Вирусные новости августа 2010 года

Последний летний месяц оказался насыщен новостями на вирусную тематику: сбылись прогнозы о появлении руткита, заражающего 64-битные системы Windows, появились новые модификации вредоносных программ для Android, в который раз активизировались «социальные инженеры», действующие через интернет-сайты и сервисы мгновенных сообщений. Новые долгожданные плоды принесла борьба с блокировщиками Windows — впервые в России было заведено уголовное дело против мошенников, промышляющих блокировкой.

64-битный руткит

Как и прогнозировала компания «Доктор Веб», на вирусную сцену вышел первый руткит для 64-битных систем. Новая версия BackDoor.Tdss поставила перед производителями защитного ПО новые задачи по совершенствованию продуктов.

64-битные системы семейства Windows обладают защитными механизмами, которые позволяют препятствовать установке в систему драйверов вредоносных программ. Во-первых, все драйверы проверяются на наличие цифровой подписи. Во-вторых, технология PatchGuard не позволяет вредоносным программам модифицировать ядро операционной системы. Однако новый BackDoor.Tdss успешно обходит оба этих препятствия, так как содержит в своем составе буткит. При установке в систему данный бэкдор модифицирует главную загрузочную область диска (MBR) и берет под контроль процесс очередной загрузки операционной системы. Это позволяет драйверу руткита установиться в систему до активизации защитных механизмов, встроенных в 64-битные системы.

В настоящее время вирусная база Dr.Web содержит записи, позволяющие определять различные модификации новой версии BackDoor.Tdss. Для корректного лечения 32-битных систем Windows от данной вредоносной программы 1 сентября 2010 года компания «Доктор Веб» выпустила обновленный сканер с графическим интерфейсом. Сегодня ведется активная разработка 64-битного варианта антируткита Dr.Web Shield, который в скором времени будет доступен всем нашим пользователям.

Вредоносные программы для Android

26 августа состоялся релиз нового продукта компании «Доктор Веб» — Dr.Web для Android, который пришелся как нельзя кстати: только в августе в вирусную базу Dr.Web было добавлено несколько модификаций шпионского ПО Android.MobileSpy, а также вредоносная программа Android.SmsSend.1, которая занимается рассылкой платных СМС-сообщений с зараженного мобильного устройства без ведома его владельца.

Все известные сейчас вредоносные программы, созданные для ОС Android, не имеют функции саморазмножения. Это значит, что введенный в заблуждение пользователь должен самостоятельно установить такую программу в систему. Тем не менее все эти программы могут представлять опасность как для приватной информации, хранящейся в телефонах, так и для кошелька пользователя.

Несмотря на то, что любое приложение перед установкой на Android сообщает, какие функции операционной системы будут использоваться, злоумышленники прибегают к различным методам социальной инженерии для того, чтобы пользователь не обращал внимания на эти сообщения. Вредоносные программы распространяются под видом игр, заставок для рабочего стола, полезных приложений, которые скрывают свою истинную сущность за «мирным» функционалом. Кроме того, шпионское ПО может установить злоумышленник, который на короткое время получит физический доступ к мобильному устройству беспечного пользователя.

Жадные архивы

В августе было зафиксировано значительное количество вредоносных сайтов, которые внешне ничем не отличаются от сетевых хранилищ популярных фильмов, музыкальных записей, электронных книг.

На самом деле с каждого из этих сайтов скачиваются исполняемые файлы размером от 8 до 16 МБ, которые определяются антивирусом Dr.Web как различные модификации Trojan.SMSSend. Внешне такие файлы выглядят как самораспаковывающиеся архивы, и пользователь, запустив один из них, наблюдает на мониторе процесс, похожий на распаковку. Но в определенный момент «распаковка» останавливается, и появляется сообщение о том, что для окончания распаковки архива необходимо отправить с мобильного телефона платное СМС-сообщение. В результате пользователя обманывают дважды — за отправку СМС со счета снимается несколько сотен рублей, а «архивы» не содержат в себе никакой полезной информации.

Мошенники, применяющие такую схему, создают сайты с использованием узнаваемых элементов дизайна известных интернет-сервисов (Google, «Яндекс», файлообменная служба QIP), а также популярного программного обеспечения (WinRAR), что нарушает права владельцев соответствующих брендов.

Доверяй, но проверяй!

В течение августа злоумышленники дважды продемонстрировали, насколько просто можно войти в доверие к обычному пользователю, как легко вынудить его запустить вредоносную программу. В обоих случаях пользователи получали сообщения от имени знакомых, которые, в свою очередь, сами оказывались жертвами злонамеренных схем.

16 августа по ICQ распространялась вредоносная программа Win32.HLLW.Natchs. В ее функционал входит завершение работы популярных ICQ-клиентов, определение пароля к аккаунту ICQ-пользователя, самостоятельное подключение к этому аккаунту через собственную реализацию ICQ-клиента и саморассылка по списку контактов пользователя-жертвы. При этом Win32.HLLW.Natchs способен вести элементарный «диалог» с потенциальной жертвой, а также передавать файлы средствами самого ICQ-протокола, а не в виде ссылки на файл, выложенный на вредоносном сайте. Все эти факторы повышали доверие пользователей к данному сообщению.

30 августа появилась информация о распространении спам-сообщений среди пользователей социальной сети Facebook. В них содержалась ссылка на специально созданное приложение, размещенное на сайте этой соцсети. Используя уязвимость сайта Facebook, данное приложение рассылало такие же сообщения по списку друзей пользователя, прошедшего по ссылке. Таким образом, злоумышленники показали большие потенциальные возможности встраиваемых в социальные сети приложений для организации вредоносных схем.

Компания «Доктор Веб» советует пользователям с осторожностью относиться к сообщениям, содержащим приложенные исполняемые файлы, а также ссылки на неизвестные ресурсы, даже если такие сообщения приходят от знакомых людей. В случае получения подобных сообщений рекомендуется связаться с отправителем другим способом и подтвердить факт отправки сообщения.

Преступление и наказание

В августе правоохранительные органы г. Москвы впервые в истории возбудили дело против группы вымогателей, использовавших блокировщики Windows (по классификации Dr.Web — Trojan.Winlock). Эта группа действовала на протяжении последнего года. Представители правоохранительных органов выражают надежду на то, что следствию будет оказана поддержка всего телеком-сообщества. Компания «Доктор Веб» со своей стороны благодарит всех пользователей, предоставляющих информацию об актуальных модификациях троянцев-блокировщиков.

В августе активность Trojan.Winlock в очередной раз снизилась ровно вдвое — до 140 000 детектов за месяц. Тем не менее по проблемам вредоносных программ, связанных с различными схемами интернет-мошенничества, в бесплатную техподдержку компании «Доктор Веб» продолжают обращаться около 100 человек ежедневно.

«Топ» наиболее распространенных блокировщиков в августе возглавляли 2 модификации, ни одна из которых не требовала отправки денег при помощи платного СМС-сообщения. Вместо этого предлагалось положить деньги на счет мобильного телефона или перевести их при помощи электронной платежной системы. В обоих случаях предлагалось воспользоваться терминалом оплаты услуг.

Другие новости

Список вредоносных файлов, обнаруженных в августе на компьютерах пользователей, снова возглавил Exploit.Cpllnk — ярлык, использующий уязвимость Windows для запуска вредоносных программ со съемных носителей и сетевых ресурсов. Однако в последние дни августа наблюдалось снижение распространения таких ярлыков.

Европейские пользователи продолжают страдать от банковских троянцев. При посещении сайтов интернет-банкинга предлагается ввести множество одноразовых кодов, которые позволяют совершать расходные операции с банковских счетов. Если раньше количество требуемых кодов не превышало 20, то теперь эта цифра увеличилась до 40.

Лжеантивирусы (Trojan.Fakealert) распространяются и в Европе, и в России. В первом случае пользователям предлагается оплатить «антивирус» с помощью банковской карты, а во втором — посредством отправки платного СМС-сообщения. В качестве дополнительного «стимула» для российских пользователей авторы лжеантивируса стали использовать изображения с порносайтов, с которых пользователь мог заразиться вредоносной программой. От этого «заражения» якобы и избавляет систему антивирус-самозванец.

По каналу электронной почты продолжилось распространение клиентского ПО бот-сети Oficla (Trojan.Oficla), а также похитителей паролей к интернет-сервисам Trojan.PWS.Panda.

В сентябре можно ожидать дальнейшего развития событий, связанных с появлением 64-битного руткита. Возможно, некоторые антивирусные вендоры встроят в свои продукты функционал, который позволит лечить системы, зараженные новыми руткитами. Прослеживается тенденция к уменьшению активности вредоносных программ, вымогающих у пользователей зараженных компьютеров денежные средства. Канал электронной почты будет использоваться как один из основных способов распространения вредоносных программ и в последующие месяцы.

Источник news.drweb.com

Безопасность в пределах разумного

Новички  стараются обезопасить свой компьютер от всевозможных вирусов и, как правило, впихивают в него такое количество различных программ, что от десятков иконок на рабочем столе начинает рябить в глазах. А на такой простой вопрос: «А на кой тебе столько?», вряд ли юзер сможет ответить что-либо вразумительное. Ну, там вроде: «Ну, так это …ммм… чтоб вирус не подцепить» или «так мне в Интернете на форуме сказали, что чем больше программ – тем лучше.»
Но, необходимо  запомнить: компьютер – это именно тот случай, когда минимум – это лучше, чем максимум! Почему? Всё просто и сложно одновременно. Ваш компьютер – это не просто набор пропаянных плат, чипов и проводов. Он тоже обладает разумом. Пусть этот разум не такой, как у людей, однако он точно есть.  А раз есть разум (пусть даже он искусственный), значит, есть и настроение. К чему всё это? Да к тому, что при изобилие различных программ (из которых, как правило, более половины  просто не нужны) могут возникать глобальные конфликты в работе системы в целом.  И начинаются глюки, зависания, а вследствие этого – переустановка  ОС и прочая канитель.
Если Вы – начинающий пользователь, то Вам достаточно нескольких программ: нормальный антивирус (например Nod32), актуальные журнальные ключи для антивирусов, программа для чистки реестра,  сканер троянов,  и, всё. Остальные программы понадобятся только тогда, когда Вы станете опытным пользователем.  Иначе, в лучшем случае, Ваш компьютер будет загружаться вместо одной минуты – целых пять, а в худшем…
Помните:  festina lente, что в переводе с латыни значит:  спеши медленно.

Как бороться с захватом браузера

Если ваш браузер отказывается открывать страницы или демонстрирует огромный мигающий баннер, требующий отправки SMS, то эта статья для вас.

Как и в случае полной блокировки Windows, «браузерный троян» предлагает отключить себя в обмен на платное SMS-сообщение. Соглашаться на это условие категорически не следует. Вряд ли все ограничится только одной «смской», которая, к тому же, будет стоить вам нескольких сотен рублей. Скорее всего, троян потребует не менее двух сообщений, после которых впадет во временную спячку. Будьте уверены – через некоторое время он проснется и начнет шантажировать по новой. Это предупреждение особенно касается офисных работников, которые часто стесняются признаться системным администраторам в том, что подхватили подобную «заразу», поскольку чаще всего она распространяется через порносайты.

Как уже было сказано выше, блокировка браузера может происходить двумя способами. При первом на экран выводится огромный баннер, обычно не очень приличного содержания. Такое окно называется «информер». Во втором случае блокируется доступ к определенным сайтам. Вместо них появляется текст с просьбой отправить SMS для разблокировки доступа.

Как побороть «информер»

Если вы подхватили «информер» и пользуетесь браузером Internet Explorer, то отправляйтесь сюда: Сервис / Управление надстройками (в английском варианте: Tools / Manage Add-ons). В открывшемся окне в выпадающем списке нужно выбрать «Надстройки, загруженные в Internet Explorer» (Add-ons currently loaded in Internet Explorer).

Далее прокручиваем список надстроек и отключаем все подозрительные. В первую очередь те, которые оканчиваются на lib.dll, например, nhslib.dll. Не бойтесь отключить что-то лишнее – это легко восстановить. Затем браузер нужно закрыть и удалить из папки WindowsSystem32 все файлы с названиями подозрительных надстроек. Дополнительно можно почистить реестр Windows. Для этого в меню «Пуск» выберете пункт «Выполнить» и введите туда regedit. В открывшемся окне редактора войдите в меню Правка / Найти и введите имя надстройки. Все, что будет найдено нужно удалить. Теперь Internet Explorer чист и свободен.

Если вы пользуетесь браузером Mozilla Firefox, то необходимо пройти сюда: Инструменты / Дополнения (Tools / Add-ons).

В открывшемся окне нужно последовательно проверить все вкладки на предмет наличия чего-нибудь подозрительного. Как и в случае c IE не нужно бояться отключить лишнее.

Наконец, пользователям браузера Opera нужно зайти в Настройки / Общие настройки (Settings / Preferences), выбрать в открывшемся окне закладку Расширенные (Advanced), в ней найти пункт Содержимое (Content) и нажать кнопку Настроить JavaScript (JavaScript Options).

Все, что находится в поле «Папка пользовательских файлов JavaScript» (User JavaScript files), нужно удалить.

Как разблокировать доступ к сайтам

Если вместо популярных сайтов, например, «Яндекс», Mail.ru, «Вконтакте» или «Одноклассники» у вас на экране появляется предложение пройти некую активацию, это значит, что пойманный вами троян отредактировал на компьютере файл hosts.

Файл находится здесь: Windows / System32 / drivers/ etc / hosts. Откройте его в «Блокноте» и вы увидите список всех заблокированных сайтов. Он может насчитывать несколько десятков пунктов вида «82.146.44.61 vkontakte.ru». Удалите этот список, оставив лишь одну строку – «127.0.0.1 localhost», и все сайты после перезагрузки чудесным образом заработают вновь.

Если не заработали, значит троян опять отредактировал hosts. Это также значит, что он находится в автозагрузке системы и удалить его оттуда можно вручную, как это было описано в предыдущей статье, либо с помощью антивирусов. Попробуйте бесплатные утилиты CureIT от Dr. Web или Virus Removal Tool от «Лаборатории Касперского».

Источник

Вирусофобия

Мнение о том, что вирусы опасны только для компьютера и не могут повредить человеку (разве что в самых фантастических сценариях голливудских фильмов), не совсем верно. Дело в том, что хрупкая психика рядового компьютерного пользователя может с легкостью расстроиться даже от мысли, что его любимый компьютер или результаты годовой работы в один момент могут быть повреждены либо утеряны в результате действия компьютерного вируса. Проявление страха перед виртуальными болезнями вполне по медицинскому понятию можно назвать вирусофобией. Возникает это расстройство из-за незнания механизма работы компьютерных вирусов и антивирусного ПО.
Симптомы вирусофобии могут быть самыми разнообразными, но чаще всего встречаются два варианта:
1. У активного компьютерного пользователя появляется склонность считать любое повреждение данных или программ, а также появление странностей в обычной работе компьютера результатом заражением вирусом.
2. Пользователь часто переоценивает деструктивные возможности вируса, а также подверженность компьютеров к заражению. Заблуждения порой доводят человека до мысли о том, что двум компьютерам достаточно постоять радом, чтобы один заразил другого.
На самом деле, необычное поведение компьютера или ошибки запросто могут возникать из-за неграмотных действий пользователя, из-за ошибок в обычных программах (даже крупные и известные производители ПО не застрахованы от этого), из-за неполадок в аппаратном обеспечении компьютера.
Что касается возможностей вируса, то они кажутся достаточно широкими. Однако за любым вирусом стоит человек — хакер, который лично управляет процессом. Сам же вирус может заразить только при стечении определенных обстоятельств: при наличии уязвимостей в ПО пользователя, при несоблюдении элементарных правил безопасности.
У обычных домашних пользователей компьютеров боязнь вирусов вряд ли приведет к серьезным последствиям, кроме различных неудобств, а вот в больших компаниях вирусофобия может оказаться катастрофой, порой даже большего масштаба, чем настоящий вирус. К примеру, необоснованное подозрение о том, что какой-нибудь «червь» проник в корпоративную сеть, может заставить сотрудников в попытках «принять меры» отформатировать жесткие диски, часто вместе с результатами многомесячной работы.
Фобией своего начальства с успехом могут пользоваться их подчиненные, списав провалы в работе или откровенные прогулы на действия вирусов: «Я работал, а тут пришел вирус и все уничтожил!»
Порой для ограждения от «компьютерной нечисти» пользователь или компания вовсе не пользуются интернетом или различными внешними носителями данных.
Для того чтобы не болеть странной болезнью вирусофобией, необходимо понять для себя, что вирусы — это такие же программы, как Word или Total Commander, и ни на что сверхъестественное они не способны. Чтобы не стать жертвой вируса, достаточно соблюдать правила компьютерной безопасности, пользоваться антивирусным ПО и иметь в штате грамотного компьютерного специалиста.

Не попадись на удочку

Понятие «фишинг» все больше и больше входит в обиход специалистов компьютерной безопасно­сти и обычных пользователей интернета. Наверное, попасть на удочку фишера — самое неприятное, что может случиться с пользователем электронной почты, социальных сетей или других сервисов на просторах всемирной сети. Ведь получается, что пользователь добровольно отдает злоумышленнику информацию о своем аккаунте и пароле от него, порой даже и, не подозревая об обмане. А потом украденный аккаунт может участвовать в действиях, которые законода­тельством большинства стран квалифицируются как административное или уголовное правонарушение.
Для начала разберемся, что же такое фишинг. Итак, phishing (от английских слов password — пароль и fishing — рыбная ловля, выужива­ние) — это способ получения конфиденциальной информации непосредственно от самого владельца данных при помощи «приманок» определенного вида — подложных сайтов, web-форм или электронной почты. Фактически, это компьютерное пре­ступление, основанное на принципах социального инжиниринга. Если говорить юридическим языком, то фишинг можно смело назвать мошенничеством.
Цель рассылаемых злоумышленниками писем — заставить пользователя нажать на приве­денную ссылку, а затем ввести свои конфиденци­альные данные на подложном сайте. В некоторых случаях злоумышленники размещают на интернет-страничках различные эксплойты (исполняемые коды) уязвимостей популярных браузеров для побочной установки на компьютер пользователей каких-либо троянских программ.
Украденные имена и пароли посетителей могут быть использованы для рассылки по доверен­ным контактам ссылок на зараженные ресурсы, спама или мошеннических сообщений (например, с просьбой перевести деньги на срочные нужды). Любой из упомянутых способов так или иначе при­носит прибыль злоумышленникам.
Более всего атакам фишеров подвержены поль­зователи электронной почты и социальных сетей, то есть таких служб, где пользователь может получить сообщение со ссылкой на вредоносный или подложный сайт. Чаще всего подобные сообщения приходят с вполне доверенных источников, настоящие владельцы которых могут быть знакомы потенциальной жертве. Еще большую выдумку проявляют фишеры, работающие с социальными сетями. Пользователь обязательно оставляет о себе личную информацию, к примеру, о своих хобби или пристрастиях. Тогда злоумышленникам ничего не стоит заманить, к примеру, любителей фотографии на фотосервер, а меломана на портал с огромным выбором бесплатной музыки.
По оценке большинства компаний, занимающихся сетевой безопасностью, в прошедшем году к фишинговым сообщениям можно отнести одно из трехсот посланий через электронную почту. Еще больше приманок рассылается через внутреннюю систему общения социальных сетей.
По данным компании Message Labs Intelligence, большинство фишинговых приемов в 2009 г. имело следующее содержание:
• предложение о поднятии рейтинга собственной страницы;
• поддельная заглавная страница, идеально повторяющая внешний вид оригинального сайта;
• тем или иным способом пользователь направляется на сайт, за посещение которого злоумышленник получает деньги;
• ссылки на вредоносные программы;
• предложение отправить CMC для повышения рейтинга или для скачивания файла или программы.
Для борьбы с фишингом порой одного здравого смысла недостаточно. Многие производители антивирусного ПО предлагают специальные модули, которые отслеживают опасные сайты и анализируют сообщения электронной почты. Еще один способ борьбы — создание общей онлайн-базы данных фишинговых софтов с обновлением в режиме реального времени.

Кража аккаунтов ICQ

В русскоязычном пространстве интернета объявился новый вирус, крадущий аккаунты ICQ у пользователей зараженного компьютера. Пока единственное неудобство, которое причиняет вирус, – рассылка по всему списку контактов спама и ссылки на собственную копию. Но главная особенность вируса в том, что для убеждения пользователя скачать файл (вирус распространяется в фале с названием Piggy, zip) используются элементы искусственного интеллекта, благодаря которым вредоносная программа может поддерживать разговор и убедить ни о чем не подозревающую жертву в своих благих намерениях.
Специалисты по безопасности отмечают, что вернуть себе аккаунт после заражения вирусом довольно просто: достаточно зайти на сайт ICQ и сменить свой пароль.  Также легко избавиться от самого вируса: надо обновить базу данных антивирусной программы.