Информационная безопасность: хождение по граблям

Свой новый рабочий год компьютерные злоумышленники начали весьма активно – после относительного январского праздничного затишья февраль оказался весьма богатым на новые зловредные программы. При этом разработчики антивирусов дружно отметили интерес вирусописателей к мобильным устройствам, работающим под управлением ОС Android.

По сообщению компании «Доктор Веб», в феврале было обнаружено сразу шесть новых троянских программ для платформы Android. Они написаны на Java, а их единственной функцией является отправка платных SMS на короткие номера. По оценке компании, увеличение числа таких вредоносных программ, а в январе текущего года был выявлен только один подобный троянец, позволяет говорить о тенденции. Более того, сотрудники разработчика антивирусов полагают, что уже в ближайшем будущем следует ожидать появления более сложных и опасных троянских программ под платформу Android.

Более детально к изучению «андроидной» опасности подошла «Лаборатория Касперского». Помимо троянцев, ею была обнаружена программа-бэкдор Trojan- Spy.AndroidOS.Adrd.a, которая связывается с удаленным сервером и посылает ему идентификационные данные мобильника: IMEI и IMSI. Командный центр в ответ посылает информацию, которая используется для осуществления запросов к поисковой системе в фоновом режиме. Такие запросы осуществляют «накрутку» для рекламы.

«Лаборатория Касперского» отметила также, что некоторые из андроидных зловредов оказались весьма распространены. Так, программа Trojan- SMS.J2ME.Agent.cd попала в двадцатку наиболее распространенных вредоносных программ в Интернете. Этот троянец – его основной функционал заключается в отправке SMS на премиум-номер – занял 18 место в названном рейтинге. Сама программа распространяется преимущественно с помощью ссылок в спам-сообщениях в ICQ. Преобладает этот троянец в России и Испании.

В числе других опасностей февраля антивирусные компании отметили блокировщиков Windows, шифровальщиков, троянские программы для кражи банковских аккаунтов, PDF-эксплойты. Причем, как отмечает «Доктор Веб», в феврале значительную долю вирусного трафика составляли блокировщики Windows и троянцы, осуществляющие кражу паролей к учетным записям систем дистанционного банковского обслуживания. При этом компания отмечает, что блокировщики стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы – программы для шифрования и запутывания готовых исполняемых файлов. Более того, сотрудники «Доктор Веба» полагают, что распространение блокировщиков в обозримом будущем не прекратится – наоборот, вероятно появление все более изощренных вариантов данного вида мошенничества.

Шифровальщики пользовательских данных также продолжали распространяться в прошлом месяце. Автор Trojan.Encoder несколько раз менял алгоритм шифрования, но в целом количественные показатели данного вида вредоносных программ остались на прежнем уровне.

Меркантильные интересы у злоумышленников по-прежнему остаются на первом месте. Поэтому сразу несколько программ для кражи денежных средств с банковских счетов, наподобие троянца Zeus, оказались в десятке вредоносных лидеров февраля. В теле таких программ зашит список URL систем дистанционного банковского обслуживания, среди которых русские, итальянские, американские, немецкие: libertyreserve.com, perfectmoney.com, commbank.com.au, sparkasse.de, commerzbanking.de, poste.it, cedacri.it, payment.ru, ibank.alfabank.ru и т.п.

Некоторые из таких вредоносных программ имеют функции лоадеров и скачивают на ПК пользователей поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).

Стоит отметить, что «Лаборатория Касперского» по-прежнему высоко оценивает опасность PDF-эксплойтов. По оценке компании, эксплуатация уязвимостей в PDF-файлах сейчас представляет собой один из самых популярных способов доставки зловреда на ПК пользователя. При этом компания отмечает, что PDF-эксплойт Exploit.JS.Pdfka.ddt занял 8 место в ее рейтинге вредоносных программ в Сети.

Атаки: хакеры напали на французский Минфин

Компьютерная сеть министерства экономики и финансов Франции подверглась хакерской атаке. Как сообщило 7 марта издание Paris Match, в период с декабря 2010 года вплоть до начала марта хакеры получили несанкционированный доступ к более чем 150 компьютерам ведомства. С их помощью злоумышленники получили доступ к документам, посвященным встрече «Большой двадцатки» (G20), которая прошла в столице Франции 18-19 февраля. Главной целью хакеров явилась дирекция казначейства. Минфин Франции подтвердил факт атаки на свою сеть, однако представители ведомства не сообщили, какое именно количество государственных документов было похищено злоумышленниками.

Эта атака на государственную компьютерную сеть стала самой масштабной за всю историю Франции. Официальное уведомление о незаконном вторжении в сеть уже было направлено во французский суд.

Анонимные источники Минфина указали, что следы хакеров ведут в Китай. Именно на китайские сайты было перенаправлено некоторое количество документов, похищенных с компьютеров ведомства. Однако чиновники пока официально не подтвердили, что за хакерской атакой стоят именно китайские взломщики. Позднее власти Франции заявили, что уже есть подозреваемый в данном преступлении, однако его имя в интересах следствия не разглашается.

Также сообщалось, что деятельность хакеров была хорошо скоординирована, а методы, которыми они пользовались при взломе систем, – «чрезвычайно продвинутыми». Представители Национального агентства по обеспечению безопасности информационных систем Франции назвали данный инцидент «актом шпионажа».

Угрозы: новый троян для Mac

Хакеры, как и многих другие люди, проявляют интерес не только к Windows, но и к MacOS X. Недавно исследователи компании Sophos обнаружили новую троянскую программу, написанную для Mac.

Троянец называется BlackHole RAT (где RAT расшифровывается как «remote access Trojan» – Троян удаленного доступа) и, по данным исследователя Sophos Чета Вишневски, его довольно просто найти в Интернете на хакерских форумах.

Впрочем, в атаках этот троян пока не замечен. Похоже, что пока программа является лишь доказательством возможности атаки Маков. Но ее довольно легко использовать, и если хакеры найдут способ ее установки на компьютеры с Mac, то она даст им в руки удаленный контроль над Mac OS X. BlackHole является вариантом трояна для Windows – darkComet. Исходный код darkComet свободно доступен в Сети, и, похоже, что автор BlackHole просто взял его и переписал под Mac.

Причиной появления троянов под Mac является увеличивающаяся популярность платформы, которая, соответственно, становится более интересной для киберпреступников. И хотя вирусы под Mac до сих пор относительно редки, на сайтах пиратских программ для Mac встречается и другой троянец, названный HellRTS.

Защита: Avast стал лидером в России

Разработчики чешского антивирусного решения Avast сообщили, что их бесплатный продукт Avast Free Antivirus стал самым загружаемым ПО в России. Они сделали этот вывод, исходя из данных крупного магазина ПО с открытой статистикой Softportal.com, после того, как утром 2 марта Avast обошел по числу загрузок давнего соперника Adobe Acrobat Reader, и стал самым популярным приложением портала, обойдя в том числе Skype и Firefox. Softportal – действительно крупный ресурс для магазина приложений с числом уникальных посетителей более 120 тыс. в сутки. Разработчики Avast полагают, что ситуация на Softportal характерна и для других онлайн-магазинов ПО.

Ссылаясь на собственные данные, разработчики Avast сообщили, что в феврале 2011 года инсталляционная база их антивируса составила 7,27 млн пользователей. В это число, согласно пояснениям Avast, вошли только те копии антивируса, которые обращались за обновлением к базе данных как минимум один раз за последние 30 дней.

Если собственные подсчеты Avast верны, то это значит, что за последний год рыночная доля бесплатного антивируса выросла примерно на 56%, увеличившись с 4,6 млн в I полугодии 2010-го.

Антивирусный эксперт Илья Шабанов полагает, что 7 млн регулярно обновляемых, то есть постоянно используемых копий Avast, – корректное число. «В категориях активаций разработчики Avast давно уже говорят о десятках миллионов копий, но это явно завышенный итог. Однажды установленный антивирус можно потестировать и удалить, можно его потерять, переустановив Windows, так что считать пользователей по активациям продукта не корректно. Цифра 7 млн обновляемых антивирусов выглядит гораздо разумнее».

Глава Leta Group, которой принадлежит дистрибутор антивируса NOD32 разработчика ESET, Александр Чачава поспорил с заявлением Avast о лидерстве в России по числу закачек: «Сайт Softportal, на данных которого построили свое рассуждение разработчики Avast, хотя и крупный ресурс, не может претендовать на всю полноту картины рынка, особенно если одновременно учитывать статистику по платным и бесплатным продуктам».

Если говорить о долях рынка, то по данным BBDO, которая заказывала изучение российского рынка, на первом месте с долей 31% идут продукты «Касперского», на втором с 25% ESET, и на третьем Avast с 16%. Среди домашних пользователей ПК, по данным Gfk, продукты «Касперского» занимают 43%, ESET 32%, Avast 27%.

По мнению группы Leta, инсталляционная база «Касперского» в России составляет 17-18 млн экземпляров, программ ESET – около 14 млн, а у Avast – примерно 8 млн копий.

Однако, говорит эксперт, если рассматривать глобальный рынок антивирусных программ, то на нем первые 4-5 мест по размеру инсталляционных баз занимают бесплатные антивирусы. Россия, где на двух верхних строчках располагаются платные решения, – исключение.

