Операция ФБР под названием “Operation Ghost Click”, о которой мой коллега Курт рассказывал здесь и здесь, наконец подходит к завершению.

В понедельник, 9 июля в 06:00 центрально-европейского времени, будут отключены врЕменные DNS-серверы, установленные ФБР. В то же время заражёнными остаются тысячи компьютеров. Очевидный вопрос — что же будет с ними?

У каждого компьютера в интернете есть свой уникальный адрес — IP-адрес. Существует две версии IP-адресов:

IPv4 — 32-битный адрес, например 195.122.169.23, и
IPv6 — 128-битный адрес, например 2001:db8:85a3:8d3:1319:8a2e:370:7347.

Очевидно, что такие адреса запоминать гораздо сложнее, чем всем привычные доменные имена сайтов, такие как “kaspersky.com”. Чтобы переводить удобные для пользователей доменные имена в соответствующие им IP-адреса серверов, была создана так называемая Система доменных имён.

Вредоносная программа DNSChanger производит на зараженной машине подмену DNS-серверов своими собственными (см. пресс-релиз ФБР).

Apple выпустил MacOS X 10.6.7, в котором исправлено несколько багов и включено несколько обновлений для системы безопасности. В патч также включено «тихое» обновление Xprotect — антивирусного продукта Apple.

Xprotect

Вместе с выпуском операционной системы Snow Leopard (Mac OS X 10.6) Apple выпустил продукт под названием „XProtect“, обеспечивающий базовую антивирусную защиту. Он сканирует и обнаруживает угрозы при закачке файлов для последующего выполнения через Safari, Mail, iChat, Firefox и несколько других браузеров. Сигнатурный список обновляется через Apples Software Update.

До сих пор база данных Xprotects содержала сигнатуры трех известных угроз:

- OSX.RSPlug.A: изменяет местные DNS-записи, распространяется через видео-кодеки
- OSX.Iservice: атакует веб-сайты (DDoS), распространяется в комплекте с пиратскими приложениями
- OSX.HellRTS: известен как HellRaiser; инструмент, предоставляющий атакующему полный контроль над системой-жертвой. Версия 4.2
общедоступна, версия 4.4 продается создателем за $15 на подпольных форумах.

Новое обновление

Обновленная сигнатура теперь содержит определения для “OSX.OpinionSpy“. Этот троянец распространялся в середине 2010 в комплекте со скринсейверами и приложениями, размещенными для скачивания на популярных сайтах с продуктами для Mac. Известен как Opinion Spy и Premier Opinion. Главная цель зловреда — сбор личных данных и их отправка на различные серверы. Троянец работает от имени администратора, т.е. на вашем компьютере он может сделать «что угодно».

При выполнении инсталлятор (который идет в комплекте с OpinionSpy) просит пароль администратора, что вполне обычно при установке программ. Введя пароль, пользователь предоставляет троянцу полный доступ к системе. OpinionSpy также делает инъекции кода в Safari, Firefox и iChat, чтобы собрать больше личных данных.

Продукты «Лаборатории Касперского» детектируют данную угрозу со 2 июня 2010 года как Trojan.OSX.Spynion.a. В этом году мы через KSN получили 13 пользовательских отчета, в основном из Индии.

В то время как сигнатурный список Apple растет, пользователям Mac следует уделять повышенное внимание безопасности и вредоносным программам.

В социальных сетях часто можно наблюдать, как киберпреступники используют злободневные темы, чтобы завлечь пользователей и заставить их пройти по вредоносным ссылкам. Неудивительно, что сейчас злоумышленники стали использовать с этой целью слово “Wikileaks”.

В эти выходные на один из моих почтовых ящиков, предназначенных для спам-сообщений, пришло следующее письмо. В глаза бросилась тема “Wikileaks on Twitter!” — я не ожидал, что спам-сообщение будет содержать это ключевое слово.

Письмо написано таким образом, чтобы убедить пользователя в том, что оно отправлено социальной сетью Twitter: в него встроен соответствующий логотип, а текст напоминает служебное сообщение. Однако все три ссылки, содержащиеся в письме, ведут на веб-сайт “Canadian Health & Care”, который известен как фишинговый ресурс.

Страница веб-сайта “Canadian Health & Care”, открывающаяся по ссылке в письме

Предупреждение о том, что запрошенный ресурс является фишинговым

Мораль: будьте осторожны со ссылками в письмах. Как показала простая проверка, ни одна из ссылок в данном письме не вела на Twitter и не имела к нему никакого отношения.

В криминальном подполье многие инструменты и сервисы переходят из рук в руки. За деньги. Например, за определенную сумму можно купить бот-пакеты у самого их разработчика или у его партнеров по бизнесу. Покупатель получает пакет со всеми необходимыми файлами и дополнительной поддержкой, например обновлениями, способными противостоять антивирусному детектированию. Как правило, существует несколько уровней поддержки, на которые покупатель может подписаться.

Однако и в криминальном мире случаются неприятные инциденты.

В феврале этого года некто, назвавшийся Till7, начал предлагать созданный им новый ботнет v0id Bot, эксплуатирующий уязвимость веб-панели. Официальный дистрибьютор по имени 3lite стал предлагать этот бот-пакет на подпольных форумах.

Сам бот, написанный на языке VisualBasic.Net, идет в комплекте с веб-панелью на основе РНР-кода, которая может выполнять следующие функции:

• Посещение определенного сайта
• Загрузка и исполнение файла с определенного сайта
• Рассылка спама по электронной почте/ массированные адресные спам-рассылки/
• Кража идентификационных данных (для DynDNS, Filezilla и пр.)
• DoS-атаки на HTTP- и UDP-серверы