История компьютерных вирусов и вредоносных программ

  • Автор темы _Partizanka_
  • Дата начала
P

_Partizanka_

Re: История компьютерных вирусов и вредоносных программ
[h=1]2000[/h] В самом начале года жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы Windows 2000, как участники подпольной группы вирусописателей под названием 29A представили вирус Inta, который оказался первым вирусом, корректно заражающим эту систему. Чуть позже практически одновременно появились вирусы Unstable и Radiant, успешно размножавшиеся в файлах Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления Unstable и Radiant компания Visio Corporation, производящая пакет Visio, была куплена Microsoft.
5 мая грянула попавшая в Книгу рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Сразу же после запуска он уничтожал на дисках файлы нескольких типов и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила появление на свет новых модификаций вируса на протяжении всего года — всего их было зафиксировано около сотни.
6 июня был обнаружен Timofonica — первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать Timofonica первым сотовым вирусом.
В июле хакерская группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику конференции DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже процедурой инсталляции. Несмотря на это, она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как троянец класса Backdoor.
В июле же появились сразу три исключительно интересных вируса. Star стал первым вирусом для пакета AutoCAD. Вирус Dilber отличился тем, что содержал коды сразу пяти вирусов, среди которых CIH, SK, Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище «Шаттл, полный вирусов».
Третьим стал интернет-червь Jer, использовавший новый метод проникновения на компьютер — через веб-сайт. Автор червя поместил на одну из веб-страниц скрипт-программу (с телом червя), которая автоматически активизировалась при открытии этой страницы. Система безопасности интернет-браузера при этом выдавала сообщение о возможной опасности и предложение разрешить или запретить выполнение данного действия. Расчет был сделан на то, что какая-то часть пользователей положительно ответит на предупреждение, чем даст возможность червю проникнуть в компьютер. А для того, чтобы привлечь больше пользователей — зараженный веб-сайт был «разрекламирован» автором червя в IRC-каналах. Появление этого червя стало сигналом о вхождении в моду новой технологии «раскрутки» вируса в интернете. Сначала червь помещается на веб-сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер.
В августе был обнаружен Liberty — первая троянская программа для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске троянец стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS — Phage, который стирал исполняемые файлы и на их место записывал свой код.
В начале сентября был обнаружен первый известный компьютерный вирус (Stream), способный манипулировать «дополнительными потоками» (Alternate Data Streams — ADS) файловой системы NTFS. Как оказалось, практически все антивирусные продукты не были подготовлены к такому развитию событий — ни один сканер не был способен обнаружить вредоносный код, спрятанный в «дополнительных потоках» NTFS.
В октябре появились Fable — первый вирус, скрывающийся в информационных файлах PIF, и Pirus — первый вирус, написанный на скрипт-языке PHP. Оба вируса так и остались достоянием вирусных коллекций и не были обнаружены в «диком виде».
В ноябре был обнаружен опасный и технологически совершенный вирус Hybris, основной отличительной чертой которого было использование модульной архитектуры с возможностью обновления модулей. Главным нововведением был необычный способ загрузки новых модулей вируса на зараженные компьютеры. Для этого использовались не только веб-сайты, но и электронная конференция, в частности конференция alt.comp.virus. Если веб-сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений — уж её-то закрыть не так просто.
В 2000 году основным средством транспортировки вредоносных кодов стала электронная почта — около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы, причем только за один год рост их количества составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных «чартах». Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 году их место заняли скрипт-вирусы.
 
P

_Partizanka_

Re: История компьютерных вирусов и вредоносных программ
[h=1]2001[/h] Январь: Ramen — первый известный червь, заражавший системы RedHat Linux. Распространял свои копии (заражал удаленные Linux-системы) при помощи уязвимости в модулях RedHat Linux (так называемая ошибка «переполнение буфера»). На заражённых системах искал стартовые страницы веб-сайтов и заменял их содержимое. Поскольку Linux-системы часто используются как веб-сервера, то многие веб-сайты изменили свой внешний вид.
Февраль: Первый червь, использующий для своего распространения сети обмена файлами (P2P-сети). Получил название Mandragore, для заражения использовал P2P-сеть Gnutella. Использовал достаточно необычный метод — регистрировал себя как сервер сети и при каждом обращении (при поиске какого-либо конкретного файла удалённым пользователем сети) посылал ответ, что такой файл есть — и в качестве файла отдавал пользователю свою копию.
Также в феврале произошла очередная глобальная эпидемия почтового VBS-червя Lee, более известного вод именем Kournikova. Вирус подделывался под информацию про популярную российскую теннисистку Анну Курникову и распространялся в виде вложений в письмо с именем AnnaKournikova.jpg.vbs. Инцидент получил широкую огласку в прессе — фактически он стал главной новостью дня.
Март: эпидемия крайне сложного полиморфного вируса-червя Magistr. Для своего распространения он использовал электронную почту, копировал себя на доступные сетевые диски и заражал исполняемые файлы.
В мае произошла первая известная атака на интернет-кошельки пользователей российской платёжной системы WebMoney (троянская программа Eurosol). Повторная атака на WebMoney была зафиксирована в октябре того же года. Троянская программа KWM также охотилась за персональными данными пользователей этой системы интернет-платежей.
13 июля (некоторые источники — 12 июня): эпидемия пакетного («безфайлового») червя CodeRed. Используя ошибку в обработке сетевых пакетов Microsoft IIS (Internet Information Services) червь передавал свой код на другие сервера в сети и запускал себя на выполнение. При этом никакие файлы на диске не создавались — червь существовал только в оперативной памяти зараженных компьютеров и в сетевых пакетах. Заражены были тысячи компьютеров по всему миру — при этом под удар попали только компьютеры под управлением MS Windows 2000. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Ситуацию осложнял также тот факт, что антивирусные компании оказались не готовы к предотвращению подобной атаки. Для защиты от червя необходим был межсетевой экран, что в те времена еще не являлось стандартом защиты от сетевых вирусов.
Червь, помимо заражения компьютеров, имел и другие побочные действия. Во-первых, он перехватывал обращения посетителей к веб-сайту, который управлялся зараженным IIS-сервером, и вместо оригинального содержимого передавал им текст «Hacked by Chinese!». Во-вторых: между 20 и 28 числами каждого месяца включительно червь осуществлял сетевую атаку (DDoS) на сайт Белого дома США (www.whitehouse.gov). Атака оказалась успешной — 20 июля 2001 официальный сайт Белого дома перестал отвечать на запросы.
Следом за CodeRed появляются еще два червя, использующие для своего распространения аналогичные методы — CodeGreen и BlueCode (обнаружены 4 и 6 сентября соответственно). Особенностью CodeGreen являлся его антивирусный функционал: он искал и удалял из системы код червя CodeRed, затем скачивал и устанавливал обновление Windows, которое закрывало дыру, через которую проникали перечисленные выше черви. Таким образом, червь «лечил» зараженные компьютеры и «латал» дыру в системе безопасности.
18 июля: начало глобальной эпидемии почтового червя SirCam. Особенность этого червя заключалась в том, что он прицеплял к своему коду случайно выбранные на зараженном компьютере файлы MS Office (документы Word и таблицы Excel). При запуске на очередном компьютере червь «показывал» эти файлы и таким образом маскировал факт своего внедрения в систему. В результате эпидемии в электронной почте можно было найти самые разнообразные документы, включая строго конфиденциальные — банковская информация, коммерческие договора, был обнаружен даже проект бюджета одного восточноевропейского государства.
18 сентября зафиксирована глобальная эпидемия червя Nimda, который для своего распространения по сети использовал три разных способа: через электронная почту, через веб-сайты и копируя себя на доступные сетевые ресурсы. При этом червь для автозапуска из заражённых писем использовал дыру в Internet Explorer, а для проникновения на веб-сайты новую дыру в программах от Microsoft — уязвимость в IIS (Internet Information Services).
Ноябрь: очередные эпидемии почтовых вирусов — Aliz, обнаруженный ещё в мае 2001, и BadTransII. Для проникновения с систему оба червя также использовали дыру в системе безопасности Internet Explorer.
В целом, 2001 г. характеризуется первыми и весьма масштабными эпидемиями сетевых червей, использующих для своего проникновения в систему различные дыры в операционных системах и установленном программном обеспечении. При этом распространение идёт не только через традиционную электронную почту, но и через веб-сайты, интернет-пейджеры (ICQ), сетевые ресурсы, IRC-чаты и P2P-сети.
Следует также отметить массовую атаку на Linux. Первым был червь Ramen, обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты. Практически все вредоносные программы для этой операционной системы использовали известные уязвимости в системах безопасности Linux. Считая Linux абсолютно защищенной системой, пользователи недостаточно ответственно отнеслись к необходимости своевременной установки заплаток и повсеместного внедрения антивирусных программ — и в результате многие из них оказались жертвами Linux-червей.
2001 год также оказался необычайно богатым на вирусные мистификации. Всего за два первых месяца года было зафиксировано около 10 «предупреждений» о «новом опасном вирусе», массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM, Girl Thing и SULFNBK.EXE. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в день Св. Валентина, случится эпидемия нового варианта червя ILoveYou. Некоторые из мистификаций оказались настолько удачными, что с ними можно было столкнуться и в последующие годы.
К мистификациям, судя по всему, следует отнести и слухи про планы Федерального бюро расследований (ФБР) США разработать собственную троянскую программу под кодовым названием «Волшебный фонарь» (Magic Lantern), которая будет использоваться для слежки за лицами, подозреваемыми в совершении разного рода преступлений. От самого ФБР так и не последовало никаких комментариев по этому поводу. Вместе с тем, по сведениям из прессы, две американские антивирусные компании согласились не заносить «Волшебный фонарь» в свои антивирусные базы данных, что вызвало неоднозначную реакцию среди их пользователей.
 
P

_Partizanka_

Re: История компьютерных вирусов и вредоносных программ
[h=1]2002[/h] Январь: появление почтового червя Myparty, искусно маскировавшегося под ссылку на веб-сайт. Червь мастерски пользовался тем, что «.com» является распространённой доменной зоной интернета — и совпадает со стандартным окончанием исполняемых файлов Windows.
Март: эпидемия червя Zircon, июль: Lentin, сентябрь: Tanatos (BugBear), октябрь: Opasoft — всего за год было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов.
Но несомненным лидером по количеству вызванных в 2002 г. инцидентов является интернет-червь Klez, впервые обнаруженный 26 октября 2001 г. Модификации этого червя поставили своеобразный рекорд — еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться в лидерах вирусных топ-листов. Особо свирепствовали две разновидности этого червя — Klez.h (обнаружен 17.04.2002) и Klez.e (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны тем или иным вариантом червя Klez.
В середине мая был обнаружен сетевой червь Spida, заражающий SQL-серверы. Для проникновения в сервер червь пользовался очередной уязвимостью. Также в мае появился Benjamin — первый червь, распространяющийся по файлообменной сети KaZaA.
Не прекращались атаки на пользователей Linux. Червь Slapper всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.
Таким образом, 2002 год являлся логическим продолжением года 2001 — многочисленные эпидемии, проникновение через уязвимости в программном обеспечении, атаки как на Windows, так и на другие операционные системы.
Следует отметить стремительный рост вредоносных программ, которые преследуют конкретные коммерческие цели — похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям зараженных компьютеров. Этот год положил начало стремительной криминализации интернета в годы последующие.
Также быстро росло число разнообразных систем принудительного показа рекламы (Adware). Агрессивные (часто — откровенно хакерские) методы внедрения рекламных систем, вызванные ими сбои работы компьютеров, многочисленные рекламные «поп-апы» — всё это стало причиной появления специализированных анти-рекламных продуктов. В 2002 году появилась первая версия Ad-Aware от компании Lavasoft.
Многие Adware-системы передавали своему «хозяину» персональные данные с заражённых компьютеров. Практически всегда это ограничивалось названиями посещаемых веб-ресурсов, поисковыми запросами, прочей информацией об активности пользователя в интернете — для того, чтобы в дальнейшем показывать рекламу в соответствии с интересами данного конкретного пользователя. На основе этого факта был намеренно раздут термин Spyware — и рекламные системы стали называть «шпионскими», что, в целом, не совсем соответствовало истине. Adware не занимались шпионажем с целью хищения секретной или конфиденциальной информации, которая потом используется против атакованного пользователя. Они всего лишь «подглядывали» за действиями пользователя, чтобы увеличить вероятность «срабатывания» показываемой рекламы.
 
P

_Partizanka_

Re: История компьютерных вирусов и вредоносных программ
[h=1]2003[/h] 25 февраля: глобальная эпидемия сетевого вируса Slammer. Как и CodeRed, этот вирус распространялся только в виде сетевых пакетов (файлы на диске не создавались) и для проникновения в заражаемый компьютер использовал «дыру» в сетевом программном обеспечении — в Microsoft SQL Server 2000. Размер вируса был чрезвычайно мал — всего 376 байт, однако распространялся он так активно, что буквально забил интернет-каналы своими копиями. В результате нагрузка на интернет возросла в среднем на 25%, а в отдельных случаях сеть была почти полностью парализована. Южная Корея была фактически отрезана от глобальной сети, прекратили работу часть банкоматов Bank of America, чуть не было сорвано первое электронное голосование на выборах главы одной из партий в Канаде.
11 августа: очередная эпидемия, нанёсшая значительный урон пользователям интернета. Червь Lovesan (также известный под именами Blaster, MSBlast) проникал на компьютеры-жертвы через незадолго до того обнаруженную уязвимость в службе DCOM RPC операционной системы Windows. В результате атаки червя пострадали индивидуальные пользователи, мелкие и крупные компании, исследовательские центры и учебные заведения. Сообщалось о проблемах в работе сети европейском офисе компании IBM, пострадали также такие компании как Motorola, American Express и многие другие. В тот же день на северо-востоке США и частично в Канаде произошло крупнейшее веерное отключение электроснабжения — полностью без электричества остались такие города как Нью-Йорк, Детройт, Кливленд, Оттава и Торонто. Было ли это результатом заражения сети энергетических компаний или случайным совпадением нескольких факторов, включая факт заражения, — неизвестно, однако официальное расследование отвергло связь этой технологической катастрофы с массовой эпидемией червя.
18 августа разразилась эпидемия «антивирусного» червя Welchia, который использовал сразу две дыры в продуктах Microsoft — в службе DCOM RPC и в WebDAV в системе IIS 5.0. Особенностью этого червя являлось то, что он удалял из системы червя Lovesan, скачивал обновления Windows и устанавливал их в систему — фактически лечил компьютеры от нашумевшего Lovesan и закрывал критические дыры Windows (метод, которым червь CodeGreen лечил компьютеры от CodeRed в 2001 г.). Однако червь был не столь безобиден — заражение компьютеров компании Air Canada вызвала сбои в работе её сети.
На фоне глобальных эпидемий сетевых червей периодически случались и эпидемии новых почтовых червей. В начале года в сети стали появляться модификации почтового червя Sobig. К лету 2003 точечные инциденты с Sobig переросли в полномасштабную эпидемию — червь вышел на первые места в рейтингах вредоносных программ. Для массового распространения новых версий червя, видимо, использовались спам-технологии рассылки множества копий червя с анонимных «зомби-машин». Некоторые варианты червя фальсифицировали адреса отправителя (подставляли «чужой адрес» в поле «From») — червь заметал свои следы и затруднял локализацию источника эпидемии. С другой стороны, это вводило пользователей в заблуждение и порождало большое количество вопросов.
Август: эпидемия почтового червя Mimail, атаковавшего систему интернет-платежей e-gold. Червь следил за активностью приложений e-gold, установленными на зараженном компьютере, считывал из них конфиденциальные данные и отсылал на несколько анонимных почтовых адресов. Таким образом, была зафиксирована очередная интернет-атака с откровенно криминальными целями.
Следует упомянуть также червей Avron, Dumaru, Roron, Sober, Swen, эпидемии которых произошли в том же году.
Также в 2003 году начинает набирать обороты новый вид электронного мошенничества — так называемый «фишинг», рассылка поддельных писем с просьбой подтвердить персональные коды доступа к банковскому счёту. Чуть позже фишинг стал использоваться для атак и на пользователей других интернет-сервисов.
10 июля 2003 г. антивирусная индустрия испытала серьёзное потрясение. Корпорация Microsoft объявила о покупке антивирусных технологий и интеллектуальной собственности у румынской компании GeCAD Software, производившей антивирус RAV. В пресс-релизе, опубликованном Microsoft, было объявлено, что данное приобретение поможет усилить безопасность операционной системы Windows и улучшить поддержку, оказываемую прочим антивирусным компаниям. О том, что Microsoft планирует разработку собственного антивируса, речь не шла — однако при виде софтверного гиганта, положившего взгляд на антивирусные технологии, остальные антивирусные компании замерли, как бандерлоги при виде Каа.
 
P

_Partizanka_

Re: История компьютерных вирусов и вредоносных программ
[h=1]2004[/h] 18 января: обнаружен почтовый червь Bagle, положивший начало целому семейству червей с явной криминальной направленностью — он устанавливал троянский прокси-сервер для дальнейшей рассылки спама.
В ночь с 26 на 27 января (по европейскому времени) разразилась эпидемия первой версии почтового червя Mydoom. Эпидемия практически моментально достигла своего пика — очевидно, что изначальное распространение червя велось при помощи спам-технологий посредством массовой рассылки зараженных писем через «зомби-сети». Количество писем было настолько велико, что почтовые сервера многих компаний не выдержали нагрузки и прекратили работу или резко снизили свою производительность. К особенностям этого червя следует отнести то, что он также имел криминальную сущность — так же как и Bagle он устанавливал троянский прокси-сервер для рассылки спама. Плюс к тому на компьютеры устанавливался бэкдор-троянец, позволявший полностью контролировать заражённые машины. И в завершении — начиная с 1-го февраля, червь организовал DDoS-атаку на веб-сайт производителя UNIX-систем SCO (www.sco.com). В результате атаки сайт был «отключён», и компания была вынуждена временно использовать альтернативный сайт (www.thescogroup.com).
9 февраля: эпидемия сетевого червя Doomjuice. Для своего распространения этот червь использовал компьютеры, уже заражённые червём Mydoom. Проникновение в компьютер производилось через сетевой порт, открываемый троянским компонентом Mydoom для приема удаленных команд. Если зараженный компьютер отвечал на запрос червя, то Doomjuice создавал соединение и пересылал свою копию. В свою очередь, установленная Mydoom троянская программа принимала данный файл и запускала его на исполнение. Таким образом, этот червь паразитировал на сети компьютеров, заражённых червём Mydoom.
15 февраля: эпидемия первого червя из серии NetSky. Одной из основных функций этого червя было удаление из системы известных версий червя Mydoom. В последующие варианты NetSky были также добавлены процедуры удаления червя Bagle. В результате в марте 2003 г. в интернете развернулась настоящая война между авторами червей NetSky с одной стороны и Mydoom и Bagle с другой. Всего за 3 часа 3 марта 2004 г. было зафиксировано сразу 5 новых модификаций этих червей. В марте и апреле 2004 г. наиболее «популярные» представители этих семейств составляли 80-90% всего вредоносного трафика в сети. Они удаляли из системы «противника», а в коде червя можно было обнаружить «послания» к противостоящей группировке:
NetSky.c:
we are the skynet — you can’t hide yourself! — we kill malware writers (they have no chance!) — [LaMeRz->]MyDoom.F is a thief of our idea! — -< SkyNet AV vs. Malware >- ->->
NetSky.f:
Skynet AntiVirus — Bagle — you are a looser!!!!
С другой линии фронта поступают ответные «реверансы»:
Mydoom.f:
to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app.
Bagle.i
Hey, NetSky, fuck off you bitch, don’t ruine our bussiness, wanna start a war ?
30 апреля 2004 разразилась сильнейшая эпидемия сетевого червя Sasser. Проникновение в систему шло через дыру в службе LSASS Microsoft Windows, при этом в некоторых случаях компьютеры перезагружались. В результате своего распространения Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии.
Компания Microsoft объявила о готовности заплатить по 250 тысяч долларов за информацию, которая поможет привести к поимке авторов червей Mydoom и Sasser. В результате за создание и распространение червей NetSky и Sasser в мае 2004 г. в Германии был арестован 18-летний студент Свен Яшан (Sven Jaschan). Кто стоял за Mydoom — до сих пор неизвестно.
В 2004 г. появляется сразу несколько «концептуальных» вирусов, которые никакой «полезной нагрузки» не несут (авторы таких вирусов не извлекают из них никакой пользы), а только демонстрируют новые методы заражения. Практически все они были написаны членами международной группы вирусописателей 29A и были разосланы непосредственно в антивирусные компании.
27 мая: Rugrat — первый вирус, заражающий исполняемые файлы 64-битной версии операционной системы Windows.
14 июня: Cabir — первый вирус-червь для смартфонов под управлением операционной системы Symbian. Для своего распространения использовал Bluetooth-соединение: сканировал доступные смартфоны и пересылал на них свой код. Через некоторое время сообщения о заражении вирусом стали поступать из разных стран мира. Таким образом, вирусы «переселились» в совершенно новую для себя «зону обитания».
17 июля: Duts — первый компьютерный вирус для Windows Mobile — одной из наиболее популярных платформ среди мобильных устройств (карманных компьютеров, смартфонов).
5 августа: Brador — первый троянец-бэкдор для карманных персональных компьютеров PocketPC на базе Windows CE или более новых версий Windows Mobile. Первый пример вредоносной программы для мобильных устройств, разработанной в злоумышленных целях.
В конце года появляется первая версия троянской программы Gpcode. Троянец шифровал пользовательские данные и требовал выкуп за утилиту расшифровки.
В целом, начиная с 2004 года, в тех же злоумышленных целях создаётся подавляющее количество червей и троянских программ. «Классические вирусы» практически незаметны на фоне постоянно появляющихся новых версий разнообразных криминальных программ, созданных для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и для распространения спама. Особый размах приобретают банковские атаки — троянские программы, ворующие коды доступа к банковским счетам, и фишинг-атаки, преследующие ту же цель — получить доступ к персональным банковским счетам.
Год 2004 также отмечен активизацией полицейских расследований, которые нередко заканчивались арестами. Всего за разнообразные компьютерные преступления, основываясь на информации из открытых источников, в разных странах было арестовано около ста человек.
С точки зрения «эпидемиологической ситуации» год 2004 можно разделить на две половины. Первая половина года характеризуется многочисленными эпидемиями почтовых червей, но, начиная с лета, их количество и размах заметно спадает. Что привело к таким резким изменениям — можно только догадываться. Скорее всего, сказалось сразу несколько факторов:

  • антивирусные компании научились оперативно реагировать и выпускать защитные обновления, а интернет-провайдеры — не только устанавливать антивирус в обязательном порядке, но и дополнять антивирусную проверку различными фильтрами, и в результате эпидемии почтовых червей не достигали своего возможного пика;
  • многочисленные случаи ареста вирусописателей и объявление денежных премий за поимку наиболее «зарвавшихся» из них были широко освещены прессой — в результате у компьютерного андеграунда заметно уменьшился интерес к «громким делам»;
  • низкая эффективность массовых эпидемий с точки зрения интересов компьютерного криминала — постоянное и контролируемое заражение относительно небольшого числа компьютеров (тысячи, десятки тысяч машин) большим числом разных троянских программ эффективнее, чем заражение миллионов компьютеров одной или несколькими программами.
 
