Обзор угроз августа от Dr.Web
Согласно обзору компании Dr.Web, последний летний месяц ознаменовался появлением нового троянца, инфицирующего среду разработки Delphi, а также скачкообразным ростом числа модификаций вредоносных программ семейства Android.SmsSend для мобильных устройств на платформе Android. Помимо этого в августе была зафиксирована беспрецедентная атака на поклонников компьютерной игры Counter-Strike. Наиболее распространенной угрозой за месяц стали троянские программы семейства Trojan.Mayachok, заражавшие ПК под управлением Microsoft Windows.
Троянцы семейства Android.SmsSend предлагают пользователям отправить платное СМС-сообщение для установки программ, которые при иных обстоятельствах можно получить совершенно бесплатно. Авторы этого семейства программ, известного еще с августа 2010 г., используют ту же мошенническую схему, которая применяется для распространения Trojan.SmsSend для настольных ПК. Жертва скачивает с одного из сайтов нужное ей приложение, например, браузер Opera Mini для мобильных устройств. В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько СМС на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь перешел не на Web-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.
На начало 2011 г. в вирусных базах Dr.Web значилось всего шесть модификаций данного троянца, а на текущий момент их насчитывается уже 60. Очевидно, что столь резкое увеличение количества вариаций Android.SmsSend обусловлено выгодностью финансовой модели, включающей производство и распространение этих троянцев, а также прибылью, получаемой от пользователей, чьи мобильные устройства оказались инфицированы.
Появившаяся в августе новая троянская программа Win32.Induc.2 заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии. Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным значком. Стартовав при следующем запуске ОС, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение. Затем Win32.Induc.2 выполняет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.
Функциональная нагрузка троянца реализована следующим образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред ОС. За последние четыре месяца специалистами компании «Доктор Веб» было зафиксировано 49 бот-сетей, построенных с использованием BackDoor.DarkNess, около десяти из них действуют до сих пор. BackDoor.DarkNess — не просто бэкдор, на основе которого любой желающий может построить бот-сеть, способную осуществить DDoS-атаку на выбранную цель. Это многопрофильный инструмент, позволяющий реализовывать разные функции. Например, модификация BackDoor.DarkNess.25 умеет красть пользовательские данные из популярных программ Total Commander (параметры доступа к FTP), FlashFXP, FileZilla, WS_FTP, QIP, CuteFTP, The Bat!, но основное назначение бэкдора — реализация DDoS-атак по команде с удаленного сервера. BackDoor.DarkNess написан на языке Delphi, административная часть реализована на языке PHP.
Наиболее популярной целью DDoS-атак с помощью бот-сетей в последнее время стали российские серверы онлайновой игры LineAge-2: игровые серверы LA2 подвергались нападению в 13,5% случаев (71 уникальная атака). Другие атакованные сайты имеют следующую тематическую направленность (в порядке убывания популярности): эскорт-агентства, форумы, посвященные вредоносному ПО и информационной безопасности, магазины поддельных часов ведущих мировых марок, СМИ, хостинг-провайдеры, службы доставки пиццы и, наконец, площадки биржи «Форекс». Если атакованный сайт имеет скрипты, обращающиеся к базе данных (например, форум), то такие скрипты также были «подключены» к DDoS-атаке в 14,5% случаев.
Благодаря широкой распространенности этого бэкдора (а также проникновению этой программы в свободный доступ) количество бот-сетей и их активность в ближайшем будущем вряд ли уменьшится. Несмотря на то, что BackDoor.DarkNess известен в течение уже длительного времени, он все еще пользуется определенной популярностью: в месяц вирусная лаборатория «Доктор Веб» получает 30 новых сэмплов.
Начало августа ознаменовалось стремительным ростом числа заражений троянской программой Trojan.Mayachok.1. При этом вместо запрашиваемых пользователями сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства. Были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком»; троянец также может подменять страницы youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru.
Одновременно с этим множество пользователей подверглись заражению второй версией Trojan.Mayachok: ее особенность заключается в том, что троянец инфицирует Volume Boot Record, после чего в браузерах появляется сообщение о том, что их компьютер якобы заражен вирусом Trojan.Win32.Ddox.ci. Для устранения «проблемы» злоумышленники предлагают жертве установить обновление браузера, для чего требуется отправить на короткий номер платное СМС-сообщение. При этом создатели троянца не поленились разработать отличающиеся своим оформлением баннеры для наиболее популярных на сегодняшний день браузеров: Microsoft Internet Explorer, Mozilla Forefox, Opera, Google Chrome.
Что касается почтового спама, в августе лидирующие позиции среди рассылок занял троянец BackDoor.Pushnik.15, основное предназначение которого состоит в краже электронных денег пользователей WebMoney. Довольно активно по каналам электронной почты распространяются даунлоадеры, в частности, троянец Trojan.DownLoad2.24758, зафиксированный в почтовом трафике в 13,79% случаев. Не отстает от него и давно известная вредоносная программа семейства Trojan.Oficla. Среди прочих угроз, замеченных в августе в почтовом трафике, следует упомянуть Win32.HLLM.MyDoom в различных модификациях, а также троянцев Trojan.Tenagour.3 и Win32.HLLM.Netsky.