главна€ > пресс-центр > Ќовости > ќбзор вирусной обстановки за июнь > в јтырау,  азахстан
ќбзор вирусной обстановки за июнь
11-07-2011
  ѕервый летний мес€ц 2011 года оказалс€ достаточно жарким в плане по€влени€ новых угроз информационной безопасности. “ак, специалистами компании «ƒоктор ¬еб» было вы€влено более 40 вредоносных программ дл€ операционной системы Android (дл€ iOS — только одна), что свидетельствует о неуклонном росте попул€рности этой платформы среди вирусописателей. ѕо сравнению с началом года наблюдаетс€ дес€тикратный рост угроз дл€ нее. Ќе остались в стороне и вирусописатели, ориентирующиес€ как на персональные компьютеры под управлением Microsoft Windows, так и на «макинтоши».

Google Android под угрозой
ƒаже несмотр€ на то, что мобильна€ платформа Android базируетс€ на €дре Linux и обладает весьма надежным механизмом обеспечени€ безопасности, с каждым днем дл€ нее по€вл€етс€ все больше и больше вредоносных программ. ќдна из очевидных причин этого — чрезвычайно широкое распространение данной ќ—.
ћобильные устройства стали лакомым куском дл€ разработчиков вредоносных программ, ведь с их помощью можно тайком от пользовател€ рассылать —ћ— и осуществл€ть звонки на платные номера, организовывать рекламные рассылки по списку абонентов адресной книги и загружать на смартфон различный контент. »ными словами, этот рынок открывает злоумышленникам короткий путь к быстрому обогащению.
≈ще одна возможна€ причина роста количества угроз дл€ Android — открытость исходных кодов этой операционной системы, благодар€ чему любые обнаруженные в ней у€звимости быстро станов€тс€ досто€нием широкой общественности. ƒополнительную опасность создает и то обсто€тельство, что, например, пользователи устройств на базе Android могут загружать приложени€ с различных площадок, что значительно повышает веро€тность заражени€. ¬ладельцы iPhone, iPad и iPod — только из App Store.
»з всех вредоносных программ дл€ ќ— Android, по€вившихс€ на свет за истекший мес€ц, больше всего шума наделал тро€нец Android.Plankton, описание которого было добавлено в вирусные базы 9 июн€. ¬первые эта угроза была вы€влена в Ћаборатории компьютерных исследований ”ниверситета —еверной  аролины (Department of Computer Science, NC State University), сотрудник которой — доцент  саксиан ÷з€н (Xuxian Jiang, Assistant Professor) — любезно предоставил специалистам «ƒоктор ¬еб» образцы инфицированного приложени€, за что компани€ выражает ему искреннюю благодарность.

Ѕуквально за несколько дней до этого, 6 июн€ 2011 года, специалистами компании «ƒоктор ¬еб» была вы€влена еще одна угроза дл€ Android, получивша€ наименование Android.Gongfu (на сегодн€шний день в базе присутствуют п€ть ее модификаций). ¬ ходе исследований вы€снилось, что Android.Gongfu использует те же у€звимости, что и широко распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действи€. ѕосле запуска вредоносна€ программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавл€етс€ в инфицированную систему в качестве фонового сервиса. ѕо завершении загрузки ќ— этот сервис запускаетс€ автоматически без участи€ пользовател€ и собирает идентификационную информацию о зараженном устройстве, включа€ версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользовател€. ƒалее эти сведени€ передаютс€ злоумышленникам на удаленный сервер. ‘актически данна€ вредоносна€ программа обладает функци€ми бэкдора, способного обрабатывать получаемые от удаленного сервера команды.

17 июн€ 2011 года в вирусные базы Dr.Web были внесены описани€ четырех новых модификаций —ћ—-сендера Android.Wukong (4–7), похищающего средства со счетов пользователей ќ— Android путем отправки платных —ћ—-сообщений. ¬редоносна€ программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений (они распростран€ютс€ с нескольких китайских сайтов, в том числе с одного из крупнейших сборников ѕќ www.nduoa.com) и запускаетс€ в качестве фонового процесса. «атем тро€нец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут начинает отправл€ть —ћ—-сообщени€, начинающиес€ со строки «YZHC». ѕомимо этого, вредоносна€ программа стараетс€ скрыть следы своей де€тельности, удал€€ из пам€ти смартфона отосланные ею сообщени€ и вход€щие —ћ— с информацией о приеме платежа оператором.

