Информационный портал mskIT

Оригинал документа: http://www.mskit.ru/news/n148266/


     
 

Зловреды в Сети. Опасности июля

07.08.2013 07:00
По данным разработчиков и производителей решений в области информационной безопасности, в июле текущего года активность злоумышленников в Сети продолжала быть достаточно высокой. В частности, по наблюдениям аналитиков компании «Доктор Веб», пользователи Интернета продолжают испытывать проблемы от действия троянцев-энкодеров различных модификаций. Помимо этого, в компанию «Доктор Веб» обращались за помощью жертвы вредоносных программ семейства Trojan.Winlock. Также были выявлены случаи распространения троянских программ для мобильной платформы Android c официального сайта Google Play. В свою очередь, эксперты компании Eset отмечают, что активность большинства угроз в мировом рейтинге несколько снизилась, но некоторые из зловредов все же показали положительную динамику по росту.

В компании Eset отмечают, что в минувшем месяце наблюдалось снижение активности угроз. Но при этом в общемировом рейтинге угроз, представленном Eset, в июле текущего года две вредоносные программы в глобальном рейтинге показали положительную динамику. Рост активности наблюдался у троянской программы Win32/Bundpil (3.81%) и вредоносных элементов веб-страниц HTML/IFrame (3.08%). При этом, Win32/Bundpil возглавляет «десятку» глобального рейтинга Eset уже четвертый месяц с постоянно растущим уровнем активности. В свою очередь, подъем HTML/IFrame подчеркивает тот факт, что злоумышленники по-прежнему используют скомпрометированные веб-сайты для доставки вредоносного кода.

Среди прочих, важным событием июля эксперты Eset называют появление 64-битного файлового вируса Win64/Expiro, который может заражать 64-битные и 32-битные исполняемые файлы. Вирус заражает файлы на локальных, съемных и сетевых дисках. Этот факт делает его опасным как для домашних, так и для корпоративных пользователей. В полезную нагрузку этой модификации вируса входит установка расширения для браузеров Google Chrome и Mozilla Firefox, а также механизм, позволяющий воздействовать на Internet Explorer с целью получения конфиденциальных данных и данных кредитных карт, которые пользователь использует при работе с системами онлайн-банкинга. Expiro обладает возможностью использования различных плагинов, которые он загружает из сети. Устанавливаемые расширения браузеров используются для перенаправления пользователя на вредоносные и фишинговые ресурсы.

По данным Eset, общая доля России в мировом объеме вредоносного ПО в июле составила 7,68%. Для сравнения, этот показатель в июне был равен 8,58%.  В России подъем активности испытали вредоносные элементы веб-страниц JS/IFrame (2.83%), HTML/IFrame (2.80%), а также вредоносная программа Win32/TrojanDropper.Gepys (1.74%).

Прошедший месяц, по данным аналитиков Eset, также ознаменовался появлением нового вредоносного тулкита KINS, который был выставлен на продажу на одном из хакерских форумов. KINS представляет собой довольно универсальное вредоносное банковское ПО, которое может использоваться хакерами для похищения денежных средств со счетов пользователей, которые работают с системами онлайн-банкинга. Тулкит включает в себя и буткит составляющую, что обеспечивает ему высокую скрытность и выживаемость в современных условиях.

Из позитивных событий отмечено, что в июле компания Microsoft закрыла известную кросс-платформенную LPE-уязвимость CVE-2013-3660, которая позволяет повышать полномочия пользователя до уровня системы на всех версиях ОС Windows. Исправлению подверглись и все версии браузера Internet Explorer, начиная с 6-й версии и заканчивая новейшим IE10. Таким образом компания исправила очередную Remote Code Execution уязвимость, которая могла быть использована для проведения drive-by атак на пользователей.

В свою очередь, относительно вирусной обстановки в июле вирусные аналитики «Доктор Веб» приводят следующую информацию: в июле 2013 года на первой строчке статистики оказался Trojan.LoadMoney.1 — загрузчик, устанавливающий на компьютер жертвы различные рекламные приложения, в том числе программы, распространяемые известным коммуникационным порталом. Второе место по количеству обнаруженных экземпляров занимает троянец Trojan.Hosts.6815, модифицирующий на зараженном компьютере системный файл hosts. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу. На третьем месте по итогам месяца расположилась вредоносная программа Trojan.Mods.2. Этот троянец подменяет на компьютере жертвы просматриваемые в браузере веб-страницы. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное SMS-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.

Зловредами от которых чаще других страдают пользователи Рунета и интернет-пользователи с постсоветствокго пространства продолжают оставаться по данным экспертов «Доктор Веб» энкодеры («шифровальщики») и «винлоки». В частности, начиная с первых чисел июля в службу технической поддержки компании «Доктор Веб» поступило 550 запросов от пользователей, пострадавших в результате действия троянцев-шифровальщиков. Вредоносное ПО данной категории создается злоумышленниками с единственной целью — шифрование файлов на компьютерах пользователей и получение денег за их расшифровку. Энкодеры способны шифровать самые разнообразные типы файлов: архивы, изображения, документы, музыку, фильмы и многие другие.

Наибольшее число пользователей, пострадавших от троянцев-шифровальщиков (75%), проживает на территории России, чуть меньше (15%) на Украине. Велико количество жертв энкодеров, как ни странно, и среди жителей Бразилии. Также зафиксированы единичные случаи заражения в Венесуэле, Эстонии, США, странах Евросоюза.

За помощью в ликвидации последствий заражения вредоносными программами семейства Trojan.Winlock в течение июля в компанию «Доктор Веб» обратилось также несколько сотен пользователей. Из них 79,5% составляют россияне, 16% — жители Украины и 1,67% приходится на жителей Казахстана. Также зафиксированы единичные случаи распространения «винлоков» в Швеции, Колумбии, США, Беларуси и странах Евросоюза.

Также в минувшем месяце специалистами «Доктор Веб» были выявлены и новые угрозы для мобильных устройств. В июле текущего года специалистами компании «Доктор Веб» было обнаружено большое число новых модификаций известных шпионских программ, таких как Android.MobileSpy и Program.Mobimon, а также новые семейства Program.Topspy и Program.Tracer. Эти и другие аналогичные приложения, доступные в различных конфигурациях, позволяют отслеживать самую разнообразную активность пользователей мобильных устройств и в большинстве случаев имеют версии для работы сразу на нескольких мобильных платформах, включая ОС Android, BlackBerry и Symbian.

В то же время, как отмечают аналитики, наряду с постоянно пополняющимся ассортиментом коммерчески доступного программного обеспечения для мониторинга, которое может использоваться как легально, так и в нарушение закона, все отчетливее проявляется тенденция к росту предложений по оказанию сугубо киберпреступных услуг, связанных с получением конфиденциальных сведений пользователей мобильных устройств.

Хорошим примером служит появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле специалистами «Доктор Веб» было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита использует для своей работы исходный код свободно распространяющейся программы для удаленного доступа и управления AndroRat, которая известна с 2012 года и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Во втором случае автор утилиты применяет самостоятельно разработанную им троянскую программу-шпион, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.

Эксперты говоря о том, что такие утилиты отличаются относительной простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от программирования. Вполне вероятно, что число подобных инструментов в ближайшем будущем будет увеличиваться.

Для мобильной операционной системы Android второй летний месяц не прошел бесследно и в плане обнаружения программных уязвимостей. Одной из самых заметных стала так называемая Master Key. Она связана с тем, что система безопасности Android при установке apk-пакетов, сформированных специальным образом, некорректно обрабатывает содержащиеся внутри них дублирующие файлы, позволяя инсталлировать приложения с неподписанными компонентами.

Менее чем через месяц после анонса информации об уязвимости Master Key был обнаружен и первый троянец, который эксплуатирует эту программную ошибку. Распространение вредоносной программы, добавленной в вирусную базу «Доктор Веб» под именем Android.Nimefas.1.origin, было зафиксировано на одном из китайских интернет-порталов, посвященных Android-приложениям. Этот троянец способен рассылать SMS, выполнять перехват входящих сообщений, а также передавать на удаленный сервер конфиденциальную информацию пользователей, в частности, их номера телефонов, а также сведения из телефонной книги.

Не остались в стороне и угрозы, размещенные в каталоге Google Play. В конце месяца специалистами «Доктор Веб» было обнаружено несколько вредоносных приложений, которые в процессе работы могли установить на мобильные устройства пользователей троянцев семейства Android.SmsSend. Аналитики «Доктор Веб» подчеркивают, что очередная «находка» указывает на то, что обеспечиваемый в каталоге Google уровень безопасности на данный момент все еще недостаточен, и пользователям следует внимательно и осторожно относиться ко многим находящимся в нем приложениям.

Редактор раздела: Тимофей Белосельцев (info@mskit.ru)

Рубрики: Web, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 mskIT. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.mskIT.mskit.ru
Ресурс разработан и поддерживается компанией Peterlink Web