Эксперты Intego предупреждают о появлении нового многофункционального OSX-троянца, который загружается из Сети вместе с популярными приложениями и скринсейверами.

OSX/OpinionSpy (в классификации ЛК Trojan.OSX.Spynion.a) проникает на компьютер пользователя в процессе инсталляции легитимных продуктов, которые можно скачать на таких веб-сайтах, как MacUpdate, VersionTracker и Softpedia. Иногда он замаскирован под «исследовательскую программу», навязываемую вместе с легальным ПО как средство изучения пользовательского спроса.

Как показал анализ, OSX/OpinionSpy является модификацией зловреда, созданного для Windows-платформ еще в 2008 году. Его функционал, как и стоило ожидать, значительно шире объема задач, предусмотренных обычным маркетинговым исследованием, и позволяет классифицировать его как умелого шпиона.

OSX/OpinionSpy лишен интерфейса и работает с root-привилегиями (при инсталляции запрашивает пароль администратора). Его легального собрата по загрузке можно удалить, но троянского лазутчика такая деинсталляция не затронет, и он останется хозяйничать в системе. Если по каким-либо причинам исполнение OSX/OpinionSpy приостановлено, он возобновляет работу, используя механизм автозапуска launchd.

Зловред открывает http-бэкдор на порту 8254, сканирует доступное дисковое пространство, анализирует файлы, не стесняясь под завязку загрузить процессор. Анализу подвергаются также все пакеты, передаваемые по локальной сети, что позволяет шпиону собрать информацию о всех подключенных к ней компьютерах. OSX/OpinionSpy внедряет свой код в Safari, Firefox и iChat в процессе их работы и копирует все данные, которые сочтет полезными. Собранная информация о пользователе, его системе, привычках, контактах затем отсылается на серверы злоумышленников через порты 80 и 443.

Пользователю периодически приходится отбиваться от запросов на предоставление информации и заполнение анкет, которые зловред генерирует в форме диалогового окна. По истечении определенного времени зараженный компьютер начинает сбоить. В довершение всех бед троянец автоматом производит апгрейд — инсталлирует новую версию, которой в Intego присвоили наименование PermissionResearch.

По оценке экспертов, популяция OSX/OpinionSpy пока невелика, но его способ загрузки и зловредный потенциал — хороший повод для того, чтобы лишний раз напомнить владельцам Маков о двух «Б», бдительности и благоразумии, которые нелишне проявлять, скачивая софт из интернета.

Сегодня на черном рынке, как известно, свои услуги предлагают многие начинающие вирусописатели. Некоторые из них хотят привлечь внимание к своим продуктам, предлагая новые возможности и технологии, не встречавшиеся ранее.

Не так давно на просторах интернета один, по-видимому начинающий, вирусописатель представил темной публике свое творение на Visual Basic’е: криптор, обладающий множеством дополнительных функций — на любой вкус. Среди возможностей этого криптора, помимо стандартной упаковки файла, указывалась и функция даунлоудера, и детектирование всех виртуальных сред «новым» методом, и выбор одного из 12 процессов Windows для внедрения своего кода, и защита файлов паролем. Список впечатляет. Специальные «вирусные» опции также представлены клиенту:

Новый вариант ZeuS, обнаруженный недавно экспертами, наделен дополнительным функционалом, позволяющим ему заражать исполнимые файлы.

Он достаточно примитивен, при активации загружает с предписанного URL и исполняет дополнительный файл, а затем запускает оригинальный код троянца. Таким образом, если удалить основной компонент ZeuS, паразитный код останется в облюбованном файле, сможет загрузить обновления, и троянец будет вновь хозяйничать в системе.

По словам вирусного аналитика ЛК С. Голованова, новое направление эволюции ZeuS чревато тем, что этот популярный в криминальных кругах троянец, эффективно ворующий информацию, получит дополнительный механизм для распространения. Отвечая на вопросы «Вебпланеты» по поводу новой угрозы, эксперт отметил, что это «пробный шар»: «Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. пока говорят о слабой квалификации разработчика данного вируса». Однако по мере совершенствования вирусной составляющей распространение ZeuS может принять характер эпидемии. Ведь троянцы, указывает Голованов, вычисляются за несколько секунд, а детектирование вируса занимает до нескольких недель.

Загрузившись в систему, эта модификация, которую ЛК детектирует как Trojan.Win32.ZbotPatched.a, отыскивает в заданном месте exe-файлы и внедряет в них 512-байтовый код. Затем троянец изменяет точку входа таким образом, чтобы вначале выполнялся код-паразит.

Компания Intego предупреждает о появлении нового варианта вредоносной программы для Мас-платформ, позволяющего удаленному злоумышленнику контролировать зараженный компьютер и выполнять на нем несанкционированные действия.

В Intego программу идентифицируют как OSX/HellRTS.D (она же HellRaiser Trojan Horse 4.2 и OSX/Pinhead-B, а в классификации ЛК — Backdoor.OSX.Reshe.a). По словам экспертов, зловреды этого семейства впервые появились в 2004 году. Новая модификация написана на языке RealBasic.и наделена функционалом бэкдора.

Загрузившись в систему, HellRTS.D создает копию своего серверного компонента, маскируя ее именем одного из легальных приложений (например, iPhoto). Этот сервер использует отдельный порт и защищен паролем. Бэкдор обеспечивает злоумышленнику прямую связь с инфицированной системой и выполняет удаленные команды. Он способен рассылать спам со встроенного почтового сервера, следить за активностью резидентного браузера, воровать сохраненную информацию, инспектировать буфер обмена, загружать и отсылать файлы, имитировать сеансы голосовой и видеосвязи — даже включать и выключать компьютер.

Интернет-угрозы, ориентированные на Mac OS X, пока редки. Что касается нового перла зловредного творчества, то есть и хорошая новость: в дикой природе HellRTS.D не найден. Его пока пасут на теневых онлайн-форумах, куда заходят только беспринципные бизнесмены, сетевые «медвежатники» и компьютерные профессионалы, представляющие силы Зла и Добра в виртуальном мире.

Исследователи из вьетнамской компании BKIS зафиксировали появление новых вредоносных программ, маскируемых под диспетчер обновлений популярных приложений — Adobe, DeepFreeze, Java, Windows и пр.

Новичков трудно обнаружить, так как, подменяя легальный файл, зловред имитирует его иконку, имя и даже описание версии, включая наименование разработчика. При запуске он активирует DHCP-клиент, DNS-клиент, доступ к общим папкам и открывает порт для получения удаленных команд от злоумышленника. В результате пользователь не только теряет контроль над своим ПК, но и лишается возможности автоматически обновлять установленные на нем полезные приложения — даже после очистки от инфекции.

Вьетнамские исследователи присвоили новым зловредам наименование W32.Fakeupver.trojan. ЛК детектирует их как Backdoor.Win32.VB.ldq.

По свидетельству BKIS, данные троянцы являются результатом эволюции вредоносных программ, замещающих критически важные файлы. Однако до сих пор такие зловреды, проникнув на компьютер, создавали резервные копии подменяемых файлов, чтобы после своего выполнения не вызвать сбой системы. Если в процессе лечения удалить зараженный файл и восстановить оригинал, система не пострадает.

Fakeupver подменяет лишь программы, отвечающие за регулярное обновление ПО, поэтому не нарушает нормальную работу системы. Но при этом он удаляет исходный файл без сохранения его функционала, лишая систему возможности поддерживать необходимый уровень защиты от интернет-угроз.

Проект по автоматической классификации вирусного кода выявил, что многие вредоносные программы имеют схожие прототипы, но дающиеся им имена не всегда подчеркивают сходство кода, сообщает сайт SecurityFocus.com.

В течение нескольких последних недель компания Sabre Security провела анализ нескольких тысяч фрагментов вредоносных кодов с использованием филогенетического кластерного алгоритма. В результате вредоносные программы были разделены на два крупных семейства, три мелких, две пары элементов одного уровня и несколько изолированных фрагментов.