јнализ вы€вленных специалистами компании «ƒоктор ¬еб» угроз показывает, что большинство вредоносных программ дл€ Android встроено в легитимные приложени€, распростран€емые через попул€рные сайты, — сборники ѕќ и игр. ƒл€ реализации атак используютс€ не только у€звимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии.
ƒинамика роста угроз дл€ мобильной операционной системы Android с начала текущего года, полученна€ на основе статистических данных вирусной лаборатории «ƒоктор ¬еб». Ќалицо практически дес€тикратное увеличение в течение полугода, и можно предположить, что число вредоносных программ дл€ этой платформы будет увеличиватьс€ и в дальнейшем.

¬ладельцам работающих под управлением Android устройств можно порекомендовать, прежде всего, внимательно следить за требовани€ми, которые предъ€вл€ет к системе устанавливаемое приложение. ≈сли, например, речь идет о локальной однопользовательской игре, вр€д ли ей действительно необходимо иметь полный доступ к функции отправки —ћ— и адресной книге. », конечно же, рекомендуетс€ защитить операционную систему с помощью Dr.Web дл€ Android јнтивирус + јнтиспам или Dr.Web дл€ Android Light, в базах которых присутствуют сигнатуры всех известных на сегодн€шний день угроз.

“ренд сезона — запись в MBR

“еперь давайте обратим свой взгл€д на угрозы дл€ настольных ѕ . Ќаиболее «модна€» тенденци€ нынешнего июн€ — это по€вление большого количества различных вредоносных программ, использующих дл€ реализации атак на зараженную систему модификацию загрузочной записи.
ярчайшим представителем данного «племени» вредоносного ѕќ €вл€етс€ тро€нец Trojan.MBRlock — вымогатель, измен€ющий главную загрузочную запись (Master Boot Record), дела€ невозможным запуск ќ— Windows. Ќа сегодн€шний день в вирусные базы добавлено пор€дка 40 модификаций этого тро€нца.

ѕосле запуска Trojan.MBRlock вносит изменени€ в Master Boot Record, однако оригинальна€ загрузочна€ запись и таблицы разделов обычно сохран€ютс€. ѕри каждом последующем включении питани€ компьютера тро€нец блокирует загрузку операционной системы, считывает из соседних секторов жесткого диска в пам€ть основной код и демонстрирует на экране требование пополнить счет мобильного телефона одного из российских сотовых операторов. —ледует отметить, что, как и в случае с первыми «винлоками», спуст€ несколько дней после своего первого по€влени€ на компьютере пользовател€ Trojan.MBRlock, как правило, самосто€тельно деактивируетс€ и перестает преп€тствовать загрузке Windows.

ј вот друга€ вредоносна€ программа, Win32.Rmnet, также модифицирующа€ загрузочную запись (благодар€ чему она получает возможность запуститьс€ раньше установленного на компьютере антивируса), несет значительно большую опасность дл€ пользовател€: она крадет пароли от попул€рных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Ёта информаци€ впоследствии может быть использована злоумышленниками дл€ реализации сетевых атак или дл€ размещени€ на удаленных серверах различных вредоносных объектов. ѕри помощи указанных сведений вирусописатели как минимум смогут получить доступ к хран€щимс€ на пользовательских сайтах папкам и файлам, удалить или измен€ть их.  роме того, вредоносные модули Trojan.Rmnet могут осуществл€ть мониторинг сетевого трафика и реализовывать функционал бэкдора.

Trojan.Rmnet
проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполн€емых файлов. »ными словами, распростран€етс€ как типичный вирус, поскольку обладает способностью к саморепликации — копированию самого себ€ без участи€ пользовател€. “ро€нец инфицирует файлы с расширени€ми .exe, .dll, .scr, .html, .htm, а в некоторых случа€х — .doc и .xls, при этом программа способна создавать на съемных накопител€х файл autorun.inf. Ќепосредственно после своего запуска тро€нец модифицирует главную загрузочную запись, регистрирует системную службу Microsoft Windows Service (она может играть в операционной системе роль руткита), пытаетс€ удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихс€ в ƒиспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.