P

_Partizanka_

Re: История компьютерных вирусов и вредоносных программ
Современный, криминальный этап

[h=1]2005[/h] Тенденции второй половины 2004 года сохранились и в последующих 2005 и 2006 годах. «Громких» инцидентов практически не происходит, но зато двукратно растёт число разнообразных троянских программ, которые распространяются самыми разными способами: через интернет-пейджеры, веб-сайты, при помощи сетевых червей или традиционной электронной почты. При этом растёт «популярность» именно сетевых не-почтовых червей, которые проникают на компьютеры, используя различные дыры в программном обеспечении, например, черви Mytob и Zotob (Bozori), авторы которых были арестованы в августе 2005.
С этими червями произошел курьёз. Они проникли в сети и практически парализовали работу нескольких американских СМИ (ABCNews, CNN, New York Times), которые, обнаружив червя в своих собственных сетях, раздули истерию об якобы глобальной эпидемии, по силе сравнимой с эпидемиями сетевых червей 2003-2004 годов. Сказался, видимо, информационный голод на ставшие уже привычными глобальные инциденты прошлых лет, когда главными новостными темами были всплески эпидемий червей Mydoom, Bagle, Sasser и т.д.
Продолжали появляться новые вирусы и троянские программы для мобильных платформ, особенно часто — для операционной системы Symbian. Помимо ставшего уже обычным метода заражения через Bluetooth-соединения, они использовали и принципиально новые методы. 10 января: Lasco — первый пример вируса, не только рассылавшего себя на другие телефоны, но и заражавшего исполняемые файлы Symbian. 4 марта: Comwar — рассылает себя в MMS-сообщениях по контактам из адресной книги (аналогично первым компьютерным почтовым червям). 13 сентября: Cardtrap — троянская программа, пытавшаяся установить другие вредоносные файлы для Windows, т.е. попытка использовать кросс-платформенное заражение.
Октябрь-ноябрь: скандал c троянскими руткит-технологиями, обнаруженными на компакт-дисках от Sony BMG. Руткит-технологии использовались в защите от копирования дисков и скрывали её компоненты. Однако эти же технологии вполне могли быть использованы в злонамеренных целях, что и произошло практически сразу — 10 ноября был обнаружен первый троянец-бэкдор, пользовавшийся для маскировки в системе руткитом от Sony.
Происходят изменения и в антивирусной индустрии. Корпорация Microsoft активно готовится к выходу на антивирусный рынок и покупает сразу две антивирусные компании. 8 февраля 2005 объявляется о покупке компании Sybari, специализирующейся на технологиях для защиты электронной почты для Microsoft Exchange, а 20 июля объявлено о покупке FrontBridge Technologies, разрабатывавшей технологии фильтрации сетевого трафика, — в дополнение к антивирусу RAV, приобретённому в 2003, и Anti-Spyware компании GIANT — о покупке этой компании было объявлено 16 декабря 2004.
5 июля 2005 объявлено о слиянии Symantec и производителя систем резервного копирования Veritas. Рынок и индустрия расценивают данный шаг как превентивные защитные меры Symantec перед появлением на рынке решений от Microsoft.
Также в 2005 разворачивается скандал с очередной уязвимостью в приложениях Windows. На этот раз «дыра» была обнаружена в обработчике графического формата Windows Meta Files (WMF). Ситуация осложнилась тем, что информация о данной уязвимости была опубликована до выхода соответствующего обновления Windows — пользователи оказались беззащитными перед сотнями троянских программ, которые тут же начали использовать эту «дыру» для проникновения в компьютеры. Кроме того, про дыру стало известно 26 декабря — в начале рождественских каникул, и быстрая реакция от Microsoft была маловероятна. Так и произошло: после несколько дней молчания, 3 января 2006 г., Microsoft сообщает о том, что обновление Windows выйдет согласно «утверждённому графику», а именно 10 января. Мир IT-безопасности буквально взорвался огромным количеством критических, гневных, а порой и оскорбительных статей в адрес Microsoft. В конце концов, под валом критики, Microsoft не выдержала и 6 января 2006 года выпустила обновление MS06-001, исправляющее уязвимость в обработке WMF-файлов.
 
P

_Partizanka_

Re: История компьютерных вирусов и вредоносных программ
[h=1]2006[/h] Криминальный бизнес в сети можно считать сформировавшимся. Практически полностью отсутствуют глобальные инциденты — многие виновники эпидемий прошлых лет обнаружены и изолированы от общества, новые не стремятся составить им компанию. При этом безопаснее интернет не становится — непрерывно растёт количество и качество троянских программ и червей, созданных с откровенно преступными намерениями.
Продолжается формирование криминальных программ для мобильных телефонов. 27 февраля обнаружен RedBrowser — первая вредоносная программы для мобильных телефонов, способных исполнять Java-приложения (J2ME). Потенциально этот троянец представляет опасность не только для смартфонов, но и для всех мобильных телефонов, поддерживающих платформу Java. Осуществляемые троянцем вредоносные действия — рассылка SMS-сообщений на платные мобильные сервисы.
Также появляются «концептуальные» вирусы в пока еще не криминализированных зонах. 13 февраля: Leap — первый червь для MacOS X. Червь рассылает себя по пейджинговым интернет-сетям и заражает файлы операционной системы MacOS X.
2006 год также войдёт в историю как год выхода корпорации Microsoft на антивирусный рынок. В конце мая начались продажи интегрированного решения Windows Live OneCare — в единый пакет объединены антивирус, межсетевой экран, система резервного копирования (back-up) и утилиты тонкой настройки Windows. А в июле начались продажи продуктов линейки Antigen (на базе приобретённых ранее технологий Sybari) — пакет для Microsoft Exchange и SMTP Gateways, предназначенный для защиты электронной почты от вредоносных программ и спама.
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
За 2006 год вирусов было много, расскажем лишь о некоторых.
1) Clagge.B - троян ‘downloader’, остающийся резидентным в памяти. Для выполнения вредоносных действий, он вносит модификации в реестр Windows, помогающие избегнуть контроля брандмауэра. После выполнения этого, он подключается к определенному Интернет-адресу, с которого скачивает файл под названием suhoy341.exe, принадлежащий трояну Trj/Banker.CZI, разработанному для того, чтобы красть банковские пароли пользователей.
2) Червь, имеющий имена Nyxem, BlackMal, MyWife и CME-24, за одну неделю своего существования заразил сотни тысяч компьютеров. Червь весит 95 килобайт, приложенных к письму. При этом письмо может иметь 25 вариантов заголовков, а текст письма и наименование файла - около 20 вариантов. Активизация "червя" производится пользователем при запуске зараженного файла. При запуске Nyxem на компьютере пользователя создается ZIP-архив с тем же именем, что и изначально запущенный файл. Затем "червь" копирует себя под несколькими именами, в Autorun. Затем Nyxem сканирует файловую систему заражённого компьютера и рассылает себя по всем найденным адресам электронной почты. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы, увеличивая масштаб своего распространения. Также червь обрывал исполнения процессов обеспечивающих безопасность компа. Червь самостоятельно загружает свои собственные обновления из интернета. Особую опасность представляет содержащаяся в Nyxem деструктивная функция, которая регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу месяца, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов (DOC, XLS, PPT, PDF, ZIP и других), замщая ее бессмысленным набором символов.
В 2007 году Вирус Storm устроил самый настоящий шторм Интернета. Ураган в Европе, нашел свое отражение в Интернете. Червь распространяется по почте. После запуска вложенных файлов устанавливается вирус, который дает возможность хакерам перебирать управление компьютером в свои руки. В 2007 году это была самая сильная бот сеть.
Penetrator – ещё одна мало известная вредоносная программа, попавшая в тысячи компьютеров осенью-зимой 2007 года. У пользователей исчезали графические, звуковые и текстовые документы. Все документы Word заменялись нецензурными. Задержан автор вируса. Суд пройдет в Калининградской области, поскольку по законодательству местом совершения преступления является Калининград. Хакеру грозит лишение свободы на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми - 7 лет...

В 2008 году исчезли все представители семейств Zhelatin (Storm Worm) и Warezov. 1 января на свет появился первый троянский конь нового года, которого обнаружили специалисты из Trend Micro. TROJ_DLOADER.CP – он атаковал Windows версий 98, ME, NT, 2000, XP и Server 2003. он может уничтожить немало ценных данных. Также это вирус могут загружать TROJ_DLOADER.CP и посторонние вредоносные программы, уже разместившиеся на вашем ПК. После того, как новый троян установится на вашем компе, он незамедлительно начнет качать вирусы с посторонних сайтов. Как утверждают специалисты, большинство сайтов расположены в Китае.
2009 год отличился! Вирус «Win32.Conficker.B известный как Net-Worm.Win32.Kido.dv, W32/Downadup.B, W32/Downadup.AL, W32/Confick-D, WORM_DOWNAD.AD. Microsoft говорила что заплатит $250 тыс. за информацию, которая приведет к поимке создателей червя. Он отключает в Windows функцию «восстановление системы», может заблокировать доступ к различным сайтам, которые посвящены информационной безопасности , может скачивать на пораженную машину дополнительные вредоносные программы, может отключать системные службы, создаёт бот сеть. 13 января насчитывалось 2,4 млн компьютеров нуждающихся в ремонт компьютеров на дому, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем, (на момент написания статьи более 17 млн. ) О нём писали даже газеты! С 90-х годов о вирусах мало писали в газетах, потому что они стали обычным явлением.
На данный момент существует вирус - Win32/TrojanDownloader.Bredolab.AA, заражающий компьютеры через Интернет и использует различные уязвимости файлов PDF и SWF.Едва проникнув в оперативную память, вредоносный код моментально начинает свое распространение. Троян влазит в Autorun, а также получает доступ к системным ресурсам, отключая все процессы, отвечающие за безопасность. Bredolab проникает во все файлы пользователя, имеющие формат PDF и SWF, использующиеся для хранения и передачи различных документов. Троян моментально устанавливает соединение со своим удаленным сервером посредством HTTP-протокола с целью получения дополнительных инструкций. Заразив компьютер, Bredolab загружает вредоносные программы с различных серверов и интернет-сайтов. Обычно это рекламное и шпионское ПО и программы, нацеленные на кражу паролей и другой ценной информации. Также были зафиксированы случаи, когда троянская программа Bredolab была сама загружена на компьютер пользователя с помощью другого даунлоудера, относящегося к семейству фальшивых антивирусов Win32/TrojanDownloader.FakeAlert.

---------- Сообщение добавлено в 23:34 ---------- Предыдущее сообщение размещено в 23:27 ----------

В 2010 году количество созданных и распространенных кибермошенниками вирусов составило 1/3 всех когда-либо существовавших вирусов. На сегодняшний день база данных Коллективного разума (собственной технологии Panda Security, которая автоматически обнаруживает, анализирует и классифицирует 99,4% всех полученных образцов вредоносного ПО) содержит 134 миллиона уникальных файлов. Из них 60 миллионов являются вредоносными (вирусы, черви, Трояны и другие компьютерные угрозы).
Несмотря на впечатляющие цифры, есть и хорошие новости. Скорость появления новых угроз сократилась по сравнению с 2009 годом. Напомним, начиная с 2003 года, прирост новых образцов вредоносного ПО составлял минимум 100% в год. Однако в прошедшем году показатель роста составил всего около 50%.
Так называемые банковские Трояны доминируют в рейтинге новейшего вредоносного ПО, которое появилось в 2010 году (56% всех новых образцов). На втором месте по «популярности» находятся вирусы и черви. Интересно, что 11,6% всех образцов в базе данных Коллективного разума – это поддельные антивирусы. Именно эта категория вредоносного ПО, несмотря на своё относительно недавнее появление (всего 4 года назад), вызывает наибольшие опасения пользователей.

01.jpg



Список наиболее инфицированных стран возглавили Таиланд, Китай и Тайвань с показателем инфицированности в пределах 60-70%. Россия в этом рейтинге находится на 7-ом месте (рейтинг составлен на основе данных, полученных благодаря Panda ActiveScan).

02.jpg



Что касается наиболее популярных методов инфицирования, то в 2010 году ими стали:
- распространение вредоносного ПО с помощью социальных сетей,
- создание поддельных сайтов (атаки BlackHat SEO);
- использование так называемых уязвимостей «нулевого» дня.
В течение 2010 года также активно распространялся спам, даже несмотря на то, что были ликвидированы некоторые бот-сети (например, Mariposa и Bredolad). Это уберегло миллионы компьютеров от угрозы и, конечно, повлияло на общемировой спам-траффик. В 2009 году примерно 95% всех электронных писем оказывались спамом, однако в 2010 году этот показатель снизился примерно до 85%.
2010 – год киберпреступности и кибервойн
2010 год можно по праву назвать годом киберпреступности. В самом существовании этого явления нет ничего нового, всем известно, что каждый новый образец вредоносного ПО – это лишь малая часть большого бизнеса, целью которого является финансовая выгода.
В прошедшем году мы видели несколько примеров кибервойн. Одна из самых ярких подобных войн была вызвана червем Stuxnet. Он был разработан специально для атак на атомные электростанции. Ему удалось инфицировать атомную электростанцию вблизи города Бушер (Иран), что подтвердили иранские власти. В то же время появился ещё один червь с кодовым названием «Here you have» («Здесь у вас…»), который распространялся с помощью старомодных методов и был создан террористической организацией «Brigades of Tariq ibn Ziyad». Согласно имеющимся данным, эта группировка хотела напомнить США о терактах 11-ого сентября 2001 года и призвать к уважению Ислама. Поводом к таким действиям послужили угрозы пастора Терри Джонса сжечь Каран.
Еще одна яркая кибервойна 2010 года – «Операция Аврора». Целью этой атаки стали работники некоторых крупных транснациональных корпораций. Их рабочие компьютеры были инфицированы Трояном, который способен получить доступ ко всей конфиденциальной информации.
2010 год также продемонстрировал нам появление нового явления, навсегда изменившего отношения между обществом и сетью Интернет: киберпротесты или, так называемый, хактивизм. Этот феномен стал известен благодаря «Анонимной группе». На самом деле, он не является чем-то абсолютно новым, однако в этот раз о нём писали все издания. «Анонимная группа» организовала множественные атаки (DDoS-атаки), которые обрушили системы сайтов различных обществ защиты авторского права. Таким образом эта группа стремилась защитить основателя сайта Wikileaks Джулиана Ассанджа.
В центре внимания – социальные сети
Помимо информации о больших недоработках в системах безопасности Windows и Mac, в ежегодном отчёте безопасности за 2010 год также был затронут вопрос о наиболее важных инцидентах, связанных с безопасностью популярных социальных сетей. Среди наиболее пострадавших оказались такие сайты, как Facebook и Twitter. Кроме того, мы наблюдали атаки и на другие сайты, например, Linkedln или Fotolog.
Существует несколько техник обмана пользователей:
- поддельная кнопка «Like» в Facebook,
- взлом страниц для последующей отправки сообщений из «проверенных» источников,
- использование уязвимостей Twitter для запуска JavaScript,
- распространение поддельных приложений, перенаправляющих пользователей на заражённые сайты и т.д.

---------- Сообщение добавлено в 23:36 ---------- Предыдущее сообщение размещено в 23:34 ----------

2011
Число угроз для Android выросло в 2011 году в 20 раз

Количество угроз для мобильной платформы Android выросло в прошедшем году в 20 раз, причем подавляющее большинство подобных вредоносных программ относится к семейству Android.SmsSend. Эти приложения обычно представляют собой инсталлятор, якобы содержащий нужную пользователю программу, для установки которой необходимо отправить одно или несколько платных СМС-сообщений. Суть мошенничества заключается в том, что, если бы пользователь изначально обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.
В начале 2011 года в вирусных базах Dr.Web числилось всего шесть записей для троянцев семейства Android.SmsSend, к декабрю число этих угроз увеличилось практически в 45 раз. Динамика роста количества добавленных в базы Dr.Web записей для Android.SmsSend показана на приведенном ниже графике.
vlinear_andrsmssend.png

Значительный успех в борьбе с данным типом угроз отчасти обусловлен применением уникальной технологии Origins Tracing™, разработанной компанией «Доктор Веб». Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. С использованием в продуктах Dr.Web технологии Origins Tracing для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, которая затем добавляется в вирусную базу. Одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.
Всего в вирусных базах Dr.Web на конец 2011 года числится около 630 записей, соответствующих вредоносным программам для Android, в то время как на начало года их насчитывалось всего 30. Таким образом, можно сказать, что за последние 12 месяцев общее число угроз для мобильной платформы Android увеличилось в 20 раз. Процентное распределение различных типов угроз для Android показано на предложенной ниже диаграмме.
linear_androidall.png

В качестве сравнения следует отметить, что для Symbian OS на сегодняшний день известно 212 вредоносных программ, для Windows Mobile — 30, а троянцев, способных работать на любой мобильной платформе с поддержкой Java, насчитывается 923. Основываясь на этих цифрах, можно сделать вывод о том, что по числу специализированных угроз операционная система Android только за 2011 год уверенно опередила своих ближайших конкурентов.
Руткиты

Как известно, к категории руткитов относят вредоносные программы, способные скрывать следы своего присутствия в операционной системе. По сравнению с прошлым годом активность распространения данного типа угроз осталась на прежнем уровне. По мере роста популярности среди пользователей 64-разрядных операционных систем вирусописатели вынуждены адаптировать свои творения, в связи с чем несколько увеличилось число модификаций руткитов, работающих в пользовательском режиме. Наиболее популярными угрозами данного типа по-прежнему остаются BackDoor.Tdss и BackDoor.Maxplus.
В 2011 году специалистами «Доктор Веб» был зафиксирован уникальный в своем роде руткит, получивший название Trojan.Bioskit.1, особенность которого заключается в том, что он инфицирует BIOS персональных компьютеров — причем только в том случае, если на ПК установлен BIOS производства компании Award Software. Позже были зафиксированы попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы для пользователей.
Файловые вирусы

К категории файловых вирусов традиционно относят вредоносные программы, поражающие в числе прочего исполняемые файлы и обладающие способностью к саморепликации (размножению без участия пользователя). Лидером среди файловых вирусов исходя из количества заражений по итогам года является Win32.Rmnet.12. Этот вирус был обнаружен на компьютерах пользователей 165 286 935 раз, что составляет 11,22% от всех случаев инфицирования вредоносным ПО. На втором месте — Win32.HLLP.Neshta, обнаруженный в течение года 94 777 924 раза (6,44% случаев заражения), замыкает тройку Win32.HLLP.Whboy.45 (52 610 974 случая заражения, что составляет 3,57% от общего числа).
В 2011 году семейство файловых вирусов пополнилось новыми вредоносными экземплярами: это и лидер списка — Win32.Rmnet.12, и Win32.HLLP.Novosel, и Win32.Sector.22, а также многие другие.
Винлоки

Программы-вымогатели, блокирующие запуск операционной системы, — напасть давно известная, и потому за истекшие двенадцать месяцев число модификаций угроз семейства Trojan.Winlock вполне ожидаемо росло. Не обошлось и без сюрпризов: в 2011 году винлоки добрались не только до ближнего зарубежья (были зафиксированы модификации программ-вымогателей, специально ориентированные на пользователей из Казахстана, Украины и Белоруссии), но и до европейских государств. В частности, обнаруженный в сентябре 2011 года Trojan.Winlock.3260 содержит многоязычный текст блокирующих систему сообщений, оформленных в виде послания от управления полиции страны, в которой проживает жертва: для Германии это Bundespolizei, для Великобритании — The Mertopolitan Police, для Испании — La Policìa Española. Во всех случаях за разблокировку системы жертве предлагается внести плату с использованием одной из распространенных в данной стране платежных систем. Вскоре число подобных троянцев стало стремительно расти. Вероятнее всего это объясняется тем, что в Интернете стали все чаще появляться партнерские программы, организованные создателями подобных программ-вымогателей: злоумышленники активно ищут на специализированных форумах специалистов по распространению вредоносного ПО.
Всего с начала года был зафиксирован более чем двукратный рост числа новых модификаций Trojan.Winlock. При этом из общего количества обращений в службу технической поддержки «Доктор Веб» на долю пострадавших от программ-блокировщиков приходится 29,37%.
circle_support.png

