Обзор вирусной активности в ноябре 2011 года: спамеры и вирусописатели забыли о выборах

Обзор вирусной активности в ноябре 2011 года: спамеры и вирусописатели забыли о выборах

Ноябрьский спам

Столь важное политическое событие, как выборы депутатов Государственной Думы Федерального Собрания Российской Федерации, осталось практически не замеченным спамерами — вопреки ожиданиям, объем почтовых сообщений на политические темы в ноябре ничуть не увеличился по сравнению с предыдущими месяцами, оставаясь достаточно низким. Удивительно, но факт: среди спам-трафика, зафиксированного программным обеспечением Dr.Web, количество сообщений, посвященных политической жизни Украины, значительно превышает число писем, затрагивающих российские реалии.

Вместе с тем в ноябре была зафиксирована почтовая рассылка с темой письма "Зарплата военных вырастет, но количество надбавок и льгот резко снизится?" В сообщения был вложен документ Word, содержащий угрозу Exploit.Rtf.based. Данная угроза эксплуатирует уязвимость в Microsoft Word, позволяющую выполнять произвольный код при открытии инфицированного документа в формате RTF: благодаря использованию этой уязвимости вредоносное приложение может получить те же привилегии в операционной системе, что и сам пользователь. В связи с актуальностью темы сообщения для военнослужащих и их семей на удочку спамеров могло попасться значительное число получателей таких писем.

Новые атаки на пользователей "В Контакте"

В ноябре продолжились атаки мошенников на пользователей социальной сети "В Контакте". Например, в одном из случаев сетевые мошенники оставляют на стене потенциальной жертвы (либо с использованием системы личных сообщений) послание, содержащее специально подготовленный ими видеоролик. Этот ролик рекламирует веб-сайт, якобы позволяющий бесплатно отправлять виртуальные подарки другим пользователям "В Контакте" и получать дополнительные голоса. Кроме того, на страничке, где опубликована видеозапись, демонстрируется несколько восторженных отзывов других посетителей сайта, якобы успешно воспользовавшихся этим уникальным предложением. Здесь же, как правило, приводится ссылка на созданный жуликами фишинговый сайт.

Попытка ввести на открывающемся по ссылке сайте логин и пароль для входа в социальную сеть "В Контакте" заканчивается дискредитацией учетной записи пользователя. Вскоре уже от его имени злоумышленники начинают рассылать по списку друзей предложения посетить созданную ими веб-страничку.

После ввода логина и пароля пользователь перенаправляется на один из мошеннических сайтов, рекламирующих различные сомнительные услуги, например — "поиск двойника". Здесь потенциальной жертве предлагается найти в базах социальной сети похожих на нее людей, для чего следует указать свой номер телефона и ввести в специальную форму код, присланный в ответном СМС. Таким образом пользователь соглашается на условия платной подписки, в соответствии с которыми с его счета будет регулярно списываться определенная денежная сумма.

Еще одна мошенническая схема также использует принципы социальной инженерии. Известно, что пользователи относятся с большей степенью доверия к информации, поступающей от знакомых. Именно эту особенность человеческой психологии эксплуатируют злоумышленники, отсылая потенциальной жертве сообщение или запись на "стене" от одного из друзей с просьбой проголосовать за него на некоем сайте. Учетная запись отправителя послания к этому моменту уже является взломанной, а проводящий голосование сайт принадлежит злоумышленникам. По указанной ссылке открывается интернет-ресурс, действительно предлагающий "проголосовать" за выбранного кандидата, щелкнув мышью по его фотографии или кнопке "Like". Однако для того чтобы отдать свой голос, необходимо войти на сайт. Формы регистрации и авторизации на сайте отсутствуют, однако посетитель может выполнить "вход" с использованием специальной системы "интеграции" с социальными сетями Twitter, Facebook и "В Контакте". Естественно, эта "система интеграции" — поддельная: достаточно указать в соответствующей форме свои логин и пароль, и они будут незамедлительно переданы злоумышленникам.

