Поскольку решение задачи расшифровки ключа нового Gpcode не гарантировано вследствие значительной длины ключа, и никому не ясно, когда удастся его расшифровать, и удастся ли, — хочется напомнить нашим читателям поговорку: «На бога надейся, а сам не плошай».

Помните: пассивность «жертв» развязывает руки мошенникам. Если уж вы не вынесли того, что ваши персональные данные потеряны и помчались за карточкой пополнения электронного кошелька, чтобы покорно передать ее пин-код злоумышленнику — не забудьте сообщить *номер* этой карты в службу поддержки соответствующей платежной системы. Таким образом вы поспособствуете отслеживанию действий злоумышленника.

Как бы злоумышленник ни прятался, его отслеживание, по крайней мере, даёт шанс его обнаружить. Пассивность пострадавших, напротив, даёт гарантию того, что мошенник никогда не будет пойман — а значит, пострадавшие могут пострадать еще раз (или не раз).

Примечание. Третий блог-постинг на одну и ту же тему может вызвать у наших читателей ощущение, что имеет место эпидемия. Это не так. Известных нам случаев заражения действительно мало, это факт. Но дело в том, что речь идет о глобальной проблеме. Воспринимайте мое напоминание в контексте всей прошлой — длинной и громкой — истории с Gpcode и ее возможного продолжения, а также в контексте вашей личной информационной безопасности в целом.

Сегодня утром на мой почтовый ящик в службе yandex.ru пришло сообщение следующего содержания:

Спросонья я чуть было не последовала указаниям письма. Но здравый смысл возобладал, я заподозрила неладное и полезла разбираться. И действительно: если заглянуть в строку состояния браузера, наведя курсор на невинную ссылку http://r .yandex.ru/...., оказывается, что в действительности переход по этой ссылке ведет на некий сайт в зоне бесплатного хостинга tu1.ru. Если же перейти по указанному адресу http://r.yandex.ru/..., скопировав его в окно браузера, выясняется, конечно, что такой страницы не существует.

Если присмотреться внимательнее, обнаруживается множество мелких нестыковок:

• с точки зрения правил русского языка — как минимум одна недостающая запятая;
• с точки зрения правил формальной переписки — сомнительная стилистика письма;
• адрес «Администрации Yandex.ru» почему-то такой: «postmaster@sharabee.nichost.ru»;
• в правом верхнем углу открывающегося по ссылке «сервиса авторизации Yandex» показывается контекстная реклама, которой на служебных сервисах Яндекса нет.

Это — пример классического фишинга. Фишинг российских сервисов мало распространен. На моей памяти это первая масс-рассылка фишинга по базе адресов электронной почты yandex.ru — по крайней мере, из числа пролезших через спам-фильтры. За счет этого «фактора неожиданности» фишеры, вероятно, все-таки соберут некоторый урожай паролей, несмотря на то, что фишинг примитивный и непродуманный (в частности, вышеописанных нестыковок могло бы и не быть).

Избежать фишинга легко, если следовать простому правилу: убедившись в том, что доменное имя предложенной ссылки не поддельное, перейти по ней не напрямую, а скопировав ее в окно браузера. При таком подходе не сработают даже самые хитрые уловки фишеров для сокрытия реального URL.

Если вы все-таки поддались на хитрость фишеров и ввели свой пароль в поля на предложенной странице, смените его как можно скорее.

В последнее время участились случаи взлома веб-серверов и размещения вредоносных скриптов на главных страницах сайтов. Внедряемый скрипт — Trojan-Downloader.JS.Psyme — использует старые уязвимости в Microsoft Internet Explorer для загрузки на машину посетителя взломанного сайта троянца-шпиона. В ссылке на вредоносный код фигурирует имя файла скрипта sp.php.

Как происходят подобные заражения? Три варианта:

• «Живое» хакерское вторжение.

  Большое количество однотипных случаев сводит вероятность данного сценария к минимуму.

• Массивная автоматическая эксплуатация сервисов веб-серверов.

  В случае с доступными мне для анализа зараженными серверами, скрипты загружались в директории веб-сервисов по протоколу FTP, причем с использованием уже существующего в системе логина.

  Это означает, что хакер (кем или чем бы он ни был) имел доступ к учётным записям и паролям сервера — по крайней мере, некоторым. Быть может, хешированный при помощи не вполне актуального на сегодняшний день криптоалгоритма MD5 файл с паролями «вытаскивали» через дыру в каком-нибудь из веб-сервисов?

  Однако и этот сценарий маловероятен — ввиду того, что модификация серверов производилась абсолютно «чисто»: в логах не зафиксированы ни предварительные попытки логина, ни какие-либо подозрительные манипуляции с сервисами — ничего, кроме легального входа на FTP.

Что же остается? Если отбросить более чем сомнительную идею о сниффинге, то...

• Воровство паролей с машин конечных пользователей FTP веб-сервера.

  Речь идет о вероятном троянце, который, будучи запущен на Windows-машине администратора сайта с сохраненными на ней данными для доступа к FTP (например, в Total Commander), воровал бы эти данные.

  Количество доводов в пользу этого сценария увеличивается, если поразмыслить, почему заражаются именно те сервера, которые заражаются, не будучи связанными друг с другом никакой очевидной логикой. Ведь воруя пароли с машины пользователя, программа забирает их вместе с IP-адресом целевой машины.

  Причем, эти пароли даже не обязательно куда-то отсылать — сам троянец может «на месте» инициировать FTP-сессию с использованием найденных реквизитов и загрузить на сервер вредоносные скрипты — при наличии у FTP-аккаунта достаточных на то привилегий.

По моей оценке, сейчас мы практически наверняка имеем дело со сценарием №3, в связи с чем противодействие «эпидемии взломов» сводится к стандартным антивирусным рекомендациям:

• обязательно устанавливать на компьютеры администраторов сайтов все актуальные «заплатки» от Microsoft;
• регулярно обновлять базы антивируса на таких компьютерах;
• и снабдить их нормальным межсетевым экраном.

Плюс набившие оскомину предосторожности: не запускать незнакомые файлы или выключать по возможности автозагрузку ActiveX в браузере.

Очевидно и частное решение: избегать хранения паролей доступа в FTP-клиентах (и не только в них), но кто в наши дни сможет похвастаться достаточной для этого памятью?

В последние дни мы получаем от пользователей большое количество сэмплов новой версии троянца Trojan-Downloader.Win32.Delf.awg. Судя по всему, эту программу (скачивающую и устанавливающую Email-Worm.Win32.Scano, Trojan-Proxy.Win32.Xorpix и Trojan-PSW.Win32.LdPinch) разослали при помощи спам-рассылки.

Мы вновь воспользуемся случаем и напомним вам о необходимости быть осторожными, не открывать подозрительные вложения в электронные письма и регулярно обновлять базы данных своего антивируса. Кроме того, обращаем ваше внимание на то, что KAV 6.0 and KIS детектируют новую версию троянца проактивно. Так что даже если ваш антивирус давно не обновлялся, вы всё равно защищены от этой вредоносной программы.

8:40 утра 5 октября; я стою где-то в центре станции метро Синьдзюку, беспомощно обозревая просторный лабиринт переходов, входов и выходов, целиком затопленный потоками людей, в поиске хоть какого-нибудь указателя на английском языке. Через 20 минут мне надо быть в отеле Keio Plaza, где в этом году проходит конференция BlackHat.

Мои ожидания относительно контингента присутствующих не оправдались: вместо толпы смутных личностей в черных шляпах я обнаружила очень цивилизованную встречу нескольких сотен IT-специалистов, бОльшую часть которых составили японские клерки. Говорят, истинно хакерскую атмосферу лучше искать в Лас Вегасе, где BlackHat проходит каждый год в начале августа.

Доклады читались в двух аудиториях, и жаль, что меня всего одна штука — из-за этого удалось посетить только половину представленных презентаций. Работы участников по уровню «продвинутости» варьировали от информационно-организационных обзоров до глубоко технических описаний находок в области системного программирования. Добрая треть работ была посвящена теме вредоносного кода. Джоанна Рутковска (invisiblethings.org) представила свой уже известный концепт руткита, основанного на технологии виртуализации, и обхода защиты ядра Microsoft Vista; презентация Darren Bilby из Security-Assessment.com раскрыла другой руткит-концепт — нацеленный на обман средств снятия слепков системы для последующего анализа. Еще две тематических презентации были посвящены системе сбора и автоматизированного анализа вирусов и актуальной онлайн-угрозе — фишингу, соответственно.

Жаль, что в России практика участия в подобных конференциях (в частности, международных) менее распространена, чем в США и Европе. Их посещение, на мой взгляд, должно входить в обязательную программу развития специалиста в области информационных технологий — настолько мощен толчок, сообщаемый индивидууму одним лишь присутствием в большом коллективе единомышленников-энтузиастов, лучших в своем деле.

По сообщению Yahoo! количество аккаунтов, попавших под атаку почтового червя Yamanner, приближается «всего лишь» к двумстам миллионам.

Примечателен новый червь тем, что для активации вредного кода от пользователя не требуется совершения каких-либо действий, помимо открытия письма в веб-интерфейсе Yahoo Mail. Когда пользователь открывает письмо, исполняется скрипт, рассылающий червя на все адреса из адресной книги пользователя, в которых домен соответствует @yahoo.com либо @yahoogroups.com.

Помимо этого, открывается заданная веб-страница (в настоящий момент не функционирует), а адресная книга зараженного аккаунта отсылается на заданный сервер.

Очевидно, что функционал невинный. Два «но»:

• по некоторым особенностям кода и функционала червя можно судить, что он был написан «на коленке», и автор продолжает активную работу над ним.
• код червя открыт, и добавить к нему несколько более злостных функций не составляет труда.

Каковы признаки зараженного червем сообщения?

Имеющиеся у нас образцы зараженных сообщений имеют тему New Graphic Site и адрес отправителя av3@yahoo.com. Стоит иметь в виду, что эти данные могут быть с легкостью изменены.

Кто находится под ударом?

Все пользователи Yahoo Mail, кроме тех, кто использует сторонние сервисы для получения своей почты через POP3 в автономный почтовый клиент (например, Outlook). Поскольку платформа распространения червя — скриптовый язык JavaScript, поддерживаемый всеми полнофункциональными браузерами, то браузер не играет роли.

Как защититься?

Единственная эффективная защита от червя — полное отключение скриптов в браузере. Однако это делает невозможным использование веб-интерфейса Yahoo Mail.

Yahoo! предпринимает меры для фильтрации почтовых сообщений, использующих данную уязвимость, а также рекомендует переходить на новую тестовую версию почтового программного обеспечения от Yahoo! —Yahoo Mail Beta, для которой данная уязвимость не актуальна.

Наша альтернативная рекомендация — не использовать веб-интерфейсы для чтения почты, но скачивать ее в автономный почтовый клиент.

Чего ждать?

Как всегда, ничего хорошего (шутка). Потенциально уязвим любой почтовый сервис, базирующийся на веб-интерфейсе (например, Google Mail). Функционал любого JavaScript-вируса или червя ограничен лишь количеством патчей, установленных в системе, и в любой момент может расшириться за счет обнаружения новой уязвимости.

С первым кварталом 2006 года связан перелом в динамике развития мобильных вирусов. Закончился период количественного развития отрасли — плато, «усыпанное» примитивными троянцами для Symbian OS. Начался новый качественный скачок.

Обратимся к хронологическому списку мобильных вирусов, появившихся в 2006 году:

• Trojan-SMS.J2ME.RedBrowser
• Worm.MSIL.Cxover
• Worm.SymbOS.SteelWar
• Email-Worm.MSIL.Letum
• Trojan-Spy.SymbOS.Flexispy
• Trojan.SymbOS.Singlejump
• Trojan.SymbOS.Rommwar
• Trojan.SymbOS.Arifat

Что же мы видим?

1. Создатели мобильных вирусов начали осваивать новые языки програмирования — .NET («.MSIL.»), Java («.J2ME.»).
2. Это определило новый тренд в развитии мобильных вирусов: уклон в кроссплатформенность. Например, Worm.MSIL.Cxover, будучи запущен на PC, заражает доступные через Active Sync мобильные устройства, а с мобильных устройств по тому же механизму заражает компьютер.
3. Trojan-Spy.SymbOS.Flexispy — коммерческий троянец, собирающий логи звонков и СМС. Одного примера, конечно, недостаточно для объективного определения тренда. Но достаточно для того, чтобы сделать вывод: область мобильных вирусов наконец пересеклась, во-первых, с областью коммерции, а во-вторых — с областью шпионажа. И мне кажется, это только начало.

В среде специалистов по компьютерной безопасности шумиха: обсуждается идея «недетектируемого» руткита, основанного на технологиях виртуальных машин. Вопросы на повестке дня: о чем все это, и нужно ли начинать беспокоиться?

Проект руткита, работающего ниже уровня операционной системы, разрабатывается в Университете Мичигана и спонсируется Майкрософт. Широкой общественности стало известно о нем после публикации программы конференции IEEE Symposium on Security and Privacy, на которой будет представлена данная proof-of-concept-разработка.

Идея парней из Мичигана состоит в том, что можно вынести вредоносный код за пределы пользовательской операционной системы, сделав его принципиально невидимым изнутри нее. Для этого между операционной системой и оборудованием внедряется дополнительная прослойка, представленная монитором виртуальных машин (VMM). На стадии загрузки машины управление от BIOS переходит не к загрузчику пользовательской операционной системы, а к VMM, который в свою очередь загружает установленную операционную систему. Т.о., последняя оказывается «виртуальной машиной»; все взаимодействие между программами пользователя и оборудованием происходит через происходит через VMM.

Параллельно пользовательской, VMM скрытно запускает еще одну операционную систему. В ней исполняются вредоносные программы. Оборудование доступно им напрямую. Кейлоггер внутри «вредной» ОС может считывать нажатия клавиш клавиатуры, а троян-прокси — осуществлять сетевую коммуникацию. При этом следы их деятельности и код находятся за пределами ОС пользователя и, следовательно, не могут быть непосредственно обнаружены изнутри нее — даже при помощи сколь угодно мощного антивируса или фаервола.

Несмотря на кажущуюся опасность данной proof-of-concept-разработки, поводов для беспокойства я не вижу.

Во-первых, реализация такого руткита сложна и не под силу большинству вирусописателей — даже несмотря на то, что в качестве его основы берется готовый движок VMM.

Во-вторых, наличие прослойки между оборудованием и операционной системой невозможно скрыть — оно сказывается на работоспособности системы и значениях некоторых системных переменных.

В-третьих, обнаружить присутствие виртуализованного руткита довольно просто. Помимо отслеживания вышеупомянутых признаков снижения производительности, самый простой способ обнаружения и детектирования кода руткита — загрузка компьютера с внешнего устройства (USB, CD) и сканирование жесткого диска с него.

Некоторое время назад специалисты из SimWorks объявили об обнаружении новой троянской программы для смартфонов, работающих под управлением ОС Symbian (программа детектируется как Gavno.a и Gavno.b некоторым западными антивирусными компаниями). Зараженный этим троянцем телефон утрачивает способность осуществлять мобильную коммуникацию.

Как показал анализ вредоносного SIS-архива, внутри него под видом приложения Symbian находится небольшой текстовый файл. По всей видимости, именно вследствие попытки выполнить этот файл как приложение операционная система телефона перестает корректно выполнять некоторые функции.

Детектирование для вредоносной программы добавлено в базы под именем Trojan.SymbOS.Locknut.a.

У нас также есть несколько сэмплов Symbian-червя Cabir, включающих в себя инсталляцию данного троянца (они детектируются как Worm.SymbOS.Cabir.h и .i). Таким образом, возможно распространение Trojan.SymbOS.Locknut.a посредством Bluetooth.

Мы получили новую модификацию IRC-трояна Backdoor.Win32.Wootbot. Файл бэкдора обнаруживается общей процедурой детектирования для семейства Wootbot (Backdoor.Win32.Wootbot.gen), но содержит в себе новую функцию - функцию проникновения на машины с установленным сервером MySQL.

Программа при запуске подсоединяется к одному из нескольких предопределенных IRC-серверов, где ждет команд от автора. Получив команду распространяться — сканирует указанный диапазон IP-адресов, и, найдя на каком-либо из них открытый порт сервера MySQL, пытается аутентифицироваться на сервере как администратор (root), подбирая пароль из своего списка возможных. В случае успешной аутентификации червь засылает свое тело на удаленную машину, используя старую уязвимость в MySQL, и запускает его.

Помимо функции распространения, программа содержит в себе стандартный набор функций IRC-бэкдора, предоставляющая автору практически полный контроль над зараженной системой. Открывает четыре порта — 69-й и три случайных.

Как сообщают специалисты Internet Storm Center, в настоящий момент заражено несколько тысяч машин.

Для изначального подключения к MySQL-серверу не используется никакая уязвимость. Поэтому для того, чтобы обезопасить сервер от нового червя, достаточно установить сложный пароль администратора (root).