Dr. Web: обзор вирусной обстановки за июнь

В июне специалистами компании «Доктор Веб» было выявлено более 40 вредоносных программ для операционной системы Android (для iOS — только одна) – это означает десятикратный рост угроз для нее по сравнению с началом года. Даже несмотря на то, что мобильная платформа Android базируется на ядре Linux и обладает весьма надежным механизмом обеспечения безопасности, с каждым днем для нее появляется все больше и больше вредоносных программ. Одна из очевидных причин — чрезвычайно широкое распространение этой ОС.

Еще одна возможная причина роста количества угроз для Android — открытость исходных кодов этой операционной системы, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием широкой общественности. Дополнительную опасность создает и то обстоятельство, что, например, пользователи устройств на базе Android могут загружать приложения с различных площадок, что значительно повышает вероятность заражения (владельцы iPhone, iPad и iPod — только из App Store).

Из всех вредоносных программ для ОС Android, появившихся на свет за истекший месяц, больше всего шума наделал троянец Android.Plankton, описание которого было добавлено в вирусные базы 9 июня. Одной из отличительных особенностей Android.Plankton является вероятная массовость его распространения: троянец был встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной игры Angry Birds. Только с официального сайта Android Market инфицированная программа была загружена более 150 тыс. раз, а на альтернативных ресурсах, таких как сборник приложений для Android androidzoom.com, число скачиваний достигало 250 тыс.

Опасность данного вредоносного приложения заключается в том, что троянец не только собирает и отправляет злоумышленникам информацию о зараженном устройстве (включая ID оборудования, версию SDK, сведения о привилегиях файла), но и позволяет выполнять различные команды, получаемые от удаленного центра.

Еще одна угроза для Android, получившая наименование Android.Gongfu (на сегодняшний день в базе присутствуют пять ее модификаций), использует те же уязвимости, что и широко распространенный Android.DreamExploid, но имеет принципиально иной механизм действия. После запуска вредоносная программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС этот сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее эти сведения передаются злоумышленникам на удаленный сервер. Фактически данная вредоносная программа обладает функциями бэкдора, способного обрабатывать получаемые от удаленного сервера команды.

СМС-сендер Android.Wukong похищает средства со счетов пользователей ОС Android путем отправки платных СМС-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений (они распространяются с нескольких китайских сайтов, в том числе с одного из крупнейших сборников ПО www.nduoa.com) и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут начинает отправлять СМС-сообщения, начинающиеся со строки «YZHC». Помимо этого, вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие СМС с информацией о приеме платежа оператором.

Что касается угроз для настольных ПК, наиболее «модная» тенденция июня — это появление большого количества различных вредоносных программ, использующих для реализации атак на зараженную систему модификацию загрузочной записи. Ярчайшим их представителем является троянец Trojan.MBRlock — вымогатель, изменяющий главную загрузочную запись (Master Boot Record), делая невозможным запуск Windows. На сегодняшний день в вирусные базы добавлено порядка 40 модификаций этого троянца.

После запуска Trojan.MBRlock вносит изменения в Master Boot Record, однако оригинальная загрузочная запись и таблицы разделов обычно сохраняются. При каждом последующем включении питания компьютера троянец блокирует загрузку операционной системы, считывает из соседних секторов жесткого диска в память основной код и демонстрирует на экране требование пополнить счет мобильного телефона одного из российских сотовых операторов. Следует отметить, что, как и в случае с первыми «винлоками», спустя несколько дней после своего первого появления на компьютере пользователя Trojan.MBRlock, как правило, самостоятельно деактивируется и перестает препятствовать загрузке Windows.

А вот другая вредоносная программа, Win32.Rmnet, также модифицирующая загрузочную запись (благодаря чему она получает возможность запуститься раньше установленного на компьютере антивируса), несет значительно большую опасность для пользователя: она крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Кроме того, вредоносные модули Trojan.Rmnet могут осуществлять мониторинг сетевого трафика и реализовывать функционал бэкдора.

Trojan.Rmnet проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов. Иными словами, распространяется как типичный вирус, поскольку обладает способностью к саморепликации — копированию самого себя без участия пользователя. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и .xls, при этом программа способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Microsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.

В конце июня участились обращения по поводу новой угрозы, получившей название Trojan.Mayachok.2. Симптомы заражения этой троянской программой весьма характерны: какой бы браузер ни был установлен на компьютере пользователя (InternetExplorer, Firefox, Operaили GoogleChrome), при попытке подключения к Интернету появляется баннер, демонстрирующий ложное сообщение о заражении компьютера троянцем Trojan.Win32.Ddox.ci и связанной с этим необходимостью обновить браузер. При этом в адресной строке браузера демонстрируется реальный URL запрашиваемого сайта, в то время как в самом окне программы отображается измененная троянцем веб-страница. В случае если пользователь соглашается с предложением установить обновления, ему будет предложено отправить платное СМС-сообщение на указанный злоумышленниками номер.

В ходе анализа угрозы выяснилось, что для реализации своих вредоносных функций Trojan.Mayachok.2 модифицирует не MasterBootRecord, не загрузочный сектор, и даже не ntldr, а часть Volume Boot Record (VBR). Данная троянская программа использует весьма оригинальный алгоритм заражения, неспецифичный для других угроз. Проникая на компьютер жертвы, Trojan.Mayachok.2 получает серийный номер системного тома и на его основе создает в реестре путь, по которому определяет зараженность системы. В первую очередь троянец пытается повысить собственные права, в Windows Vista и Windows 7 он решает эту задачу постоянным перезапуском самого себя с запросом на повышение привилегий. Затем Trojan.Mayachok.2 размещает на диске свой драйвер-загрузчик (причем он имеет отдельные варианты загрузчика для 32-разрядной и 64-разрядной версий Windows) и заражает VBR, но только в том случае, если активный раздел отформатирован в стандарте NTFS. В процессе запуска Windows вредоносная программа автоматически загружается в оперативную память.

Поскольку вредоносный объект находится в оперативной памяти компьютера, переустановка браузеров, использование служебной программы «Восстановление системы» и даже запуск Windowsв режиме защиты от сбоев не приносят желаемого эффекта.