Зловреды любят доверчивых. Информационные угрозы в первом квартале 2010 года

ЕВГЕНИЙ АСЕЕВ, вирусный аналитик «Лаборатории Касперского»

Зловреды любят доверчивых
Информационные угрозы в первом квартале 2010 года

Среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном программном обеспечении

Черви, троянцы, вредоносный код

За первые четыре месяца текущего года среди угроз, каких-либо путем попавших на компьютер пользователя и обнаруженных при первом обращении к ним, 5% занимает сетевой червь Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows MS08-067 для распространения через локальные сети и съемные носители информации. Червь отключает функцию System Restore, блокирует доступ к сайтам, посвященным информационной безопасности, и скачивает на зараженные компьютеры дополнительные вредоносные программы.

Несмотря на то что угроза Kido появилась еще в начале прошлого года, она до сих пор активна. Что неудивительно, учитывая крайне эффективные способы размножения данного зловреда – через уязвимость в самой популярной у пользователей операционной системе и переносные носители. Более того, активность Kido держится на стабильно высоком уровне. Это говорит о том, что огромное число пользователей по-прежнему подвержены атаке в связи с тем, что обновление, закрывающее системную уязвимость, до сих пор не установлено.

Рисунок 1. Количество срабатываний Net-Worm.Win32.Kido на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Еще одной популярной вредоносной программой, распространяющейся через переносные носители, оказался червь P2P-Worm.Win32.Palevo. Переносными носителями он не ограничивается: Palevo также распространяется через каналы пиринговых сетей и системы мгновенного обмена сообщениями. По команде он может скачивать другие вредоносные файлы – кейлоггеры, компоненты для кражи конфиденциальных данных и проведения DDoS-атак. С помощью этого зловреда был создан ботнет – сеть зараженных компьютеров, – который злоумышленники использовали в своих целях. Цели же были самые «денежные» – продажа и использование персональных данных владельцев зараженных машин. В первую очередь мошенников интересовали данные пользователей систем интернет-банкинга.

Заметным событием в ИТ-индустрии был арест злоумышленников, контролирующих этот ботнет. Задержанные оказались жителями Испании без криминального прошлого. Не владея особыми хакерскими навыками, они приобрели на подпольном рынке готовый комплект для создания ботнета и воспользовались системой теневых сервисов, чтобы монетизировать результаты его функционирования. Сумма ущерба, нанесенного этой группировкой, пока не определена, но, по примерным оценкам, исчисляется миллионами долларов.

Еще одним ярким событием стало закрытие части командных серверов ботнета, построенного с помощью червя Iksmas, который используется для массовой рассылки спама. Одна из особенностей «спама от Iksmas» – использование актуальных и обсуждаемых тем для привлечения внимания к письму, к которому прикреплен зловредный файл.

Классический способ распространения вредоносных программ – заражение исполняемых файлов – на сегодняшний день все так же актуален: все файловые вирусы занимают около 10% от всех угроз, обнаруженных на компьютерах пользователей.

Самым популярным инфицирующим вирусом является Virus.Win32.Sality. Компьютеры, зараженные этим вирусом, контролируются злоумышленниками и могут быть использованы для рассылки спама, организации DDoS-атак и загрузки других вредоносных файлов. Некоторые варианты Sality открывают канал для хищения конфиденциальных данных.

Причем данная угроза постоянно видоизменяется: в апреле в вирусную лабораторию попала новая модификация Virus.Win32.Sality.ag, в которой применяется качественно новый алгоритм дешифровки, что делает вирус более сложным для детектирования.

Одной из наиболее динамично растущих угроз в России являются троянцы-вымогатели или троянцы-блокеры. Большинство из них полностью или частично блокируют доступ к ресурсам компьютера и требуют отправить SMS на короткий номер для получения кода разблокировки. В ответ пользователь, разумеется, ничего не получает, зато средства с мобильного счета списываются в соответствии с самыми дорогими тарифами. Угроза имеет эпидемический характер и стремительно распространяется с появлением новых версий подобных зловредов.

Рисунок 2. Количество срабатываний Trojan-Ransom на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Псевдоантивирусы, вымогающие средства путем убеждения пользователя, что его компьютер заражен, продолжают эволюционировать. В отличие от других вредоносных программ, пытающихся скрыть свою активность, они, напротив, стараются привлечь внимание пользователя. При этом создатели фальшивок используют различные технологии, чтобы ввести пользователей в заблуждение. Одной из таких технологий стало копирование интерфейсов антивирусов известных производителей решений по безопасности. К сожалению, чем точнее сделана копия, тем больше вероятность, что даже опытный пользователь попадется на удочку злоумышленников и купит подделку. С фальшивыми антивирусами ведется серьезная борьба, и в качестве главного орудия используется образование пользователей. И злоумышленникам приходится постоянно придумывать новые уловки, чтобы спровоцировать пользователей покупать фальшивки.

Шифрование и сжатие вредоносного кода – тенденция, которая появилась очень давно. Но если прежде использовались в основном легальные упаковщики, такие как UPX и ASProtect, то теперь практически все вредоносные программы упаковываются системами защиты, написанными на заказ. Сегодня таких систем – огромное количество, они постоянно модифицируются, регулярно появляются новые. Зачастую такие упаковщики полиморфные, то есть их код изменяется при каждом новом заражении, что усложняет их обнаружение. Таким образом, для злоумышленника становится необязательным модифицировать исходный вредоносный файл – достаточно защитить его от обнаружения, упаковав по-другому. Эта техника используется повсеместно – сейчас редко можно увидеть программу без какого-либо слоя защиты.

