Компания «Доктор Веб» обнародовала февральские результаты мониторинга вирусной активности. После стандартных «каникул» в январе, киберпреступники вновь занялись своей противоправной деятельностью.
Как сообщает сайт Cybersecurity.ru, за февраль количество вредоносных программ, превращающих компьютер пользователя в ячейку ботсети, значительно возросло. Помимо этого, веб-мошенники все чаще стали прибегать к схемам, сходным с «финансовыми пирамидами».
По-прежнему значительное число вредоносных кодов распространяется с намерением превратить ПК в зомби-компьютер. Такие «зомби» выстраиваются в огромные ботсети, которые охватывают фактически весь интернет. В качестве примера бот-сетей, которые в феврале стремительно развивались, можно назвать Virut и Tdss.
Рассмотрим один из способов заражения, которые применяют авторы Tdss. С помощью съемного носителя, или через фальшивый кодек, на компьютер пользователя запускается вредоносный код, называющийся Win32.HLLW.Autoruner.4612 (по определению Dr.Web). После активации, вирус инфицирует все доступные съемные и жесткие диски и создает вредоносный файл, также называющийся Win32.HLLW.Autoruner.4612. Чтобы запустить этот компонент, вредоносный код создает измененную копию системной библиотеки, которую специалисты Dr.Web определяют как Trojan.Starter.896. Кроме того, происходит перезапуск какой-нибудь системной службы, чтобы эта система начала использовать измененную библиотеку.
Win32.HLLW.Autoruner.4612 представляет из себя бэкдор, так как дистанционно управляется злоумышленником. Но, отметим, что набор команд для такого бэкдора ограничен исполнением и загрузкой файлов с ранее подготовленного сервера. Передачу этих файлов Win32.HLLW.Autoruner.4612 инициирует самостоятельно. Отвечая на запрос, Tdss передает закодированную информацию, которая является, по сути, исполняемыми файлами и инструкцией к ним. Одной из программ, загружаемых Win32.HLLW.Autoruner.461 с сервера Tdss, является Trojan.DnsChange.1008. Этот троянец изменяет DNS-сервера на ПК пользователя, что ведет к перехвату всего пользовательского трафика в сети и даже к блокировке интернета.
Авторы и владельцы ботсети Virut для инфицирования компьютеров пользуются полиморфным вирусом Win32.Virut, который инфицирует исполняемые файлы ОС Windows и записывает в конце документов формата HTML специфический тег. Открытие такого документа приводит к активизации загрузки вредоносных кодов с серверов Virut. Этим принципом работы Win32.Virut можно объяснить его существенное присутствие в трафике электронной почты — интернет-пользователи часто прикрепляют HTML-документы к отправляемым письмам. Именно эти документы, зачастую, заражены Win32.Virut. Этот механизм работы выводит данный вирус на лидирующие места в статистике инфицированного почтового трафика.
Вредоносный код Win32.Virut.56 применяет несколько способов инфицирования исполняемых файлов. Способ зависит от их структуры. Обычно, основное тело вредоносной программы дописывается в самом конце файла. Сам вирус шифруется, а код расшифровщика внедряется в неиспользуемые части инфицированного файла и характеризуется полиморфностью. Win32.Virut.56 включает свою реализацию IRC-клиента. Таким образом вредоносная программа получает команды по запуску или скачиванию других вредоносных кодов на инфицированный компьютер.
В первой половине февраля в почтовом интернет-трафике исследователи нашли большое число вредоносных кодов, замаскированных под открытки ко дню Святого Валентина. Киберпреступники скрывали за такими открытками модификации Trojan.Spambot — вредоносного кода, занимающегося несанкционированной спамерской рассылкой с инфицированных компьютеров.
Интересно отметить, что авторы вирусов не всегда четко тестируют свои программы. В результате этого недосмотра, вирусописатель не получает ожидаемой прибыли, но пользователь все равно лишается доступа к своим документам. Ярким примером этому служит Trojan.Encoder.36 — он вписывает свой код в документы пользователя, что делает невозможным их открытие. Но ошибка, допущенная при создании этого вредоносного кода, не выводит на монитор пользователя сообщение с информацией об электронном счете злоумышленника, на который, по идеи, пользователь должен отправить некоторую сумму денег, чтобы расшифровать документ.
За последние месяцы число спамерских рассылок с вредоносной «начинкой» существенно сократилось. Но до сих пор встречаются отдельные рассылки такого вида. К примеру, в конце февраля была зафиксирована рассылка, которая уведомляла получателя, что его фотография размещена на публичном сайте. К письму прилагался zip-архив, в котором, якобы, и была та самая фотография. На самом деле в архиве был файл Foto_Jenna.Jpg.exe, который антивирус Dr.Web классифицировал как Trojan.DownLoad.9125.
Авторы спамерских рассылок чаще стали использовать интерес граждан к финансовому кризису. Зафиксированы сообщения с предложением принять участие в неких финансовых схемах, который весьма напоминают «финансовые пирамиды», либо аналогичные способы «быстрого и легкого заработка».
Многие компании в первые месяцы зимы почувствовали нехватку заказов на оказываемые ими услуги или выпускаемую продукции. Спамеры и это учли — они рассылают спам с предложением продвигать и рекламировать продукты или услуги компании в интернете. На деле «реклама и продвижение» ограничиваются банальным спамом по почтовым ящикам потенциальных клиентов. Тем не менее, желающие таким образом привлечь заказчиков все-таки находятся — во второй половине февраля в общем потоке спама значительно возросла доля именно таких рекламных рассылок.
По поводу фишинга и других противоправных мошеннических методов, эксперты из «Доктор Веб» сообщают, что в первые месяцы 2009 года их число на английском языке сократилось. Зато возросло количество подобных локализованных писем. Так, в феврале злоумышленник разослали фишинг-письма клиентам Raiffeisen Bank и Правэкс-банка (Украина) на румынском языке.