Иногда сетевые жулики не ленятся даже создавать для решения своих задач целые поддельные сайты и используют для привлечения потенциальных жертв поисковую рекламу. Так, в процессе работы с сервисом Google пользователь может обратить внимание на рекламное объявление, демонстрирующее на страницах поисковой выдачи сообщение о том, что его "аккаунт заблокирован и требует активации". Тут же приводится ссылка на некий сайт vkankalte.ru, адрес которого отдаленно напоминает URL социальной сети "В Контакте" и потому может быть спутан по невнимательности с адресом vkontakte.ru. Если пользователь переходит по опубликованной в рекламном объявлении ссылке, происходит автоматическое перенаправление на другой ресурс, оформление которого имитирует интерфейс социальной сети "В Контакте". Спустя несколько секунд на экране возникает окно чата, в котором от имени "администратора" социальной сети "В Контакте" пользователю сообщают о том, что его аккаунт заблокирован за рассылку спама, при этом город, из которого якобы осуществлялась рассылка, подставляется в текст автоматически — для достоверности установленная на сервере программа подбирает город, в котором предположительно находится пользователь.

Другие угрозы ноября

В ноябре 2011 года специалистами "Доктор Веб" была выявлена новая модификация многокомпонентного бэкдора для Mac OS Х, вошедшая в вирусные базы Dr.Web под именем BackDoor.Flashback.8.

Напомним, что BackDoor.Flashback — весьма сложный по своей архитектуре многокомпонентный бэкдор для Mac OS X. Установщик этого вредоносного ПО маскируется под программу-инсталлятор Adobe Flash Player. Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль троянца. Если загрузить его не удается, установщик прекращает работу.

Новая версия бэкдора, BackDoor.Flashback.8, отличается от предыдущих тем, что в нее добавлена возможность встраивания вредоносных модулей в различные процессы. Этот механизм реализован двумя различными способами в зависимости от того, присутствуют ли в целевом процессе экспортированные функции из модуля dyld. В случае их отсутствия троянец ищет необходимые функции в памяти.

Кроме того, вторая половина ноября ознаменовалась появлением новой модификации программы-вымогателя Trojan.MBRLock.

Запускаясь на компьютере жертвы, Trojan.MBRlock.17 сохраняется во временную папку со случайным именем, затем троянец запускает процесс calc.exe (стандартную программу "Калькулятор") и встраивает в него свой код. После этого встроенный в процесс calc.exe Trojan.MBRlock.17 создает файл в папке %APPDATA%AdobeUpdate, который впоследствии удаляется, запускает процесс explorer.exe и копирует свой код в него. В свою очередь, процесс explorer.exe инфицирует MBR и пытается завершить работу Windows. Любопытно, что, в отличие от своих предшественников, Trojan.MBRlock.17 записывает свои компоненты, такие как шрифты, выводимый на экран текст и оригинальную MBR, в случайные сектора жесткого диска, то есть способен изменять в своем коде отвечающие за выбор таких секторов константы. Ключ разблокировки троянец также не хранит в открытом виде: он создается динамически на основе ряда параметров. Помимо этого троянец уничтожает таблицу разделов, предварительно сделав копию первого сектора для последующего восстановления.

В целом можно сказать, что в ноябре 2011 года сохранилась средняя (по сравнению с предыдущими месяцами) динамика распространения угроз, на фоне которой отмечается значительный рост числа случаев шифрования пользовательских файлов троянцами семейства Trojan.Encoder и Trojan.FolderLock. Так, с начала ноября было зафиксировано 66 обращений пользователей, пострадавших от действий троянца Trojan.FolderLock, и только в последнюю неделю месяца — 63 заявки, связанные с действием шифровальщика Trojan.Encoder.123. Во избежание потери информации мы рекомендуем своевременно делать резервные копии хранящихся на компьютере данных.

ITSec.ru по материалам компании "Доктор Веб"