MBR-локи

Заметно выросло и число программ-вымогателей, инфицирующих загрузочную запись компьютера (Master Boot Record, MBR). Первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию еще в ноябре 2010 года, и на сегодняшний день их насчитывается уже более 300. С начала 2011 года число вредоносных программ семейства Trojan.MBRlock выросло в 52 раза, увеличившись с 6 до 316 выявленных модификаций. Наметилась очевидная тенденция и к изменению функционала подобных троянцев — он становится все более изощренным и вредоносным: если первые модификации Trojan.MBRlock автоматически обезвреживались спустя некоторое время, то последние версии не только не содержат подобного механизма, но даже не хранят в открытом виде код разблокировки, что несколько затрудняет лечение. Так, появившийся в ноябре 2011 года Trojan.MBRlock.17 отличается от предшественников еще и тем, что записывает свои компоненты в случайные секторы жесткого диска, а ключ разблокировки создается динамически на основе ряда параметров. На сегодняшний день это — одна из самых опасных модификаций среди троянцев — блокировщиков загрузочной записи.
Энкодеры

Программы-энкодеры, или, как их еще иногда называют, шифровальщики, попадая на персональный компьютер, шифруют хранящиеся на жестких дисках файлы с помощью специального алгоритма и требуют от пользователя заплатить определенную сумму за возможность получить доступ к этой информации. Примерно в сентябре 2011 года разразилась самая настоящая эпидемия распространения вредоносных программ семейства Trojan.Encoder и Trojan.FolderLock, от действий которых пострадало огромное количество пользователей. Расширился и ассортимент версий подобных угроз: с начала 2011 года количество записей в базах для различных типов энкодеров увеличилось на 60%.
Мошенничество в сети

Не уменьшается и количество случаев мошеннических действий в отношении пользователей Интернета: злоумышленники пускают в ход любые доступные методы, чтобы заставить пользователя отправить платное СМС-сообщение или подписать его на какие-либо услуги с ежемесячной абонентской платой. Фантазия сетевых мошенников поистине неисчерпаема: в ход идут и липовые розыгрыши призов, и поддельные файлообменные сети, жулики предлагают доверчивым пользователям доступ к телефонным и генеалогическим базам, поиск двойников и родственников, гадания по линиям ладони, звездам и картами Таро, составление индивидуальных гороскопов и диет… Подробно о современных схемах сетевого мошенничества мы уже рассказывали в одном из наших информационных обзоров. Динамику выявления количества мошеннических сайтов, использующих методы социальной инженерии, можно проследить на предложенном ниже графике.
point_socengin.png

Резкий рост числа добавленных в базы принадлежащих сетевым мошенникам интернет-ресурсов в сентябре-октябре во многом обуславливается «сентябрьской облавой на подпольные сайты», о которой компания «Доктор Веб» сообщала в одном из своих выпусков новостей. В ходе этого мероприятия было выявлено значительное число подобных ресурсов — и результаты проделанной специалистами компании работы отчетливо прослеживаются на диаграмме.
А вот статистика добавления в базы адресов сайтов, распространявших в 2011 году вредоносное программное обеспечение:
point_sites.png

Здесь наблюдается обратная тенденция: наибольшее число вредоносных ресурсов было зафиксировано в первом полугодии, в то время как с наступлением осени на данном фронте наметилось определенное затишье.
Не прекращается и «охота» на пользователей социальных сетей. В 2011 году жулики активно изобретали новые мошеннические схемы, о наиболее популярных из которых мы рассказывали недавно в обзорной статье. Всего за 2011 год было выявлено множество поддельных сайтов, имитирующих своим оформлением интерфейс популярных социальных сетей, адреса подобных ресурсов были добавлены в базы Dr.Web.
Банковские троянцы

За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.
Среди них особый интерес представляет семейство обладающих широким функционалом троянцев Trojan.Winspy, новые модификации которых появлялись в первой половине 2011 года. Еще одно вредоносное приложение подобного типа было добавлено в вирусные базы под именем Trojan.Carberp.1. Как и некоторые другие троянские программы, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данного троянца является то, что он работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.
Весьма распространены и троянцы семейства Trojan.PWS.Ibank, предназначенные для кражи данных доступа к ДБО и способные объединяться в ботнеты. Безусловно, нельзя обойти вниманием такой знаменитый троянец, как Trojan.PWS.Panda, известный также под именами Zeus и Zbot. Основной его функционал заключается в краже пользовательских паролей, хотя этот троянец обладает достаточно обширными возможностями. Zeus получил очень широкое распространение и в течение длительного времени представлял серьезную угрозу для пользователей банковских систем. Еще один троянец, созданный со схожими целями, — Trojan.PWS.SpySweep, также известный под именем SpyEye. Кроме того, в этом году появился и первый банковский троянец для платформы Android: это Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.
После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.
Наиболее интересные угрозы 2011 года

В феврале-марте 2011 года злоумышленниками была предпринята атака на терминалы одной из наиболее распространенных в России платежных систем, осуществленная с использованием троянской программы Trojan.PWS.OSMP. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.
Trojan.PWS.OSMP — одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Другая модификация этой вредоносной программы крала из терминалов конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.
Еще одна небезынтересная троянская программа — BackDoor.Dande. Этот троянец предназначен для кражи данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. В числе собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.
В течение года появилось и несколько весьма любопытных вредоносных программ для мобильной платформы Android. Среди них можно отметить троянца Android.Gone.1, за 60 секунд «угоняющего» всю хранящуюся на работающем под управлением Android мобильном телефоне информацию, включая контакты, сообщения, последние звонки, историю браузера и т. д. Украденные данные загружаются на специально созданный вирусописателями сайт. Получить доступ к похищенной информации можно за 5 долларов. Еще одной интересной «угрозой года» для этой мобильной платформы можно назвать троянца Android.DreamExploid — он без ведома пользователя пытался произвести повышение привилегий программного окружения смартфона. То есть вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки, а также обладает функционалом для сбора информации об инфицированном устройстве и ее отправки злоумышленникам.
Прогнозируемые тенденции 2012 года

В 2012 году следует ожидать дальнейшего роста количества угроз для мобильной операционной системы Android, а также с определенной долей вероятности можно прогнозировать появление программ-блокировщиков для этой платформы. Обусловлен подобный прогноз, прежде всего, тем, что мобильные ОС значительно облегчают доступ злоумышленников к кошельку жертвы. Если получить прибыль от пользователя ОС для настольных ПК не так-то просто, например, для этого нужно сначала заблокировать Windows, а потом заставить пользователя дойти до терминала оплаты или набрать и отослать СМС, то с мобильного телефона можно отправлять короткие сообщения на платные номера, показывать рекламу, скачивать платные мелодии и прочий контент, понемногу списывая деньги со счета оператора. Емкость этого теневого рынка просто огромна, и в настоящее время он активно осваивается злоумышленниками, а современные мобильные платформы с их обширным функционалом открывают для этого прекрасные возможности.
Можно ожидать распространения узкоспециализированных угроз, ориентированных на системы промышленной автоматики, — в эту категорию входят автоматизированные системы управления производственными процессами, системы контроля доступа, мониторинга, обогрева, кондиционирования и вентиляции, иные компьютеризированные системы промышленных предприятий и производственных организаций. Под угрозой может оказаться инфраструктура управления технологическими процессами (SCADA). Аналитики компании «Доктор Веб» отмечают, что вредоносные программы, эксплуатирующие уязвимости подобных систем, могут представлять особую опасность, поскольку подобные комплексы применяются в ключевых отраслях экономики, таких как производство электроэнергии, транспорт, добыча полезных ископаемых, нефти и газа.
Вполне вероятно появление новых угроз, ориентированных на банковские системы и ДБО, будет совершенствоваться их техническое исполнение. Возможно, злоумышленники не ограничатся пользовательскими ПК и системами «Банк-Клиент», а предпримут атаки на банковские структуры или даже государственные финансовые институты. Будут появляться новые, ранее неизвестные способы мошенничества, как с использованием фишигновых сайтов, так и в отношении пользователей социальных сетей. Динамика возникновения новых мошеннических схем показывает, что злоумышленники используют практически все доступные им технологии, а с появлением на сайтах социальных сетей новых функциональных возможностей они также наверняка будут использованы мошенниками для достижения неблаговидных целей. Так, в 2011 году киберпреступники задействовали для обмана пользователей голосования, встроенные в социальные сети функции обмена файлами, видеоролики и даже дополнения к браузеру Mozilla Firefox. Думается, этим их арсенал в будущем не ограничится, киберпреступники будут и дальше изыскивать новые способы незаконного заработка.
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
2012

Появление троянской программы Backdoor.Flashback.39, из-за которой разразилась самая настоящая эпидемия среди Apple-совместимых компьютеров, можно назвать, пожалуй, самым ярким событием 2012 года в сфере информационной безопасности. Впервые это вредоносное ПО было обнаружено специалистами компании «Доктор Веб» еще в конце марта 2012 года, а информационное сообщение о выявлении крупнейшего в истории ботнета, работающего под управлением Mac OS X, было опубликовано 4 апреля. Еще в конце марта в вирусную лабораторию стали поступать сообщения о распространении троянцев для Mac OS X с использованием уязвимости Java, именно тогда и возникло предположение о том, что Backdoor.Flashback.39 способен объединять «маки» в бот-сети. Аналитики «Доктор Веб» изучили алгоритм, используемый этим троянцем для генерации имен управляющих серверов, и зарегистрировали несколько таких имен. Результат превзошел все ожидания: уже в первые сутки стало понятно, что количество зараженных «маков» превысило 600 000 и продолжает стремительно расти. География распространения инфекции также была весьма обширной:

География распространения Backdoor.Flashback.39
За последующие 10 дней размер бот-сети достиг максимальной отметки в 670 000 с лишним одновременно работающих инфицированных компьютеров (более 800 000 уникальных компьютеров с учетом «излечившихся») и постепенно пошел на спад. Опубликованный компанией «Доктор Веб» пресс-релиз с описанием данной угрозы наделал много шума в мировой прессе и вызвал широчайший общественный резонанс. Миф о том, что Mac OS X является одной из самых защищенных операционных систем в мире, был в одночасье разрушен.
Основной причиной эпидемии стало то обстоятельство, что корпорация Apple выпустила обновление безопасности для собственной реализации Java спустя два месяца после аналогичного обновления, опубликованного корпорацией Oracle, что позволило злоумышленникам безнаказанно распространять вредоносное ПО в течение длительного времени. Другая причина — это, безусловно, слепая вера пользователей продукции Apple в абсолютную защищенность платформы Mac OS X: в пользу этого суждения говорил, в частности, тот факт, что число инфицированных «маков» продолжало увеличиваться даже после того, как компания «Доктор Веб» сообщила на весь мир об этой угрозе.
Исследования, проведенные аналитиками компании «Доктор Веб», позволили определить версии платформы Mac OS X, которые инфицировала вредоносная программа, версии ядра ОС, а также ряд других характеристик ботнета, исходя из анализа обращений этой вредоносной программы к управляющим серверам. Результаты этих исследований по данным на апрель 2012 года показаны на представленных ниже иллюстрациях.
В декабре 2012 года рост бот-сети Backdoor.Flashback.39 практически полностью остановился, однако окончательно она не побеждена — во всем мире еще насчитывается несколько десятков тысяч инфицированных «маков».
Поскольку популярность системной платформы от Apple постепенно растет, а пользователи этой ОС не привыкли использовать антивирусное программное обеспечение, Mac OS X становится лакомым куском для многочисленных злоумышленников. Вряд ли среднестатистический правонарушитель пройдет мимо богато обставленной квартиры, хозяева которой по идеологическим соображениям не желают запирать входную дверь на замок.
Файловые вирусы и другие ботнеты

Файловый вирус Win32.Rmnet.12, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2011 года, за истекшие 12 месяцев побил все мыслимые рекорды, образовав бот-сеть, состоящую из шести с половиной миллионов инфицированных узлов. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению, то есть, он умеет копировать сам себя и бесконтрольно распространяться без участия пользователя. Этот вирус заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей от популярных FTP-клиентов, – эти пароли могут быть использованы для организации сетевых атак. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду и на уничтожение операционной системы. Его вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты), перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Вот почему этот вирус представляет существенную опасность для пользователей.
Наибольшее распространение данный вирус получил в странах юго-восточной Азии, таких как Индонезия, Бангладеш, Вьетнам, Индия и Пакистан. Однако имеется значительное число инфицированных машин и в России.
Первоначально число заражений вирусом Win32.Rmnet.12 было относительно невелико, однако с каждым месяцем количество инфицированных ПК увеличивалось, пока к концу года не достигло рекордной отметки в 6,5 миллионов. Динамику этого процесса можно проследить с помощью представленного ниже графика.
Поскольку тенденций к снижению роста данной угрозы не наблюдается, можно предположить, что вирус Win32.Rmnet.12 продолжит свое распространение. Если расширение ботнета будет продолжаться прежними темпами, то в 2013 году общая численность зарегистрированных в сети инфицированных компьютеров превысит 10 миллионов.
Одной из наиболее распространенных модификаций файлового вируса Win32.Rmnet.12 является его «родной брат» Win32.Rmnet.16. Основное отличие данной вредоносной программы от ее предшественницы заключается том, что она использует цифровую подпись, которой подписывается IP-адрес управляющего сервера. Также вирусописатели обновили основные функциональные модули приложения.
Ботнет, состоящий из инфицированных Win32.Rmnet.16 рабочих станций, наиболее распространен на территории Великобритании и Австралии. Однако численность этой бот-сети значительно скромнее по сравнению с Win32.Rmnet.12. Число случаев заражения в течение 2012 года также постепенно росло, однако гораздо менее высокими темпами, о чем свидетельствует представленная ниже диаграмма.
Исходя из имеющейся в распоряжении специалистов «Доктор Веб» статистики можно предположить, что прирост численности ботнета Win32.Rmnet.16 будет понемногу сокращаться, а его общий объем вряд ли превысит миллион инфицированных узлов, если, конечно, лавинообразному росту заражений не поспособствуют какие-либо непредвиденные обстоятельства. Напомним, что специалисты компании «Доктор Веб» полностью контролируют вирусные сети Win32.Rmnet.12 и Win32.Rmnet.16.
Еще в ноябре 2011 года компания «Доктор Веб» сообщила о появлении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у российских фармацевтических компаний и аптек. BackDoor.Dande — сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать его вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего по формальным признакам ее становится невозможно отличить от незараженной библиотеки. Троянец крадет данные из так называемых «систем электронного заказа», к которым относятся специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие.
Несмотря на то, что троянец впервые был добавлен в вирусные базы Dr.Web более года назад, к концу декабря 2012 года бот-сеть BackDoor.Dande продолжала действовать. С учетом того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов (а при ее отсутствии самоудаляется), можно с уверенностью говорить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На 19 декабря 2012 года в ботнете BackDoor.Dande числился 3 031 инфицированный компьютер. Изменение численности данной бот-сети показано на представленном ниже графике.
Троянцы-кодировщики

2012 год можно, пожалуй, назвать периодом наибольшего распространения троянцев-энкодеров: по приблизительным подсчетам в прошлом году от действия этих вредоносных программ пострадали тысячи человек по всему земному шару. В течение года в вирусные базы Dr.Web было добавлено множество новых модификаций троянцев данного типа. Динамика поступления запросов в службу технической поддержки компании «Доктор Веб» от пользователей, пострадавших в результате действия троянцев-кодировщиков, показана на представленном ниже графике:
Появление первых версий троянцев-кодировщиков было зафиксировано еще в 2009 году. Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, изображения и архивы, после чего шифруют их. За расшифровку файлов злоумышленники требуют заплатить определенную денежную сумму.
В течение длительного времени от действий троянцев-кодировщиков страдали в основном пользователи на территории России и стран бывшего СССР, однако весной 2012 года вредоносные программы семейства Trojan.Encoder вышли на зарубежные просторы. Одним из первых троянцев-вымогателей, ориентированных на западную аудиторию, стал Trojan.Encoder.94. Троянец имел англоязычный интерфейс, однако случаи заражения были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Первые обращения пострадавших от Trojan.Encoder.94 зарубежных пользователей были зафиксированы 9–10 апреля 2012 года. Вскоре в службу технической поддержки компании «Доктор Веб» стали обращаться пользователи из Латинской Америки (Бразилии и Аргентины), а также таких европейских стран как Франция, Бельгия, Швейцария, Нидерланды, Хорватия, Словения, Венгрия и Румыния.
К концу года ситуация с троянцами-шифровальщиками кардинально изменилась: если в 2011 году подобные вредоносные программы все еще были ориентированы в основном на русскоязычную аудиторию, то уже к декабрю 2012, по мнению аналитиков «Доктор Веб», соотношение «российских» и «зарубежных» энкодеров составляло примерно 50/50. Основной всплеск распространения шифровальщиков, ориентированных на западный рынок, пришелся на апрель-май 2012 года, однако к осени их число несколько уменьшилось. Основываясь на имеющейся статистике можно предположить, что в наступающем году число энкодеров, направленных на зарубежных пользователей ПК, будет стремительно расти. В целом 2013 год можно будет, по всей видимости, назвать «годом энкодеров» — распространенность этой категории угроз вполне может принять масштабы эпидемии.
Винлоки

Троянцы-вымогатели, парализующие нормальную работу операционной системы и требующие у пользователя заплатить определенную сумму за ее разблокировку, известны уже давно. В течение 2012 года появлялись новые модификации винлоков, но динамику их распространения нельзя было назвать чрезмерно высокой. Всего в течение года в службу технической поддержки «Доктор Веб» обратилось более 10 000 пользователей, пострадавших от действия троянцев-блокировщиков, всем им была оказана квалифицированная помощь. Динамику таких запросов можно отследить с помощью представленного ниже графика.
Осенью 2012 года было зафиксировано распространение троянцев-блокировщиков, получивших общее наименование «мультилокеры», — исходя из заголовка, демонстрировавшегося на входной странице используемых ими управляющих серверов. Такие троянцы не содержат каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы мультилокеры загружают с удаленного сервера. Соответственно, это позволяет злоумышленникам оперативно настраивать демонстрируемые на экране инфицированного компьютера текст, изображения, а также менять код разблокировки.
Запустившись на зараженном ПК, троянцы-мультилокеры блокируют возможность загрузки ряда приложений и системных утилит. Кроме того, некоторые модификации этих вредоносных программ способны перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, как правило, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.
Специалистами компании «Доктор Веб» были зафиксированы случаи распространения подобных угроз в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии, США и нескольких других странах. Для получения оплаты злоумышленники обычно используют ваучерные платежные системы Ukash, Moneypack и Paysafecard. Анализ троянцев-вымогателей, поступивших в течение года в вирусную лабораторию «Доктор Веб», говорит о том, что вирусописатели понемногу отказываются от винлоков традиционной архитектуры, в то же время прослеживается тенденция к усложнению их конструкции и росту функциональных возможностей. Можно предположить, что подобные троянцы будут с определенной периодичностью появляться на свет и в следующем году, а ареал их распространения продолжит расширяться.
Наиболее важные события в сфере информационной безопасности

2012 год запомнится пользователям множеством важных и интересных событий в сфере информационной безопасности. Так, этот год был отмечен значительным ростом числа взломов веб-сайтов с целью распространения вредоносного ПО. Первая волна хакерских атак была зафиксирована еще в начале года, когда оказалось взломано от нескольких десятков до сотен тысяч сайтов. На скомпрометированных ресурсах злоумышленники размещали содержащие уязвимость сценарии, с помощью которых, в частности, распространялся известнейший троянец для Mac OS X Backdoor.Flashback.39. Еще одна волна взлома интернет-ресурсов пришлась на середину августа: в российском сегменте Интернета было скомпрометировано несколько тысяч сайтов с целью распространения троянцев для мобильных платформ. Данная тенденция продолжала прослеживаться до конца года: уже в декабре были зафиксированы случаи взлома популярных порталов, в частности, официального сайта далай-ламы. Злоумышленники ставили своей целью заразить компьютеры посетителей этих сайтов вредоносными программами для ОС Windows и Mac OS X.
В минувшем году киберпреступники весьма активно использовали в своих целях различные уязвимости Java. Так, весной 2012 года злоумышленники распространяли с использованием уязвимости CVE-2012-0507 вредоносные программы семейства Trojan.Carberp и бэкдор для Mac OS X Backdoor.Flashback.39. В июле средства массовой информации сообщили об использовании уязвимости CVE-2012-1723 в популярном среди злоумышленников наборе эксплойтов BlackHole. А уже 26 августа была обнаружена очередная критическая уязвимость Java, которая стала использоваться злоумышленниками в направленных атаках на компьютеры, работающие под управлением Mac OS X, Linux и Windows. Аналитики компании «Доктор Веб» полагают, что ситуация на тот момент складывалась критическая: на день публикации первой новости об обнаружении эксплоита злоумышленникам было широко известно о критической уязвимости Java 7, а обновление Java-машины планировалось только на середину октября. Следовательно, примерно 2 месяца вредоносное ПО имело бы возможность потоком идти через эту «незалатанную дыру» в Java, а также перенаправлять пользователей на вредоносные ресурсы посредством взломанных сайтов, которые на первый взгляд совершенно безобидны. Действия компании Oracle в данной ситуации не были оперативными, из-за чего вредоносное ПО проникло на компьютеры незащищенных пользователей. Тем не менее, с выходом очередного обновления Java в сентябре 2012 специалисты в области компьютерной безопасности обнаружили еще несколько критических уязвимостей этой платформы. Кроме того, в начале ноября появились сообщения об обнаружении zero-day уязвимости в программе Adobe Reader (версиях 10 и 11). С помощью этой уязвимости злоумышленникам удавалось запускать на компьютере жертвы вредоносное приложение. Сам содержащий уязвимость файл киберпреступники распространяли в Интернете, а также рассылали по электронной почте.
Весьма резонансным событием в сфере информационной безопасности стало обнаружение специалистами одной из антивирусных компаний вредоносной программы Win32.HLLW.Flame — сложного многокомпонентного вредоносного приложения, прозванного специалистами «Доктор Веб» за рекордный размер (более 6 МБ) «троянским слоном». Эта программа обладает весьма обширными функциональными возможностями, однако «в дикой природе» практически не встречается. По мнению аналитиков «Доктор Веб», опасность этого троянца, растиражированная многочисленными публикациями в интернете и в СМИ, несколько преувеличена.
Еще одним немаловажным событием в мире информационных технологий стала ликвидация в июле 2012 ботнета BackDoor.BlackEnergy. Это была крупнейшая бот-сеть, ориентированная на массовую рассылку спама, а также проведение DDoS-атак, и прекращение ее деятельности достаточно быстро привело к снижению объемов спам-трафика начиная с июля 2012 года. Вместе с тем, несмотря на уничтожение главных управляющих центров BackDoor.BlackEnergy, специалисты «Доктор Веб» зафиксировали несколько более мелких командных серверов этой сети, которые продолжали свою деятельность и после опубликованных в прессе заявлений об уничтожении данной бот-сети. Тем не менее, уже спустя несколько месяцев прекратили свое существование и эти серверы, поэтому в настоящий момент мы действительно можем говорить о полной и безоговорочной ликвидации ботнета BackDoor.BlackEnergy.
Мошенничество в Интернете

