|
Новости
|
|
17 августа 2010 г
Жаркий вирусный июль
Компания «Доктор Веб» отмечает в представленном ею отчете, что июль нынешнего года ознаменовался не только экстремальной жарой, но и появлением и широким распространением троянцев Trojan.Stuxnet.
Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.
Июльской «новинкой» сезона, заставившей антивирусную индустрию в который раз серьезно мобилизовать свои ресурсы, стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stuxnet.1 стал промышленный шпионаж.
Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.
Авторы нового троянца преподнесли пользователям сразу неск олько неприятных сюрпризов. Во-первых, вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков в Windows. Справедливости ради следует отметить, что Microsoft оперативно отреагировала на обнаружение этой уязвимости. 2 августа компания выпустила критический патч для всех подверженных уязвимости версий Windows.
«Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения, в частности, у Realtek Semiconductor и JMicron Technology. Злоумышленники используют подпись для «тихой» установки в целевую систему.
Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.
У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.
В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится еще некоторое время — до установки выпущенного Microsoft патча на большинство систем.
Буткиты — программы, модифицирующие загрузочный сектор диска — постепенно становятся привычным компонентом вредоносного ПО. Применение буткитов приводит к тому, что обычные средства анализа системы на наличие вредоносного кода не в состоянии детектировать объект комплексно. Не имея возможности отследить модификацию загрузочного сектора, они могут определить лишь те компоненты вредоносных программ, которые расположены на диске в виде обычных файлов. Таким образом, даже после лечения вирус снова окажется в системе, и так продолжится до тех пор, пока загрузочный сектор диска не будет возвращен к исходному состоянию.
Лишь немногие комплексные антивирусные средства способны выявить модификацию загрузочного сектора и полностью вылечить систему от буткита. В большинстве случаев разработчики антивирусов предлагают избавляться от этой проблемы с помощью специальных утилит. И здесь возникает сложность, которой и пользуются злоумышленники: пользователь далеко не всегда своевременно начинает искать альтернативные пути решения проблемы, поскольку не в состоянии понять, что его антивирус просто «не видит» факта модификации загрузочного сектора системного диска.
Одним из буктитов, беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Explorer, в которых отображалась реклама. Причем данные окна открывались даже в том случае, если использовался один из альтернативных браузеров. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.
В июле эпидемия блокировщиков пошла на спад — сервер статистики Dr.Web зафиксировал 280 тыс. обнаружений против 420 тыс. в июне. Во многом это связано с успешными действиями, которые совместно с пользователями предпринимают и антивирусные компании. Так, из-за усиленного противодействия СМС-мошенникам авторы блокировщиков вынуждены в очередной раз задействовать другие схемы монетизации доходов. Они используют все новые электронные платежные системы и даже начинают предлагать пользователям несколько вариантов передачи денег за разблокировку на выбор.
Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов, — социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows.
В дальнейшем можно ожидать постепенного снижения распространения блокировщиков. Это связано и со значительно более низкой эффективностью схем оплаты без использования СМС, и с повышенным вниманием к проблеме со стороны правоохранительных органов. Уверенно растет и число пользователей, владеющих информацией об альтернативных методах разблокировки компьютеров, не подразумевающих передачу денег злоумышленникам.
Продолжилось массированное распространение через электронную почту различных модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения перенаправляют пользователей на страницы с рекламой и вредоносные сайты. Отмечена повышенная активность полиморфных файловых вирусов семейства Win32.Sector.
Подводя итоги, можно отметить, что июль не принес неразрешимых задач ни для разработчиков антивирусного ПО, ни для рядовых пользователей.
версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также
|
|
18 октября 2013 г
• Fujifilm XQ1: компактная камера Х-серии
• Обновление Kaspersky Security для SharePoint Server
• Fujifilm X-E2: эволюция легендарной X-E1
• UserGate Web Filter с глубоким анализом контента
17 октября 2013 г
• Обрано оператора домену .УКР
• Android-троянец скрывается от антивирусов, используя очередную уязвимость
• Розетка, которая всегда под рукой
• "Яндекс" выяснил, что украинцы ищут о свадьбе
• Седьмая версия продуктов ESET NOD32 Antivirus и ESET Smart Security
• МТС снижает стоимость мобильного Интернета в роуминге
• Ультратонкий внешний накопитель ADATA Dash Drive Elite SE720
• Объективы Sony с байонетом E для полнокадровой матрицы
16 октября 2013 г
• Philips открывает путь к хирургии для Google Glass
• Нові зміни в складі членів ІнАУ
• Киевстар приглашает студентов на стажировку
• «Лаборатория Касперского» совершенствует защиту для мобильных устройств
• Autodesk приобретает технологии Graitec по проектированию конструкций
15 октября 2013 г
• Mio Technology заключила договор с компанией «Навигатор»
• Horizon – платформа браузерных расширений для операторов мобильной связи
• В Харькове открылся крупнейший датацентр в Восточной Украине «Onehostpower»
|