Угрозы в Интернете

Наиболее значимые события первого квартала 2010 года в Интернете связаны с техникой загрузки вредоносных программ drive-by-download. Ключевым звеном в таких атаках являются эксплойты, использующие уязвимости в веб-браузерах и дополнениям к ним.

Пожалуй, самой громкой атакой стала проведенная в январе «операция Aurora», которая была направлена на такие крупные компании, как Google и Adobe. Ее целью было получение персональной информации пользователей, а также интеллектуальной собственности компаний, такой как исходные коды проектов. Атака была осуществлена с помощью рассылки электронных писем со ссылкой на вредоносную страницу с эксплойтом Exploit.JS.Aurora.a, в результате работы которого незаметно для пользователя на компьютер загружался основной исполняемый файл.

Примечательно, что работники Microsoft задолго до атаки знали о наличии уязвимости MS10-002 в Internet Explorer нескольких версий, которая использовалась эксплойтом. Однако исправлена она была только через несколько недель после проведения атаки. В течение этого месяца исходный код эксплойта стал публичным, и многие злоумышленники стали использовать его в своих атаках.

Уже через три месяца – в марте – в Internet Explorer нескольких версий была обнаружена новая уязвимость MS10-018. После того как ее подробно описал в блоге работник одной из антивирусных компаний, исходный код эксплойта к этой уязвимости получил широкое распространение: в рейтинге вредоносных программ за апрель, опубликованном на securelist.com, варианты этого эксплойта заняли первое и третье места по числу уникальных попыток загрузки. Exploit.JS.CVE-2010-0806.i и Exploit.JS.CVE-2010-0806.b использовались злоумышленниками с целью хищения конфиденциальных данных пользователей, имеющих аккаунты в популярных онлайн-играх.

В свете этих событий стоит отметить изменение политики выпуска и автоматического обновления приложений Adobe: в апреле компания активировала новый сервис обновлений для Reader и Acrobat последних версий под Windows и Mac OS X. Учитывая, что злоумышленники практически в каждой drive-by-атаке пытаются использовать уязвимости в программном обеспечении Adobe (половина всех эксплойтов, задетектированных продуктами «Лаборатории Касперского» за квартал, используют уязвимости в Reader и Acrobat), это важный шаг в сторону повышения безопасности пользователей. Кроссплатформенность продуктов Adobe делает уязвимости в них более привлекательными, чем в продуктах Microsoft. И это при том, что уязвимых продуктов Microsoft за этот квартал было обнаружено больше.

Еще две крупные угрозы – Gumblar и Pegel – пытаются использовать в drive-by-атаках сразу несколько эксплойтов в различных продуктах компаний Adobe, Microsoft и Oracle. Эти скриптовые загрузчики распространяются с помощью заражения легитимных сайтов, что явно влияет на масштабы проблемы.

Впервые Gumblar появился около года назад и с тех пор претерпел множество изменений. Основной целью атаки является загрузка на компьютеры пользователей вредоносной программы Trojan-PSW.Win32.Kates, которая похищает конфиденциальные данные – в частности, данные FTP-авторизации. Злоумышленники какое-то время собирают эти данные, а потом организуют новую волну атаки, причем механизм заражения новых веб-сайтов полностью автоматизирован.

Рисунок 3. Количество срабатываний Trojan-Downloader.JS.Gumblar на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Как видно из графика, за первый квартал 2010 года было организовано две подобных атаки. Исходя из накопленных данных в скором времени стоит ожидать новую волну.

Цель работы Pegel другая. Главной функцией Backdoor.Win32.Bredolab является загрузка вредоносных файлов по запросу: злоумышленники, стоящие за ботнетом, состоящим из Bredolab, зарабатывают на том, что предоставляют услугу загрузки зловредов партнеров.

***

Итоги можно подвести следующие: среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном программном обеспечении. К счастью, чаще всего уязвимости оперативно исправляются производителем. К сожалению, далеко не все пользователи своевременно устанавливают эти исправления. В последнее время все больше зловредов в ходе атак используют доверчивость и неопытность пользователя. Среди таких вредоносных программ наиболее распространены псевдоантивирусы и троянцы-вымогатели.

Для того чтобы избежать заражения, необходимо руководствоваться следующими правилами:

• Своевременно устанавливать обновления для установленного программного обеспечения, особенно от крупных производителей – таких как Microsoft и Adobe.
• Пользоваться комплексным средством защиты с актуальными обновлениями.
• Не доверять незнакомым отправителям при работе с электронной почтой, сервисами мгновенного обмена сообщениями или социальными сетями, а к подозрительным сообщениям, полученным от знакомых, относиться внимательно и бдительно.
• При идентификации везде использовать достаточно сложные и уникальные пароли, периодически меняя их.

P.S. В статье используются данные, полученные и обработанные с помощью KLoud Security Network. KSN является одним из важнейших нововведений в персональных продуктах и в настоящее время готовится к включению в состав корпоративных продуктов «Лаборатории Касперского».

KLoud Security Network позволяет оперативно, в режиме реального времени, обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN позволяет выявлять источники распространения вредоносных программ в Интернете и блокировать доступ пользователей к ним.

Комментарии могут оставлять только зарегистрированные пользователи