В «Лаборатории Касперского» солидарны со своим коллегой из Leta. Руководитель управления маркетинга компании Олег Гудилин утверждает, что о доминировании на рынке бесплатных защитных решений речи не идет. Он ссылается на опросы компании Comcon, по которым доля Avast у пользователей ПК составляет 12,6%, в то время как доля продукции «Лаборатории Касперского» примерно в два с половиной раза больше (учитывая нелицензионные копии).

Wordpress.com атакован, блоги стали жертвами

В первых числах марта неизвестные хакеры атаковали ресурс Wordpress.com – одну из самых больших площадок для размещения блогов. По словам представителей администрации Wordpress, это была крупнейшая за все время существования сервиса DDoS-атака. По словам руководства компании, мощность атаки достигала «нескольких гигабит в секунду и десятков миллионов пакетов в секунду».

По сообщению CNET, от нее пострадали почти 18 млн блогов, в том числе и со статусом VIP. Все они были размещены в трех дата-центрах, которые, собственно и пострадали от действий злоумышленников. Сотрудники ресурса не исключают, что DDoS-атака носила политический характер и на самом деле была направлена против одного из неанглоязычных блогов.

На сегодняшний день все проблемы устранены, и блог-платформа работает в обычном режиме. Специалисты Wordpress.com принимают меры, чтобы при необходимости отразить возможную повторную атаку.

В феврале вирусов стало меньше

Антивирусная компания Panda Security опубликовала отчет, в котором сообщила о спаде вирусной активности в феврале. Эти данные получены при помощи бесплатной антивирусной онлайн-программы Panda ActiveScan.

Выяснилось, что в феврале только 39% компьютеров в мире было заражено вредоносным ПО. В январе этот показатель был выше на 11%. При этом наиболее распространенным вредоносным ПО по-прежнему остаются трояны – они становятся причиной заражения в 61% всех случаев. На втором месте рейтинга оказались традиционные вирусы и черви – они вызвали в общей сложности 11,59% и 9% заражений соответственно. По сравнению с январем данные показатели почти не изменились.

Как сказано в отчете, рекордсменами по инфицированности стали такие страны, как Китай, Украина, Таиланд и Тайвань (более 50% зараженных ПК). Россия также попала в список 10 самых инфицированных стран, приблизившись к отметке в 50%. Интересно, что соответствующие показатели Италии, США и Франции не превысили 40%, но все же оказались больше, чем в январе.

Google спасает Android Market от хакеров

Компания Google обновила магазин мобильных приложений Android Market. Обновленная версия была предложена для установки всем пользователям, загрузившим из него приложения, содержавшие вредоносный код. Об этом сообщается в блоге компании.

Впервые вредоносные приложения в Android Market были обнаружены 1 марта. Спустя несколько минут после обнаружения этих приложений они были удалены из магазина. Однако не менее 50 тысяч владельцев Android-смартфонов все же успели загрузить их.

По данным Google, эти приложения без ведома пользователей собирали и отправляли хакерам-злоумышленникам IMEI-идентификаторы их смартфонов и номер версии ОС Android. Вместе с тем, ранее сообщалось, что эти приложения теоретически могли получить доступ к другим личным данным пользователей, в том числе к имени их учетной записи Google.

Отмечается, что разработчики вредоносного приложения смогли воспользоваться известной ранее уязвимостью ОС Android. Эта уязвимость распространяется на все версии Android до 2.2.2.

Google также заявил, что помимо удаления приложения из Android Market, Google также начал удалять вредоносные приложения со смартфонов пользователей. Это делается удаленно без участия владельца устройства.

Угрозы: новый троян-вымогатель

В Сети обнаружен новый троян-вымогатель, блокирующий после своей установки работу компьютера, сообщается на сайте «Лаборатории Касперского». Зловред маскируется под бесплатную программу, способную взломать анкеты пользователей социальной сети «ВКонтакте» по номеру учетной записи. Пользователю обещают, что программа позволит смотреть скрытые фотоальбомы, читать чужие сообщения и те разделы соцсети, доступ к которым был ограничен их создателями.

Однако вместо обещанной программы при нажатии на баннер, располагающийся на мошенническом сайте, происходит загрузка и автоматическая установка трояна Trojan-Ransom.Win32.Vkont.a, который блокирует компьютер.

Троян автоматически выводится на рабочий стол, а его установка не блокируется антивирусным ПО, поскольку программа не воспринимается как угроза, а ее установка инициируется самим пользователем. После этого троян требует внести платеж с помощью SMS для возобновления нормальной работы. Для того чтобы избавиться от зловредного ПО, специалисты не рекомендуют отправлять SMS на номер, указанный трояном. Вместо этого они предлагают воспользоваться одним из сервисов по автоматическому подбору паролей.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 10 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета