Эксперты Fortinet обнаружили нового IM-червя, распространяемого через Skype и MSN Messenger.

После заражения компьютера данный зловред, нареченный W32/Rodpicom.A, проверяет наличие названных IM-приложений и терпеливо ждет их запуска, чтобы отослать по всем контактам жертвы спам-сообщение типа «lol is this your new profile pic?» («ха, это твой новый аватар?»), снабженное вредоносной ссылкой. Rodpicom также определяет языковую версию Windows по коду страны и применяет соответствующий шаблон, чтобы адресаты не заподозрили подмену отправителя.

По свидетельству F-Secure, троянский даунлоудер для Mac OS, маскирующийся под обновление Adobe Flash, обрел новые средства самозащиты.

Следуя примеру своих Windows-собратьев, один из вариантов троянца Flashback (в классификации ЛК Trojan-Downloader.OSX.Flashfake) научился блокировать автоматическое обновление XProtect ― антивирусной утилиты, встроенной в последние версии OS X. Зловред выгружает процесс XProtectUpdater и переписывает служебные файлы, предотвращая автоматическую загрузку новых сигнатур. Новый трюк позволяет ему выиграть время для реализации основного функционала: установки бэкдора и подключения к командному серверу.

Другая версия Flashback недавно продемонстрировала способность отслеживать присутствие VMware Fusion на зараженной машине. Для проведения анализа подозрительного кода исследователи нередко прогоняют его в виртуальной среде, чтобы в случае нужды упростить процесс очистки. Если троянец обнаружит, что OS X запущена на виртуальной машине, его выполнение отменяется. Загрузка зловредного кода производится с помощью postinstall-скрипта. Бэкдор-компонент в этой версии прописывается не в домашней папке, где его легко обнаружить, а в списке ресурсов Safari. При этом информация о его местоположении добавляется в файл info.plist веб-браузера. В результате удаление кода бэкдора не спасет положения: не найдя его при запуске, Safari просто завершит сеанс.

В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.

Исследователи Panda Security обнаружили общедоступный веб-сайт, беззастенчиво торгующий разнообразными Winsock-ботами по 95-225 долларов за штуку или 4,5 тыс. долларов за весь комплект.

Это специализированные программы, предназначенные для сбора пользовательских контактов и рассылки спама в социальных сетях и по каналам веб-почты. Они также наделены функцией автоматического взлома CAPTCHA для создания множественных аккаунтов на таких сервисах, как Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail иYahoo.

Распространяемые ими спам-сообщения могут использовать формат электронного письма, комментария, приглашения «от друга» и скрывать любую начинку. Среди необычных функций эксперты обнаружили автоматическую генерацию кликов на YouTube, оптимизацию рейтинга Alexa, подтасовку результатов голосования в Digg, рассылку спама на сайтах знакомств.

По уверениям создателей этих продуктов, все боты надежно защищены от обнаружения. Адрес отправителя, агент и заголовки постоянно меняются, а сами боты время от времени получают обновления. Покупателю остается лишь задать установки и ждать результата. Одиозный сайт также предлагает партнерские программы для реселлеров. Как выяснилось, он зарегистрирован в Майами.

Новый вариант ZeuS, обнаруженный недавно экспертами, наделен дополнительным функционалом, позволяющим ему заражать исполнимые файлы.

Он достаточно примитивен, при активации загружает с предписанного URL и исполняет дополнительный файл, а затем запускает оригинальный код троянца. Таким образом, если удалить основной компонент ZeuS, паразитный код останется в облюбованном файле, сможет загрузить обновления, и троянец будет вновь хозяйничать в системе.

По словам вирусного аналитика ЛК С. Голованова, новое направление эволюции ZeuS чревато тем, что этот популярный в криминальных кругах троянец, эффективно ворующий информацию, получит дополнительный механизм для распространения. Отвечая на вопросы «Вебпланеты» по поводу новой угрозы, эксперт отметил, что это «пробный шар»: «Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. пока говорят о слабой квалификации разработчика данного вируса». Однако по мере совершенствования вирусной составляющей распространение ZeuS может принять характер эпидемии. Ведь троянцы, указывает Голованов, вычисляются за несколько секунд, а детектирование вируса занимает до нескольких недель.

Загрузившись в систему, эта модификация, которую ЛК детектирует как Trojan.Win32.ZbotPatched.a, отыскивает в заданном месте exe-файлы и внедряет в них 512-байтовый код. Затем троянец изменяет точку входа таким образом, чтобы вначале выполнялся код-паразит.

