Вирусная активность (август)

Компания «Доктор Веб» представляет обзор вирусной активности в августе 2009 года. Главной темой месяца стала активность Win32.Induc – вируса, который заражает среду разработки Delphi. Не обладая ярко выраженным вредоносным функционалом, этот вирус, тем не менее, таит в себе весьма соблазнительный для злоумышленников потенциал, и потому его детектированию и лечению «Доктор Веб» уделяет такое же высокое внимание, как и к любой другой вредоносной программе. Наряду со средами программирования в прошлом месяце вирусописатели продолжили использовать возможности социальных сетей и испытанные методы социальной инженерии. Применялись и новые схемы распространения вредоносных программ и спам-сообщений – в частности, с использованием подбора captcha с помощью зараженных пользователей для авторизации на различных веб-ресурсах. Также «вышла боком» растущая популярность VoIP-телефонии – злоумышленники обернули эту тенденцию против пользователей.

Delphi и другие среды программирования под атакой

Уже несколько месяцев распространяется Win32.Induc – вирус, заражающий системы с установленной версией Delphi с 4-ой по 7-ую включительно. Он модифицирует одну из библиотек, использующуюся при сборке проектов. Таким образом, каждая программа, разработанная в модифицированной вирусом версии Delphi, уже заражена Win32.Induc.

Этот вирус не наносит видимого вреда зараженным системам – единственная его вредоносная функция заключается в самораспространении. Но в будущем ничто не мешает злоумышленникам использовать этот способ для распространения вредоносных программ. Несмотря на «безобидность» Win32.Induc, компания «Доктор Веб» видит в нем потенциальную опасность и уже сегодня предлагает его лечение.

Win32.Induc успел широко разойтись, поскольку попадал к пользователям вместе с популярными легальными программами, разработанными в зараженной среде Delphi. Вследствие этого, после добавления Win32.Induc в вирусные базы большинства антивирусных вендоров работа этих программ блокировалась, что доставило неудобства как пользователям, так и разработчикам. Однако после добавления записи, позволяющей лечить заражённые Win32.Induc файлы, в вирусные базы производителей средств информационной защиты, было отмечено резкое снижение активности этой вредоносной программы.

1

Рис. 1. Активность Win32.Induc во второй половине августа 2009 года.

В августе также была обнаружена похожая вредоносная программа, ACAD.Siggen. В отличие от Win32.Induc она распространяется в виде модуля, реализованного в среде разработки Visual Lisp, которая используется в системе автоматизированного проектирования Autodesk AutoCAD. ACAD.Siggen заражает AutoCAD-файлы, открываемые в зараженной системе, так как запускается одновременно с AutoCAD.

Зарубежные социальные сети: рай для вирусописателей

Ввиду непрекращающегося роста своей популярности сервис микроблогов Twitter и известная зарубежная социальная сеть Facebook продолжают привлекать злоумышленников. К сожалению, доверчивость пользователей по отношению к сообщениям, содержащим заманчивые предложения посетить внешние ресурсы, все еще велика.

Уже давно известное семейство вирусов Win32.HLLW.Facebook в августе 2009 года предложило пользователям «поработать» на киберпреступников весьма изощрённым образом. Вирус, как и ранее, завлекает пользователя с помощью различных сообщений в социальных сетях на подставной ресурс, внешне очень похожий на легальный, с которого происходит загрузка якобы кодека для просмотра видеоролика. Если пользователь запускает загруженный исполняемый файл, происходит заражение. При этом интересна новая тенденция в технологиях обмана пользователей. Как известно, многие веб-сервисы защищают собственные ресурсы от автоматической регистрации пользователей, а также рассылки от их имени спам-сообщений. Для этого применяются различные технологии, которые позволяют подтвердить, что данное сообщение отправляет именно человек, а не программа-робот. Для проверки чаще всего применяется captcha – механизм, при котором пользователь должен ввести случайно генерируемую последовательность символов, которая представлена в виде изображения.

