RSS-каналы
Уровень опасности: 1
Главная→Блог→Virus Watch→29 окт 2010→Новая кроссплатформенная угроза для пользователей социальных сетей
Новая кроссплатформенная угроза для пользователей социальных сетей
Эксперт «Лаборатории Касперского»
опубликовано 29 окт 2010, 19:11 MSK
Сюжеты: Социальные сети
В социальной сети Facebook появился новый зловред, имя ему Trojan-Downloader.Java.Alboto.a.
Схема работы этой вредоносной программы подозрительно похожа на схему koobface, но с одним очень существенным отличием – она написана на языке JAVA. Как следствие, под ударом оказались пользователи всех операционных систем.
Первые жалобы пользователей на эту вредоносную программу появились на сайте компании Apple в начале этого месяца. У пользователей Mac OS X возникли проблемы с установкой новых драйверов для оборудования. В результате этого стало известно еще об одной программе, атакующей Mac.
Сообщение на форуме компании Apple о связи обновления драйверов
операционной системы и социальной сети Facebook
Заражение начитается с перехода по ссылке, которую пользователь получает от своих друзей в Facebook. Ссылка или на сторонний блог, или на социальную сеть, или просто на сайт на бесплатном хостинге. Ссылка содержит сообщение «IMPORTANT! PLEASE READ» или «Is this you in this video here».
Предупреждение социальной сети Facebook о том,
что пользователь покидает социальную сеть
После этого пользователь попадает на сайт с видео или галереей, для просмотра которых требуется установить JAVA-аплет.
Информирование пользователя об установке JAVA-приложения
После установки этого аплета компьютер жертвы начинает генерировать адреса для получения вредоносных дополнений.
Пример перебора адресов для поиска дополнений
Декомпилированная часть JAVA-аплета для генерирования адресов
вредоносных серверов обновлений на основе текущего времени
После нахождения сервера обновлений вредоносная программа устанавливает обновления для операционных систем Windows и Mac OS. Тут пишут про Ubuntu, но подтверждений пока нет.
Пример сообщений пользователей об установке вредоносного обновления для OS X
После установки обновлений на эти операционные системы рассылка продолжается, а зараженные компьютеры становятся частью ботнета.
География распространения данной угрозы сейчас — это Северная Америка, что не удивительно, так как Facebook популярна именно в Северной Америке. Однако по мере роста и добавления модулей для других социальных сетей все скоро может очень измениться.
Карта распространения вредоносной программы Trojan-Downloader.Java.Alboto.a
на основе статистики KSN от пользователей KIS 2010
UPD1. 29 10 2010, 22:15 На текущий момент сервера обновлений выключены.
UPD2. 29 10 2010, 23:00 Найдены вредоносные сообщения вне Facebook.
UPD3. 30 10 2010, 00:30 Задетектировали Trojan-Downloader.Java.Alboto.b.
UPD4. 30 10 2010, 7:40 За ночь троян добрался до России
UPD5. 01 11 2010, 10:30 Ниже данные за выходные. Интересно, что из-за метода перебора домена в поисках центра обновлений скорость распространения очень и очень медленная
UPD6. 02 11 2010, 21:30 Trojan-Downloader.Java.Alboto.c отправлен на детектирование
|
30 окт 2010, 02:33
Тут пишу про Ubuntu, но подтверждений пока нет. Наверное, всё-таки "Тут пишут". исправлено: Fixxxer, 30 окт 2010, 03:05 |
|
0 |
Re: Тут пишу про Ubuntu, но подтверждений пока нет.
+1. google.com, а прямую ссылку не дам... статья.
|
2 |
Re: Re: Тут пишу про Ubuntu, но подтверждений пока нет.
Google рулит - но правильный ПС: серваки пока лежат.
Ну тогда вот Вам один из кросслинков, но на русском. Получилось так, что мы готовили один и тот же материал фактически одновременно: http://habrahabr.ru/blogs/virus/107211/
И вообще - пора спать :)
|
-1 |
Re: Re: Тут пишу про Ubuntu, но подтверждений пока нет.
Сергей, тут на Хабре присмотрелись - всё-таки Вы по статье гремите :)
Внимательно смотрим на второй скрин: да, ссылка замазана, но что это за "gabby****.stran****.net" в адресной строке? ;)
исправлено: Сергей Голованов, 01 ноя 2010, 21:19
|
0 |
Re: Re: Re: Тут пишу про Ubuntu, но подтверждений пока нет.
редакторы плин... ну там давно уже пусто => ни кто не заразился => инцидентов нет => статьи нет. По глумится не получится. Исправил.
исправлено: Сергей Голованов, 01 ноя 2010, 15:29
|
-1 |
Re: Re: Re: Re: Тут пишу про Ubuntu, но подтверждений пока нет.
Я уже опечатал компьютер с вирусом и вызываю понятых :)
Ладно, без обид - просто расслабляться не надо, а то Google... статья... ;)
30 окт 2010, 11:20
По теме сообщения Уважаемый, хочу сделать небольшое замечание по теме вашего сообщения. |
|
-1 |
|
2 |
Re: По теме сообщения
"нашим оценкам (ДПЭ МВД России) не более 25% введенных на этапе разработки закладок."
Вы там работаете? Просто кажется одна четвертая с потолка взялась.
|
-1 |
Re: Re: По теме сообщения
Сергей, берите выше: "НАШИМ оценкам"!
Не "Вы" - "ОНИ" там работают ;)
|
-2 |
Re: Re: По теме сообщения
Добрый вечер! Простите, что отвечаю лишь сейчас, я был на учебе.
Да, я являюсь консультантом (вне штата оперативного подразделения). Данные об оценке основаны на результатах выборочной арбитражной компиляции кода, который распространяется через проекты Canonical и Debian. Во-первых, результаты производства исполняемого модуля из открытого кода (путем компиляции) отличаются от того результата компиляции, который в виде двоичных файлов выложен в сети. И на это именно делается ставка, т.к. обычный пользователь компилировать код операционной системы не будет, это дорого и затратно. Во-вторых, данные о числе обнаруженных и декларированных уязвимостей были получены не ДПЭ непосредственно, а ФГУП НИИ Восход, просто они передавали в ДПЭ свой отчет на эту тему.
С уважением, Рубен Александрович
Мой телефон теперь 8 499 238 1954 (дом.)
|
0 |
Re: Re: Re: По теме сообщения
Я так понимаю речь идёт об этом РД http://www.ancud.ru/zak_akt/norm002.htm. В его рамках проводилось исследование свободного ПО. Брались исходники, компилировались и сравнивались по хешам с дистрибутивом. Разница составила 25%. Было решено, что разница вызвана программными закладками, специально внедрёнными кем то... э... Последний переход по моему не очень логичный, ведь без статического/денамического анализа этих изменений нельзя однозначно говорить чем были вызваны эти изменения. Может быть просто после выхода дистрибутива изменилась какая то либа и всё расползалось?
|
0 |
Re: Re: Re: Re: По теме сообщения
Сравнивать просто по контрольной сумме (интегральному показателю уникальности) не имеет смысла по одной простой причине - любой компилятор вставляет в целях соблюдения функционала ОРД свои уникальные параметры, т.е. параметры машины, на которой проводили компиляцию (mac-адрес, ip-адрес, бортовое время, версию и идентификатор сборки ядра ОС и тому подобное). Речь идет именно о распознавании кода отдельных процедур и блоков алгоритма программы, а они от вышеназванных параметров зависят слабо, так как эти как раз параметры внедряются отдельно уже в собранный модуль на уровне объектного кода.
|
0 |
Re: Re: По теме сообщения
Кстати, если спросите у наших коллег из центра лицензирования и защиты гостайны, они могут многое рассказать про модуль klizma.exe - он прописывался через autorun.inf, и именно им заразили огромное число машин в ФСБ на Кисельном и в ДПЭ в здании у 6 корпуса (морга) Склифосовского (НИИСП). Распространялось это через флешки.
|
0 |
Re: По теме сообщения
Не знаю что сказать чтобы Вас не обидеть:
Силовые структуры, давным-давно взяли на вооружение собственные сборки FreeBSD, не разу не слышал о закладках там, откуда Вы этот мусор, уважаемый, черпаете?
|
0 |
|
-3 |
Re: Re: По теме сообщения
В нашем оперативном эксперименте iPhone взломали за 10 минут. После этого он более не подключается к Beeline WiFi Free, установленных в Макдональдсах в Москве.
План эксперимента: передача в адрес другого смартфона текстового файла с ключевыми словосочетаниями типа "теракт планируется", "сбойка тоннелей", "производство гексогена" (все на русском языке). Передача шла через WiFi сеть в городе Бургас (что в Болгарии), сетка была бесплатная, идентификация в СОРМ шла через MAC адрес.
Удивительно, но на следующий день мы не смогли этот аппарат подключить ни в одном Макдональдсе в Москве. Но на других точках доступа Билайна он исправно регистрировался.
Мораль: весь трафик бесплатных точек перлюстрируется, устройства взламываются.
Есть еще сети идентификации по МАС-адресам, например, алгоритм на java, встроенный в интерфейс "В контакте".
Ну и остальные, можно упомянуть систему "Январь" или Siemens Radiointelligence.
Короче говоря, уходите из Интернета. В офлайне полно интересного, например, кошки, бабочки и путешествия!
Ну нахрен эти спецслужбы.
Рубен
|
-1 |
|
0 |
Re: Re: Re: По теме сообщения
Все равно не ниСево не понял: каким образом соотноситься анализ незашифрованного трафика и взлом устройства? Или блок по mac - тоже взлом))?
Смысл "включать на себя" механизмы защиты?
Зайдите в торговый центр и на глазах у сотрудников МВД резким движением расчехлите пневматическую копию АК-74, а потом жалуйтесь что Вас ни за что, абсолютно ни за что, по-произволу, расстреляли.
|
-4 |
Re: Re: Re: Re: По теме сообщения
Необходимо понимать, что тотальное заражение всех компьютеров в мире (подключенных к Интернет) нужно ЦРУ не как самоцель, а как условие эффективного применения информационно-биологического и кибернетического диверсионного оружия.
Рубен Александрович Искандарян
телефон 84992381954
|
1 |
Небольшой оффтоп
Рубен Александрович, а Вы смотрели новый фильм "РЕД"? Ну - с Брюсом Уиллисом?
Вопрос такой: как Вам роль Марвина (Джон Малкович) - симпатична?
|
2 |
Re: Небольшой оффтоп
Все проще: Рубен Александрович набивает себе рейтинг по сообщениям, или глумиться, в игнор его.
|
-1 |
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей