Информбезопасность: «троянское» лето

Видимо, пора собирать коллекцию. Коллекцию «коммерческих» троянов, то есть вредоносных программ, главная задача которых – не навредить пользователю, а использовать ресурсы его компьютера для зарабатывания злоумышленниками денег. При этом создатели троянов порой проявляют такую изобретательность, что любой маркетолог обзавидуется.

Россия и США согласуют действия по инфобезу

США планируют начать регулярный обмен информацией по компьютерной безопасности с Россией в рамках усилий администрации Обамы восстановить более тесные отношения между странами и уладить недоразумения вокруг политик стран в области информационных технологий.

В конце июня в Вашингтоне состоялась встреча между должностными лицами, работающими в области компьютерной безопасности, в рамках визита российской делегации в Вашингтон, возглавляемой заместителем секретаря Совета безопасности РФ Николаем Климашиным.

«И Россия, и США ищут пути противодействия наиболее серьезным угрозам компьютерной безопасности, но происходящие в это же время непонятные инциденты могут негативно повлиять на наши отношения», – сказал Говард Шмидт, координатор по компьютерной безопасности при администрации Обамы. Под непонятными инцидентами могут, в том числе, подразумеваться атаки на инфраструктуру и сети правительства США, совершенные российскими хакерами, которые в последние несколько лет стали представлять более серьезную угрозу. Последние атаки на сети, принадлежащие федеральному правительству США или имеющие отношение к нему, совершенные хактивистскими группами Anonimous, LulzSec и AntiSec, пролили новый свет на эти риски.

На встрече официальные лица заключили пакт о сотрудничестве в области компьютерной безопасности, включая обмен по готовящимся военным операциям в области информационной безопасности, а также обмен информацией между Компьютерными группами реагирования на чрезвычайные ситуации (CERT) обеих стран, согласно совместному заявлению Шмидта и Климашина по результатам встречи.

«В то время как углубляется взаимопонимание по проблемам национальной безопасности в киберпространстве, подобные меры помогут нашим обоим правительствам более продуктивно общаться по поводу мелко- и крупномасштабных угроз нашим сетям, создать лучшие условия для сотрудничества в ответ на угрозы, а также предотвратить увеличение количества серьезных инцидентов», – заявили официальные лица.

Забота о более тесном сотрудничестве с иностранными государствами по поводу политики в области компьютерной безопасности – ключевой аспект «Интернациональной стратегии в политике киберпространства» Барака Обамы. Он опубликовал этот документ в мае.

«Маячок»: троян для мобильников

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – сообщила об участившихся случаях заражения ПК вредоносной программой Trojan.Mayachok.1, которая крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее SMS- сообщение.

В конце июля была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее SMS, с его счета незамедлительно списывались средства.

Компанией «Доктор Веб» были также зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались. Троян также может подменить страницы следующих интернет-ресурсов: youtube.com, vkontakte.ru, odnoklassniki.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS-сообщение.

Один из подтвержденных методов распространения данной вредоносной программы – рассылка в социальной сети «ВКонтакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троян создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троян вносит изменения в системный реестр Windows и перезагружает ПК. После этого Trojan.Mayachok.1 сохраняет в папку C:Documents and SettingsAll UsersApplication Datacf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Эта троянская программа распознается при сканировании дисков компьютера и потому не страшна пользователям большинства серьезных антивирусов. При заражении компьютера этой вредоносной программой необходимо обновить вирусные базы и провести сканирование дисков. Кроме того, можно воспользоваться средством аварийного восстановления системы.

Из The Sun утекли личные данные читателей

Редакция британского таблоида The Sun распространила предупреждение о том, что личные данные читателей, принимавших участие в конкурсах и опросах на сайте издания, могли быть украдены хакерами. Согласно предупреждению, под угрозой попадания в открытый доступ оказались имена, адреса и номера телефонов читателей. Финансовых данных и паролей среди «утекшей» информации, по заверениям редакции The Sun, нет.

