Вирусные события марта

--> Дата: Апр 14, 2011 30

Согласно отчету компании «Доктор Веб», март оказался богат на события в сфере ИБ. В числе главных новостей — проникновение троянцев в платежные терминалы и ликвидация крупнейшей в мире спам-сети — ботнета Win32.Ntldrbot (известного также как Rustock). Злоумышленники предприняли ряд заметных атак на социальные сети. Кроме того, как и следовало ожидать, катастрофа в Японии послужила темой множества спам-рассылок и спекуляций.

17 марта прекратил работу самый крупный генератор спама, ботнет Win32.Ntldrbot. 26 командных центров ботнета стали недоступны, и сотни тысяч ботов остались без управления. По оценкам Microsoft, компьютер, зараженный Win32.Ntldrbot, рассылал до 10 тыс. писем в час. По данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом Win32.Ntldrbot, можно оценивать в несколько миллиардов сообщений в сутки.

Ответственность за обезглавливание ботнета Win32.Ntldrbot взяла на себя корпорация Microsoft, которая провела операцию совместно с американскими властями. Юридическим обоснованием операции был гражданский иск Microsoft против неустановленных лиц, стоявших за данным ботнетом. По распространенной версии, злоумышленниками являются наши соотечественники.

Компания «Доктор Веб» в марте заявила об обнаружении новой модификации троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Этот троянец изменяет номера счетов получателей платежей. Последняя его модификация, вероятно, позволяет злоумышленникам создать виртуальный терминал.

Adobe объявила об обнаружении очередной уязвимости в проигрывателе Adobe Flash Player 10.2.152.33 и некоторых более ранних версиях. Уязвимость позволяет злоумышленникам атаковать систему при помощи специально оформленного swf-файла. Она является общей для версий данного программного продукта для Windows, Mac OS, Linux, Solaris и ранних версий Android. Уязвимость оставалась актуальной в течение недели. Вскоре после этого в открытом доступе оказались исходные коды примера эксплуатации данной уязвимости.

Демонстрация уязвимости спровоцировала рассылки писем, содержащих во вложении троянский xls-файл, включающий в себя Exploit.SWF.169. При запуске троянского файла среда MS Excel на некоторое время перестает отвечать, при этом пользователь видит пустую таблицу со встроенным flash-роликом без изображения. В это время Exploit.SWF.169 осуществляет свою локальную атаку, сохраняет на диск и запускает исполняемый файл с нагрузкой в виде Trojan.MulDrop1.64014 или Trojan.MulDrop.13648.

Социальные сети оставались популярной целью хакерских атак: им подверглись сервисы LiveJournal и Facebook. 4 марта 2011 года была осуществлена массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal. При этом в графе отправителя фишингового письма был указан адрес do-not-reply@livejournal.com, который действительно используется сервисом LiveJournal для рассылки уведомлений. Мошенническая ссылка, по которой предлагается перейти, ведет на один из поддельных сайтов: livejorrnal.com или xn--livejurnal-ivi.com. При переходе пользователь попадает на страницу, копирующую дизайн оригинального LiveJournal. Данные, которые он здесь вводит, передаются мошенникам.

Через несколько дней похожей атаке подвергся сервис Facebook. Его пользователи стали получать спам-сообщения, рассылаемые от имени действующих аккаунтов Facebook. В сообщениях содержалась короткая ссылка, приводящая на мошенническую страницу, копирующую дизайн Facebook. На этой странице размещалось уведомление с запросом личной информации пользователя.

30 марта LiveJournal подвергся очередной DDoS-атаке – по оценкам администрации сервиса, самой масштабной за время его существования. Атака продолжалась несколько часов, в это время сервис был практически недоступен.

За катастрофой в Японии последовала волна спама соответствующей тематики. Некоторые образцы спам-рассылок содержали призывы к пожертвованиям, при этом в качестве отправителя фигурировала одна из известных благотворительных организаций («Красный крест», «Армия спасения»). В теле письма, как правило, присутствовала ссылка на соответствующий мошеннический ресурс, готовый принимать пожертвования. В других случаях пользователей заманивали на вредоносные ресурсы. Например, в сообщении предлагалось просмотреть видеоролик о катастрофе, ссылка на который присутствовала в теле письма. При попытке просмотра пользователь переходит на вредоносный сайт, с которого на его машину устанавливается Trojan.FakeAlert.