Спамеры делят деньги Каддафи

В связи с недавними политическими событиями в Ливии участились случаи мошеннических почтовых рассылок, в которых злоумышленники предлагают своим жертвам воспользоваться деньгами c замороженных счетов семьи Каддафи.

Схема мошенничества вполне стандартна для «нигерийских писем». Ничего принципиально нового спамеры придумать пока так и не смогли, однако очевидно, что они продолжают следить за политической ситуацией и оперативно меняют тематику своих посланий в соответствии с новыми реалиями.

Trojan.Bioskit.1 заражает BIOS компьютера

В начале сентября в руки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный экземпляр вредоносной программы, получившей названиеTrojan.Bioskit.1. Кроме всего прочего, в него заложены механизмы, позволяющие заразить BIOS материнской платы компьютера, если он произведен компанией Award Software.

Первоначально дроппер троянцаTrojan.Bioskit.1проверяет, запущены ли в операционной системе процессы нескольких китайских антивирусов. Если таковые обнаруживаются, то вредоносная программа создает прозрачное диалоговое окно, из которого осуществляется вызов ее главной функции. ЗатемTrojan.Bioskit.1определяет версию операционной системы и, если ею оказывается ОС Windows 2000 или выше (за исключением Windows Vista), продолжает заражение.

В случае еслиBIOSкомпьютера отличается отAward, троянец заражаетMaster Boot Record, перезаписывая первые 14 секторов жесткого диска, включаяMBR. ОригинальныйMBRсохраняется в 8 секторе. Если же троянцу удается опознатьAward BIOS, в дело вступает упакованный в ресурсах дроппера драйвер bios.sys, обладающий пугающим деструктивным функционалом. В нем реализовано три метода:

• ОпознатьAward BIOS(попутно определить размер его образа и, самое главное,I/Oпорта, через который можно программно заставить сгенерироватьSMI(System Management Interrupt) и таким образом исполнить код в режимеSMM).
• Сохранить образBIOSна диск в файлc:\bios.bin.
• Записать образBIOSиз файлаc:\bios.bin.

Получить доступ и тем более перезаписать микросхему сBIOS— задача нетривиальная. Для этого сначала необходимо организовать взаимодействие с чипсетом материнской платы для разрешения доступа к чипу, затем нужно опознать сам чип и применить знакомый для него протокол стирания/записи данных. Но автор этой вредоносной программы пошел более легким путем, переложив все эти задачи на самBIOS. Он воспользовался результатами работы китайского исследователя, известного под никомIcelord, проделанной еще в2007году. Тогда при анализе утилитыWinflashдляAward BIOSбыл обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самимBIOSвSMM(System Management Mode). Программный кодSMMвSMRAMне виден операционной системе (еслиBIOSкорректно написан, то доступ к этой памяти им заблокирован) и исполняется независимо от нее. Назначение данного кода весьма разнообразно: эмуляция не реализованных аппаратно возможностей материнской платы, обработка аппаратных ошибок, управление режимами питания, сервисные функции и т.д.

Для модификации самого образаBIOSданная вредоносная программа использует утилитуcbrom.exe(отPhoenix Technologies), которую, как и все прочие файлы, она несет у себя в ресурсах. При помощи этой утилиты троянец внедряет в образ свой модульhook.romв качествеISA BIOS ROM. ЗатемTrojan.Bioskit.1отдает своему драйверу команду перепрошитьBIOSиз обновленного файла.

При следующей перезагрузке компьютера в процессе инициализацииBIOSбудет вызывать все имеющиесяPCI Expansion ROM, в том числе иhook.rom. Вредоносный код из этого модуля каждый раз проверяет зараженностьMBRи перезаражает ее в случае необходимости. Следует отметить, что наличие в системеAward BIOSвовсе не гарантирует возможность заражения данным троянцем. Так, из трех проверенных в вирусной лаборатории материнских плат заразить удалось только одну, а в двух других в памятиBIOSбанально не хватило места для записи нового модуля.

Нельзя недооценивать опасность подобного рода угроз, особенно с учетом того, что в будущем возможно появление более совершенных модификаций данной троянской программы, либо вирусов, действующих по схожему алгоритму. В настоящий момент в антивирусное ПО Dr.Web добавлено детектирование и лечение MBR, системных файлов и файловых компонентов вируса.

BackDoor.Flashback — бэкдор для MacOS

BackDoor.Flashbackстал четвертым известным бэкдором для операционной системы MacOS X, однако в отличие от своих предшественников, таких как, например, вредоносная программаBackDoor.Olyx, получил чрезвычайно развитый функционал и сложную архитектуру. Кроме того, это первое в своем роде вредоносное приложение данного типа для Mac OS, получившее широкое распространение и реализующее хорошо продуманную схему по распространению и поддержанию живучести ботов.

Установщик данной троянской программы маскируется под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта на экране его компьютера возникает сообщение об ошибке проигрывателя Adobe Flash, после чего пользователю предлагается обновить его версию.

Если он соглашается выполнить это обновление, осуществляется цепочка редиректов, которая завершается предложением загрузить и установить архив, содержащий файл с именемFlashPlayer-11-macos.pkg(этот архив загружается только в том случае, если клиентская операционная система — MacOS X Lion). Затем начинается процесс инсталляции «проигрывателя», по завершении которого пакет удаляется, а в папку/Library/Preferences/устанавливается основной компонентPreferences.dylib, реализующий в системе функции бэкдора и способный выполнять команды, поступающие от многочисленных удаленных командных центров. Следует также отметить, что в бэкдоре предусмотрено получение дополнительных команд из сообщений на сервере mobile.twitter.com.

Основное функциональное назначение Preferences.dylib кроется в выполнении различных директив, поступающих от удаленного командного центра, в том числе и любых стандартных команд оболочки shell. Также библиотека предназначена для интегрирования в просматриваемые пользователем веб-страницы кода на языке javascript.

Охота за подпольными сайтами

В начале сентября 2011 года специалистами компании «Доктор Веб» был проведен ряд профилактических мероприятий, благодаря которым удалось выявить и добавить в базы Родительского контроля большое количество сайтов, содержащих материалы порнографического характера либо реализующих различные схемы подпольного бизнеса.

В распоряжении аналитиков оказался список доменов, на которые осуществлялось перенаправление пользователей с подвергшихся взлому интернет-ресурсов. Проанализировав эту информацию, специалисты компании выяснили, что на каждом из IP-адресов таких узлов, как правило, размещается еще несколько сайтов. Многие из их числа которых содержат различный сомнительный контент — поддельные службы файлового обмена, а также сайты, предлагающие на платной основе различные услуги, например, гадания, хиромантию, подбор диет, составление родословных, поиск угнанных автомобилей и даже лечение от прыщей. Встречались среди них и откровенно порнографические ресурсы. Множество подобных веб-сайтов содержало ссылки на другие узлы, для которых также составлялся список соседствующих с ними на одном хосте сайтов. Все полученные ссылки проверялись вручную. Таким образом была выявлена целая сеть, состоящая из сайтов сомнительного содержания. Один из фрагментов такой сети показан на предложенной ниже иллюстрации.

Большинство выявленных IP-адресов принадлежали провайдерам из Великобритании, Нидерландов, Виргинских островов, Гибралтара, и лишь незначительная их часть располагалась на территории Российской Федерации. Обнаруженные в ходе проверки адреса были добавлены в списки Родительского контроля Dr.Web. Компания «Доктор Веб» отмечает, что подобные мероприятия по блокировке сайтов сомнительного содержания будут проводиться и в дальнейшем.

«В Контакте»: осеннее обострение

Середина сентября была отмечена новыми случаями фишинговых атак на пользователей «В Контакте». Впервые целью сетевых мошенников стали поклонники популярной онлайн-игры «В Могиле», встроенной в эту социальную сеть. Злоумышленники выбирали в качестве жертвы наиболее опытных игроков. Затем они отправляли им личное сообщение с предложением воспользоваться «уязвимостью» игры «В Могиле», которая якобы позволяет бесплатно получить игровые предметы, обычно доступные только за деньги. Для этого жертве предлагалось загрузить и установить специальное приложение. Если жертва соглашалась воспользоваться столь заманчивым предложением, все дальнейшее общение сетевые мошенники переносят в Skype. Выбор данного средства коммуникации обусловлен тем, что трафик Skype не поддается фильтрации в отличие от других протоколов мгновенного обмена сообщениями, таких как ICQ или Jabber.

В ходе дальнейшего общения злоумышленники предлагают жертве скачать и установить приложениеbag_vmogile.exe, под видом которого распространяется троянская программаTrojan.KeyLogger.9754, предназначенная для перехвата нажатий клавиш и отправки на удаленный FTP-сервер украденных таким образом паролей. При попытке открыть данный файл происходит мгновенное заражение компьютера.

Кроме того, сетевые мошенники продолжают эксплуатировать широко известный метод фишинга с использованием функции «Документы» социальной сети «В контакте». Ничего не подозревающему пользователю отсылается личное сообщение, включающее ссылку на скачивание документа Word, в котором содержится подробная инструкция по установке специальной программы, якобы позволяющей просматривать число посетителей его странички в социальной сети. Под видом этой программы распространяется троянецBackDoor.Piranha.2, с помощью которого злоумышленники создали несколько успешно действующих в настоящий момент бот-сетей. Мы в очередной раз призываем пользователей проявлять бдительность и не устанавливать на компьютере никаких приложений, присланных незнакомыми отправителями или даже людьми, зарегистрированными в списке друзей, поскольку их учетные записи могут быть взломаны злоумышленниками.

Сентябрьские угрозы для Android

В сентябре специалистами компании «Доктор Веб» в вирусные базы было добавлено 115 новых записей, соответствующих угрозам для мобильной операционной системы Android. Абсолютным лидером среди вновь выявленных угроз являются вредоносные программы семействаAndroid.SmsSend(92 записи), на втором месте с 6 записями расположилось семействоAndroid.Imlog, далее следуютAndroid.Ddlight(4 записи), Android.Typnotify (3 записи), а такжеAndroid.Geinimi,Android.FlexispyиAndroid.Backdoor(по 2 записи).

Помимо отмеченных выше 115 вирусных записей, обработанных специалистами вручную, 58 разновидностей угроз для Android было выявлено автоматически при помощи технологии Origin Tracing, о котороймы уже писалив одном из своих обзоров. Среди таких вредоносных программ, распознать которые помогла технология Origin Tracing — 18 модификацийAndroid.SmsSend, 7 модификаций Android.Gongfu, по 5 модификацийAndroid.PlanktonиAndroid.Spy, 4Android.DreamExploidи 3 версииAndroid.Geinimi.

В качестве одной из наиболее интересных угроз для данной платформы следует назвать троянцаAndroid.SpyEye.1. Риску заражения этой вредоносной программой подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программойSpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва открывает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее имеется счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент». Для этого он должен установить на свой мобильный телефон специальное приложение, которое якобы защитит его от перехвата СМС-сообщений. Ниже на просматриваемой пользователем странице приводится ссылка на эту программу, распространяемую под именемsimseg.apk. Размер вредоносной программы составляет порядка 20 Кбайт.

После загрузки и инсталляции на мобильном устройстве данное приложение не отображается в списке установленных программ: для того чтобы его отыскать, пользователю придется перейти в системный апплет «Настройки», открыть раздел «Приложения» и выбрать опцию «Управление приложениями». Вредоносная программа скрывается под значком «Система».

Для того чтобы «активировать» данное приложение согласно предлагаемой злоумышленниками инструкции, пользователь должен выполнить со своего устройства телефонный звонок на номер 325000.Android.SpyEye.1перехватывает этот звонок и демонстрирует на экране мобильного устройства «код активации», который якобы потребуется ввести на банковском сайте впоследствии, — этот код всегда один и тот же и представляет собой число 251340.

После этого все получаемые владельцем инфицированного устройства входящие СМС-сообщения будут перехватываться троянцем и перенаправляться злоумышленникам.

Винлокеры потянулись на Запад

Из других заметных событий сентября можно отметить то обстоятельство, что программы-вымогатели, блокирующие работу Windows, с наступлением осени потянулись в теплые края, а именно — осваивать просторы зарубежного Интернета. Сначала было зафиксировано появление нескольких модификаций винлокеров, основная особенность которых заключалась в том, что блокирующее экран пользователя окно содержит послание, не просто написанное на соответствующем языке, но и подписанное якобы управлением полиции страны, в которой проживает жертва: для Германии этоBundespolizei, для Великобритании —The Mertopolitan Police, для Испании —La Policia Espanola. Во всех случаях пользователя обвиняют в посещении незаконных веб-сайтов порнографического характера и предлагают оплатить «штраф» с использованием одной из распространенных в данной стране платежных систем.

Затем широкое распространение получила модификация программы-вымогателя, инфицирующая главную загрузочную запись и добавленная в вирусные базы под именемTrojan.MBRlock.15. Этот троянец также демонстрирует на экране сообщение на английском языке, содержащее требование заплатить за разблокировку системы 20 евро с помощью одной из распространенных на территории Европы платежных систем.

Пользователи, ставшие жертвойTrojan.MBRlock, могут воспользоваться следующим кодом разблокировки:unlock391.

Вредоносные файлы, обнаруженные в почтовом трафике в сентябре

Всего проверено:148,210,174
Инфицировано:357,620 (0.24%)

Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей

Всего проверено:7,391,189,733,623
Инфицировано:157,317,745 (0.00%)