19 июля сайт газеты The Sun, а также интернет-представительства других изданий, входящих в корпорацию News Corp медиамагната Руперта Мердока были атакованы хакерами из группировки Lulz Sec. В результате взлома на главной странице The Sun появился материал о том, что тело 80-летнего Мердока найдено в саду возле его дома.

Причем взлом сайтов News Corp произошел уже после того, как хакеры из Lulz Sec объявили о завершении активной деятельности. 26 июня группировка объявила, что уходит на покой. Ранее участники Lulz Sec атаковали сайты канала Fox, подразделений корпорации Sony, подразделения ФБР, внутренней сети Сената США, ЦРУ и британского агентства по борьбе с организованной преступностью (SOCA).

«Коммерческий» троян в обновлениях для Java

Исследователи из румынской компании BitDefender обнаружили новый образец вредоносного ПО, основной функцией которого являются DDоS-атаки. Этот тип вредоноса распространялся как регулярное обновление для Java-платформы. Изучив образец более подробно, специалисты пришли к выводу, что он являет собой чрезвычайно опасный инструмент для инициации распределенной атаки на отказ в обслуживании (DDоS), обладая при этом расширенной функциональностью.

Так, помимо основного источника распространения – взломанных легитимных интернет-ресурсов – троян Backdoor.IRCBot.ADEQ «обучен» еще нескольким способам, в число которых входят: самокопирование как в папки общего доступа, используемых приложениями P2P, так и на USB-устройства. Кроме этого он может отправить свою копию с помощью Windows-мессенджера или по электронной почте. Однако основной функцией трояна остается DDоS-атака. Вирусописатели снабдили свое творение возможностью установки ссылки на целевой ресурс, назначения времени атаки, интервала и частоты запросов. Отдельно стоит сказать, что вредонос, попав в систему, где уже имеется подобное вредоносное ПО, удаляет конкурентов. Среди удаляемых – такие ботнеты, как Cerberus, Blackshades, Cybergate или OrgeneraL DDoS Bot Cryptosuite, а также другие трояны, поражающие системные файлы winlogon.exe, csrss.exe и services.exe.

Кроме вышеперечисленного, бот снабжен функцией блокировки предупреждений. Для этого он добавляет себя в список доверенных программ в брандмауэр Windows и пытается блокировать работу файервола и предупреждения антивирусных программ о том, что данные отправляются в Сеть.

Такие возможности предполагают его дальнейшую коммерциализацию, с целью предоставления соответствующих услуг, подчеркнули эксперты.

McAfee выявила серию кибератак

Эксперты компании McAfee сообщили о том, что им удалось выявить масштабную серию кибератак, в результате которых за пять лет были взломаны сети 72 крупных государственных и частных учреждений по всему миру, в том числе – ООН. Как передает Reuters, эксперты McAfee говорят об «одном государстве», стоящем за данной серией кибернападений, но не называют его.

Независимый эксперт по вопросам интернет-безопасности Джим Льюис (Центр стратегических и международных исследований) сообщил новостному агентству, что согласно приведенной McAfee информации все доказательства указывают на Китай: «Все указывает на Китай. Россия – также вероятный вариант, но больше моментов указывают на Китай, нежели на Россию».

Среди множества пострадавших – правительства США, Тайваня, Индии, Южной Кореи, Вьетнама и Канады, Ассоциация государств Юго-Восточной Азии (АСЕАН), Международный олимпийский комитет (МОК), международное антидопинговое агентство и целый ряд компаний – от выполняющих военные заказы до высокотехнологичных предприятий. Что касается ООН, то хакеры взломали компьютеры секретариата ООН в Женеве еще в 2008 году и на протяжении двух лет получали оттуда секретные данные. Организация уже уведомлена о возможном проникновении и ведет расследование.

По данным McAfee, продолжительность атак была разной – от месяца до более чем двух лет (на олимпийский комитет одной из азиатских стран). «Это самая большая потеря интеллектуальных ценностей в истории. И ее масштаб пугает», – говорит Дмитрий Альперович, вице-президент McAfee по международным угрозам.

«Подслушивающий» вирус

Специалисты из компании CA Technologies сообщили о вредоносной программе, записывающей телефонные разговоры владельцев Android-смартфонов. Как заявил в блоге CA Technologies сотрудник компании Динеш Венканесан, приложение записывает разговоры и сохраняет их на карте памяти смартфона в виде файлов в формате AMR.

При установке на устройство программа создает конфигурационный файл, в котором перечисляются параметры удаленного сервера. Исследователь не исключает, что возможна тайная отсылка аудиофайлов на этот сервер, где их могут прослушать злоумышленники.

Судя по опубликованным в блоге скриншотам, приложение носит название Android System Messenger. Из этого следует, что авторы замаскировали его под системную утилиту. По каким каналам распространяется программа, не уточняется, но в магазине Android Market ее нет.

В Android Market имеется несколько десятков приложений с функцией записи телефонных звонков или голоса, однако созданные ими аудиофайлы хранятся исключительно в памяти устройства.

«Яндекс» занялся порнографией

Российская поисковая система «Яндекс» внедрила систему piFilter для фильтрации порнографических изображений. «Технология будет использоваться в веб-поиске и поиске по картинкам для повышения точности и полноты классификатора изображений для взрослых. Это позволит улучшить качество фильтрации страниц с материалами для взрослых в случаях, когда текстовых и ссылочных данных недостаточно для распознавания эротических/порнографических картинок», – сообщает пресс-служба «Яндекса».

Ранее содержание сайтов с порнографическим контентом определялось в основном по текстовому наполнению – характерным словосочетаниям или терминам. Если на одной из страниц сайта обнаруживались подобные слова, связанные с ней страницы также попадали в фильтр «Яндекса». С запуском системы piFilter к анализу текстовой составляющей добавится анализ изображений.

Начиная с 2009 года «Яндекс» фильтрует контент для взрослых по запросам, в которых интерес к порнографии не выражен явно. Например, по запросам «рассказы» или «ролики» ссылки на сайты с порнографическим контентом намеренно не выдаются. Фильтрация порноконтента в «Яндексе» включена по умолчанию – в случае, если пользователю такие настройки неудобны, он может перейти в режим «без ограничений».

Trojan.BtcMine.1: троян для Bitcoin

Троянская программа Trojan.BtcMine.1 крадет у пользователей системные ресурсы, необходимые для получения электронной криптовалюты Bitcoin. Система обращения Bitcoin не имеет централизованной управляющей структуры; она реализована в виде одноранговой сети, использующей для обмена информацией транзакции peer-to-peer. Создатель Bitcoin, Сатоcи Накамото, взял за основу данной системы видоизмененный принцип «золотодобычи»: эмиссия новых электронных «монет» требует выполнения определенной работы – в данном случае пользователь должен установить на своем компьютере специальное ПО для выполнения сложных вычислений, за что владелец ПК получает определенное вознаграждение. Впоследствии участники системы могут обмениваться заработанными электронными «монетами» и приобретать на них различные товары. Этот процесс называют «майнингом» (от англ. mining – «добыча»).

Известно несколько вредоносных программ, занимающихся майнингом электронной валюты Bitcoin, в частности, Trojan.Coinbit и некоторые версии Trojan.Vkbase.

Новый троянец, Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью добычи виртуальных монет. Распространяется эта вредоносная программа с различных ресурсов, никак не связанных с официальным сайтом проекта Bitcoin. Будучи запущенным в системе ничего не подозревающим пользователем, Trojan.BtcMine.1 сохраняет себя во временную папку под именем udpconmain.exe. Затем он прописывает путь к исполняемому файлу в отвечающем за автозагрузку приложений ключе реестра. Потом вредоносная программа скачивает из Сети и размещает во временной папке под именем miner.exe второй «майнер» с целью максимально загрузить ПК расчетами. После этого троянские программы подключаются к одному из пулов платежной системы и начинают вести расчеты, зарабатывая для злоумышленников соответствующее вознаграждение.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 30 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета