В то время как многие люди по всему миру ещё пребывают в состоянии шока из-за произошедшего 16 апреля теракта в Бостоне, киберпреступники уже используют эту трагедию в своих грязных целях.

Сегодня к нам уже начали приходить подозрительные письма, содержащие вредоносные ссылки на веб-страницы с названием вида "news.html". Кликнув по такой ссылке, пользователь попадает на страницу со ссылками на легитимные видеоролики на YouTube, повествующие о трагическом событии в Бостоне. Но после 60-секундной задержки на странице активируется другая ссылка, ведущая на исполняемый файл.

После запуска на заражённой машине, зловред пытается установить соединение с несколькими IP-адресами, расположенными на Украине, в Аргентине и Тайване. Продукты «Лаборатории Касперского» распознают эту угрозу как Trojan-PSW.Win32.Tepfer.*.

MD5-суммы некоторых образцов зловреда:

5EA646FFDC1E9BC7759FDFC926DE7660

959E2DCAD471C86B4FDCF824A6A502DC

Как многие и предполагали, мошеннические сообщения с просьбами о пожертвованиях для пострадавших в Японии появляются в ящиках пользователей. Подробно изучив одно из таких сообщений, мы обнаружили следующее:

Это сообщение было отправлено с канадского IP-адреса через почтовый сервер, расположенный в Испании. В полях «От» и «Ответить» отображается японский почтовый адрес, скорее всего, фальшивый, а в самом письме в качестве получателя денежных средств, переводимых через Western Union, указано имя «Sasiki Nakatawo», крайне необычное, если вообще не выдуманное. Потенциальных жертв просят переслать их данные и контрольный номер денежного перевода на почтовый адрес в Гонконге. Кстати, сообщения были созданы в мейлере с использованием набора символов "Windows-1251" (Cyrillic).

Как видим, в этой схеме присутствуют несколько мест, расположенных по всему миру. Однако решения «Лаборатории Касперского», фильтрующие сообщения, помещают это мошенническое послание именно туда, куда следует — в папку «СПАМ».

С начала августа на адрес нашего японского офиса пришло более 900 спам-сообщений одинакового вида:

Мы заметили, что во всех этих сообщениях присутствуют две характерные черты. Во-первых, все они содержат ссылки, ведущие на взломанные серверы. Во-вторых, файловое название каждой ссылки состоит из английского слова и двух цифр в конце. Ссылки ведут на сайты онлайн-аптек и магазины поддельных часов. Вот скриншот каталога на одном из таких сайтов:

В последних спам-рассылках мы часто замечали ссылки на файлы *.html с произвольными именами. Существует еще одна тенденция: киберпреступники даже не заботятся о том, чтобы зарегистрировать домены для совершения своих грязных дел, они просто внедряют вредоносный код на взлолманный сайт. «Просто?» — спросите вы. К сожалению, на этот вопрос мы вынуждены ответить «да», судя по тому, что мы сейчас наблюдаем.

Например, мы собрали несколько сотен писем определенного типа, рекламирующих онлайн магазин по продаже программных продуктов. Одно из таких писем приведено ниже:

Отличительной особенностью этих писем является то, что все они содержат цветной текст/ссылку, указывающий на взломанные легитимные сайты. Ссылки также показывают, что файлы располагаются прямо на корневых URL, а не как обычно в подпапке какого-нибудь уязвимого приложения.

Мы можем предположить, что у злоумышленников есть доступ на запись как минимум к корневому каталогу веб-сервера таких сайтов, что является очень тревожным фактом. У нас также есть подтверждение тому, что во многих случаях вышеупомянутые спамовые ссылки хранились на серверах жертв, а, кроме того, вредоносные iframe и javascript внедрялись в основной контент сайтов.

Еще один образец, полученный нами сегодня, лишь подтверждает, что киберпреступники не особо ценят домены, которыми они пользуются в своих целях. Создается впечатление, что у них в распоряжении имеется целый пул доменов. На предлагаемом ниже скриншоте приведен пример спам-рассылки, где каждая из 12 ссылок, содержащихся в теле письма, ведет на отдельный сайт. Все эти сайты также содержат в своем корне вредоносный код, который мы детектируем как Trojan-Clicker.JS.Agent.*

Пожалуйста, не пытайтесь пройти по ссылкам, приведенным в скриншоте, если вы не уверены в том, что вы делаете.

Если поискать в сети определение понятия “iframe”, можно получить результаты типа “ограничение кодека Н.264, установленное компанией Apple для облегчения конечному пользователю монтажа видеоматериалов”. Такие iframe’ы содержат всю информацию, необходимую для передачи изображения, и служат как образец для создания других фреймов. Однако сейчас мы обсудим другой вид фреймов — HTML-тэги.

Мы часто сталкиваемся с iframe’ами при анализе вредоносных сайтов. Iframe’ы могут иметь различные атрибуты. Например, невидимые iframe’ы часто используют при организации drive-by заражений вредоносными программи. Для дальнейшей маскировки часто используется простое шифрование, или обфускация, которое браузеры расшифровывают «на лету». Зная это, можно найти интересные веб-сайты. Например, поиск в интернете строки "#64#6f#63#75#6d#65#6e#74#2e#77#72#69#74#65" (что расшифровывается как “document.write”) выдаст более 10 000 результатов.