Исследование показало, что несколько вирусов, идентифицируемых разными именами, на самом деле сильно похожи. Даже самые «дальние родственники» в первом семействе похожи на 75 процентов, а во втором на 58. К примеру, группа вирусов GoBot настолько похожа на группу GhostBot, что руководитель проекта Халвар Флейк рекомендует объединить их в одно семейство. В то же время вирусы Sasser.b и Sasser.d, относящиеся к одной группе, подобны только на 69 процентов.

Использование утилиты автоматического дисассемблирования для классификации вредоносного кода в конечном итоге может принести пользу для потребителей, если будет использоваться для стандартизации имен вирусов. Изобилие названий для одних и тех же вирусов вызывает путаницу, и проект преследует цель исправить эту ситуацию.

На прошлой неделе определенное освещение в СМИ получил новый P2P-червь, обладающий сложными полиморфными алгоритмами и способный заражать другие файлы.

Множество антивирусных компаний детектировали эту вредоносную программу как Polipos, и именно это название получило широкое распространение.

Но правильно ли называть червя этим названием?

В теле червя содержится следующий текст:

Дав этому червю название Polipos, антивирусные компании подняли из небытия этическую дилемму.

С одной стороны, этим достигается высокая степень идентичности названий у разных вендоров.

Изменение названия может привести к ситуации схожей с историй Nyxem/Blackworm/CME-24; никто не хочет повторения подобных проблем с названием.

С другой стороны, одним из неписанных правил антивирусной индустрии является избегание присваивания вредоносным программам названий, которые им дали их авторы.

Исходя из этих двух соображений мы переименовали червя из Polipos в Polip и надеемся, что другие антивирусные компании последуют нашему примеру.

Сама по себе идея CME — общего идентификатора, который позволял бы пользователям, системным администраторам, журналистам понимать, что, например, Bozori и Zotob — это одно и то же — хороша. «Лаборатория Касперского» принимает активное участие в работе CME-группы. Но на этом плюсы пока что заканчиваются.

Вы наверняка слышали, что в прошлую пятницу была дата первой активации деструктивных алгоритмов червя Nyxem.e.

За день до этого журналисты задавали мне массу вопросов о Nyxem.e и о том, чем нам грозит активация его разрушительной «начинки». Среди моих ответов постоянно фигурировал CME-номер для Nyxem.e (CME-24) — я настаивал на том, чтобы журналисты использовали его в своих публикациях.

В пятницу утром я первым делом ознакомился с прессой. Никто, вообще никто не упомянул CME-идентификатор. Вместо этого мне постоянно встречались другие названия Nyxem — например, Kama Sutra. Журналистов не заинтересовал CME-номер; вместо этого они уцепились за громкое название, которым можно было заменить стандартное имя Nyxem.e. Их интересуют только «крикливые» названия, способные привлечь внимание читателей.

В общем, нам предстоит очень продолжительный период обучения журналистов — да и вообще всех — правильному использованию CME-идентификаторов.

Американская организация US-CERT, занимающаяся проблемами в области компьютерной безопасности, предложила использовать стандартные названия для интернет-червей и других вредоносных программ, сообщает сайт vnunet.com.

Члены US-CERT назвали свою программу «Общая классификация вредоносных программ» (CME). Цель программы — не вводить пользователей в заблуждение, используя разные названия для одних и тех же вирусов. Например, червь W32.Zotob.E по классификации Symantec в классификации McAfee называется W32/IRCbot.worm!MS05-039, а Trend Micro называет эту программу WORM_RBOT.CBQ.

Сейчас многие вирусы получают свои названия на основании описания или информации, включенной в код программы их создателями. В новой системе вирусы будут использовать номера CME. Первый вирус получит название CME-1.

Подобная система классификации уже существует для описания уязвимостей в программном обеспечении. Общий идентификатор уязвимостей включает себя порядковый номер и год, в котором уязвимость была выявлена. В идентификатор вирусов не включат дату, потому что пользователи часто неправильно воспринимают эту информацию. Они считают, что уязвимость с ранней датой менее опасна, чем уязвимость, выявленная позже.

Инициаторы предложения о CME допускают использование и старых вирусных имен, но надеются, что их система улучшит обмен информацией между антивирусными разработчиками и антивирусным сообществом в целом. Проект уже поддержали Computer Associates, McAfee, Microsoft, Symantec и F-Secure.