TOP 10 WAV March % от всех атак* Изменения в рейтинге
1 Malicious URL 87,60% 0
2 Trojan.Script.Iframer 2,90% 0
3 Trojan.Script.Generic 2,40% 0
4 Trojan.JS.Popupper.aw 0,40% 4
5 Trojan.Win32.Generic 0,30% -1
6 Trojan.JS.Agent.bxw 0,30% new
7 Exploit.Script.Blocker 0,30% new
8 Trojan-Downloader.Win32.Generic 0,20% new
9 Trojan-Downloader.Script.Generic 0,20% -4
10 Trojan.JS.Redirector.ux 0,20% new

Эксплойты, детектируемые интернет-антивирусом на компьютерах пользователя в соответствии со сферой использования.

*Процент от всех заблокированных интернет-атак с использованием эксплойтов.

 


Количество новых мобильных модификаций, наденных в апреле 2012 г.


Количество новых сигнатур угроз для Mac OS X в марте-апреле 2012 года

TOP 20 стран, пользователи которых подвергаются наибольшему риску заражения в интернете

  Страна % * Изменения в рейтинге
1 Россия 50 -
2 Армения 47,1 -
3 Беларусь 45 1
4 Казахстан 44,4 -1
5 Азербайджан 42,9 -
6 Узбекистан 42,7 2
7 Судан 41,7 -
8 Украина 40,3 -2
9 Республика Молдова 36 new
10 Бангладеш 35,9 -

 

TOP 10 стран, пользователи которых подвергаются наименьшему риску заражения в интернете

  Страна % * Изменения в рейтинге
1 Буркина-Фасо 6,8238 5
2 Мали 6,8483 new
3 Бенин 7,8883 -1
4 Япония 8,1372 -1
5 Тайвань 9,577 -4
6 Люксембург 10,2856 new
7 Дания 11,1927 4
8 ЮАР 11,7979 new
9 Сенегал 11,9672 New
10 Кот Д’Ивуар 11,979 new

При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

* Процент уникальных пользователей, на компьютерах которых были заблокированы веб-угрозы, от всех уникальных пользователей продуктов ЛК в стране.

НОВОЕ НА САЙТЕ

15 февраля 2018 лета

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для Android перед началом версии 12.1.1. Обновление связано с исправлением выявленных ошибок.

В рамках обновления были устр... Антивирус Dr.Web

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, знаменитого тоже под наименованием ADB.miner, возникла капельку дней вспять в бл... Горячая лента угроз и предупреждений о вирусной опасности!

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, популярного а уж уж а уж тоже под наименованием ADB.miner, возникла чуть-чуть дн... Вирусные новости

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы так будто требующие выкуп за них расшифровку, как так будто раньше воображают обстоятельную опасность. фирма «Доктор Веб» предостерегает юзеров о распространении еще... Горячая лента угроз и предупреждений о вирусной опасности!

5 февраля 2018 года

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для BlackBerry перед началом версии 12.1.0. Обновление связано с добавлением новеньких активных полномочиях так что исправлением выявленных ошибо... Антивирус Dr.Web

5 февраля 2018 года

Компания «Доктор Веб» информирует об обновлении подключаемого модуля Dr.Web Link Checker для браузеров гугл Chrome, Safari так что Opera перед началом версии 3.9.14. Обновление связано с исправлением выявленных ошибок.Антивирус Dr.Web

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы так чисто требующие выкуп за них расшифровку, как так чисто раньше воображают нешуточную опасность. фирма «Доктор Веб» предостерегает юзеров о распространении еще од... Вирусные новости

1 февраля 2018 возраст

Компания «Доктор Веб» информирует об обновлении модуля drweb-cloudd (11.0.6-1801291925 для FreeBSD так что 11.0.6-1801291438 для Linux/Solaris) в составе продуктов Антивирус Dr.Web для Linux, Антивирус Dr.Web для почтовых серверов ... Антивирус Dr.Web

1 февраля 2018 годы

Компания «Доктор Веб» информирует о выпуске Dr.Web версии 11.0.5 для Microsoft Exchange Server. Обновление связано с внесением конфигураций следом выпуска январского обновления Windows KB4056893.

Обновлени... Антивирус Dr.Web

1 февраля 2018 года

Компания «Доктор Веб» информирует о выпуске Dr.Web Light 11.0.3 для Android. В освеженном продукте была исправлена выявленная оплошка так что изготовлены внутридомовые изменения.

В рамках обновления была устр... Антивирус Dr.Web