3 октября 2011 года
Спамеры делят деньги Каддафи
В связи с недавними политическими событиями в Ливии участились случаи мошеннических почтовых рассылок, в которых злоумышленники предлагают своим жертвам воспользоваться деньгами c замороженных счетов семьи Каддафи.
Схема мошенничества вполне стандартна для «нигерийских писем». Ничего принципиально нового спамеры придумать пока так и не смогли, однако очевидно, что они продолжают следить за политической ситуацией и оперативно меняют тематику своих посланий в соответствии с новыми реалиями.
Trojan.Bioskit.1 заражает BIOS компьютера
В начале сентября в руки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный экземпляр вредоносной программы, получившей название
Первоначально дроппер троянца
В случае если BIOS компьютера отличается от Award, троянец заражает Master Boot Record, перезаписывая первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR сохраняется в 8 секторе. Если же троянцу удается опознать Award BIOS, в дело вступает упакованный в ресурсах дроппера драйвер bios.sys, обладающий пугающим деструктивным функционалом. В нем реализовано три метода:
- Опознать Award BIOS (попутно определить размер его образа и, самое главное, I/O порта, через который можно программно заставить сгенерировать SMI (System Management Interrupt) и таким образом исполнить код в режиме SMM).
- Сохранить образ BIOS на диск в файл c:\bios.bin.
- Записать образ BIOS из файла c:\bios.bin.
Получить доступ и тем более перезаписать микросхему с BIOS — задача нетривиальная. Для этого сначала необходимо организовать взаимодействие с чипсетом материнской платы для разрешения доступа к чипу, затем нужно опознать сам чип и применить знакомый для него протокол стирания/записи данных. Но автор этой вредоносной программы пошел более легким путем, переложив все эти задачи на сам BIOS. Он воспользовался результатами работы китайского исследователя, известного под ником Icelord, проделанной еще в 2007 году. Тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS в SMM (System Management Mode). Программный код SMM в SMRAM не виден операционной системе (если BIOS корректно написан, то доступ к этой памяти им заблокирован) и исполняется независимо от нее. Назначение данного кода весьма разнообразно: эмуляция не реализованных аппаратно возможностей материнской платы, обработка аппаратных ошибок, управление режимами питания, сервисные функции и т.д.
Для модификации самого образа BIOS данная вредоносная программа использует утилиту cbrom.exe (от Phoenix Technologies), которую, как и все прочие файлы, она несет у себя в ресурсах. При помощи этой утилиты троянец внедряет в образ свой модуль hook.rom в качестве ISA BIOS ROM. Затем
При следующей перезагрузке компьютера в процессе инициализации BIOS будет вызывать все имеющиеся PCI Expansion ROM, в том числе и hook.rom. Вредоносный код из этого модуля каждый раз проверяет зараженность MBR и перезаражает ее в случае необходимости. Следует отметить, что наличие в системе Award BIOS вовсе не гарантирует возможность заражения данным троянцем. Так, из трех проверенных в вирусной лаборатории материнских плат заразить удалось только одну, а в двух других в памяти BIOS банально не хватило места для записи нового модуля.
Нельзя недооценивать опасность подобного рода угроз, особенно с учетом того, что в будущем возможно появление более совершенных модификаций данной троянской программы, либо вирусов, действующих по схожему алгоритму. В настоящий момент в антивирусное ПО Dr.Web добавлено детектирование и лечение MBR, системных файлов и файловых компонентов вируса.
BackDoor.Flashback — бэкдор для MacOS
Установщик данной троянской программы маскируется под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта на экране его компьютера возникает сообщение об ошибке проигрывателя Adobe Flash, после чего пользователю предлагается обновить его версию.
Если он соглашается выполнить это обновление, осуществляется цепочка редиректов, которая завершается предложением загрузить и установить архив, содержащий файл с именем
Основное функциональное назначение Preferences.dylib кроется в выполнении различных директив, поступающих от удаленного командного центра, в том числе и любых стандартных команд оболочки shell. Также библиотека предназначена для интегрирования в просматриваемые пользователем веб-страницы кода на языке JavaScript.
Охота за подпольными сайтами
В начале сентября 2011 года специалистами компании «Доктор Веб» был проведен ряд профилактических мероприятий, благодаря которым удалось выявить и добавить в базы Родительского контроля большое количество сайтов, содержащих материалы порнографического характера либо реализующих различные схемы подпольного бизнеса.
В распоряжении аналитиков оказался список доменов, на которые осуществлялось перенаправление пользователей с подвергшихся взлому интернет-ресурсов. Проанализировав эту информацию, специалисты компании выяснили, что на каждом из IP-адресов таких узлов, как правило, размещается еще несколько сайтов. Многие из их числа которых содержат различный сомнительный контент — поддельные службы файлового обмена, а также сайты, предлагающие на платной основе различные услуги, например, гадания, хиромантию, подбор диет, составление родословных, поиск угнанных автомобилей и даже лечение от прыщей. Встречались среди них и откровенно порнографические ресурсы. Множество подобных веб-сайтов содержало ссылки на другие узлы, для которых также составлялся список соседствующих с ними на одном хосте сайтов. Все полученные ссылки проверялись вручную. Таким образом была выявлена целая сеть, состоящая из сайтов сомнительного содержания. Один из фрагментов такой сети показан на предложенной ниже иллюстрации.
Большинство выявленных IP-адресов принадлежали провайдерам из Великобритании, Нидерландов, Виргинских островов, Гибралтара, и лишь незначительная их часть располагалась на территории Российской Федерации. Обнаруженные в ходе проверки адреса были добавлены в списки Родительского контроля Dr.Web. Компания «Доктор Веб» отмечает, что подобные мероприятия по блокировке сайтов сомнительного содержания будут проводиться и в дальнейшем.
«В Контакте»: осеннее обострение
Середина сентября была отмечена новыми случаями фишинговых атак на пользователей «В Контакте». Впервые целью сетевых мошенников стали поклонники популярной онлайн-игры «В Могиле», встроенной в эту социальную сеть. Злоумышленники выбирали в качестве жертвы наиболее опытных игроков. Затем они отправляли им личное сообщение с предложением воспользоваться «уязвимостью» игры «В Могиле», которая якобы позволяет бесплатно получить игровые предметы, обычно доступные только за деньги. Для этого жертве предлагалось загрузить и установить специальное приложение. Если жертва соглашалась воспользоваться столь заманчивым предложением, все дальнейшее общение сетевые мошенники переносят в Skype. Выбор данного средства коммуникации обусловлен тем, что трафик Skype не поддается фильтрации в отличие от других протоколов мгновенного обмена сообщениями, таких как ICQ или Jabber.
В ходе дальнейшего общения злоумышленники предлагают жертве скачать и установить приложение
Кроме того, сетевые мошенники продолжают эксплуатировать широко известный метод фишинга с использованием функции «Документы» социальной сети «В контакте». Ничего не подозревающему пользователю отсылается личное сообщение, включающее ссылку на скачивание документа Word, в котором содержится подробная инструкция по установке специальной программы, якобы позволяющей просматривать число посетителей его странички в социальной сети. Под видом этой программы распространяется троянец
Сентябрьские угрозы для Android
В сентябре специалистами компании «Доктор Веб» в вирусные базы было добавлено 115 новых записей, соответствующих угрозам для мобильной операционной системы Android. Абсолютным лидером среди вновь выявленных угроз являются вредоносные программы семейства
Помимо отмеченных выше 115 вирусных записей, обработанных специалистами вручную, 58 разновидностей угроз для Android было выявлено автоматически при помощи технологии Origin Tracing, о которой
В качестве одной из наиболее интересных угроз для данной платформы следует назвать троянца
После загрузки и инсталляции на мобильном устройстве данное приложение не отображается в списке установленных программ: для того чтобы его отыскать, пользователю придется перейти в системный апплет «Настройки», открыть раздел «Приложения» и выбрать опцию «Управление приложениями». Вредоносная программа скрывается под значком «Система».
Для того чтобы «активировать» данное приложение согласно предлагаемой злоумышленниками инструкции, пользователь должен выполнить со своего устройства телефонный звонок на номер 325000.
После этого все получаемые владельцем инфицированного устройства входящие СМС-сообщения будут перехватываться троянцем и перенаправляться злоумышленникам.
Винлокеры потянулись на Запад
Из других заметных событий сентября можно отметить то обстоятельство, что программы-вымогатели, блокирующие работу Windows, с наступлением осени потянулись в теплые края, а именно — осваивать просторы зарубежного Интернета. Сначала было зафиксировано появление нескольких модификаций винлокеров, основная особенность которых заключалась в том, что блокирующее экран пользователя окно содержит послание, не просто написанное на соответствующем языке, но и подписанное якобы управлением полиции страны, в которой проживает жертва: для Германии это
Затем широкое распространение получила модификация программы-вымогателя, инфицирующая главную загрузочную запись и добавленная в вирусные базы под именем
Пользователи, ставшие жертвой
Вредоносные файлы, обнаруженные в почтовом трафике в сентябре
| 01.09.2011 00:00 - 30.09.2011 18:00 | ||
| 1 | 135919 (38.01%) | |
| 2 | 42198 (11.80%) | |
| 3 | 27733 (7.75%) | |
| 4 | 18710 (5.23%) | |
| 5 | 17673 (4.94%) | |
| 6 | 10058 (2.81%) | |
| 7 | 9841 (2.75%) | |
| 8 | 6970 (1.95%) | |
| 9 | 6278 (1.76%) | |
| 10 | 6102 (1.71%) | |
| 11 | 6098 (1.71%) | |
| 12 | 5840 (1.63%) | |
| 13 | 3488 (0.98%) | |
| 14 | 3175 (0.89%) | |
| 15 | 2940 (0.82%) | |
| 16 | 2879 (0.81%) | |
| 17 | 2334 (0.65%) | |
| 18 | 2054 (0.57%) | |
| 19 | 1821 (0.51%) | |
| 20 | 1794 (0.50%) | |
Всего проверено:
148,210,174
Инфицировано:
357,620 (0.24%)
Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей
| 01.09.2011 00:00 - 30.09.2011 18:00 | ||
| 1 | 67333862 (42.80%) | |
| 2 | 29366751 (18.67%) | |
| 3 | 24834750 (15.79%) | |
| 4 | 9469508 (6.02%) | |
| 5 | 9442600 (6.00%) | |
| 6 | 2802268 (1.78%) | |
| 7 | 887843 (0.56%) | |
| 8 | 802301 (0.51%) | |
| 9 | 781844 (0.50%) | |
| 10 | 776905 (0.49%) | |
| 11 | 691067 (0.44%) | |
| 12 | 689635 (0.44%) | |
| 13 | 631170 (0.40%) | |
| 14 | 631060 (0.40%) | |
| 15 | 514805 (0.33%) | |
| 16 | 418178 (0.27%) | |
| 17 | 397567 (0.25%) | |
| 18 | 295247 (0.19%) | |
| 19 | 239515 (0.15%) | |
| 20 | 229527 (0.15%) | |
Всего проверено:
7,391,189,733,623
Инфицировано:
157,317,745 (0.00%)
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года