Первый результат поиска — это ссылка на торрент-сайт, где пользователи обсуждают вредоносный пакет. Интересно то, что среди результатов поиска также находится ссылка на «зараженный подкаст», размещенный на itunes.apple.com, что возвращает нас к началу разговора об iframe’ах. Внедренный код содержит iframe, ведущий на moshonken(dot)com — известно, что с данного ресурса в прошлом распространялись эксплойты. В данный момент ресурс, судя по всему, не работает, но, как видно из поиска, обращающийся к нему вредоносный код по-прежнему встраивается во многие легитимные сайты. «Лаборатория Касперского» распознает данный вредонос как “HEUR:Trojan.Script.Iframer”. Мы сообщили компании Apple о данной проблеме через страницу обратной связи на их сайте.

К настоящему времени мы проанализировали более 600 МБ данных, касающихся вредоноса Gumblar, который опять начал активно действовать. Мы обнаружили более 2000 хостов – разносчиков инфекции, на которых оказались размещены вредоносные php-файлы и основная исполняемая часть вредоноса (payload), а также более 76 100 хостов-«редиректоров» (со ссылками на вредоносные сайты). Большинство хостов – разносчиков инфекции также по совместительству являются и «редиректорами», т.е. одновременно размещают вредоносный php-файл и дают на своей главной странице ссылку на другой зараженный хост.

Подробнее о структуре вредоноса Gumblar пишет мой коллега Виталий.

Если сравнить свежую статистику, приведенную ниже, со статистикой месячной давности, очевидно, что вредонос продолжает активно распространяться. Свежая статистика дана по состоянию на 30 ноября. Цифры, естественно, не окончательные, дальнейший рост весьма вероятен.

Как и предполагалось, еще больше компьютеров было заражено. На данный момент наш рейтинг выглядит следующим образом:

Данная статистика относится к уникальным хостам, из которых некоторые включают несколько пользовательских директорий и т.д., то есть в действительности цифры намного выше приведенных. Как мы уже говорили ранее, каждый из этих хостов распространяет набор вредоносных файлов, которые пересылаются пользователю в зависимости от компьютерной среды. Мы воспользовались сайтом virustotal.com для того, чтобы выяснить, сколько из участвующих в работе сайта 41 антивирусных вендоров детектируют вредоносный файл. Согласно полученным результатам, на данный момент только 3 из 41 производителей детектируют вредоносный *.php-файл, который осуществляет заражение машин на территориях вышеупомянутых стран. Вредоносный *.pdf-файл обнаружили 4 из 41, а flash-контент — 3 из 41 вендоров. Однако основная исполняемая часть (пейлоуд) была задетектирована 33 производителями. Конечно же, киберпреступники в любой момент могут изменить эти вредоносные файлы. Мы пристально следим за их дальнейшим развитием для того, чтобы при необходимости как можно быстрее обеспечить наших пользователей защитой.

В районе 20 октября мы получили сообщения от нашего турецкого офиса о «возможном распространении нового вируса». И наши коллеги оказались правы — что-то происходило. За несколько дней до этого — 16 октября — мы обнаружили изменения на нескольких сайтах, состояние которых мы отслеживали с мая 2009 года, когда активно распространялся «gumblar». Атака в апреле и мае использовала фреймы (iframe) для переадресации на два вредоносных сайта (gumblar.cn, martuz.cn). В этот раз серверы, через которые происходит распространение, распределены географически более широко — мы выявили более 202 точек.

Ниже приведен список из 20 стран с наибольшим числом хостов, зараженных «iframe-инъекциями» и осуществляющих переадресацию на эти вредоносные серверы:

*Примечание: В статистику по США включены более 4000 хостов, переадресующих на персидский блог-сайт — по-видимому, на данный момент этот сайт наиболее активно используется для заражения.

Достаточно много зараженных хостов оказалось в домене .gov. В настоящее время мы знаем как минимум о 71 хостов в этом домене, из которых 47 находятся в Турции. Также порядка 65 хостов находятся в домене .edu и 79 в домене .ac, они по большей части распределены по территории Тайланда, Индии и Кореи.

Анализ данных по России показал наличие не менее 704 зараженных сайтов.

Примерные данные по числу обращений к зараженным сайтам:

По нашим данным, собранным за одну неделю, всего зарегистрировано 443748 обращений к вредоносным сайтам — и это лишь часть общей картины. В течение нескольких дней после обнаружения новой угрозы и добавления в антивирусные базы вредоносных файлов, использующих уязвимости в Adobe Reader и Flash Player, специалисты в области компьютерной безопасности обсуждали эту угрозу на удивление мало. «Новому gumblar» потребовалось некоторое время на то, чтобы привлечь к себе более пристальное внимание специалистов, и его по-прежнему многие не замечают. При этом угроза на самом деле очень активна, причем в качестве побочного действия службы технической проверки некоторых производителей ПК завалены запросами пользователей о внезапных перезагрузках и т.п. Сообщается также, что компьютеры, зараженные содержащей ошибки версией gumblar, не загружаются полностью — экран остается черным, и на нем виден лишь указатель мыши.

Конечно, приведенные выше цифры — далеко не окончательные. Они растут с каждым днем.