Борцы за чистоту интернет-пространства празднуют очередную победу: злостный потворщик киберкриминалу, российский хостинг-провайдер VolgaHost отлучен от Сети. Вместе с ним лишились транзита 4 украинских хостера, давших «пуленепробиваемый» приют повелителям ZeuS. Незадолго до этого московский «Вилайн Телеком», пытаясь сохранить собственный доступ, был вынужден отказать в обслуживании 9-ти таким же клиентам.

Небольшая, на 256 IP-адресов, автономная система VolgaHost (AS29106) в 4-м квартале возглавила глобальный список нерадивых хостинг-провайдеров, который регулярно публикуют активисты HostExploit. До этого она полгода удерживалась на третьей позиции, изрядно попортив свою репутацию обилием зараженных веб-сайтов и центров управления ботнетами. VolgaHost потеряла связь с интернетом 17 января, когда вышестоящий провайдер OnlineNet (AS50722) был отключен от магистрали.

Что касается ООО «Вилайн Телеком» (AS39150), ZeusTracker зафиксировал первые центры управления ZeuS в его сетях в марте 2010 года. Всего за прошлый год их было обнаружено свыше 140, причем в июне «Вилайн» начал оказывать услуги по транзиту другим таким же беспринципным хостерам. К концу года VLine Telecom занимал 6-е место в непочетном списке HostExploit, а один из его клиентов, украинский сервис-провайдер Informex (AS20564), опередил [PDF 299 Кб] всех по C&C хостингу ZeuS, разместив у себя 20 таких серверов.

Заставить «Вилайн» расстаться хотя бы с частью командного трафика ZeuS удалось лишь по окончании новогодних каникул. Сигнал к исправлению ситуации подала Spamhaus, занеся в черные списки питерского провайдера GlobalNet, через которого «Вилайн» в то время выходил в интернет. ZeusTracker, со своей стороны, вступил в переписку с GlobalNet, а затем с RUNNet, к которому переметнулся нарушитель, пытаясь уйти от ответственности. Новый интернет-провайдер, однако, примкнул к гонителям «Зевса», и «Вилайн» пришлось пожертвовать 9-ю клиентами, включая Informex. По данным ZeusTracker, число активных C&C ZeuS убавилось сразу на треть. Сам «Вилайн» удержался на плаву и вновь пользуется услугами GlobalNet, подстраховавшись еще двумя каналами. В его сетях на настоящий момент числится лишь 6 центров управления ZeuS.

Согласно последней статистике ZeusTracker (по состоянию на вечер МСК 27.01.11), общее количество C&C серверов ZeuS во всем мире составляет 570, половина из них активны. Больше всего их на территории России — 77, в США 70, на Украине 36.

Мультсериалы, такие как «Симпсоны», весьма популярны — число их фанатов по всему миру составляет сотни тысяч. Однако не все из них можно свободно скачать из Сети, как «Южный парк». Тем не менее, многие пользователи ищут возможность скачать любимые мультсериалы из интернета. Как это часто бывает, подобная популярность привлекает онлайн-мошенников. Вот еще одно мошенничество, которое мы недавно заметили на популярном веб-сайте Dailymotion:

Если вы пробуете просмотреть пиратский ролик, на экране появляется сообщение о том, что контент удален из-за несоблюдения авторского права, но к счастью для вас, ролик все же можно посмотреть, пройдя по ссылке, указанной в поле «описание».

Подобные ссылки всегда сокращаются (или маскируются) при помощи специальных сервисов, таких как bit.ly; кликнув по ссылке, вы попадаете на следующую страницу:

Страница со «специальными предложениями»: вам предлагается заработать,
пройдя опрос, или бесплатно поиграть

Искомый видеоролик снова нельзя просмотреть сразу; чтобы он стал доступен, требуется выбрать одно из «специальных предложений», пройдя по соответствующей ссылке. Кликнув по любой из предлагаемых ссылок, вы попадаете на такую страницу:

Окно, предлагающее установить программу IWON

Программа IWON, которую вам предлагается установить (название файла может быть, например, IWONSetup2.3.76.6.ZLman000.exe) на поверку оказывается приложением типа Adware, аналогичным печально известной MyWebSearch, и детектируется большинством антивирусов (хотя и не всеми). Антивирусом Касперского она детектируется как not-a-virus:WebToolbar.Win32.MyWebSearch.fr.

Хотя это приложение и не является вредоносным в строгом смысле этого слова, с ним все же лучше не связываться. Даже установив его, вы все равно не увидите Симпсонов на своем экране. Кроме того, как недавно показал мой коллега Роэль, онлайн-реклама может скрытно заражать ваш компьютер, даже если она демонстрируется хорошо известными программами.

Безопасной вам работы в интернете!

В последние несколько дней мы получили многочисленные сообщения о заражении компьютеров пользователей фальшивым антивирусом Antivirus 8.

Диалоговое окно установки фальшивого антивируса

Интересно, что всплывающие окна фальшивого антивируса появлялись, когда компьютер не использовался активно. Мы обнаружили, что это происходило в тот момент, когда программа ICQ получала и отображала новые рекламные сообщения.

Установив ICQ, я дал программе поработать пару минут, чтобы получить рекламу, и обнаружил следующее:

Эта страница размещена на сервере […]charlotterusse.eu.

Поскольку страница содержит iframe, можно предположить, что рекламный сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан, не так ли? А вот и нет: я выяснил, что кроме charlotterusse.com, ни один из серверов, адреса которых содержатся на этой странице, не имеет отношения к данному бренду одежды.

Это значит, что кто-то не поленился создать видимость действующего магазина, чтобы система распространения рекламы не заблокировала размещение рекламы, поскольку подобные системы отсеивают очевидно мошеннические заявки.

Однако самое интересное в данном случае то, что злоумышленники, чтобы отвести от себя подозрения в распространении вредоносного ПО, создали видимость того, что их сервер был взломан: «Мы тут ни при чем, просто кто-то взломал наш сервер». Скорее всего, распространитель рекламы на этот раз ограничится предупреждением, так что у мошенников будет по крайней мере еще один шанс заразить компьютеры пользователей.

Перед нами очередной пример того, что атаки могут проводиться с использованием доверенных программ. Вывод — защита от вредоносных программ необходима всегда.

Мы сообщили распространителю рекламы (yieldmanager) о происходящем. На момент написания этого текста ответ нами получен не был.

Одной из важнейших технологий Лаборатории Касперского является Kaspersky Security Network. Используя «облачную» архитектуру, KSN позволяет автоматически обнаруживать и блокировать неизвестное нам вредоносное ПО и зараженные или опасные веб-сайты, фильтровать спам, защищать детей от нежелательного контента и многое другое.

Лаборатория стремится к тому, чтобы пользователи всегда имели возможность увидеть полную и актуальную информацию о текущем положении дел в мире информационных угроз. Теперь для этого вы можете использовать наш новый скринсейвер Irida! При его работе на экране отображается статистика по актуальным угрозам, обнаруженным и заблокированным с помощью KSN. Данные автоматически обновляются каждые 12 часов.

Установите скринсейвер и откройте для себя возможности Kaspersky Security Network!
Загрузить скринсейвер

Согласно результатам онлайн-опроса, проведенного Sophos в декабре, в 2010 году посетители социальных веб-сайтов получили на 10% больше спама, на 13% — фишинговых и на 4% вредоносных сообщений, чем в предыдущем году. А в сравнении с апрелем 2009 года все эти показатели выросли вдвое.

В опросе приняли участие 1273 респондентов, половина из которых имеют неограниченный доступ к социальным сервисам с рабочего места. Две трети участников отметили, что в минувшем году получали спам в социальной сети, 43% рисковали оставить свои данные на поддельном веб-сайте, 40% были атакованы червями и другими зловредами. Самым опасным из четырех популярных социальных ресурсов (Facebook, Twitter, MySpace и LinkedIn) 82% опрошенных назвали Facebook.

По данным Sophos, в настоящее время доступ к социальным сетям начисто блокируют лишь четверть компаний; многие признают, что корпоративное присутствие на таком сервисе помогает развитию бизнеса. Тем не менее, 59% участников опроса выразили уверенность, что неосмотрительное поведение служащих в социальной сети может поставить под угрозу безопасность всего предприятия. 57% посетовали, что их коллеги публикуют слишком много информации на социальных веб-сайтах.

Согласно статистике Secunia, в минувшем году количество уязвимостей в 50 программных продуктах, которые широко используют владельцы ПК под ОС Windows, увеличилось [PDF 848 Кб] более чем на 70%. Свыше двух третей из них — бреши в приложениях сторонних разработчиков.

В зависимости от установленной ОС (XP, Vista или Windows 7) число уязвимостей, обнаруженных за год, составило, по данным Secunia, 709-729. На долю самой ОС пришлось 13%, прочих программ Microsoft — 18%. По свидетельству экспертов, на типовом ПК под Windows обычно присутствуют 26 продуктов MS, включая саму ОС, и 24 инструмента от 13 других вендоров. В ТOP 50 программ, снискавших популярность у пользователей Windows, Secunia включила те, уровень распространения которых составляет не менее 24%. Восемь из них, в том числе Internet Explorer, .NET Framework, Sun/Oracle Java, Adobe Reader и Adobe Flash, установлены на 80% машин.

По данным Secunia, для половины уязвимостей, объявившихся в прошлом году, патч уже существовал на момент публикации. Многие из остальных разработчики закрывали в течение последующего месяца. Как показали результаты сканирования, проведенного с помощью Secunia PSI в 4-м квартале, подавляющее большинство «заплаток» от MS были установлены вовремя. Непропатченными оказались менее 2% программ этого вендора, функционирующих на типовом ПК. Что касается сторонних приложений, доля уязвимых на такой машине составила 7-12%. Похоже, многие пользователи все еще недооценивают важность своевременного латания дыр и не осознают, что современные злоумышленники предпочитают открывать ларчик Windows через бреши в ПО третьей стороны.

Вчера нами была зафиксирована очередная SMS-спам рассылка, содержащая ссылку на вредоносную программу для мобильных телефонов и смартфонов: Trojan-SMS.J2ME.Smmer.f. Отправителем мог значиться обычный мобильный телефонный номер, например, +79671*****2. Текст спам-сообщения выглядел следующим образом:

Poluchen MMS podarok ot "Katya" dlya abonenta <телефонный номер получателя> Posmotret: http://load***.ru/606.jar

Сама вредоносная программа маскируется под виртуальную открытку:

В конце 2010 года я заметил большую волну спама, вербующего «денежных мулов». Вначале мошенники рассылали спам со взломанных почтовых ящиков. Я даже получил пару таких сообщений от людей, которых я знаю лично:

Сразу после этого в целях ускорения процесса вербовки злоумышленники стали рассылать свои сообщения через Windows Live Messenger (MSN):

Разумеется, мошенники опять использовали для рассылки спама легитимные учетные записи, которые были взломаны. Наконец, в самом конце года я заметил большую кампанию на Facebook, нацеленную в первую очередь на испаноязычных пользователей. Но вчера я был поражен, обнаружив на легитимном IT-сайте рекламный баннер, ведущий на все ту же страницу, посвященную вербовке «денежных мулов».

Все это наводит на мысль, что на черном рынке имеется огромный спрос на «мулов». Судя по всему, у киберпреступников достаточно краденой информации типа PIN-кодов пластиковых карт, а также паролей к учетным записям в системах онлайн-банкинга и электронных платежей. Теперь им срочно нужно отмыть добытые таким путем деньги. Наша статистика подтверждает, что наблюдается однозначный рост числа шпионских программ, позволяющих красть персональную информацию. К ним относятся и такие широко известные троянцы, как Zbot (Zeus) и SpyEye.

Количество троянцев-шпионов, обнаруженных в 2010 г.

Не стоит забывать, что деятельность «денежных мулов» является незаконной. Собственно, если бы никто не хотел отмывать краденые деньги, киберпреступникам было бы гораздо сложнее обогащаться на взломанных учетных записях. Внести свой вклад в обеспечение общей безопасности под силу каждому, а не только антивирусным компаниям.

Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы.

Недавно нами был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe.

После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ.

Окно работающего кейгена

Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером.