Обзор вирусных событий ноября от антивируса Dr.Web

07.12.2009 |

Александр Абрамов.

Одним из главных событий ноября 2009 года стала победа антивируса Dr.Web над новой модификацией руткита BackDoor.Tdss, который использует различные технологии сокрытия в системе, предоставляя злоумышленникам полный контроль над зараженным компьютером. Кроме того, активизировалось распространение вредоносных программ под видом ПО, якобы способного отслеживать местоположение владельцев сотовых телефонов. В качестве одного из основных каналов распространения троянских программ остаются различные типы сообщений в социальных сетях, а поток вирусов, распространяющихся в виде почтовых сообщений, претерпел к концу ноября локальный спад.

BackDoor.Tdss.565 и его последователи

12 ноября 2009 года компания «Доктор Веб» предложила своим пользователям новую версию сканера с графическим интерфейсом, который первым среди антивирусных решений получил возможность противодействовать руткиту BackDoor.Tdss.565 (также широко известному под названием TDL3), будучи запущенным непосредственно в заражённой системе.

Данный тип руткитов включает в себя множество новых разработок, которые позволяют обойти практически все существующие антивирусные технологии и внедрить вредоносную программу в систему абсолютно незаметно как для пользователя, так и для большинства антивирусных программ.

В числе таких «новинок» в составе BackDoor.Tdss.565 – новый метод установки в систему, который обманывает практически все ныне существующие поведенческие анализаторы. Этот факт показал, что вирусописатели работают не только над затруднением определения новых рассылаемых образцов с помощью сигнатурных и эвристических технологий, но также пытаются противодействовать (и в некоторых случаях успешно) современным реализациям поведенческих анализаторов.

Ещё одним экспериментом вирусописателей стало создание собственного виртуального зашифрованного диска на винчестере пользователя, где содержатся некоторые файлы, необходимые для функционирования данного троянца. Для монтирования этого диска в системе используется специально разработанный приём, позволяющий замаскировать факт использования данного дополнительного устройства.

Лженавигаторы и псевдопеленгаторы

До настоящего времени продолжают активно распространяться лжеантивирусы, о которых компания "Доктор Веб" неоднократно сообщала в своих обзорах и новостях. В последнее время популярность среди злоумышленников набирает тема «мобильного» ПО. Это и не удивительно, ведь почти у каждого современного человека есть хотя бы один сотовый телефон. За последние месяцы злоумышленники, эксплуатировавшие эту тему для реализации своих схем, не использовали вредоносные программы. Но в ноябре прошло несколько русскоязычных рассылок на тему ПО, предназначенного для слежения за пользователями мобильных телефонов. Целью этих рассылок было распространение вредоносных программ, предназначенных для похищения пользовательских паролей.

В первых числах ноября рассылалось почтовое сообщение, которое якобы содержало ПО, позволяющее обнаружить точное местоположение владельца любого мобильного телефона. При этом потенциальные жертвы заинтересовывались предложением попробовать возможности программы бесплатно. На самом деле приложенный исполняемый файл представлял собой программу – похитителя паролей Trojan.PWS.AccHunt.11.

Другая аналогичная программа, Trojan.PWS.Multi.109, распространялась под видом такого же «полезного» софта, как и предыдущая, но на этот раз была названа «пеленгатором». В приложенном к письму архиве находились 2 файла, один из которых являлся вполне легальным установщиком, а другой - специально подготовленным установочным пакетом. Скрипт установщика был создан злоумышленниками таким образом, что установка из пакета происходила успешно, но у пользователя запрашивался ещё один установочный пакет, которого в архиве не оказывалось. Из этого можно было сделать вывод о том, что разработчики программы забыли положить в инсталляционный пакет некоторые недостающие файлы, и пользователям приходилось отказаться от дальнейших попыток кого-либо «запеленговать». При этом они забывали о том, что однажды все-таки попытались запустить эту программу, а значит – пароли уже в руках злоумышленников.

Почтовые вирусы ноября

В ноябре продолжилось распространение представителей семейств вредоносных программ, знакомых нам по рассылкам прошлых месяцев – новых модификаций похитителей паролей Trojan.PWS.Panda и троянцев семейства Trojan.Proxy. Однако, поскольку антивирусные компании постоянно информируют пользователей о совершаемых злоумышленниками вредоносных рассылках, рано или поздно вирусописателям приходится озаботиться вопросом «смены декораций».
В течение нескольких последних месяцев в качестве прикрытия для рассылки вредоносных программ часто использовались письма от имени администрации социальной сети Facebook. В ноябре к целевой аудитории злоумышленников прибавились пользователи MySpace. Также как и пользователям Facebook, им в одних письмах сообщалось о том, что пароль доступа к социальной сети был изменён в целях безопасности, и посмотреть изменённый пароль можно в приложенном архиве. В других письмах предлагалось скачать утилиту, которая произвела бы необходимые изменения для того, чтобы пользователь смог войти на сайт социальной сети. Ссылка для скачивания на самом деле вела на сайт, созданный киберпреступниками.

Для распространения вредоносных программ посредством почтовых сообщений злоумышленники часто используют письма от имени широко известных уважаемых организаций. В ноябре одной из таких организаций стала ассоциация электронных платежей NACHA (The electronic payment association). В письмах, отправляемых злоумышленниками, сообщалось о том, что электронный платёж пользователя был отменён, а подробности можно найти на сайте ассоциации. Со специально подготовленного вредоносного сайта на компьютер доверчивого пользователя скачивалась очередная модификация Trojan.PWS.Panda.

Фишинг

В заключение обзора мы расскажем о почтовых рассылках ноября, которые были связаны с получением приватных данных пользователей с использованием фишинг-методов.
Для получения доступа к аккаунтам пользователей социальной сети «ВКонтакте» была организована классическая рассылка через системы мгновенного обмена сообщениями. Ссылка вела на вредоносный сайт, на котором пользователь вводил данные своего аккаунта. Эти данные уходили к злоумышленникам, после чего совершалось автоматическое перенаправление на настоящий сайт социальной сети. Таким образом, пользователь мог и не заметить факта пропажи пароля.

Кроме таких простых схем злоумышленники не менее активно использовали и более сложные комбинации. Так, на протяжении второй половины ноября рассылались письма, которые состояли всего из нескольких строчек. В них пользователю от имени компании Google предлагалось начать зарабатывать деньги. Причем первым шагом на пути к «благосостоянию» был переход по ссылке для ознакомления со статьей, в которой рассказывалось про метод заработка.

В одних письмах ссылка шла на сообщение, размещённое в системе Twitter, в котором была опубликована ссылка на специально подготовленную статью. В других присутствовала ссылка на страницу, которая хостилась непосредственно на одном из сервисов Google.

В обоих случаях все эти подготовительные действия были направлены на то, чтобы вывести жертву на единый вредоносный сайт, на котором собиралась подробная информация о пользователе. Для того чтобы он меньше раздумывал, на целевом сайте работал обратный отсчёт времени. После ввода пользовательских данных ничего не происходило.