Случаи заражения крупных сайтов разных тематик мы фиксировали, начиная с июня этого года. Заражения происходили редко и бессистемно. По-видимому, это были 'тесты' перед более серьёзными действиями: в конце октября мы обнаружили заражение сайтов сразу нескольких крупных российских СМИ:

• Интерфакс
• Вести
• Газета.ру
• Взгляд
• URA.RU

Фрагмент заражённой страницы Interfax.ru

Фрагмент заражённого рекламного блока на одной из страниц vesti.ru

На всех сайтах устанавливался фрейм, который вёл на страницу с эксплойтами. Сайты были заражены по-разному - где-то вредоносный фрейм, перенаправляющий на домен с эксплойтами, был вписан вручную в код страницы, а где-то - в код рекламного блока, размещенного на сайте.

По данным KSN на вредоносные домены каждые сутки переходило около 1500 уникальных пользователей. Столь небольшое число потенциальных жертв обусловлено тем, что злоумышленники добавляли вредоносный код на сайты на короткие промежутки времени - от 30 до 90 минут в обеденные часы. Кроме того, злоумышленники могли пропускать на страницы с эксплойтами не всех пользователей. Скорее всего, это делалось для того, чтобы заражения подольше оставались незамеченными как для веб-мастеров, так и для антивирусных компаний.

Год назад мы уже писали про аналогичные таргетированные заражения сайтов крупных СМИ и государственных служб: на всех сайтах также устанавливался фрейм, который вёл на страницу с эксплойтами. Эксплойты скачивали непосредственно 'полезную нагрузку' - то, ради чего заражались эти сайты. Тогда это был Carberp - многофункциональный банковский троянец.

В октябре внедрённый на сайты СМИ фрейм осуществлял перенаправление на страницу с эксплойт-паком, где с помощью Java-эксплойта (Exploit.Java.CVE-2012-1723.jl), эксплуатирующего уязвимость CVE-2012-1723, загружался бот Lurk.

Напомним, что в марте этого года для распространения этого бота злоумышленники также заражали сайты легитимных СМИ, где вредоносный фрейм внедрялся в рекламные баннеры системы AdFox. И в марте, и в октябре для заражения использовались идентичные эксплойт-паки, совпадают даже названия параметра и апплета в тэге 'applet' вредоносной страницы.

Любопытно, что в октябре содержащая вызов эксплойта страница, на которую происходил редирект, содержала осмысленную разметку, но бессмысленный текст. Очевидно, что это попытка мимикрировать под типичные html-страницы, чтобы избежать излишнего внимания антивирусного ПО.

Фрагмент страницы, осуществляющей загрузку Java-эксплойта

Как и любой бот, Lurk подключается к командному центру и ждет дальнейших указаний. В ходе нашего исследования Lurk установил на зараженные машины плагин, ворующий пароли от FTP-серверов. Плагин крадёт конфигурационные файлы программ, работающих с FTP-серверами. Если пользователь сохраняет пароль в таком ПО, то его можно отыскать в соответствующем файле. Полный список программ, из которых Lurk ворует сохраненные пользователями пароли:

• FAR - FTP плагин
• Opera
• Internet Explorer
• Firefox
• SmartFTP
• Total Commander
• FileZilla
• FlashFXP

Таким образом, мы уже не в первый раз встречаемся с таргетированными заражениями крупных веб-ресурсов. Это удобный способ получить большой целевой трафик, который впоследствии можно преобразовать в деньги.

Мы проинформировали о заражении администраторов пострадавших веб-ресурсов, которые уже приняли соответствующие меры. Продукты 'Лаборатории Касперского' защищают от всех угроз, описанных в этом посте.

20 марта правоохранительные органы России сообщили о задержании группы киберпреступников, которые похищали денежные средства при помощи троянской программы Carberp. Это действительно хорошая новость, однако, к сожалению, она не означает конец истории Carberp.

Судя по всему, арестована была только одна из преступных групп, использующих этого троянца. При этом на свободе остаются непосредственные разработчики Carberp, которые продолжают открытую продажу троянца на форумах киберпреступников.

Вот очередное предложение купить «многофункциональный банкобот» Carberp, появившееся 21 марта:

На днях мы обнаружили вредоносную программу, подписанную валидной подписью. Зловред представляет собой 32-х или 64-х битный дроппер, ЛК детектирует его как Trojan-Dropper.Win32.Mediyes или Trojan-Dropper.Win64.Mediyes соответственно.

В настоящее время обнаружено множество файлов дропперов, подписанных в разное время — начиная с декабря 2011 года до 7 марта 2012 года. Во всех случаях был использован сертификат, выданный швейцарской компании “Conpavi AG”. Эта компания работает с государственными органами Швейцарии — муниципалитетами, кантонами и т.д.

Информация о цифровой подписи Trojan-Dropper.Win32.Mediyes

3 декабря мы зафиксировали резкий рост количества срабатываний на эксплойты, использующие уязвимость CVE-2011-3544 в виртуальной машине Java. Эта уязвимость была опубликована 18 октября, но стала использоваться не так давно. Она позволяет злоумышленнику исполнять произвольный код на удаленной машине. Ее можно использовать в эксплойтах, применяемых в drive-by атаках, для загрузки и запуска вредоносных программ.

Количество уникальных пользователей, на компьютерах которых были задетектированы эксплойты семейства Exploit.Java.CVE-2011-3544

Согласно данным KSN, большая часть эксплойтов к CVE-2011-3544 используется в одном из наиболее популярных в настоящее время эксплойт-паков – BlackHole Exploit Kit.

Мы проанализировали актуальные наборы BlackHole. На сайтах, на которых осуществляется drive-by атака с помощью BlackHole, нам выдавался достаточно старый эксплойт для уязвимости CVE-2010-0188, выполненный в виде PDF-файла, и новый Java-эксплойт, эксплуатирующий уязвимость CVE-2011-3544. Соответствующие файлы выделены красными овалами на скриншоте ниже.

Скриншот списка файлов, перехваченных при заходе на сайты с установленным BlackHole

Брайан Кребс также сообщает, что разработчики BlackHole успешно внедрили новый эксплойт в свой набор. Согласно статистике KSN, атакам новых эксплойтов подвергаются пользователи из России, США, Великобритании и Германии. По-видимому, это связано с тем, что новые эксплойты к уязвимости CVE-2011-3544, интегрированные в BlackHole, устанавливают троянскую программу Carberp, ворующую банковскую информацию, и SMS-блокеры. SMS-блокеры используются преимущественно в России, а троянцы-банкеры атакуют пользователей в развитых странах.

В очередной раз мы видим, что злоумышленники не стоят на месте и совершенствуют свои творения. Всем пользователям очень важно регулярно устанавливать обновления для Java от Oracle. Патч, устраняющий, в том числе, уязвимость CVE-2011-3544, можно скачать здесь.

Не так давно мы писали о том, как злоумышленники используют зараженные компьютеры для создания виртуальной валюты BitCoin. На днях мы обнаружили вредоносную программу Trojan-Downloader.Win32.MQL5Miner.a, которая также использует мощности зараженных машин — на этот раз для того, чтобы заработать деньги в облачной сети распределенных вычислений MQL5 Cloud Network.

Сайт MQL5 Cloud Network

С июня 2011 года мы наблюдаем значительное уменьшение количества фальшивых антивирусов. В настоящее время фиксируем по 10 000 попыток заражения FakeAV ежесуточно. В то время как в июне эта величина достигала 50 000 - 60 000.

Количество попыток заражения Trojan-FakeAV в сутки, июнь-сентябрь 2011 г.

Многие пользователи знают, что социальные сети могут использоваться злоумышленниками для распространения вредоносного ПО или мошеннического контента. Российская сеть ВКонтакте не стала исключением, ведь чем популярнее сеть у пользователей, тем активнее эксплуатируют ее злоумышленники. Всего за неделю при попытках пользователей перейти по ссылкам, размещенным на сайте vkontakte.ru, было зафиксировано около 32 000 срабатываний нашего антивируса.

Все вредоносные объекты, на которые ведут сомнительные ссылки в социальной сети, можно поделить на три основные категории:

1. мошеннические сайты;
2. зараженные архивы;
3. зловреды, модифицирующие файлы hosts;
4. интернет-черви.

Ниже представлен ТОP 20 вердиктов нашего антивируса:

В последнее время модифицирование областей жесткого диска, ответственных за начальную загрузку системы, становится все более популярным у злоумышленников. При этом если раньше мы видели только изменение MBR (основная загрузочная запись), то сейчас злоумышленники переключились на заражение кода загрузчика NTFS-раздела.

Недавно нами был обнаружен интересный зловред — Cidox. Его особенность в том, что он заражает код загрузочной области загрузочного раздела на жестком диске.

Основной файл Trojan-Dropper.Win32.Cidox «несет на борту» два драйвера-руткита (Rootkit.Win32/Win64.Cidox). Один из них скомпилирован под 32-битную платформу, а второй — под 64-битную.

Исходный компонент Cidox модифицирует начальную область жесткого диска:

• Записывает соответствующий драйвер в свободные сектора в начале жесткого диска.
• Для заражения выбирает раздел, помеченный как загрузочный в таблице разделов в MBR. Важно отметить, что заражаются только разделы с файловой системой NTFS.
• Записывает часть своего кода поверх области Extended NTFS IPL (Initial Program Loader), которая отвечает за разбор таблицы MFT (Master File Table), поиск файла с загрузчиком в корневой директории раздела (ntldr — до Vista, bootmgr — Vista+), считывание этого файла с диска и передачу управления на него. При этом оригинальное содержимое Extended NTFS IPL сохраняется в зашифрованном виде и дописывается в конец зловредного кода.

На днях в антивирусную лабораторию попал очень интересный сампл — даунлоадер, содержащий в себе два драйвера, и скачивающий фальшивый антивирус, как под платформу PC, так и под MacOS. Этот зловред загружается и устанавливается на машину пользователя при помощи эксплойт-пака “BlackHole Exploit Kit”. Последний, в свою очередь, содержит эксплойты, использующие уязвимости в JRE (CVE-2010-0886, CVE-2010-4452, CVE-2010-3552) и PDF.

Оба драйвера — типичные руткиты с богатым функционалом. Один из них — 32-битный, а второй — 64-битный. Особенность последнего состоит в том, что он подписан т.н. тестовой цифровой подписью. Если Windows, семейства Vista и выше, была загружена с ключом ‘TESTSIGNING’, то приложения смогут загружать драйвера, подписанные тестовой подписью. Это специальная лазейка, которую оставила Microsoft для разработчиков драйверов, чтобы те могли тестировать свои творения. Этим-то и воспользовались злоумышленники — они выполняют команду ‘bcdedit.exe –set TESTSIGNING ON’, что позволяет им запустить свой драйвер без легальной подписи.

Знакомое окошко?

Троянцы-блокеры, которые по классификации ЛК относятся к классу Trojan-Ransom, можно разделить на две категории: интернет-блокеры и исполняемые файлы с функнционалом блокеров.

Интернет-блокеры открывают окно в браузере с сообщением о том, что компьютер заблокирован. К счастью, справиться с ними довольно легко — как правило, для этого достаточно просто закрыть окно браузера. Распространяются такие программы преимущественно на порно-сайтах.

Блокеры, которые представляют собой исполняемые файлы, побороть труднее. «Лаборатория Касперского» создала специальный сервис — «Деблокер» — позволяющий генерировать коды, подходящие к блокерам, на основе введённого короткого номера и текста короткого сообщения. По статистике KSN, на долю таких программ приходится 82% всех блокеров, и речь далее пойдет именно о них.