¬ последних числах июн€ в службу технической поддержки компании «ƒоктор ¬еб» участились обращени€ по поводу новой угрозы, получившей название Trojan.Mayachok.2. —имптомы заражени€ этой тро€нской программой весьма характерны: какой бы браузер ни был установлен на компьютере пользовател€ (Internet Explorer, Firefox, Opera или Google Chrome), при попытке подключени€ к »нтернету по€вл€етс€ баннер, демонстрирующий ложное сообщение о заражении компьютера тро€нцем Trojan.Win32.Ddox.ci и св€занной с этим необходимостью обновить браузер.

ѕри этом в адресной строке браузера демонстрируетс€ реальный URL запрашиваемого сайта, в то врем€ как в самом окне программы отображаетс€ измененна€ тро€нцем веб-страница. ¬ случае если пользователь соглашаетс€ с предложением установить обновлени€, ему будет предложено отправить платное —ћ—-сообщение на указанный злоумышленниками номер.

¬ ходе анализа угрозы вы€снилось, что дл€ реализации своих вредоносных функций Trojan.Mayachok.2 модифицирует не MasterBootRecord, не загрузочный сектор, и даже не ntldr, а часть Volume Boot Record (VBR) — записи, которой передаетс€ управление после MBR. ƒанна€ тро€нска€ программа использует весьма оригинальный алгоритм заражени€, неспецифичный дл€ других угроз. ѕроника€ на компьютер жертвы, Trojan.Mayachok.2 получает серийный номер системного тома и на его основе создает в реестре путь, по которому определ€ет зараженность системы. ¬ первую очередь тро€нец пытаетс€ повысить собственные права, в Windows Vista и Windows 7 он решает эту задачу посто€нным перезапуском самого себ€ с запросом на повышение привилегий. «атем Trojan.Mayachok.2 размещает на диске свой драйвер-загрузчик (причем он имеет отдельные варианты загрузчика дл€ 32-разр€дной и 64-разр€дной версий Windows) и заражает VBR, но только в том случае, если активный раздел отформатирован в стандарте NTFS. ¬ процессе запуска Windows вредоносна€ программа автоматически загружаетс€ в оперативную пам€ть.
ѕоскольку вредоносный объект находитс€ в оперативной пам€ти компьютера, переустановка браузеров, использование служебной программы «¬осстановление системы» и даже запуск Windows в режиме защиты от сбоев не принос€т желаемого эффекта.

»з всего сказанного выше можно сделать вывод: вирусописатели стали гораздо активнее использовать в своих творени€х принцип модификации загрузочной записи, что, с одной стороны, несколько усложн€ет борьбу с подобными угрозами, а с другой — делает ее более интересной.

«„ерный ход» в Mac OS X

—реди всех угроз дл€ операционной системы Mac OS X (а их все еще немного) значительное большинство составл€ют ложные антивирусы наподобие широко известного MacDefender, а также различные тро€нские программы, такие как, например, Mac.DnsChange. “ем неожиданнее стала новость об обнаружении нового бэкдора дл€ использующих Intel-совместимую архитектуру компьютеров производства компании Apple. ƒанна€ вредоносна€ программа получила наименование BackDoor.Olyx.

BackDoor.Olyx
стал вторым известным бэкдором дл€ Mac OS X— первый называлс€ BackDoor.DarkHole. Ёта программа имеет версию как дл€ Mac OS X, так и дл€ Windows. «апуска€сь в операционной системе, она позвол€ет злоумышленникам открывать на зараженной машине веб-страницы в используемом по умолчанию браузере, перезагружать компьютер и удаленно выполн€ть различные операции с файловыми объектами. “еперь в вирусной базе Dr.Web к BackDoor.DarkHole присоединилс€ BackDoor.Olyx.
ƒанный бэкдор дает злоумышленникам возможность управл€ть компьютером без ведома его владельца: принимать с удаленного сервера команды создани€, переноса, переименовани€, удалени€ различных файловых объектов, а также некоторые другие директивы, выполн€емые через оболочку /bin/bash.
”читыва€, что в июне специалистами «ƒоктор ¬еб» в вирусные базы были добавлены описани€ всего лишь п€ти угроз дл€ Mac OS X, четыре из которых — модификации тро€нца Trojan.Fakealert, по€вление нового бэкдора дл€ данной ќ— €вл€етс€ уникальным событием. —пециалисты компании «ƒоктор ¬еб» не исключают по€влени€ в будущем новых модификаций подобного вредоносного ѕќ и будут внимательно следить за дальнейшим развитием событий.

 упить Dr.Web