Вирусные события начала осени

Согласно отчету компании «Доктор Веб» сентябрь не принес серьезных всплесков вирусной активности. Тем не менее в этом месяце был обнаружен уникальный по своей архитектуре троянец, способный заражать BIOS персональных компьютеров. Получил широкое распространение новый бэкдор для Mac OS X. Наконец, в сентябре значительно выросло число фишинговых атак на пользователей социальных сетей.

В связи с недавними политическими событиями в Ливии участились случаи мошеннических почтовых рассылок, в которых злоумышленники предлагают своим жертвам воспользоваться деньгами c замороженных счетов семьи Каддафи. Схема мошенничества вполне стандартна для «нигерийских писем».

Вредоносная программа, получившая название Trojan.Bioskit.1, помимо всего прочего, заражает BIOS системной платы компьютера, если он произведен компанией Award Software. Первоначально троянец проверяет, запущены ли в ОС процессы нескольких китайских антивирусов. Если таковые обнаруживаются, то вредоносная программа создает прозрачное диалоговое окно, из которого осуществляется вызов ее главной функции. Затем Trojan.Bioskit.1 определяет версию ОС, и если это Windows 2000 или выше (за исключением Windows Vista), продолжает заражение.

Если BIOS компьютера отличается от Award, троянец заражает Master Boot Record, перезаписывая первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR сохраняется в 8 секторе. Если же троянцу удается опознать Award BIOS, в дело вступает упакованный в ресурсах дроппера драйвер bios.sys, обладающий пугающим деструктивным функционалом. В нем реализовано три метода:

• опознать Award BIOS (попутно определить размер его образа и, главное, I/O порта, через который можно программно заставить сгенерировать SMI (System Management Interrupt) и таким образом исполнить код в режиме SMM);
• сохранить образ BIOS на диск в файл c:ios.bin;
• записать образ BIOS из файла c:ios.bin.

Для модификации самого образа BIOS данная вредоносная программа использует утилиту cbrom.exe (от Phoenix Technologies), которую, как и все прочие файлы, она несет у себя в ресурсах. При помощи этой утилиты троянец внедряет в образ свой модуль hook.rom в качестве ISA BIOS ROM. Затем Trojan.Bioskit.1 отдает своему драйверу команду перепрошить BIOS из обновленного файла.

При следующей перезагрузке компьютера в процессе инициализации BIOS будет вызывать все имеющиеся PCI Expansion ROM, в том числе и hook.rom. Вредоносный код из этого модуля каждый раз проверяет зараженность MBR и перезаражает ее в случае необходимости. Следует отметить, что наличие в системе Award BIOS вовсе не гарантирует возможность заражения данным троянцем. Так, из трех проверенных в вирусной лаборатории системных плат заразить удалось только одну, а в двух других в памяти BIOS банально не хватило места для записи нового модуля.

BackDoor.Flashback стал четвертым известным бэкдором для ОС MacOS X, однако, в отличие от своих предшественников, получил чрезвычайно развитый функционал и сложную архитектуру. Кроме того, это первое в своем роде вредоносное приложение данного типа для Mac OS, получившее широкое распространение и реализующее хорошо продуманную схему распространения и поддержания живучести ботов.

Установщик данной троянской программы маскируется под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта на экране его компьютера возникает сообщение об ошибке проигрывателя Adobe Flash, после чего пользователю предлагается обновить его версию.

Середина сентября была отмечена новыми случаями фишинговых атак на пользователей «В Контакте». Впервые целью сетевых мошенников стали поклонники популярной онлайн-игры «В Могиле».

Кроме того, сетевые мошенники продолжают эксплуатировать широко известный метод фишинга с использованием функции «Документы» социальной сети «В контакте». Пользователю отсылается личное сообщение, включающее ссылку на скачивание документа Word, в котором содержится подробная инструкция по установке специальной программы, якобы позволяющей просматривать число посетителей его странички в социальной сети. Под видом этой программы распространяется троянец BackDoor.Piranha.2, с помощью которого злоумышленники создали несколько успешно действующих в настоящий момент бот-сетей.

В сентябре специалисты «Доктор Веб» добавили в вирусные базы 115 новых записей, соответствующих угрозам для мобильной ОС Android. Абсолютным лидером среди вновь выявленных угроз являются вредоносные программы семейства Android.SmsSend (92 записи), на втором месте расположилось семейство Android.Imlog. Кроме того, 58 разновидностей угроз для Android было выявлено автоматически при помощи технологии Origin Tracing; в том числе 18 модификаций Android.SmsSend.

В качестве одной из наиболее интересных угроз для данной платформы следует назвать троянца Android.SpyEye.1. Риску заражения этой вредоносной программой подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, жертва открывает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее имеется счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент». Для этого он должен установить на свой мобильный телефон специальное приложение, которое якобы защитит его от перехвата СМС-сообщений. Ниже на просматриваемой пользователем странице приводится ссылка на эту программу, распространяемую под именем simseg.apk. Размер вредоносной программы составляет порядка 20 Кбайт.

В сентябре было зафиксировано появление нескольких модификаций винлокеров, основная особенность которых заключалась в том, что блокирующее экран пользователя окно содержит послание, не просто написанное на соответствующем языке, но и подписанное якобы управлением полиции страны, в которой проживает жертва: для Германии это Bundespolizei, для Великобритании — The Mertopolitan Police, для Испании — La Policia Espanola. Во всех случаях пользователя обвиняют в посещении незаконных веб-сайтов порнографического характера и предлагают оплатить «штраф» с использованием одной из распространенных в данной стране платежных систем.

Широкое распространение получила модификация программы-вымогателя, инфицирующая главную загрузочную запись и добавленная в вирусные базы под именем Trojan.MBRlock.15. Этот троянец также демонстрирует на экране сообщение на английском языке, содержащее требование заплатить за разблокировку системы 20 евро с помощью одной из распространенных на территории Европы платежных систем.