2

Рис. 2. Сообщение, принуждающее пользователя ввести captcha.

В последних версиях червя Win32.HLLW.Facebook появился любопытный модуль Win32.HLLW.Facebook.194, который осуществляет подбор captcha усилиями зараженного пользователя. Задача этого модуля – заставить пользователя ввести «правильную» комбинацию символов и отправить введенный результат на сервер злоумышленников. После того как задание на введение captcha получено с удаленного сервера, на зараженном компьютере всплывает окно с полем ввода, причем работа системы в этот момент блокируется.. Благодаря действиям обманутого пользователя злоумышленники получают возможность создавать аккаунты на различных веб-сервисах с целью рассылки спама и новых фишинговых сообщений.

Другим инструментом злонамеренного использования социальных сетей стали управляющие команды для бот-сети в сообщениях одного из аккаунтов сервиса микроблогов Twitter. Команды представляли собой закодированные ссылки bit.ly (сервис сокращения ссылок), которые вели к ресурсам с вредоносными компонентами. После перехода по этим ссылкам заражённый компьютер получал команды через RSS-поток сообщений соответствующего аккаунта на Twitter. Подобную схему использовал Trojan.PWS.Finanz.410.

Маскировка управляющих команд для бот-сети была замечена и на другом сервисе микроблогов – Jaiku. Технология использована та же – закодированное сообщение в виде сокращенной ссылки ведет к вредоносному ПО, а получение управляющих команд происходит через RSS-поток.

Для злоумышленников подобные схемы привлекательны, в первую очередь, возможностью маскировки под легальный сетевой трафик и сложностью обнаружения. Тот же Twitter позволяет создавать закрытые аккаунты, содержимое которых доступно для ограниченного числа пользователей, что может затруднить обнаружение таких аккаунтов и их своевременную блокировку.

 

Обновление обновлению рознь. Угроза для пользователей Mozilla Firefox

Тему подставных сайтов продолжает вредоносная программа Adware.FF.1 – рекламный модуль, доставляющий неприятности поклонникам браузера Mozilla Firefox.

В современных условиях, когда злоумышленники постоянно обнаруживают уязвимости в популярном ПО, производители этих программ вынуждены регулярно выпускать обновления и настойчиво предлагать их своим пользователям. Многие уже привыкли к большому количеству предлагаемых обновлений операционной системы, антивируса, браузеров, даже текстовых редакторов. Злоумышленники решили воспользоваться частыми обновлениями от компании Adobe – Adware.FF.1 распространялся под видом ложного обновления для программы Adobe Flash Player. Причем ресурс, с которого происходило распространение этой вредоносной программы, внешне очень похож на оригинальный сайт Adobe. Кроме того, имя домена подставного сайта тоже призвано усыпить бдительность пользователей. Ссылки с некоторых его разделов ведут на оригинальный ресурс. Сам же рекламный модуль Adware.FF.1 после запуска лжеобновления устанавливает плагин для браузера Mozilla Firefox. Его задачей является подмена контекстной рекламы в поисковой системе Google.

3

4

Рис. 3. Внешний вид фальшивого сайта Adobe.

«Родственник» этого вируса, Adware.FF.3, дабы не вызывать подозрений пользователей, в своем установщике содержит ещё и оригинальный инсталлятор Adobe Flash Player.

Вирус в комплекте

Вирусописатели уже не первый раз используют повышенный интерес к выходу новых версий тех или иных популярных программ. Так, при выпуске офисного пакета от Apple – iWorks’09 – активно распространялся дистрибутив, содержавший троянца из семейства Mac.Iservice. На этот раз вирусописатели решили воспользоваться повышенным вниманием к Mac OS X Snow Leopard. Известны факты распространения через популярные торрент-трекеры зараженного дистрибутива этой ОС, содержащего вирус семейства Mac.DnsChange, при активации которого на компьютере осуществляется подмена DNS-запросов в процессе работы пользователя с браузером.


В начало     На главнуюaa