Не дремлют и сетевые мошенники, всеми силами стремящиеся нажиться на доверчивости простых пользователей. Так, в начале мая злоумышленники устроили атаку на пользователей Facebook. Заглянув на свою страницу в этой социальной сети, пользователь обнаруживал в новостной ленте ссылку на программу Profile Visitor, якобы способную фиксировать и демонстрировать на специальной странице посетителей его профиля. Ссылка, как правило, публиковалась от имени одного из друзей пользователя и вела на страницу встроенного приложения Facebook, для активации которого требовалось разрешить программе публиковать контент от имени пользовательской учетной записи. Как только ничего не подозревающая жертва нажимала на кнопку «Разрешить», на стене ее профиля и в новостной ленте всех ее друзей появлялась ссылка на данное приложение, размещенная от ее имени. Однако даже если пользователь не разрешал программе Profile Visitor какие-либо публикации, все, кто зарегистрирован в списке его друзей, получали «отметку» на «фотографии», представляющей собой рекламный баннер-ссылку приложения Profile Visitor. С помощью этого баннера пользователь перенаправлялся на различные мошеннические сайты.
В конце того же месяца многие российские пользователи стали жертвами массовой рассылки электронных писем, отправленных от имени Сбербанка. Послания с темой «Сообщение об увеличении задолженности» получило множество пользователей. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружался файл .SCR — в RAR- или ZIP-архиве либо в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказывались зашифрованными, а за их расшифровку злоумышленники требовали заплатить определенную сумму.
В июне письма с вредоносным содержимым чаще всего отправлялись якобы от имени почтовых служб UPS и EMS. В сообщениях говорилось о том, что служба не смогла доставить пользователю почтовое сообщение, а за подробностями злоумышленники советовали обратиться к вложенному в сообщение файлу, в котором, как правило, скрывалась троянская программа.
В то же самое время сетевые мошенники освоили новый способ обмана пользователей, озадаченных поиском работы. Преследуя свои корыстные цели, злоумышленники создавали на специализированных ресурсах учетную запись несуществующей компании с громким и запоминающимся названием. Затем по электронной почте мошенники отправляли соискателям сообщение, в котором предлагалось занять некую вымышленную вакансию, например, «инженера по подбору оборудования». Для этого потенциальной жертве следовало пройти «онлайн-собеседование» на определенном сайте, созданном специально для этой цели. «Онлайн-собеседование», как правило, состояло из нескольких десятков примитивных вопросов, а после прохождения «теста» жертве предлагалось отправить СМС-сообщение «с личным кодом результата» на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. На самом деле, таким образом пользователь соглашался с условиями «псевдоподписки» — услуги по предоставлению доступа к информации, за оказание которой со счета его мобильного телефона регулярно списывалась определенная сумма.
Наиболее интересные угрозы года

Одной из наиболее ярких тенденций четвертого квартала стало резкое снижение числа заражений пользовательских компьютеров троянской программой Trojan.Mayachok.1, уверенно возглавлявшей список наиболее опасных угроз с начала 2012 года. Связано это, прежде всего, с тем, что вирусописатели начали активно модифицировать эту троянскую программу: если на начало года было известно лишь несколько ее версий, то к концу декабря в базах Dr.Web насчитывалось уже более 1 000 соответствующих записей. Изменениям подвергся и код вредоносной программы, и — отчасти — ее функционал, при этом если в начале года новые версии Trojan.Mayachok появлялись не чаще раза в месяц, то в октябре-ноябре модификации данного троянца детектировались практически каждый день, однако их различия в целом были незначительными. Напомним, что вредоносные программы Trojan.Mayachok обладают возможностью встраивать в просматриваемые пользователем веб-страницы постороннее содержимое. Например, блокировать таким образом доступ к Интернету и требовать плату за его разблокировку. Можно предположить, что новые версии троянцев этого семейства будут появляться и в дальнейшем.
В конце июня специалистами компании «Доктор Веб» был проведен анализ вредоносной программы Trojan.Hottrend, которую можно назвать самым маленьким из известных на сегодняшний день банковских троянцев. Размер её составляет всего 20 КБ. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.
Одним из самых интересных троянцев, исследованных вирусными аналитиками компании «Доктор Веб» в 2012 году, является вредоносная программа под названием BackDoor.DaVinci.1. Главной отличительной особенностью этого троянского приложения является то, что оно способно работать как в операционной системе Microsoft Windows, так и в Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ. Эта вредоносная программа представляет собой многокомпонентный бэкдор, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для сокрытия работы приложения в операционной системе.
BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных брандмауэров, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то, что впервые в данной платформе используются руткит-технологии для сокрытия файлов и процессов.
Ну а наиболее оригинальным подходом к заражению компьютеров отличился троянец Trojan.KillFiles.9055, распространявшийся по электронной почте в сообщениях с призывами присоединиться к протестным акциям 5 марта 2012 года. Примечателен тот факт, что тело троянца располагалось непосредственно в макросе, встроенном в приложенный к письму документ Word. Вредоносная программа сохранялась на диск и выполнялась в момент открытия документа. Запустившись на компьютере жертвы, Trojan.KillFiles.9055 вызывал зависание ОС Windows. Одновременно троянец менял содержимое всех обнаруженных на диске С файлов (с расширением .msc .exe .doc .xls .rar .zip .7z) на «цифровой мусор» и помечал их на удаление после перезагрузки системы, вследствие чего Windows приходила в нерабочее состояние. Затем троянец отправлял на удаленный сервер злоумышленников сообщение о том, что операционная система успешно уничтожена.
Android под атакой: «легкие» деньги, доступ к конфиденциальной информации и усложнение угроз

Как и ожидалось, число угроз, ориентированных на ОС Android, в 2012 году продолжило неуклонно расти, что неудивительно: мобильные устройства под управлением этой операционной системы продолжают занимать все более прочное положение на рынке. Так, согласно последнему исследованию компании IDC, в третьем квартале 2012 года три четверти поставляемых смартфонов работали именно на этой платформе. На представленной ниже диаграмме отображено процентное распределение вредоносных программ для Android.
Наиболее распространенной и массированной угрозой по-прежнему остаются троянцы семейства Android.SmsSend, появившиеся еще в 2010 году. Основная функция этих вредоносных программ — отправка дорогостоящих СМС-сообщений и подписка пользователей на различные контент-услуги. Подавляющее большинство троянцев Android.SmsSend с технологической точки зрения является примитивными разработками, однако простота создания и высокая окупаемость побуждают киберпреступников выпускать бесчисленные модификации этих вредоносных программ.
Одной из наиболее заметных тенденций 2012 года стало существенное увеличение числа троянских программ-шпионов для ОС Android. Так, весьма показательным стало появление целого ряда троянцев, которые начиная с середины 2012 года атаковали японских пользователей. Все эти вредоносные программы, среди которых были Android.EmailSpy.origin, Android.MailSteal.1.origin и Android.Maxbet.1.origin, распространялись при помощи спам-писем, содержавших ссылку, которая вела на загрузку якобы полезного приложения. Программы-шпионы предназначались для кражи персональной информации, такой как адреса электронной почты. Были обнаружены и новые представители банковских троянцев, в частности, Android.SpyEye.2.origin, Android.Panda.2.origin и Android.FakeSber.1.origin. Последний особенно интересен тем, что предназначался для атаки на клиентов одного из крупнейших российских банков, в то время как другие вредоносные программы данного типа раньше представляли угрозу лишь для зарубежных пользователей. Это свидетельствует о том, что география применения таких вредоносных программ постепенно расширяется. Несмотря на то, что банковские троянцы для ОС Android все еще встречаются нечасто, они представляют серьезную опасность из-за точечного и хорошо спланированного характера атак. Появление первой подобной вредоносной программы в России может стать отправной точкой к увеличению инцидентов с их участием.
В прошедшем году продолжил расширяться рынок коммерческого шпионского ПО: на протяжении всего года в вирусные базы Dr.Web вносились не только новые модификации известных приложений для кибершпионажа и мониторинга, но также целый ряд новых семейств.
В 2013 году стоит ожидать увеличения количества подобных потенциально опасных программ, а также различных троянцев-шпионов. Весьма вероятной представляется угроза со стороны APT-кампаний (атак с перебором различных видов угроз и уязвимостей до получения результата), в которых будут использоваться Android-троянцы. В целом же можно говорить о том, что все большее число Android-угроз, так или иначе участвующих в краже конфиденциальной информации, применяется в узконаправленных атаках. Эта тенденция в ближайшем будущем сохранится.
Одной из наиболее опасных вредоносных программ для мобильных Android-устройств в 2012 году стал троянец Android.SmsSend.186.origin. От большинства других представителей этого семейства он отличался весьма продвинутыми методами сокрытия вредоносного функционала. Во-первых, при его распространении был использован дроппер, не требующий для работы никаких специальных разрешений. Во-вторых, после установки Android.SmsSend.186.origin заставлял пользователя предоставить ему права администратора мобильного устройства, а после их получения на некоторых версиях ОС Android его было очень сложно удалить. Вполне вероятно, что в 2013 году появятся новые вредоносные программы, в той или иной степени противостоящие попыткам своего удаления, а также использующие различные техники для сокрытия своего присутствия в системе от пользователей.
Вредоносные программы, использующие уязвимости ОС Android для повышения системных привилегий, в прошедшем году не проявляли сколь-нибудь заметной активности. Причиной этого мог стать постепенный переход пользователей на более новые версии Android, в которых соответствующие уязвимости были исправлены, а также усиление безопасности платформы в целом. Однако нельзя исключать, что в 2013 году могут появиться новые вредоносные приложения, которые будут использовать неизвестные ранее уязвимости.
Последняя версия ОС Android 4.2, вышедшая относительно недавно, содержит ряд улучшений, направленных на борьбу с вредоносным ПО. В частности, добавлена функция проверки приложений, основанная на рейтинге их безопасности, а также введена ограничивающая мера для приложений, имеющих возможность отправлять СМС-сообщения на премиум-номера — теперь пользователи имеют возможность выбора: разрешить или запретить отправку таких СМС. Однако эффективность этих нововведений можно будет полноценно оценить лишь тогда, когда обновленная версия операционной системы станет использоваться на существенном количестве мобильных устройств. Учитывая огромный рынок совместимого с ОС Android оборудования, можно предположить, что злоумышленники найдут способы обхода новых защитных функций.
Прогнозы и перспективы

Исходя из анализа угроз, поступивших в вирусную лабораторию компании «Доктор Веб» в течение 2012 года, можно спрогнозировать основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.

  • Будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры.
  • Значительно увеличится и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз.
  • Продолжится рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).
  • Возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в ОС Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.
  • Будет расти число и усложняться функционал банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры.
  • В целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет ассортимент троянцев-шпионов.
  • Возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы. Увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
2013

В глобальном рейтинге угроз рост динамики продемонстрировали вредоносные программы Win32/Sality, Win32/Ramnit и Win32/Virut. Все три угрозы являются файловыми вирусами и предназначены для извлечения выгоды через нарушение целостности исполняемых файлов скомпрометированного пользователя. Файловые вирусы представляют большую опасность из-за метода распространения – заражения исполняемых файлов на локальных и сетевых дисках. Активность одного зараженного файла может привести к компрометации сети целого предприятия.
Рост активности также продемонстрировали вредоносные элементы веб-страниц HTML/ScrInject и вредоносная программа JS/Fbook. Оба этих вида вредоносного ПО активизируются удаленно через веб-страницы.
В декабре специалисты ESET обнаружили новую модификацию печально известного шифровальщика Cryptolocker под названием Cryptolocker 2.0, которая детектируется антивирусными продуктами ESET NOD32 как MSIL/Filecoder.D и MSIL/Filecoder.E. Эта программа шифрует личные данные пользователя, требуя выкуп за разблокировку доступа.
При шифровании Cryptolocker использует распределенную архитектуру, т.е. ключ для расшифровки файлов хранится не в теле зашифрованного файла или на зараженном компьютере, а на удаленном сервере злоумышленников. В модификации Cryptolocker 2.0 были добавлены возможности по шифрованию новых типов файлов: распространенного музыкального формата mp3, изображений с расширениями jpg и png, а также видеофайлов mp4, avi и mpg.
В российском рейтинге угроз отмечен рекордно низкий за последний год уровень активности вредоносной программы Win32/Qhost, которая упала с 15,91% в начале года до 7,75% в декабре, но по-прежнему сохранила лидерство. Qhost используется для перенаправления пользователя на фишинговые ресурсы через системный файл hosts.
Рост продемонстрировала троянская программа Win32/Spy.Ursnif, которая используется для похищения различных данных аккаунтов и вредоносные элементы веб-страниц JS/IFrame.
В декабре компания Microsoft в очередной раз закрыла ряд уязвимостей в своих продуктах. 11 декабря были выпущены одиннадцать обновлений для ОС семейства Windows, а также для решений MS Office, Exchange и др.
Одно из обновлений для Windows и Office, MS13-096, закрывает эксплуатируемую злоумышленниками уязвимость CVE-2013-3906 (обнаруживается ESET как Win32/Exploit.CVE-2013-3906.A). Уязвимость присутствует в Microsoft Word версий 2003-2007-2010 и в Windows Vista. Злоумышленники могут исполнять вредоносный код через специальный doc-файл.
Также были обновлены все поддерживаемые версии браузера Internet Explorer (6-11) для всех ОС, начиная с Windows XP. Большинство исправляемых уязвимостей относятся к типу Remote Code Execution и могут использоваться для удаленного исполнения кода через специальным образом сформированную веб-страницу. Всего для IE было исправлено семь уязвимостей.
Кроме того, для усиления защиты продуктов MS Office компания выпустила обновление MS13-106 для библиотеки hxds.dll, которая используется в Office 2007 и 2010. Эта библиотека использовалась злоумышленниками для обхода защитных механизмов браузеров.
В декабре 2013 года доля России в мировом объеме вредоносного ПО составила 8%.
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
[h=3]Вирусная обстановка 2013[/h] Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, среди угроз, обнаруженных в декабре 2013 года на компьютерах пользователей, абсолютными лидерами, как и прежде, являются рекламные троянцы Trojan.InstallMonster.38 и Trojan.LoadMoney.1. Кроме того, среди наиболее часто выявляемых лечащей утилитой угроз в декабрьской статистике присутствуют рекламный троянец Trojan.Packed.24524 и Trojan.Siggen5.64541 — детект троянских динамических библиотек, предназначенных для перехвата различных функций браузеров. Двадцатка вредоносных программ, лидирующих среди выявленных лечащей утилитой Dr.Web CureIt! угроз в декабре 2013 года, приведена ниже.
[h=3]Ботнеты[/h] В декабре 2013 года выросла бот-сеть, созданная злоумышленниками с использованием файлового вируса Win32.Rmnet.12. В первой из отслеживаемых специалистами «Доктор Веб» подсетей Win32.Rmnet.12 ежесуточно регистрировалось порядка 20 000 вновь инфицированных компьютеров, что на 5 000 больше ноябрьских показателей. Данный процесс можно проследить с помощью представленной ниже диаграммы.
Во второй подсети Win32.Rmnet.12 динамика регистрации новых ботов осталась прежней: как и в предыдущем месяце, ежесуточно к ботнету подключалось порядка 12 000 вновь инфицированных компьютеров:
Значительно сократилось число компьютеров, на которых антивирусное ПО Dr.Web фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — с 3 345 в конце ноября до 2 607 в 20-х числах декабря. Также в декабре практически прекратил свое существование ботнет BackDoor.Bulknet.739: если в конце прошлого месяца он насчитывал 1 270 инфицированных компьютеров, то к 23 декабря их количество снизилось до 121. А вот численность ботнета BackDoor.Dande, предназначенного для кражи конфиденциальной информации у представителей российских фармацевтических компаний, за месяц почти не изменилась: на 23 декабря эта бот-сеть насчитывала 1 098 инфицированных компьютеров. Любопытен также тот факт, что ботнет, созданный злоумышленниками с использованием Apple-совместимых компьютеров, инфицированных троянцем BackDoor.Flashback.39, сокращается крайне незначительными темпами — в декабре его численность составила 28 829 зараженных машин, снизившись за минувший месяц на 4 110 «маков».
[h=3]Угроза месяца[/h] В декабре специалисты компании «Доктор Веб» провели исследование вредоносной программы Trojan.Zadved.1, первые образцы которой были добавлены в вирусные базы еще в начале ноября. Наиболее актуальная версия инсталлятора Trojan.Zadved.1 недавно появилась в раздаче вредоносной партнерской программы Installmonster.ru. Троянец представляет собой надстройку к браузерам, якобы предназначенную для обеспечения безопасности при просмотре веб-сайтов, однако выполняет она прямо противоположные функции.
По завершении установки плагин появляется в списке зарегистрированных расширений браузера и загружает с удаленных серверов несколько файлов сценариев, с помощью которых троянец и реализует свои вредоносные функции. Один из них подменяет в окне браузера выдачу поисковых систем, демонстрируя пользователю посторонние ссылки.
Другой сценарий выводит на экран поддельные всплывающие окна сообщений социальной сети «ВКонтакте». Причем, видимо, в целях повышения достоверности злоумышленники демонстрируют подобные сообщения только в том случае, если жертва просматривает веб-страницы на сайте vk.com. Кроме того, троянец заменяет тизерные рекламные модули «ВКонтакте» своими собственными. Еще один сценарий предназначен для реализации так называемой «кликандер»-рекламы: при щелчке мышью в произвольной точке веб-страницы скрипт открывает новое окно браузера, в котором загружается рекламируемый злоумышленниками сайт. Более подробную информацию об этой угрозе можно найти в опубликованной на нашем сайте статье.
[h=3]Месяц майнеров[/h] Декабрь выдался на редкость урожайным с точки зрения распространения новых вредоносных программ, предназначенных для добычи (майнинга) криптовалюты Bitcoin и одного из ее аналогов — Litecoin. Так, в начале месяца специалисты «Доктор Веб» добавили в вирусные базы сигнатуру троянца Trojan.BtcMine.221, распространявшегося с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах. Создатели приложения утверждают, что данный плагин, названный ими Shopping Suggestion, автоматически распознает просматриваемые пользователем на различных торговых площадках товары и отыскивает в сети аналогичные предложения по более выгодным ценам. Также этот троянец нередко маскируется под иные приложения, такие как VLC-плеер или программу для анонимного серфинга в Интернете. На самом же деле Trojan.BtcMine.221 предназначен для добычи (майнинга) криптовалюты Litecoin, для чего он использует аппаратные ресурсы компьютера без ведома пользователя. На момент обнаружения троянца было зафиксировано 311 477 установок бота, география его распространения показана на представленной ниже иллюстрации. Более подробную информацию об этой угрозе можно получить в опубликованной нами обзорной статье.
Также в декабре в антивирусную лабораторию компании «Доктор Веб» поступил образец еще одного троянца-майнера, который был добавлен в базы под именем Trojan.BtcMine.218. Это приложение распространялось с использованием вредоносной партнерской программы Installmonster.ru и любопытно тем, что вирусописатели оставили в отладочной информации троянца свои «автографы»: так, инсталлятор Trojan.BtcMine.218, написанный на языке AutoIt, содержит следующие строки:
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe") FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe") А в коде самой троянской программы присутствует такая строка:
c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb С более подробной информацией о распространении данной угрозы можно можно ознакомиться в опубликованной нами статье.
Наконец, в конце декабря компания «Доктор Веб» опубликовала новостной материал, рассказывающий о распространении новой модификации троянца семейства Trojan.Mods, получившей наименование Trojan.Mods.10. Основным отличием этой вредоносной программы от предшественниц является присутствие в ее составе программы, предназначенной для добычи (майнинга) электронной криптовалюты Bitcoin. Основные же функциональные возможности Trojan.Mods.10 заключаются в подмене просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса.
Следует отметить, что увеличение количества угроз, направленных на добычу (майнинг) электронной валюты, отнюдь не случайно, поскольку такие троянцы приносят вирусописателям заметную прибыль: по информации, собранной специалистами компании «Доктор Веб», средний ежесуточный доход злоумышленников от эксплуатации троянской программы Trojan.BtcMine.221 составляет 1 454,53 долл. США.
[h=3]Угрозы для Android[/h] Для пользователей Android-устройств последний месяц 2013 года не стал спокойным периодом и преподнес сразу несколько предновогодних сюрпризов, таких как появление множества новых троянцев-шпионов и других опасных программ.
В частности, антивирусная база Dr.Web в декабре пополнилась более чем десятью записями для вредоносных приложений, принадлежащих к семействам Android.SmsSpy и Android.Spy, большая часть из которых распространялась на территории Южной Кореи с применением нежелательных СМС-сообщений, содержащих ссылку на загрузку троянцев. По сравнению с предыдущим месяцем, число таких рассылок выросло на 88,9% и составило 204 зарегистрированных случая. Наиболее часто южнокорейские пользователи сталкивались с угрозой со стороны троянцев Android.Spy.45.origin (51% случаев), Android.SmsSpy.51.origin (19% случаев) а также Android.SmsSpy.53.origin (9% случаев) и Android.Spy.67 (9% случаев). Общее процентное соотношение обнаруженных вредоносных программ представлено на следующей диаграмме.
Не менее заметным событием декабря стало обнаружение в каталоге Google Play троянского приложения под названием WhatsAppCopy, выполняющего кражу истории переписки из официального клиента популярного сервиса обмена сообщениями WhatsApp для ОС Android. Данная программа, внесенная в вирусную базу Dr.Web как Android.WhatsappSpy.1.origin, представляла собой простое игровое приложение, которое незаметно для пользователей Android-устройств загружало на сервер разработчика троянца базу данных, содержащих сохраненные сообщения мессенджера. Кроме того, вредоносная программа передавала на сервер изображения, а также номер телефона, связанные с учетной записью клиента сервиса.
В дальнейшем любой желающий мог получить доступ к переписке интересующего его пользователя, введя на веб-сайте автора троянца соответствующий мобильный номер. Несмотря на то, что данное приложение позиционировалось как безобидное средство создания резервной копии переписки из программы WhatsApp, потенциальный риск его недобросовестного использования вынудил корпорацию Google удалить данную программу из каталога Google Play. Тем не менее, программа остается доступной для загрузки на официальном сайте разработчика, поэтому многие пользователи рискуют стать жертвами шпионажа со стороны злоумышленников.
Еще одним открытием, получившим весьма широкую огласку в различных сетевых СМИ, стало появление в каталоге Google Play приложения под названием Bazuc, позволявшего пользователям получать вознаграждение за отправку рекламных и информационных СМС-сообщений со своего мобильного номера. Разработчики сообщали, что наиболее предпочтительными для этой являются безлимитные тарифные планы, однако никакого контроля тарифа в приложении не предусмотрено, поэтому беспечные пользователи со стандартными параметрами тарификации СМС рисковали столкнуться с огромными счетами или же отключением от сети оператора, т.к. Bazuc был способен выполнить отправку тысяч сообщений в сутки. Кроме того, рассылаемые СМС приходили целевой аудитории непосредственно с номера, принадлежащего предприимчивому абоненту, что также могло привести к негативным последствиям: недовольные рекламой получатели сообщений имели возможность, например, позвонить по этому номеру и, в лучшем случае, гневно высказать свое отношение к новоявленному спамеру.
rev_12_2013_bazuc_1.png
Данная программа была удалена из каталога Google Play, однако она все еще доступна для загрузки на официальном сайте разработчика. Учитывая потенциальные риски данного приложения, специалисты компании «Доктор Веб» приняли решение внести его в вирусную базу как Program.Bazuc.1.origin, поэтому она не представляет большой опасности для пользователей антивирусных продуктов Dr.Web для Android.
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
Итоги 2013 года: киберугрозы для Windows

Москва, 20 января 2014 г. Эксперты международной антивирусной компании ESET подготовили отчет о наиболее активных угрозах для ОС Windows в 2013 году.
Прошлый год был отмечен появлением целого ряда новых вредоносных программ, а также модификаций уже известных угроз. Файловые вирусы в 2013 году демонстрировали некоторое падение активности, но до сих пор представляют собой серьезную угрозу. В течение года сразу три семейства данных вирусов – Win32/Sality, Win32/Ramnit и Win32/Virut – стабильно попадали в глобальный рейтинг угроз.
Такие вирусы могут заразить все исполняемые файлы (с расширениями exe, bat и др.), содержащиеся на ПК, а также способны поставить под удар целую корпоративную сеть, поскольку умеют распространяться и заражать сетевые диски других компьютеров, объединенных в сеть.
1.png
Самой распространенной в России вредоносной программой был и остается троян Win32/Qhost, изначально ориентированный на российских пользователей. Функционал Qhost относительно прост – программа модифицирует системный файл hosts для перенаправления пользователя на принадлежащие злоумышленникам фишинговые, рекламные или вредоносные ресурсы.
Подобные перенаправления (клики) монетизируются и приносят злоумышленникам фактическую прибыль. Также мошенники могут выманивать у пользователя аутентификационные данные с помощью фальшивых страниц, замаскированных под популярные социальные сети.
2.png
География распространения Qhost. Россия является наиболее уязвимым регионом.
Обнаружение угроз вида HTML\IFrame используется для идентификации вредоносных элементов веб-страниц. Часто вредоносные IFrame используются для перенаправления пользователя с легального сайта на вредоносный контент или набор эксплойтов.
3.png
Кроме того, и в России, и в мире все еще высока активность вредоносных программ, которые используют INF-файлы для обеспечения автоматического запуска со съемных носителей и непосредственно в системе. Такой механизм особенно актуален для устаревших ОС, поскольку у них автозапуск со съемных носителей через Autorun-файлы по умолчанию активирован. Антивирусные продукты ESET детектируют вредоносное ПО такого рода как INF/Autorun.
Обновления компонентов Microsoft
В прошлом году компания Microsoft исправила большое количество уязвимостей для ОС Windows и ее компонентов, а также для пакета программ MS Office. Некоторые из этих уязвимостей использовались злоумышленниками для доставки вредоносного кода еще до выхода обновления (т.н. уязвимости 0day или «нулевого дня»). Как правило, большинство из них ориентировались на изъяны в браузере Internet Explorer.
Уходящий год отметился появлением 0day уязвимостей, которые использовались в направленных атаках. Иными словами, злоумышленники осуществляли разработку эксплойтов не для спонтанного распространения вредоносного кода, а для атак на конкретных пользователей, преследуя вполне определенные цели.
Ниже показан рейтинг компонентов в семействе ОС Windows, которые чаще всего обновлялись в 2013 году, а также сравнение данного показателя с 2012 годом.
4.png
В 2013 году Microsoft приходилось закрывать гораздо больше уязвимостей, чем годом ранее.
Статистика по выпущенным обновлениям демонстрирует, что в 2013 году браузер Internet Explorer, компоненты .NET и плагин к браузеру Silverlight наиболее активно использовались злоумышленниками для удаленного исполнения кода, причем в большинстве случаев такие атаки реализовывались через браузер.
Уязвимости в приложениях пакета программ Office также могут использоваться для удаленной установки вредоносного кода. По выпущенным в этом году обновлениям для Office видно, что большинство из них были направлены на устранение уязвимостей типа Remote Code Execution (удаленное исполнение кода).
При таком сценарии злоумышленники создают специальный файл Office (например, doc-файл Word) и отправляют его с фишинговым письмом на адрес жертвы. Текст письма должен быть максимально убедительным, чтобы заставить пользователя открыть вложение. Запуская такой файл с помощью уязвимой версии Office, пользователь инициирует установку вредоносного ПО.
Windows XP – финальный аккорд
В апреле 2014 года корпорация Microsoft прекратит поддержку последних выпусков Windows XP SP3 и Windows XP x64 SP2. Несмотря на призывы компании отказаться от этой ОС и перейти на более новые платформы, ей по-прежнему пользуется огромное количество пользователей. Согласно статистике аналитической компании Net Applications, сегодня Windows XP установлена почти на 30% всех компьютеров.
5.png
Рис. Статистика использования ОС на компьютерах, по данным Net Applications.
Отказ от официальной поддержки Microsoft будет означать и прекращение выпуска обновлений, своевременно закрывающих уязвимости. Опасность заключается в том, что в Windows XP до сих пор обнаруживаются потенциально опасные уязвимости – ближайшее обновление для одной из них выйдет в январе.
Кроме того, киберпреступники могут пока не использовать уже обнаруженные ими уязвимости вплоть до прекращения официальной поддержки – эти уязвимости, которые Microsoft уже не будет закрывать, могут быть использованы для заражения максимального количества владельцев Windows XP.
Стоит отметить, что антивирусные решения ESET NOD32 не только поддерживают операционную систему Windows XP, но и оптимизированы для быстрой и стабильной работы даже на маломощных ПК, которые обычно используют данную ОС.
Компания ESET продолжит защищать пользователей XP даже после завершения официальной поддержки от Microsoft.
Windows-тренды
  • Прошлый год закрепил основной тренд разделения вредоносных программ на два вида: используемые киберпреступниками для личной материальной выгоды, а также применяемые для узконаправленных атак (т.н. watering hole) с целью компрометации определенной компании, отрасли индустрии или региона. Для многих из атак второго вида злоумышленники специально осуществляли поиск той или иной программной уязвимости, используя ее непосредственно для атаки на конкретный регион или компанию. В 2014 году такой тренд получит еще большее распространение.
  • Злоумышленники все чаще прибегают к использованию возможностей анонимной сети TOR для работы с удаленными C&C-серверами. В этом году появилось несколько новых угроз с такими возможностями – например, Win32/Atrax.A, Win32/Agent.PTA, Win32/Napolar. Благодаря анонимности TOR, преступники скрывают информацию о C&C (IP-адресе или домене), что особенно полезно для сокрытия данных от систем, которые собирают информацию о входящем/исходящем трафике в сети того или иного предприятия. Если бы не TOR, служба безопасности быстро обнаружила бы подлинный вредоносный URL.
  • Использование распределенной архитектуры в вымогателях-шифровальщиках. На примере Cryptolocker (Win32/Filecoder.BQ) стало очевидно, что если использовать алгоритм шифрования с открытым ключом, то у пользователя не будет иного выхода, кроме как заплатить злоумышленникам выкуп (или, в противном случае, потерять свои файлы). В декабре мы сообщали об обнаружении новой модификации этой программы, Cryptolocker 2.0. Кроме этого, в начале 2014 года уже появилась информация о новом шифровальщике, который использует схожий подход и называется Prison Locker (Power Locker), о чем сообщили в блоге malwaremustdie.
  • Наиболее востребованным вредоносным кодом у злоумышленников являются инструменты, которые используются для хищения различной конфиденциальной информации. Такие программы содержат в себе несколько компонентов (например, мобильный компонент, который позволяет обходить двухфакторную аутентификацию в виде кодов подтверждения SMS). Подобное вредоносное ПО является одним из самых современных методов хищения денежных средств и конфиденциальных данных пользователей.
  • Несмотря на то, что уязвимости типа Remote Code Execution (удаленное исполнение кода) в браузерах и другом популярном ПО играют существенную роль для доставки вредоносного кода, киберпреступники часто прибегают к более простому методу – использованию человеческого фактора. Применение двойных расширений у файлов, убедительное фишинговое сообщение, нацеленность на определенную группу людей (с учетом предварительно проведенной разведки), поддельные иконки файлов – эти и многие другие приемы находятся в активном арсенале киберпреступников и будут использоваться в дальнейшем.
  • 64-битные угрозы. В этом году была обнаружена модификация широко известного файлового вируса Expiro, которая умеет заражать как 32-битные, так и 64-битные файлы, а также обладает переносимым кроссплатформенным телом. Кроме того, многие вредоносные программы уже имеют в своем составе 64-битную полезную нагрузку. Очевидно, что киберпреступники руководствуются весьма практическими целями, поскольку 64-битных ОС в мире становится все больше.
  • Сложные вредоносные программы как способ извлечения значительной выгоды. Пример печально известного семейства ZeroAccess (Win32/Sirefef, Win64/Sirefef) показывает, что глубокое сокрытие кода в системе, нестандартные подходы к заражению файлов, а также направленность на платформу x64 позволяют злоумышленникам извлекать колоссальную выгоду. По подсчетам Microsoft Digital Crimes Unit, ботнет ZeroAccess заразил около 2 млн компьютеров, а прибыль от его деятельности составляла $2 700 000 в месяц.
http://www.esetnod32.ru/company/press/center/itogi-2013-goda-kiberugrozy-dlya-windows/
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
Обзор Android-угроз за 2013 год от компании «Доктор Веб»

27 января 2014 года
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор основных Android-угроз, обнаруженных в 2013 году. Минувший год не принес каких-либо фундаментальных изменений в сфере безопасности мобильной ОС от корпорации Google.Как и ожидалось, за прошедшие 12 месяцев значительно возросло число новых вредоносных, нежелательных и потенциально опасных программ для Android-устройств, при этом наиболее распространенной угрозой для пользователей традиционно стали троянцы, приносящие незаконный заработок своим создателям. Одновременно с этим существенно увеличилось количество вредоносных приложений, предназначенных для кражи конфиденциальной информации владельцев мобильных устройств.
Android-угрозы в 2013 году: общая статистика

Прошлогодние события в области информационной безопасности снова подтвердили, что операционная система Android окончательно укрепила за собой статус главной площадки по осуществлению незаконной деятельности киберпреступников на мобильном рынке. Свидетельством этого, в частности, является динамика пополнения вирусной базы компании «Доктор Веб»: число новых записей для вредоносных и нежелательных Android-приложений в 2013 году выросло на 1 547 единиц и достигло отметки в 2 814 вирусных описаний. Это на 122% больше, чем число записей на конец аналогичного периода 2012 года. Если же сравнивать текущие значения с показателями 2010 года – периода появления первых вредоносных приложений для ОС Android, – то они составили +9280%, продемонстрировав рост практически в 94 раза.
Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web в период с 2010 по 2013 год


Для сравнения: общее количество вирусных описаний угроз для других популярных мобильных платформ, таких как BlackBerry, Symbian OS, Java, iOS и Windows Mobile в конце 2013 года равнялось 1600 записям, что в 1,76 раза меньше этого же показателя для Android-угроз.
Количество вирусных описаний для мобильных угроз по состоянию на 2013 год


Существенно увеличилось число новых семейств вредоносных и потенциально опасных программ для ОС Android: рост составил 185% от значений 2012 года, и общее их количество достигло 331.
Общее число семейств, принадлежащих к Android-угрозам


Если проанализировать текущий состав вирусной базы Dr.Web, то рейтинг наиболее многочисленных Android-угроз будет выглядеть следующим образом:
Наиболее многочисленные Android-угрозы согласно объему записей вирусной базы компании «Доктор Веб»


СМС-троянцы – все еще главная угроза

Согласно приведенной выше статистике, в 2013 году, как и прежде, безоговорочными «лидерами» среди всех вредоносных Android-приложений стали троянцы семейства Android.SmsSend. Эти программы, появившиеся еще в 2010 году, предназначены для скрытой отправки дорогостоящих СМС-сообщений, а также подписки пользователей на платные контент-услуги, за пользование которыми с абонентского счета взимается определенная плата. За прошедший год число версий вредоносных приложений семейства Android.SmsSend выросло более чем в 2 раза, достигнув отметки в 1 377 модификаций. Общую динамику роста количества СМС-троянцев можно проследить на графике, отображающем объем соответствующих им записей в вирусной базе Dr.Web на период с 2010 по 2013 год:
Динамика роста числа записей для вредоносных программ семейства Android.SmsSend


Данные троянцы могут распространяться как в виде самостоятельных программных пакетов, выдаваемых, например, за обновления или инсталляторы известных приложений, так и внутри легитимных программ, модифицированных злоумышленниками. Стоит отметить, что второй метод долгое время был и все еще остается наиболее популярным на территории Китая, о чем свидетельствует появление в 2013 году целого ряда очередных модификаций подобных СМС-троянцев, угрожавших китайским пользователям. Вместе с тем за последние 12 месяцев были обнаружены аналогичные вредоносные приложения, действовавшие, в частности, уже против вьетнамских владельцев Android-устройств. Это говорит о том, что такой способ распространения троянцев семействаAndroid.SmsSend не только не утратил своей актуальности, но и стал еще более востребованным среди киберпреступников. Примечательно, что в большинстве подобных случаев изменению подвергаются популярные игровые приложения, и реже – прикладное ПО.
После запуска таких модифицированных программных пакетов пользователь получает ожидаемый функционал, в то время как нежелательные для него действия, такие как отправка СМС-сообщений, остаются незамеченными. Весьма вероятно, что в будущем данная методика не утратит своей актуальности, и география ее применения при распространении СМС-троянцев расширится.



Заметным событием, связанным с троянцами Android.SmsSend в прошлом году, стало обнаружение в сентябре самого крупного за последнее время мобильного ботнета, состоящего из Android-устройств, инфицированных этими вредоносными программами. По оценкам специалистов компании «Доктор Веб» в состав бот-сети входило более 200 000 смартфонов и планшетных компьютеров, а потенциальный ущерб, нанесенный пользователям, мог превысить несколько сотен тысяч долларов. Для заражения мобильных устройств злоумышленники использовали сразу несколько СМС-троянцев, которые маскировались под инсталляторы легитимного программного обеспечения, такого как веб-браузеры и клиенты для работы с социальными сетями. Географическое распределение устройств, входящих в этот ботнет, наглядно продемонстрировано на следующем изображении.


Android.SmsBot – закономерная эволюция СМС-троянцев

В 2013 году пользователи Android-устройств столкнулись с ростом числа случаев распространения относительно новой угрозы, а именно троянцев семейства Android.SmsBot. Данные вредоносные приложения представляют собой логичное продолжение концепции широко распространенного семейства Android.SmsSend: основным их предназначением является все та же несанкционированная отправка премиум-сообщений с целью получения злоумышленниками незаконного заработка. Однако, в отличие от подавляющего большинства предшественников, у которых все параметры работы заранее указываются в конфигурационных файлах или в самом их коде, эти троянцы получают указания к действию непосредственно от киберпреступников, что в значительной мере расширяет их возможности. В частности, при необходимости ими может быть задан новый текст СМС-сообщения и целевой номер, на который будет осуществлена его отправка. Многие версии троянцев Android.SmsBot способны по команде выполнять и другие действия, например, загрузку прочих вредоносных программ, удаление определенных СМС, сбор и отправку информации о мобильном устройстве на удаленный сервер, совершение звонков. Кроме того, отдельные модификации этих вредоносных приложений могут запрашивать состояние баланса мобильного счета при помощи USSD- или СМС-запросов и, в зависимости от результата, получать от управляющего сервера указание выполнить отправку сообщения на номер с определённой стоимостью.
Показательно, что на конец 2012 года вирусная база Dr.Web содержала лишь одну запись, относящуюся к вредоносным программам семейства Android.SmsBot, в то время как в 2013 году их число достигло уже 24. Динамика увеличения числа случаев распространения этих троянцев говорит о росте заинтересованности злоумышленников в решении комплексных задач и осуществлении незаконной деятельности в более гибкой и организованной форме, поэтому вполне ожидаемо, что число новых модификаций вредоносных программ такого типа будет только расти.
Число вирусных записей для троянцев семейства Android.SmsBot


Возрастание угрозы раскрытия конфиденциальной информации: банковские троянцы, кража персональных сведений и программы-шпионы

Остро вставшая в 2012 году проблема сохранности персональной информации пользователей мобильных Android-устройств получила дальнейшее развитие и в минувшем году: на протяжении последних двенадцати месяцев наблюдался значительный рост числа вредоносных программ, направленных на кражу тех или иных конфиденциальных сведений у владельцев смартфонов и планшетов под управлением ОС Android. Среди подобных угроз в первую очередь следует выделить большое количество новых банковских троянцев, к которым относятся вредоносные программы семейств Android.Tempur и Android.Banker, представители семействAndroid.SmsSpy, Android.SmsForward, Android.Pincer и Android.Spy, а также ряд других. Большинство этих троянских приложений либо имитирует интерфейс настоящих мобильных банковских клиентов и обманным способом заставляет пользователей предоставить свои персональные данные, либо устанавливается под видом важных программных обновлений или сертификатов и в дальнейшем позволяет злоумышленникам перехватывать все входящие СМС-сообщения, в которых может содержаться различная секретная информация – например, одноразовые mTAN-коды систем «банк-клиент», пароли, личная переписка и другие ценные сведения.

Если в 2012 году число подобных вредоносных приложений не превышало нескольких единиц, а масштабы их распространения ограничивались лишь небольшим списком стран, то в 2013 году ситуация кардинально изменилась: случаи атак с применением банковских троянцев были зафиксированы в России, Таиланде, Великобритании, Турции, Германии, Чехии, Португалии, Австралии, Южной Корее и других странах. При этом отдельного внимания заслуживает ситуация, которая связана с угрозой банковских вредоносных программ, действующих против южнокорейских пользователей: в этом регионе распространение данных троянцев в 2013 году фактически было поставлено на поток. За последние три месяца прошедшего года специалисты компании «Доктор Веб» зафиксировали 338 случаев распространения различных вариантов таких вредоносных приложений. Для этих целей злоумышленниками применяется рассылка нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла, а также имеющих сопроводительный текст, чаще всего говорящий о необходимости проверки статуса некоего почтового отправления или ознакомления с иной важной информацией. Динамика обнаружения таких случаев проиллюстрирована на диаграмме ниже.
Выявленные случаи распространения банковских троянцев для ОС Android среди пользователей Южной Кореи


Чаще всего южнокорейские пользователи сталкивались с риском загрузки таких троянцев-шпионов какAndroid.Spy.45.origin, Android.SmsSpy.51.origin, Android.Banker.1.origin, Android.SmsSpy.53.origin,Android.Spy.67, а также Android.Spy.43.origin. Общее же процентное распределение Android-угроз в выявленных случаях распространения показано на следующей иллюстрации.
Android-угрозы, распространявшиеся среди южнокорейских пользователей за последние 3 месяца 2013 года


Объем прочих троянских программ, крадущих различную информацию пользователей, также существенно вырос: в 2013 году в вирусную базу Dr.Web было внесено множество подобных вредоносных приложений. Среди них –Android.Phil.1.origin, Android.MailSteal.2.origin, Android.ContactSteal.1.origin, несколько модификаций троянцев семейств Android.EmailSpy и Android.Infostealer, которые передавали киберпреступникам сведения из телефонной книги, Android.Callspy.1.origin, позволявший злоумышленникам получать информацию о совершаемых пользователями звонках, а также другие аналогичные вредоносные программы, выполняющие уже комплексные шпионские функции: перехват СМС-сообщений, отслеживание местоположения, получение информации об устройстве, установленных приложениях, хранящихся на SD-карте файлах и т. п. К таким троянцам относятся, например, Android.Roids.1.origin, Android.AccSteal.1.origin, а также вредоносные приложения семейства Android.Wondertek.

Попали в поле зрение специалистов и потенциально опасные коммерческие шпионские программы, позволяющие осуществлять негласный контроль активности пользователей Android-устройств. В минувшем году были обнаружены новые версии такого популярного ПО для мониторинга как Android.MobileSpy, Android.SpyBubble иAndroid.Recon, а также новые представители этого класса приложений: Program.Childtrack.1.origin,Program.Copyten.1.origin, Program.Spector.1.origin, Program.OwnSpy.1.origin, Android.Phoggi.1.origin и ряд других.
Угрозы в каталоге приложений Google Play

Несмотря на то, что официальный каталог приложений ОС Android – Google Play – считается одним из самых безопасных источников программного обеспечения для мобильных Android-устройств, он по-прежнему не может гарантировать стопроцентного отсутствия в нем вредоносных или потенциально опасных приложений. Подтверждением этому являются зафиксированные в 2013 году случаи появления в нем ряда угроз.
Например, в апреле был обнаружен целый ряд программ, содержащих вредоносный рекламный модульAndroid.Androways.1.origin, который демонстрировал пользователям рекламу, приводящую к загрузке троянских программ. Данный модуль был создан злоумышленниками под видом вполне обычной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих программных продуктах, интегрируя в них данный модуль. Как и многие легальные рекламные платформы, Android.Androways.1.origin был способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могли отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого «обновления» пользователи подвергались риску стать жертвой мошенников, установив одного из троянцев семейства Android.SmsSend.


Кроме того, троянский рекламный модуль Android.Androways.1.origin мог выполнять команды, поступающие с удаленного сервера, а также загружать на него конфиденциальную информацию, такую как номер сотового телефона, код оператора и IMEI мобильного устройства. Общее число пострадавших от него пользователей могло превысить 5,3 миллиона человек, что стало одним из крупнейших случаев заражения Android-устройств вредоносными приложениями, которые распространялись с использованием каталога Google Play за все время его существования.


Летом 2013 года специалистами компании «Доктор Веб» было выявлено несколько приложений от вьетнамского разработчика, которые позиционировались им как мультимедийные проигрыватели, однако на самом деле являлись троянцами-носителями, содержащими вредоносные программы семейства Android.SmsSend. Минимальное число загрузок этих «дропперов», внесенных в вирусную базу как Android.MulDrop, Android.MulDrop.1 иAndroid.MulDrop.2, на момент обнаружения составляло более 11 тысяч.


При запуске вредоносные приложения предлагали пользователям получить доступ к запрошенному контенту, после чего извлекали скрытых троянцев и начинали процесс их установки. В дальнейшем проинсталлированные СМС-троянцы, получившие по классификации компании «Доктор Веб» имена Android.SmsSend.513.origin иAndroid.SmsSend.517, выполняли отправку коротких сообщений с премиум-тарификацией, что влекло за собой незапланированные финансовые траты.


А в декабре было выявлено 48 программ, представлявших собой сборники изображений, суммарное число загрузок которых превысило 12 тысяч. После запуска эти приложения работали должным образом, однако помимо задекларированных возможностей они скрытно передавали на удаленный сервер информацию о номерах мобильных телефонов жертв. Интересной особенностью указанных троянцев, внесенных в вирусную базу Dr.Web как Android.Spy.51.origin, являлась их заинтересованность только в номерах, принадлежащих южнокорейским абонентам. Это, в совокупности с названиями приложений, а также их описаниями на корейском языке, позволило предположить, что главной аудиторией, для которой предназначались данные программы, были жители Южной Кореи. Полученные номера телефонов в дальнейшем могли быть использованы в маркетинговых целях, для перепродажи третьим лицам, включая рекламные компании и даже киберпреступников, способных организовать фишинг-атаки.


Помимо этого, в декабре было обнаружено еще две угрозы, размещенные в каталоге Google Play. Ими стали троянец Android.WhatsappSpy.1.origin, а также потенциально опасная программа Program.Bazuc.1.origin.
Первая угроза представляла собой простое игровое приложение, которое незаметно для пользователей Android-устройств загружало на сервер разработчика троянца базу данных, содержащих сохраненные сообщения мессенджера WhatsApp для ОС Android. Кроме того, вредоносная программа передавала на сервер изображения, а также номер телефона, связанные с учетной записью клиента сервиса. В дальнейшем любой желающий мог получить доступ к переписке интересующего его пользователя, введя на веб-сайте автораAndroid.WhatsappSpy.1.origin соответствующий мобильный номер. Несмотря на то, что данное приложение позиционировалось как безобидное средство создания резервной копии переписки из программы WhatsApp, потенциальный риск его недобросовестного использования вынудил корпорацию Google удалить эту программу из каталога Google Play. Тем не менее она доступна для загрузки с официального сайта ее разработчика, поэтому многие пользователи все еще рискуют стать жертвами шпионажа со стороны злоумышленников.



Второе опасное приложение под названием Bazuc позволяло пользователям зарабатывать на предоставлении ему доступа к отправке рекламных и информационных СМС-сообщений со своего мобильного номера. По замыслу разработчика Program.Bazuc.1.origin, использование программы должно было осуществляться владельцами Android-устройств, имеющими тарифный план с безлимитным объемом СМС-сообщений, однако в случае отсутствия такового беспечные пользователи рисковали получить огромные счета за тысячи отправленных СМС, столкнуться с блокировкой абонентского счета или же с претензиями со стороны получателей сообщений, т. к. те имели возможность увидеть телефонный номер отправителя.


Эти и другие случаи в очередной раз показывают, что, несмотря на усилия корпорации Google по обеспечению безопасности официального каталога Android-приложений, он все еще может содержать самые разнообразные угрозы, поэтому пользователи Android-устройств должны проявлять осторожность при установке малоизвестных или вызывающих подозрение программ.
Уязвимости операционной системы

Улучшения, вносимые в операционную систему Android от версии к версии, увеличивают ее надежность и безопасность, однако время от времени в ней все же обнаруживаются те или иные уязвимости, позволяющие киберпреступникам проводить различные атаки, в том числе с применением вредоносных программ. И если в 2012 году не было зафиксировано появление критических уязвимостей или сколь-нибудь серьезных инцидентов с участием использующих их троянских приложений, то за последние 12 месяцев было выявлено сразу несколько программных ошибок, которые могли позволить злоумышленникам обойти встроенные механизмы защиты платформы Android и увеличить эффективность распространения Android-троянцев. В частности, наиболее заметные уязвимости, получившие название Master Key (#8219321), Extra Field (#9695860) и Name Length Field (#9950697), позволяли выполнить модификацию программных пакетов таким образом, что при внесении в них вредоносного функционала целостность их криптографической подписи не нарушалась, и во время установки они рассматривались ОС Android как немодифицированные.
Примечательно, что найденные ошибки основывались на некорректных методах интерпретации и обработки операционной системой определенных особенностей формата zip-файлов – архивных пакетов, составляющих основу для Android-приложений и содержащих все их компоненты. В случае с Master Key это выражалось в возможности разместить внутри apk-файла (zip-архива, имеющего расширение «.apk») двух файловых объектов, имеющих одинаковое имя и располагающихся в одном подкаталоге. В результате во время установки измененного таким образом приложения система безопасности Android игнорировала исходный файл и принимала внедренный дубликат за оригинал. Ярким примером использования данной уязвимости на практике служит троянецAndroid.Nimefas.1.origin, обнаруженный специалистами компании «Доктор Веб» в июле. Эта вредоносная программа представляла собой комплексную угрозу, направленную, в первую очередь, против китайских пользователей и способную выполнять поступающие от злоумышленников команды (например, осуществлять рассылку СМС или перехватывать входящие короткие сообщения, получать информацию о мобильном устройстве, контактах из телефонной книги пользователя и т. п.).


Вторая уязвимость – Extra Field – теоретически также позволяла внедрять в Android-приложения троянский функционал, для чего требовалась некоторая модификация структуры zip-архива: при добавлении в его служебное поле значения одного из оригинальных компонентов программы (в частности файла classes.dex) без трех первых байт с одновременным размещением на его месте модифицированной версии этого файла, последняя воспринималась операционной системой как легитимная и допускалась к установке. Несмотря на то, что потенциальное использование этой уязвимости ограничено размером dex-файла, который должен составлять не более 65533 байт, заинтересованные в атаке киберпреступники вполне могут без труда ей воспользоваться, взяв за основу безобидную программу или игру, имеющую соответствующего размера компонент.
Что же касается уязвимости Name Length Field, то для ее использования, как и в двух предыдущих случаях, аналогичным образом требуется внесение определенных изменений в структуру программного пакета, а также наличие внутри него двух файлов – исходного и модифицированного – имеющих одинаковое имя. Во время установки такого приложения оригинальный файл корректно считывается одним из компонентов ОС Android, однако в дальнейшем другой ее компонент обрабатывает только измененный файл, который ошибочно считается единственно верным.
Все apk-файлы, в которых используются эти и похожие программные ошибки, детектируются антивирусными средствами Dr.Web для Android как Exploit.APKDuplicateName.
Еще одной обнаруженной в 2013 году потенциально опасной особенностью ОС Android стала возможность установки apk-пакетов, имеющих в своей структуре искусственно внесенный указатель на присутствие пароля для zip-архива. Наличие этого указателя не препятствовало установке приложения на некоторых версиях операционной системы, однако затрудняло сканирование антивирусными средствами, которые корректно обрабатывали такой программный пакет как защищенный паролем, что делало невозможным обнаружение известных вредоносных приложений. В частности, эта методика была использована создателями троянцаAndroid.Spy.40.origin, найденного специалистами компании «Доктор Веб» в октябре. Данная вредоносная программа предназначалась, главным образом, для перехвата входящих СМС-сообщений, однако могла также выполнять и некоторые другие функции. После внесения изменений в алгоритм работы антивирусных средств Dr.Web для Android подобные угрозы успешно детектируются.





Сокрытие вредоносной активности, противодействие анализу, обнаружению и удалению

В 2013 году значительно увеличилось число случаев применения вирусописателями специальных приемов, затрудняющих проведение анализа вредоносных Android-приложений, а также усложняющих процесс их обнаружения и удаления на мобильных устройствах. В частности, одной из наиболее распространенных методик самозащиты в Android-троянцах стало использование стандартной системной функции администратора устройства, когда приложению даются расширенные полномочия, такие как возможность управления блокировкой экрана, запроса пароля при выходе из ждущего режима и даже выполнение сброса параметров к заводским установкам с потерей всех имеющихся данных. Главной причиной, по которой данная опция в последнее время так полюбилась киберпреступникам, стало то, что попытка стандартным способом удалить входящую в список администраторов вредоносную программу приводит к ошибке.


И если в общем случае такая ситуация не является проблемой для опытных пользователей – троянца всего лишь необходимо лишить соответствующих полномочий – то множество менее подкованных в техническом плане владельцев Android-устройств сталкивается с затруднениями по очистке мобильного устройства от инфекции. Подобный метод защиты встречается, например, в ряде троянцев-шпионов, а также у некоторых СМС-троянцев.
Однако в ряде случаев простого отключения полномочий администратора может быть недостаточно: иногда создатели вредоносных Android-приложений идут еще дальше и вносят в их функционал контроль активности данного режима, и если пользователь пытается его отключить, «хитрые» троянцы предпринимают попытки не допустить этого. Например, они могут препятствовать открытию системных настроек или выводить запрос на получение нужных прав до тех пор, пока пользователь не согласится это сделать.
Наиболее же ярко применение такой самозащиты проявилось в обнаруженном в начале лета 2013 года семействе вредоносных программ Android.Obad, способных отправлять СМС-сообщения на премиум-номера, а также загружать на мобильное устройство другие вредоносные приложения. Эти троянцы использовали привилегии функции администратора мобильного устройства, контролировали ее активность и одновременно с этим эксплуатировали ошибку операционной системы, которая позволяла им скрывать свое присутствие в соответствующем списке и значительно затрудняла их удаление.



Еще одной проблемой безопасности пользователей мобильных устройств становится растущее распространение на рынке коммерческих систем для защиты Android-приложений от декомпиляции, взлома и модификации, т. к. подобные механизмы могут быть использованы не только разработчиками легитимных программ, но также и создателями троянских приложений. В минувшем году специалистами компании «Доктор Веб» было выявлено несколько случаев применения таких систем в составе Android-троянцев, к которым относятся, например, вредоносные программы Android.Spy.67 и Android.Tempur.5.origin. Кроме того, вирусописателями по-прежнему весьма активно используется обфускация (запутывание) кода, затрудняющая анализ троянцев.
Антивирусные продукты Dr.Web для Android своевременно получают функциональные улучшения, необходимые для борьбы с угрозами, в которых применяется различные механизмы защиты, поэтому для пользователей компании «Доктор Веб» эти вредоносные программы не представляют опасности.
Поддельные антивирусы

За последние 12 месяцев существенно увеличилось количество новых представителей троянцев семействаAndroid.Fakealert – поддельных антивирусных средств, ложно сигнализирующих о наличии на мобильном устройстве различных угроз и предлагающих за определенную плату обезвредить их. В минувшем году объем записей в вирусной базе компании «Доктор Веб» для этих вредоносных приложений вырос в 5 раз, и их общее число составило 10 единиц. Наиболее заметной среди всех обнаруженных модификаций этих троянцев сталAndroid.Fakealert.10.origin, распространявшийся под видом приложения для просмотра видео категории «для взрослых». После запуска эта вредоносная программа имитировала внешний вид существующего в действительности антивируса и демонстрировала предупреждение о необходимости выполнить проверку мобильного устройства на наличие заражения. Найденные в дальнейшем «угрозы» тут же предлагалось обезвредить, купив для этого якобы полную версию программы.



Киберкриминальные услуги: троянцы на заказ и специализированные хакерские утилиты

В 2013 году весьма активно продолжил развиваться рынок мобильных киберкриминальных услуг, начавший постепенно формироваться еще в позапрошлом году. В настоящее время одну из лидирующих позиций среди наиболее распространенных нелегальных сервисов занимает создание и продажа различных СМС-троянцев, принадлежащих к семействам Android.SmsSend и Android.SmsBot. Их авторы зачастую предлагают своим клиентам не только сами вредоносные приложения, но и сопутствующие им готовые решения в виде удаленных панелей управления, а также программных средств для построения вредоносных сетей и партнерских программ. Цены на данные услуги варьируются от нескольких сотен до нескольких тысяч долларов.


Однако более серьезную угрозу представляют появившиеся в 2013 году предложения по реализации банковских троянцев, нацеленных на пользователей целого ряда стран. Ярким примером такой теневой услуги является начавшаяся в январе продажа троянца под названием Perkele, способного имитировать внешний вид официальных приложений «банк-клиент» и красть конфиденциальную информацию пользователей – например, СМС-сообщения. Различные модификации этой вредоносной программы детектируются антивирусом Dr.Web как представители семейства Android.SmsSpy.


Благодаря ограниченным объемам продаж копий троянца, а также его возможности атаковать пользователей почти 70 крупнейших кредитных организаций мира, Perkele мог с успехом применяться для осуществления высокоэффективных таргетированных атак, в результате которых пострадавшие клиенты могли понести существенные финансовые потери.
Не менее привлекательными для интернет-преступников должны выглядеть сервисы, связанные с незаконным получением более широкого спектра конфиденциальных сведений пользователей мобильных Android-устройств. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле специалистами компании было зафиксировано два таких «продукта»: Tool.Androrat и Tool.Raziel. Первая утилита для своей работы использовала исходный код свободно распространяющегося приложения для удаленного доступа и управления AndroRat, которое известно с 2012 года и детектируется антивирусом Dr.Web как Program.Androrat.1.origin. Что же касается второй, то ее автор применяет самостоятельно разработанную им троянскую программу-шпиона, которая может быть либо встроена в Android-приложения, либо скомпилирована в самостоятельный apk-пакет. Данная вредоносная программа добавлена в вирусную базу под именем Android.Raziel.1.origin.
23_mobile_1.png


Особенностью этих утилит является то, что они отличаются относительной легкостью и простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от познаний в программировании. Это существенно расширяет круг их потенциальных пользователей, и, соответственно, жертв.
Интересные и необычные угрозы

Среди множества примитивных в плане функционала троянских приложений для ОС Android в 2013 году можно было встретить и несколько нестандартных вредоносных программ. Например, одна из модификаций троянца-шпиона Android.EmailSpy.2.origin после удачной отправки злоумышленникам сведений из телефонной книги пользователя могла показать оскорбляющее его изображение, демонстрируя тем самым презрительное отношение авторов троянца к своей жертве.


Весьма оригинальным можно считать индийского троянца Android.Biggboss, обнаруженного в марте. Эта вредоносная программа распространялась на различных сайтах-сборниках ПО в модифицированных злоумышленниками приложениях и, будучи установленной на мобильном устройстве, при запуске ОС демонстрировала диалоговое окно, в котором говорилось о получении важного сообщения из некоего отдела кадров. В случае согласия пользователя просмотреть это «сообщение» троянец загружал в браузере веб-страницу, содержащую обращение от отдела кадров мифической компании TATA India Limited, не имеющей никакого отношения к настоящей корпорации TATA. Наряду с заманчивым описанием потенциальной должности обращение содержало призыв перевести определенную денежную сумму на банковский счет мошенников с целью гарантировать кандидату получение вакантного места.



http://news.drweb.com/show/?i=4211&lng=ru&c=14
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
ESET представляет хронологию Мас-угроз

Москва, 18 апреля 2014 г. Международная антивирусная компания ESET напоминает пользователям компьютеров Apple о «юбилее» – 10-летии вредоносного ПО для Mac OS X.
20140418_mac.jpg
Число киберугроз для Мас сложно сравнивать с объемом вредоносного ПО для Windows, но это не значит, что их вообще не существует. Любая операционная система может быть заражена, а число Мас-угроз на протяжении последних 10 лет только растет, о чем свидетельствует интерактивная хроника от ESEThttp://www.eset.com/int/mac-malware-facts/.
2004
Opener (Renepo)
Вредоносный скрипт с функциями бэкдора и шпионского ПО
Блокирует встроенный брандмауэр Мас OS Х, предоставляет злоумышленникам доступ к персональным данным и возможность дистанционного управления зараженным компьютером.Amphimix (MP3Concept)
Экспериментальный троян для Мас
Маскировался под файл mp3 с соответствующей иконкой. Известен как первый экспериментальный вредоносный код для OS X, in-the-wild не наблюдался.
2006
Leap
Первый «настоящий» червь для OS X
Распространяется по контактам в мессенджере iChat как архивный файл latestpics.tgz, после распаковки маскируется под формат JPEG. В фишинговом сообщении представлен как установщик новой ОС от Apple.Inqtana
Экспериментальный червь, использующий уязвимость в реализации Bluetooth
Написан на Java и распространялся через уязвимость в сервисе Apple Bluetooth, позже исправленную Apple.
2007
Jahlav (RSPlug, DNSchanger, Puper)
Семейство вредоносных программ для изменения настроек DNS
Осуществляет модификацию настроек DNS-службы таким образом, чтобы все запросы в браузере пользователя были переадресованы на сервер злоумышленников.
2008
MacSweep (MacSwp-A, MacSweeper)
Первый образец мошеннического ПО
Фальшивый антивирус, считается первой программой в семействе мошеннического ПО для Мас OS Х.iMunizator (Troj/MacSwp-B, OSX_MACSWEEP.B, OSX/AngeloScan)
Фальшивый антивирус
Предлагает поиск вредоносного ПО, cookies и скомпрометированных файлов, а также оптимизацию производительности.
2009
Tored
Экспериментальный червь, распространяющийся по e-mail
Распространяется через электронные письма путем использования собственной реализации SMTP-протокола. Для получения дополнительных инструкций может взаимодействовать с управляющим сервером.
2010
Hovdy
Семейство вредоносного ПО для кражи данных
Набор скриптов, которые используются для сбора данных с зараженного компьютера и их передачи на сервер злоумышленников.HellRTS (HellRaiser)
Троян для кражи данных и удаленного доступа
Предоставляет злоумышленникам возможность управления зараженным компьютером (запуск файлов .ехе, перезагрузка, открытие веб-страниц, кража скриншотов и файлов по протоколам HTTP, FTP и SMTP и др.).OpinionSpy (PermissionResearch, PremierOpinion)
Шпионское ПО с функциями бэкдора и обеспечения удаленного доступа
Загружается на компьютер в процессе установки приложений и заставок, маскируется под утилиту для проведения опросов. Перехватывает действия и данные, используется как бэкдор и инструмент удаленного доступа.Boonana
Межплатформенный троян
Вредоносный Java-код, ориентированный на пользователей Mac, Windows и Linux. Распространяется под видом видеофайла в соцсетях, объединяет зараженные компьютеры в ботнет.
2011
BlackHole (DarkComet, MusMinim)
Многокомпонентный троян с функциями бэкдора
Представляет собой средство удаленного доступа (remote access tool) для запуска команд. Очевидная связь с BlackHole Exploit Kit не установлена.MacDefender (MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard, MacShield)
Самый распространенный поддельный антивирус для Мас
Предупреждает о «заражении», вынуждает пользователя оплатить переход на полную версию программы, компрометируя данные банковской карты.Olyx
Бэкдор с функцией загрузчика
Используется злоумышленниками для получения удаленного доступа к зараженному компьютеру. Получает данные и инструкции из интернета или с управляющего сервера.Flashback
Крупнейший на сегодняшний день Мас-ботнет
Троян, выступающий в качестве загрузчика других вредоносных программ. Для привлечения пользователей на инфицированные сайты используются методы социальной инженерии.Revir и Imuler
Дроппер и установщик с функциями шпионского ПО
Revir устанавливает свои модули и другие программы в систему жертвы. Модули Revir могут использоваться для слежения за активностью пользователей. Imuler обеспечивает удаленный доступ к системе жертвы (бэкдор).Devilrobber (Miner)
Вредоносная программа для майнинга биткоинов
Распространяется через торренты в качестве компонента легальной программы GraphicConverter. Не заражает системы OS X с брандмауэром Little Snitch.Tsunami (Kaiten)
Бэкдор, управляемый через IRC-протокол
Используется для удаленного управления зараженной системой и организации с ее помощью распределенных DDoS-атак. Исполняемый файл Tsunami содержит в коде список C&C-серверов, с которыми он взаимодействует по IRC протоколу.
2012
Sabpab
Троян, используемый для удаленного управления
Используется для удаленного управления зараженным компьютером посредством НТТР-протокола и специальных команд. Вредоносный код содержит жестко зашитый URL-адрес C&C-сервера.Morcut (Crisis)
Кросс-платформенный троян для слежения за пользователями
Ориентирован на версии OS X Snow Leopard и Lion. Может быть установлен через вредоносный сайт с эксплойтом. Содержит руткит-составляющую, которая активируется, если пользователь работает с наивысшими правами в системе.Lamadai
Бэкдор, использовавшийся в атаках на неправительственные организации Тибета
Установка вредоносного кода осуществлялась через зараженный сайт с использованием Java-уязвимости.
2013
Kitm и Hackback
Семейства вредоносного ПО, использовались против участников конференции Oslo Freedom Forum
Бэкдоры, используются для шпионажа и запуска на зараженном компьютере других вредоносных программ. Позволяют делать скриншоты рабочего стола и отправлять их на удаленный сервер.Yontoo
Потенциально нежелательное приложение (grayware)
Плагин для браузера, позволяет перенаправлять пользователей на рекламные сайты.Minesteal (Minesweep)
Кросс-платформенный троян
Написан на Java, используется для кражи паролей пользователей онлайн-игр. Напоминает семейство похитителей паролей Win32/PSW.OnlineGames, ориентированное на Windows.OSX/Fucobha (Icefog)
Известный в Восточной Азии бэкдор
Использовался наряду с троянами для Windows в направленных атаках на корпорации и правительственные учреждения Азии для кражи данных, сбора системной информации, удаленного управления.OSX/Pintsized
Бэкдор, предоставляющий удаленный доступ к зараженному устройству
Состоит из Perl-скриптов с расширением .plist и бинарных файлов формата Mach-O. Использует уязвимость во встроенном средстве безопасности Gatekeeper.
2014
OSX/LaoShu
Троян, обеспечивающий загрузку и исполнение файлов с удаленного сервера
Распространяется через поддельные сообщения «службы доставки FedEx», вредоносная программа маскируется под PDF-файл.OSX/Appetite (Mask, Careto)
Вредоносная программа для шпионажа
Часть комплекса вредоносного ПО, который использовался для направленных атак на правительственные и дипломатические учреждения, корпорации и пр.OSX/CoinThief
Вредоносный код для кражи биткоинов и удаленного доступа к компьютеру
Включает компонент для кражи биткоинов, инструмент модификации легальных программ, расширение для браузера и бэкдор. Распространяется под видом взломанных легальных приложений.
http://www.esetnod32.ru/company/press/center/eset-predstavlyaet-khronologiyu-mas-ugroz/
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
Обзор вирусной активности: рекламные троянцы и другие события августа 2014 года

1 сентября 2014 года
Последний летний месяц 2014 года ознаменовался не только деятельностью троянцев-шифровальщиков, количество которых по-прежнему очень велико, но и распространением многочисленных вредоносных программ, с помощью которых злоумышленники извлекают прибыль путем демонстрации пользователям назойливой и иногда мошеннической рекламы. Также в конце лета оживились китайские вирусописатели, решившие переориентировать на платформу Windows ряд вредоносных программ, изначально рассчитанных на заражение Linux. Помимо этого, в августе были обнаружены новые угрозы, нацеленные на мобильную платформу Google Android.
Вирусная обстановка

Статистика, собранная в течение августа с использованием лечащей утилиты Dr.Web CureIt!, свидетельствует о том, что за минувший месяц ситуация с распространением вредоносного ПО ничуть не изменилась: первые строчки рейтинга по-прежнему занимают плагины для браузеров, созданные злоумышленниками с целью демонстрации пользователям навязчивой рекламы. В числе таковых по-прежнему лидируют троянцы Trojan.BPlug.123,Trojan.BPlug.100, Trojan.BPlug.48, а также установщик рекламных приложений Trojan.Packed.24524.
Не слишком отличается от июльских показателей и перечень обнаруженных на компьютерах пользователей угроз по данным сервера статистики Dr.Web. Как и месяцем ранее, на первом месте в августовской сводке значится установщик нежелательных приложений Trojan.Packed.24524, примерно с тем же показателем в 0,59% от общего числа выявленных троянцев (в июле это значение составляло 0,56%). В числе лидеров также присутствуют программы семейства Trojan.InstallMonster, представляющие собой установщики нежелательных приложений, распространяемые одноименной партнерской программой, и различные троянцы семейства Trojan.MulDrop.
В почтовом трафике в течение прошедшего месяца, как и в июле, наиболее часто встречалась программаTrojan.Redirect.197, перенаправляющая жертву на различные вредоносные сайты. Распространявшийся с использованием массовых рассылок троянец-загрузчик BackDoor.Tishop.122 переместился на второе место, при этом число его обнаружений сократилось за месяц с 1,6% до 1,15%. Также злоумышленники активно рассылают по электронной почте различные модификации загрузчиков семейства Trojan.DownLoad и опасных банковских троянцев семейства Trojan.PWS.Panda.
Численность и поведение отслеживаемых специалистами компании «Доктор Веб» ботнетов в течение августа также существенно не изменилась. Так, среднесуточная активность одной из двух активных подсетей Win.Rmnet.12составляет в среднем 270 000 обращений к управляющему серверу, что чуть больше июльских показателей. В бот-сети, организованной злоумышленниками с использованием файлового вируса Win32.Sector, среднесуточное количество активных ботов по-прежнему составляет 65 000–67 000. А вот численность ботнета, состоящего из работающих под управлением операционной системы Mac OS X компьютеров, зараженных троянской программойBackDoor.Flashback.39, понемногу снижается: в конце августа она составила порядка 13 000 инфицированных машин, что на 1000 меньше июльских показателей.
Рекламные троянцы

Троянские программы, демонстрирующие в окнах браузеров всплывающие окна с назойливой рекламой или встраивающие ее в просматриваемые пользователям веб-страницы, получили в последнее время чрезвычайно широкое распространение наравне с энкодерами, шифрующими хранящиеся на дисках компьютеров пользовательские файлы. Именно рекламные троянцы на протяжении вот уже нескольких месяцев являются безусловными лидерами в статистике обнаруженных Антивирусом Dr.Web угроз.
Основной источник распространения троянцев данного типа — это различные партнерские программы, ориентированные на монетизацию файлового трафика. Рекламные троянцы могут скрытно устанавливаться вместе с другим программным обеспечением, а нередко и вовсе маскируются под полезные приложения, помимо основных заявленных разработчиками функций реализуя и свой вредоносный потенциал. Также злоумышленники не гнушаются использовать откровенно мошеннические способы распространения таких вредоносных программ: например, для этого создаются фальшивые сайты файлового обмена и торрент-трекеры, куда потенциальных жертв завлекают со страниц поддельных форумов или ресурсов из категории «вопрос-ответ», оптимизированных под определенные поисковые запросы.
Подобные вредоносные программы можно условно разделить на два типа: первые, подобные представителям семейства Trojan.BPlug, а также троянцам Trojan.Admess, Trojan.Triosir и Trojan.Zadved реализованы в виде надстроек к популярным браузерам, подменяющих рекламные модули на различных веб-сайтах или демонстрирующих всплывающие окна с баннерами, при этом пользователь зачастую даже не подозревает о том, что его компьютер инфицирован.
Этой угрозе подвержены не только владельцы компьютеров, работающих под управлением ОС Windows, но даже пользователи операционной системы Mac OS X, специально для которых злоумышленники распространяют троянцев семейства Trojan.Downlite, встраивающихся в виде вредоносных плагинов в браузеры Safari и Google Chrome.
Рекламные троянцы, относящиеся к другой категории, встречаются значительно реже и действуют автономно, как обычная вредоносная программа. Для подмены содержимого веб-страниц они используют так называемую технологию веб-инжектов, которой активно пользуются, например, банковские троянцы: после загрузки веб-страницы с удаленного сервера вредоносная программа модифицирует ее содержимое, встраивая в нее полученный от управляющего центра код на языке HTML или JavaScript, и только после этого передает полученный результат браузеру. Таков, например, Trojan.Mayachok.18831, о распространении которого компания «Доктор Веб» сообщала в минувшем месяце на своем сайте.
Помимо назойливой рекламы эта вредоносная программа может модифицировать страницу профиля своей жертвы в социальных сетях, размещая там фотографии и тексты непристойного содержания и предлагая оформить платную подписку при попытке изменить содержание анкеты. Также Trojan.Mayachok.18831, обладает и целым рядом других опасных функциональных возможностей, о которых вы можете узнать, ознакомившись с подробным техническим описанием данной угрозы.
Чтобы не стать случайной жертвой рекламных троянцев, соблюдайте элементарные правила безопасности: не загружайте и не устанавливайте программы из подозрительных источников, не запускайте исполняемые файлы, распространяемые в виде вложений в сообщениях электронной почты, и, конечно же, всегда используйте на своих компьютерах актуальное антивирусное ПО.
Угрозы августа

В течение августа произошло множество различных событий, связанных с распространением вредоносных программ. Так, в начале месяца в службу технической поддержки компании «Доктор Веб» обратилось несколько пользователей, пожаловавшихся на действие очередного троянца-шифровальщика. Этот инцидент не был бы из ряда вон выходящим, если бы не один нюанс: во всех случаях файлы оказались зашифрованы на сетевых хранилищах NAS производства компании Synology. Виновником этого происшествия оказался троянецTrojan.Encoder.737, воспользовавшийся брешью в устаревшей прошивке нескольких моделей NAS, — уязвимость скрывалась в ОС DSM (DSM 4.3-3810 и более ранних версиях). Подробнее об этом событии рассказано в опубликованном на сайте «Доктор Веб» информационном материале.
Также в начале августа был обнаружен троянец-кликер, предназначенный для накрутки посещаемости веб-сайтов или количества щелчков мышью по различным рекламным баннерам. Троянец распространялся в рамках партнерской программы Installmonster, специализирующейся на раздаче доверчивым пользователям различных вредоносных программ, в частности — рекламных троянцев. Описанию этой угрозы была посвящена выпущенная компанией «Доктор Веб» новостная статья.
Не дремлют и китайские вирусописатели, отметившиеся в первой половине лета распространением огромного количества троянцев для Linux, созданных с целью организации массированных DDoS-атак. На сей раз они решили модифицировать свои вредоносные поделки таким образом, чтобы те могли работать и на компьютерах под управлением операционных систем семейства Microsoft Windows. Подробнее об этом можно прочитать в размещенной на нашем сайте статье.
Ну и, конечно же, нельзя не упомянуть о рекламном троянце Trojan.Triosir.9, распространявшемся под видом программы VK User Spy, якобы предназначенной для просмотра адресованных пользователю социальной сети «ВКонтакте» личных сообщений таким образом, чтобы они не отмечались в качестве прочитанных. Этой угрозе также была посвящена отдельная публикация.
События августа

Множество жителей США стали жертвами вредоносной программы Android.Locker.29.origin, способной блокировать смартфон и требовать за разблокировку выкуп: в течение августа, согласно данным из открытых источников, было заражено порядка 900 000 Android-устройств. Троянец маскируется под антивирусное ПО и другие легитимные приложения. Первоначально Android.Locker.29.origin заражал устройства европейских пользователей. К настоящему времени вирусописатели разработали его версию, целевой аудиторией которой стали жители США. Вероятно, с этим и связан резкий рост числа зараженных смартфонов.
Помимо этого ожидается всплеск заражений Android-устройств, связанный с тем, что в середине августа в открытый доступ попал исходный код троянца Android.Dendroid.1.origin, способного похищать конфиденциальную информацию, без ведома пользователя звонить на определенные номера и открывать сайты, а также выполняющего другие вредоносные функции.
В конце августа началась спам-рассылка, в которой злоумышленники используют интерес потенциальных жертв к конфликту на востоке Украины. В спам-сообщении опубликована ссылка на программу, якобы предназначенную для атак на веб-ресурсы украинского правительства. В реальности на компьютер жертвы скачивается вредоносное приложение BackDoor.Slym.3781, подключающее зараженное устройство к бот-сети Kelihos и способное контролировать трафик и похищать конфиденциальную информацию жертвы. Командные серверы, с которыми связываются зараженные устройства, расположены на Украине, в Польше и Республике Молдова.
Угрозы для Android

Как и предыдущие месяцы, прошедший август не был безоблачным для пользователей ОС Android из разных стран: киберпреступники вновь пытались заразить их мобильные устройства различными вредоносными приложениями, при этом вирусная база компании «Доктор Веб» пополнилась записями для целого ряда новых Android-троянцев.
Например, китайские пользователи столкнулись с комплексной угрозой в лице троянцаAndroid.SmsSend.1404.origin, который предназначался для кражи конфиденциальной информации, а также для установки на мобильные устройства другой вредоносной программы. Одной из особенностей этого СМС-троянца является способность к саморепликации посредством рассылки коротких сообщений, содержащих ссылку на загрузку его копии, что можно охарактеризовать как функционал классического СМС-червя. Устанавливаемая же им вредоносная программа, внесенная в вирусную базу под именем Android.SmsBot.146.origin, могла получать команды киберпреступников и предназначалась для отправки и перехвата СМС-сообщений.

Не обошлось и без появления очередных троянцев-вымогателей, блокирующих работу мобильных Android-устройств. Одна из таких вредоносных программ, получившая имя Android.Locker.27.origin, отличалась от большинства аналогичных угроз тем, что позволяла пользователям совершенно бесплатно разблокировать зараженное мобильное устройство, если требуемый ею код оплаты состоял из 14 цифр и не содержал определенные числовые комбинации. В этом случае троянец снимал блокировку и автоматически запускал процесс своего удаления. Подробнее об этой угрозе было рассказано в новостной публикации на сайте компании «Доктор Веб».

Вновь под угрозой оказались и южнокорейские пользователи: в течение августа специалисты компании «Доктор Веб» зафиксировали более 100 спам-кампаний, направленных на распространение Android-троянцев при помощи СМС-сообщений. Наиболее часто южнокорейские владельцы Android-устройств рисковали установить на свои мобильные устройства такие вредоносные программы как Android.Banker.28.origin, Android.SmsBot.121.origin,Android.SmsSpy.78.origin и Android.MulDrop.14.origin.
Помимо активного использования СМС-рассылок, не забывают киберпреступники и о других методах массового распространения Android-угроз. Так, в прошедшем месяце специалистами по информационной безопасности была выявлена спам-рассылка сообщений электронной почты, в которых содержалась ссылка на загрузку опасного мобильного бэкдора Android.Backdoor.96.origin, распространявшегося под видом антивирусной программы и способного выполнять на зараженном Android-устройстве целый ряд опасных действий. В частности, троянец мог украсть такие конфиденциальные сведения как СМС-сообщения, историю звонков и посещенных веб-страниц, контакты из телефонной книги, GPS-координаты и т. п. Кроме того, вредоносная программа была способна демонстрировать на экране различные сообщения, выполнять USSD-запросы, активировать встроенный микрофон, записывать совершаемые телефонные звонки в аудиофайлы, которые вместе с прочими данными, хранящимися на мобильном устройстве, загружались на сервер злоумышленников.

Обзор вирусной активности: рекламные троянцы и другие события августа 2014 года Dr.Web — Все новости
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
«Доктор Веб»: обзор вирусной активности в феврале 2015 года

Самый короткий месяц в году не обошелся без появления новых вредоносных программ. В начале февраля специалисты «Доктор Веб» завершили исследование сложного многофункционального троянца, угрожающего пользователям ОС Linux, а уже в конце месяца были опубликованы результаты изучения новой версии бэкдора для Mac OS X. Также в течение февраля 2015 года были по-прежнему активны вредоносные программы для мобильной платформы Google Android.
[h=4]ГЛАВНЫЕ ТЕНДЕНЦИИ ФЕВРАЛЯ[/h]
  • Появление новых троянских программ для ОС Linux.
  • Вирусописатели по-прежнему проявляют интерес к Mac OS X.
  • Продолжают распространяться новые вредоносные программы для мобильной платформы Google Android.

[h=2]Угроза месяца[/h]В конце февраля специалисты компании «Доктор Веб» завершили исследование троянца-бэкдора Mac.BackDoor.OpinionSpy.3, позволявшего злоумышленникам шпионить за пользователями Mac OS X. Троянец распространялся на сайтах, предлагавших загрузку бесплатного ПО вместе с вполне безобидными приложениями, в дистрибутив которых был встроен дополнительный исполняемый файл. Запустившись в процессе инсталляции с правами администратора, данная программа загружала, устанавливала и запускала на компьютере Apple вредоносное приложение.
Данная вредоносная программа успешно детектируется и удаляется Антивирусом Dr.Web для Mac OS X. Более подробная информация об этом бэкдоре опубликована в соответствующей информационной статье.
[h=2]Троянцы-шифровальщики[/h]Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
Январь 2015Февраль 2015Динамика
13051840+40,9%
Троянцы-энкодеры, шифрующие файлы на компьютерах пользователей и требующие денежный выкуп за их расшифровку, по-прежнему представляют серьезную опасность.
[h=4]Наиболее распространенные шифровальщики в феврале 2015 года:[/h]
  • Trojan.Encoder.567;
  • Trojan.Encoder.398;
  • Trojan.Encoder.741.
Чтобы троянец не испортил файлы, используйте защиту от потери данных
Только в Dr.Web Security Space версии 9 и 10

[h=2]По данным статистики лечащей утилиты Dr.Web CureIt![/h]
  • [h=4]Trojan.BPlug[/h]Это надстройки (плагины) для популярных браузеров, демонстрирующие назойливую рекламу при просмотре веб-страниц.
  • [h=4]Trojan.MulDrop5.10078[/h]Устанавливает на инфицированный компьютер различные нежелательные и рекламные приложения.
  • [h=4]Trojan.Yontoo[/h]Семейство надстроек для популярных браузеров, назначение которых заключается в демонстрации пользователю рекламы при просмотре веб-страниц.
  • [h=4]Trojan.Lyrics[/h]Семейство троянцев, способных демонстрировать на экране назойливую рекламу и открывать в окне браузера веб-сайты сомнительного содержания без ведома пользователя.
  • [h=4]Trojan.LoadMoney[/h]Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
  • [h=4]Trojan.Packed.24524[/h]Троянец-установщик рекламных и нежелательных приложений.
[h=3]По данным серверов статистики «Доктор Веб»[/h]
  • [h=4]Trojan.DownLoader12.19543[/h]Троянец, предназначенный для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей.
  • [h=4]Trojan.OutBrowse.54[/h]Один из представителей семейства рекламных троянцев, распространяющихся с использованием партнерских программ и предназначенных для монетизации файлового трафика.
  • [h=4]BackDoor.Andromeda.404[/h]Троянец-загрузчик, предназначенный для скачивания с удаленных серверов злоумышленников и запуска на инфицированном компьютере других вредоносных программ.
  • [h=4]BackDoor.IRC.NgrBot.42[/h]Довольно распространенный троянец, известный специалистам по информационной безопасности еще с 2011 года. Вредоносные программы этого семейства способны выполнять на инфицированном компьютере поступающие от злоумышленников команды, а управление ими киберпреступники осуществляют с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat).
  • [h=4]Trojan.LoadMoney[/h]Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
[h=3]Статистика вредоносных программ в почтовом трафике[/h]
  • [h=4]BackDoor.Andromeda[/h]Семейство троянцев-загрузчиков, предназначенных для скачивания с удаленных серверов злоумышленников и запуска на инфицированном компьютере других вредоносных программ.
  • [h=4]BackDoor.Siggen.58526[/h]Троянец, без ведома пользователей загружающий и запускающий на инфицированном компьютере другие вредоносные программы, а также способный выполнять поступающие от злоумышленников команды.
  • [h=4]Trojan.Betabot.3[/h]Троянец, способный похищать вводимые в веб-формы данные (в том числе в системах «Банк-клиент»), выполнять поступающие с удаленного сервера команды, менять настройки DNS на инфицированном компьютере и проводить DDoS-атаки.
  • [h=4]BackDoor.Bebloh.47[/h]Один из представителей семейства вредоносных программ, относящихся к категории банковских троянцев. Данное приложение представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.
[h=2]Ботнеты[/h]Несмотря на то, что, по сообщениям многочисленных информационных агентств, 24 февраля 2015 года общими усилиями ряда организаций были отключены командные серверы бот-сети Rmnet, специалисты компании «Доктор Веб» в целом не наблюдают существенного снижения активности данного ботнета. Так, активность отслеживаемых компанией «Доктор Веб» подсетей ботнета, созданного злоумышленниками и использованием файлового вируса Win32.Rmnet.12, представлена на следующих графиках:
Более подробную информацию о деятельности ботнета Rmnet можно узнать из опубликованного на нашем сайте информационного материала.
Продолжает действовать ботнет, созданный злоумышленниками с использованием файлового вируса Win32.Sector:
Файловый вирус Win32.Sector реализует следующие функции:

  • загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов;
  • встраивание в запущенные на инфицированном компьютере процессы;
  • возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков;
  • инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящиеся в общедоступных сетевых папках.
  • [h=4]BackDoor.Flashback.39[/h]Троянская программа для Mac OS X, получившая массовое распространение в апреле 2012 года. Заражение осуществлялось с использованием уязвимостей Java. Предназначение троянца — загрузка и запуск на инфицированной машине полезной нагрузки, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем от злоумышленников директиве.
[h=2]Угрозы для Linux[/h]Не снижается интерес злоумышленников и к операционным системам семейства Linux. Так, в начале февраля специалисты компании «Доктор Веб» исследовали сложного многофункционального троянца для ОС Linux, получившего наименованиеLinux.BackDoor.Xnote.1. Эта вредоносная программа умеет выполнять следующие команды для работы с файловой системой, поступающие от злоумышленников:

  • перечислить файлы и каталоги внутри указанного каталога;
  • отослать на сервер сведения о размере файла;
  • создать файл, в который можно будет сохранить принимаемые данные;
  • принять файл;
  • отправить файл на управляющий сервер;
  • удалить файл;
  • удалить каталог;
  • отправить управляющему серверу сигнал о готовности принять файл;
  • создать каталог;
  • переименовать файл;
  • запустить файл.
Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или собственную реализацию сервера portmap, а также осуществлять DDoS-атаки.
Более подробную информацию о способах распространения и принципах работы Linux.BackDoor.Xnote.1 можно почерпнуть, ознакомившись с опубликованным компанией «Доктор Веб» информационным материалом.
Все так же проявляет активность Linux-троянец Linux.BackDoor.Gates.5, продолжающий осуществлять DDoS-атаки на различные сайты в сети Интернет. В феврале 2015 года было выявлено 1129 уникальных IP-адресов, на которые осуществлялись атаки, что на 3880 меньше, чем в прошлом месяце. Как и прежде, большинство из них расположено на территории Китая:
[h=2]Мошеннические и нерекомендуемые сайты[/h]В течение февраля 2015 года в базу нерекомендуемых и вредоносных сайтов Dr.Web было добавлено 22 033 интернет-адреса.
Январь 2015Февраль 2015Динамика
10 43122 033+111,2%
Для защиты пользователей от различных способов мошенничества в Интернете служит компонент Родительский контроль, входящий в комплект поставки Dr.Web Security Space 10.0. Родительский контроль позволяет ограничивать доступ к интернет-сайтам определенной тематики, осуществляет фильтрацию подозрительного контента, а также, используя базы нерекомендуемых ссылок, защищает пользователя от мошеннических, потенциально опасных сайтов, шокирующего контента и ресурсов, замеченных в распространении вредоносного ПО.
[h=4]Узнайте больше о нерекомендуемых Dr.Web сайтах[/h][h=2]Вредоносное и нежелательное ПО для Android[/h]В феврале было выявлено большое число разнообразных вредоносных и потенциально опасных программ для мобильной платформы Google Android, таких как:

  • Агрессивные рекламные модули
  • Троянцы-вымогатели
  • СМС-троянцы
  • Троянцы-банкеры

  • [h=4]Рекламные модули[/h]В прошедшем месяце вновь актуальной стала проблема активного применения разработчиками Android-приложений различных агрессивных рекламных систем. В очередной раз подобные программы были выявлены в каталоге Google Play, откуда их скачало несколько десятков миллионов пользователей.
  • [h=4]Троянцы-вымогатели[/h]Среди обнаруженных в феврале вредоносных приложений оказалось немало новых троянцев-вымогателей, в том числе и чрезвычайно опасные вымогатели-энкодеры, шифрующие пользовательские файлы.
  • [h=4]СМС-троянцы[/h]В феврале вирусная база Dr.Web пополнилась большим количеством новых записей для СМС-троянцев, без ведома пользователей отправляющих дорогостоящие сообщения на платные номера.
  • [h=4]Троянцы-банкеры[/h]Распространение банковских вредоносных приложений по-прежнему остается актуальной угрозой для пользователей ОС Android. В частности, под ударом киберпреступников вновь оказались южнокорейские владельцы Android-устройств: для заражения их смартфонов и планшетов злоумышленники организовали более 80 спам-кампаний, рассылая СМС-сообщения со ссылкой на загрузку Android-троянцев.
  • http://news.drweb.ru/show/review/?lng=ru&i=9316
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
«Доктор Веб»: обзор вирусной активности для мобильных Android-устройств в апреле 2015 года

[h=3]Количество записей для вредоносных и нежелательных программ под ОС Android в вирусной базе Dr.Web[/h]
Март 2015Апрель 2015Динамика
71037971+12,22%
[h=2]«Мобильная» угроза месяца[/h]В прошедшем месяце специалисты компании «Доктор Веб» исследовали опасного троянца Android.Toorch.1.origin, предназначенного для незаметной загрузки, установки и удаления приложений, а также способного отображать на экране зараженных мобильных устройств навязчивую рекламу. Особенности троянца:

  • распространяется злоумышленниками под видом безобидного приложения-фонарика, в действительности выполняющего указанную функцию;
  • передает киберпреступникам различную конфиденциальную информацию, включая GPS-координаты зараженного устройства;
  • способен получить root-доступ и по команде вирусописателей незаметно выполнять установку и удаление заданных ими приложений;
  • помещает в системный каталог дополнительные вредоносные компоненты;
  • может отображать навязчивую рекламу.
В случае обнаружения Android.Toorch.1.origin на мобильном устройстве пользователям настоятельно рекомендуется выполнить полное сканирование системы Антивирусом Dr.Web для Android с целью выявления всех вспомогательных компонентов троянца. Чтобы окончательно удалить инсталлированные вредоносным приложением модули, необходимо загрузить разработанную специалистами компании «Доктор Веб» утилиту, установить ее, запустить и следовать инструкциям на экране. Подробнее об этом троянце можно прочесть в соответствующей публикации.
[h=2]Агрессивные рекламные модули[/h]В апреле в каталоге Google play вновь были выявлены приложения, содержащие агрессивный рекламный модуль, в частности,Adware.MobiDash.2.origin. Специалисты «Доктор Веб» обнаружили несколько подобных программ, при этом суммарное число их загрузок превысило 2 500 000. Система Adware.MobiDash.2.origin используется разработчиками бесплатного ПО с целью его монетизации и предназначена для показа разнообразной рекламы. Она способна выполнять следующие нежелательные действия:

  • отображение на экране мобильного устройства различных баннеров, которые размещаются в том числе и поверх окон других работающих программ;
  • открытие в веб-браузере ведущих на рекламные ресурсы ссылок;
  • демонстрация рекламных и иных сообщений в панели уведомлений.
Число записей для "мобильных" рекламных модулей в вирусной базе Dr.Web:
Март 2015Апрель 2015Динамика
123144+17,1%
[h=2]Банковские троянцы[/h]Высокую активность в апреле вновь проявили разнообразные банковские троянцы, заражающие Android-смартфоны и планшеты и атакующие пользователей по всему миру. Так, для распространения банкеров среди жителей Южной Кореи злоумышленники в очередной раз применяли рассылку нежелательных СМС, в которых указывалась ссылка на загрузку того или иного вредоносного приложения. Специалисты компании «Доктор Веб» зафиксировали более 80 подобных спам-кампаний, при этом киберпреступники использовали следующую тематику нежелательных сообщений:
Вредоносные приложения, задействованные в данных атаках:
  • [h=4]Android.MulDrop.46.origin[/h]Троянская программа, предназначенная для доставки на мобильные устройства и последующего запуска других вредоносных приложений, в частности, банкеров. Может распространяться злоумышленниками под видом популярного веб-браузера или иного легитимного ПО.

  • [h=4]Android.BankBot.29.origin[/h]Банковский троянец, крадущий аутентификационные данные у клиентов ряда южнокорейских кредитных организаций. При запуске оригинальных программ интернет-банкинга подменяет их интерфейс своей поддельной копией, в которой запрашиваются все конфиденциальные сведения, необходимые для доступа к управлению банковским счетом. Введенная пользователем информация в дальнейшем передается злоумышленникам. Под видом подписки на некую банковскую услугу пытается установить вредоносную программу Android.Banker.32.origin.

  • [h=4]Android.MulDrop.14.origin[/h]Троянская программа, предназначенная для распространения и установки на мобильные Android-устройства других вредоносных приложений, в частности, различных банковских троянцев. Распространяется преимущественно среди южнокорейских пользователей.
Также в прошедшем месяце специалисты компании «Доктор Веб» зафиксировали высокую активность банковских троянцев семейства Android.BankBot, предназначенных для атаки на клиентов кредитных организаций по всему миру. В начале апреля деятельность распространявшей данные вредоносные приложения преступной группы была пресечена, но это не помешало другим злоумышленникам продолжить использование данного типа банкеров.
Число записей для банковских троянцев Android.BankBot в вирусной базе Dr.Web:
Март 2015Апрель 2015Динамика
94110+17,02%
Многие троянцы Android.BankBot опасны не только тем, что способны автоматически выполнять кражу денег с банковских счетов пользователей, но также обладают функционалом, позволяющим им блокировать работу популярных антивирусных приложений. Компания «Доктор Веб» выпустила специальное обновление своих антивирусных продуктов для ОС Android, в котором реализован механизм противодействия подобным атакам, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для AndroidLight по-прежнему находятся под надежной защитой.

Dr.Web &mdash; «Доктор Веб»: обзор вирусной активности для мобильных Android-устройств в апреле 2015 года
 

unbreakable

Модератор
Re: История компьютерных вирусов и вредоносных программ
«Доктор Веб»: обзор вирусной активности в апреле 2015 года

В апреле 2015 года произошло сразу несколько ярких событий в сфере информационной безопасности.[h=3]Угроза месяца[/h]В начале апреля специалисты компании «Доктор Веб» завершили исследование опасного многокомпонентного банковского троянца, получившего название Trojan.Dridex.49. Данная вредоносная программа состоит из компонента, формирующего конфигурационные данные, необходимые для работы троянца, и запускающего саму вредоносную программу, ядра и дополнительных модулей. Характерной особенностью данного троянца является то, что для связи с управляющим сервером он использует P2P-протокол.
В зависимости от заданных параметров Trojan.Dridex.49 встраивается в процессы Проводника (explorer.exe) или браузеров (chrome.exe, firefox.exe, iexplore.exe). Все сообщения, которыми он обменивается с управляющим сервером, шифруются. На инфицированном компьютере эта вредоносная программа может играть одну из трех возможных ролей:

  • bot — так называется троянец, работающий на компьютере, не имеющем внешнего IP-адреса;
  • node — троянцы на компьютерах с внешним IP, принимающие сообщения от троянцев первого типа и передающие их троянцам третьего типа;
  • admin node — троянцы на компьютерах с внешним IP, передают сообщения от троянцев второго типа другим admin node или на управляющий сервер.
Иными словами, для обмена сообщениями ботнет Trojan.Dridex.49 использует цепочку вида bot -> node -> admin node -> другие admin node -> управляющий сервер. Для обеспечения безопасности соединения троянцы осуществляют обмен ключами. В целом схема взаимодействия внутри бот-сети выглядит следующим образом:
Основное предназначение Trojan.Dridex.49 заключается в выполнении веб-инжектов, то есть встраивании постороннего содержимого в просматриваемые пользователем страницы различных финансовых организаций.
Троянец может похищать вводимые пользователем в различные формы конфиденциальные данные и позволяет злоумышленникам получить доступ к банковским счетам жертвы с целью кражи хранящихся там средств. Специалистам компании «Доктор Веб» известно более 80 банковских сайтов и других интернет-ресурсов, на которых Trojan.Dridex.49 может красть информацию, среди них — такие известные финансовые организации, как Royal Bank of Scotland, TCB, Santander, Bank of Montreal, Bank of America, HSBC, Lloyds Bank, Barclays и многие другие. Сигнатура Trojan.Dridex.49 добавлена в вирусные базы, поэтому пользователи антивирусных продуктов Dr.Web защищены от действия данной вредоносной программы.
[h=3]По данным статистики лечащей утилиты Dr.Web CureIt![/h]Всего в течение месяца выявлено 73 149 430 вредоносных и потенциально опасных объектов.
  • [h=4]Trojan.Siggen6.33552[/h]Детект вредоносной программы, предназначенной для установки другого опасного ПО.

  • [h=4]Trojan.Yontoo[/h]Семейство надстроек для популярных браузеров, назначение которых заключается в демонстрации пользователю рекламы при просмотре веб-страниц.

  • [h=4]Trojan.LoadMoney[/h]Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.

  • [h=4]Trojan.Click[/h]Семейство вредоносных программ, предназначенных для накрутки посещаемости различных интернет-ресурсов путем перенаправления запросов жертвы на определенные сайты с помощью управления поведением браузера.

  • [h=4]Trojan.Lyrics[/h]Семейство троянцев, способных демонстрировать на экране назойливую рекламу и открывать в окне браузера веб-сайты сомнительного содержания без ведома пользователя.

  • [h=4]Trojan.Zadved[/h]Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.

  • [h=4]Trojan.MulDrop5.10078[/h]Устанавливает на инфицированный компьютер различные нежелательные и рекламные приложения.

  • [h=4]Trojan.Crossrider1.16093[/h]Троянская программа, предназначенная для демонстрации пользователям Интернета различной сомнительной рекламы.
[h=4]По данным серверов статистики «Доктор Веб»[/h]
  • [h=4]Trojan.DownLoader[/h]Семейство вредоносных программ, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

  • [h=4]Trojan.Siggen6.33552[/h]Детект вредоносной программы, предназначенной для установки другого опасного ПО.

  • [h=4]Trojan.LoadMoney[/h]Семейство программ-загрузчиков, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.

  • [h=4]Trojan.Installmonster[/h]Семейство вредоносных программ, созданных с использованием партнерской программы Installmonster. Данные приложения устанавливают на компьютер жертвы различное нежелательное ПО.
[h=4]Статистика вредоносных программ в почтовом трафике[/h]
  • [h=4]BackDoor.Siggen.58526[/h]Троянец, способный без ведома пользователей загружать и запускать на инфицированном компьютере другие вредоносные программы, а также выполнять поступающие от злоумышленников команды.

  • [h=4]Trojan.DownLoader[/h]Семейство вредоносных программ, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.

  • [h=4]Trojan.Click[/h]Семейство вредоносных программ, предназначенных для накрутки посещаемости различных интернет-ресурсов путем перенаправления запросов жертвы на определенные сайты с помощью управления поведением браузера.

  • [h=4]Trojan.Siggen6.33552[/h]Детект вредоносной программы, предназначенной для установки другого опасного ПО.
[h=3]Ботнеты[/h]Специалисты компании «Доктор Веб» продолжают отслеживать деятельность бот-сети, созданной злоумышленниками с использованием файлового вируса Win32.Rmnet.12.
Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
По-прежнему продолжает функционировать бот-сеть, состоящая из компьютеров, инфицированных файловым вирусом Win32.Sector. Данная вредоносная программа обладает следующими функциями:

  • загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов;
  • встраивание в запущенные на инфицированном компьютере процессы;
  • возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков;
  • инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящиеся в общедоступных сетевых папках.
Количество компьютеров Apple, инфицированных троянской программой BackDoor.Flashback.39, остается практически неизменным и составляет порядка 25 000:
  • [h=4]BackDoor.Flashback.39[/h]Троянская программа для Mac OS X, получившая массовое распространение в апреле 2012 года. Заражение осуществлялось с использованием уязвимостей Java. Предназначение троянца — загрузка и запуск на инфицированной машине полезной нагрузки, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем от злоумышленников директиве.
В апреле активизировались атаки на различные интернет-ресурсы, осуществляемые злоумышленниками с использованием троянцаLinux.BackDoor.Gates.5. По сравнению с прошлым месяцем число уникальных IP-адресов, на которые осуществлялись атаки, выросло более чем на 48% и составило 3320. Любопытно, что если ранее основные цели злоумышленников располагались на территории Китая, то сейчас в лидеры по этому показателю вышли США. Географическое распределение этих атак показано на следующей иллюстрации:
[h=3]Троянцы-шифровальщики[/h]Количество запросов на расшифровку, поступивших в службу технической поддержки «Доктор Веб»
Март 2015Апрель 2015Динамика
23611359- 42.4 %
[h=4]Наиболее распространенные шифровальщики в апреле 2015 года:[/h]
  • Trojan.Encoder.761;
  • Trojan.Encoder.567;
  • Trojan.Encoder.741;
  • Trojan.Encoder.888;
  • BAT.Encoder.
[h=3]Dr.Web Security Space 10.0 для Windows
защищает от троянцев-шифровальщиков[/h]Этого функционала нет в лицензии Антивирус Dr.Web для Windows
Превентивная защитаЗащита данных от потери
Подробней Смотрите видео о настройке
[h=3]Угрозы для Linux[/h]В апреле специалисты компании «Доктор Веб» исследовали нового троянца, способного заражать операционные системы семейства Linux — Linux.BackDoor.Sessox.1. Злоумышленники могут управлять этим бэкдором с помощью протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat), — бот получает команды от вирусописателей в работающем на принадлежащем им сервере чате. Троянец распространяется, сканируя удаленные серверы на предмет уязвимости с целью запустить на незащищенном сервере сторонний скрипт, который, в свою очередь, может установить в скомпрометированной системе копию троянца.
Вредоносная программа способна атаковать заданный киберпреступниками веб-узел путем отправки на него повторяющихся GET-запросов.
Подробное описание Linux.BackDoor.Sessox.1.
[h=3]Другие события апреля[/h]В начале месяца специалисты компании «Доктор Веб» зафиксировали целенаправленную почтовую рассылку по личным и служебным адресам сотрудников ряда российских оборонных предприятий, с помощью которой злоумышленники распространяли опасного троянца.
Вредоносная программа, получившая наименование BackDoor.Hser.1, способна по команде передать на удаленный сервер список активных процессов на зараженном ПК, загрузить и запустить другое вредоносное приложение, а также открыть командную консоль и выполнить перенаправление ввода-вывода на принадлежащий киберпреступникам сервер, благодаря чему злоумышленники получают возможность дистанционного управления инфицированным компьютером. Более подробные сведения об этом инциденте изложены в соответствующем новостном материале.
Также в апреле была исследована новая вредоносная программа VBS.BackDoor.DuCk.1, способная выполнять поступающие от злоумышленников команды и передавать на удаленный сервер сделанные на инфицированном компьютере снимки экрана. Бэкдор обладает механизмами проверки наличия на атакуемом компьютере виртуальной среды и антивирусных приложений. Статья, посвященная этому опасному троянцу, опубликована на сайте компании «Доктор Веб».
[h=3]Опасные сайты[/h]В течение апреля 2015 года в базу нерекомендуемых и вредоносных сайтов Dr.Web было добавлено 129 199 интернет-адресов.
Март 2015Апрель 2015Динамика
74 108129 199+ 74.3%
Нерекомендуемые сайты[h=3]Вредоносное и нежелательное ПО для Android[/h]В апреле злоумышленники продолжили активно атаковать пользователей мобильных Android-устройств, поэтому прошедший месяц вновь оказался насыщенным на события вирусной тематики. Наиболее заметными событиями, связанными с вредоносным и нежелательным ПО для ОС Android, стали:

  • обнаружение опасного троянца Android.Toorch.1.origin, способного получать root-доступ для незаметной установки и удаления приложений;
  • появление в каталоге Google play очередных программ с агрессивным рекламным модулем;
  • высокая активность банковских троянцев.
Подробнее о вредоносных и нежелательных Android-программах апреля читайте в специально подготовленном обзоре.

Dr.Web &mdash; «Доктор Веб»: обзор вирусной активности в апреле 2015 года
 
Сверху