Некоторое время назад была опубликована моя статья про то, как работают бразильские троянцы-банкеры. Однако ситуация меняется, бразильские кодеры совершенствуют свои навыки, изобретая более сложные методы заражения. Пример тому — образец вредоносной программы, попавший в поле моего зрения сегодня.

Этот вредонос действует по классической схеме:

Новая (для Бразилии) идея реализована между вторым и третьим этапом, когда загрузчик загружает и устанавливает банкера-троянца. Бразильские кодеры, с одной стороны, разными методами осуществяют обфускацию ссылки на загрузку файлов, а с другой — шифруют банкера, который должен быть внедрен в систему.

По свидетельству английской компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты.

Mebroot (называемый в ЛК буткитом, детектируется как Backdoor.Win32.Sinowal), заражает компьютеры пользователей через взломанные веб-сайты. Загружаемый им троянский компонент (Torpig, он же Sinowal и Anserin) ориентирован на кражу конфиденциальной информации и, используя руткит как платформу, реализует широкий спектр шпионских функций.

Авторы Mebroot постоянно совершенствуют свое детище. Недавно они усилили его защиту от тех антивирусов и специализированных утилит, которые успешно его обнаруживают и пытаются вылечить систему. Чтобы обеспечить эффективное удаление данной вредоносной программы, некоторые антивирусные компании реализовали в своих продуктах мгновенную перезагрузку компьютера сразу после излечения зараженного MBR, причем реализовали это через вызов специальной функции ядра — BugCheck.

В качестве меры противодействия новый вариант Mebroot теперь использует процедуру уведомления о вызове — специальную функцию обратного вызова callback — и в момент вызова перезагрузки имеет возможность проверить MBR. Если MBR вылечен, новый Mebroot восстанавливает зараженный MBR до перезагрузки системы.

Как указывают эксперты, присутствие Mebroot можно самостоятельно обнаружить по наличию в подкаталоге %windir%\Temp файла, имя которого начинается с $$$.

Эксперты SecureWorks опубликовали перечень новейших опций для ZeuS, которые появились в конце прошлого года и предлагаются на подпольном рынке за отдельную плату.

Троянец ZeuS Trojan-Spy.Win32.Zbot специализируется на краже информации с зараженного компьютера и предоставляется, как правило, в составе готовых комплектов для проведения кибератак, которые в последнее время приобрели большую популярность у сетевого криминала. Каждый обладатель ZeuS, создавая собственный ботнет, стремится внести свой вклад в совершенствование столь удобного публичного инструмента для монетизации корыстных помыслов.

По свидетельству исследователей, последняя версия базового комплекта ZeuS распространяется на платной основе и защищена своего рода лицензией. Активацию кода на машине обеспечивает типовой механизм защиты от пиратства, который основан на привязке к конкретной аппаратной конфигурации.

На настоящий момент вирусописателями разработан ряд модулей, расширяющих возможности администрирования ZeuS. Самый мощный и дорогостоящий из них позволяет злоумышленникам поддерживать полноценную связь с зараженным компьютером, контролируя все его аппаратные и программные ресурсы. Используя VNC-модуль (Virtual Network Computing), оператор ботнета может обходить большинство аппаратных средств аутентификации, применяемых банками, и отчислять любые суммы со счетов жертвы, не опасаясь поднять тревогу.

Более ограниченными возможностями обладает маскировочный модуль, который в случае банковской проверки удостоверяет, что финансовая операция проведена с компьютера держателя счета. Компонент, ориентированный на Firefox, позволяет ZeuS воровать персональные идентификаторы, вводимые в формы через этот веб-браузер. Уведомитель режима реального времени обеспечивает мгновенную отсылку украденных данных через Jabber-клиент. Еще один новый модуль расширяет диапазон мишеней, позволяя атаковать не только машины под Windows XP, но также под Windows 7 и Vista.

По имеющимся сведениям, в настоящее время вирусописатели проводят бета-тестирование следующей версии троянца — ZeuS 1.4. Она будет обладать расширенными возможностями работы с браузером Firefox, позволяя на лету внедрять дополнительное поле в легитимную страницу, воспроизводимую на экране. Если владелец зараженного компьютера заходит на банковский сайт и не очень внимателен, ему придется вводить не только привычные идентификаторы, но и ту информацию, которая интересует злоумышленников. В настоящее время такой трюк ZeuS выполняет только на машинах, использующих IE.

Но основным нововведением станет полиморфное шифрование. Троянец сможет перепаковываться при каждом заражении, и для резидентных файлов будут генерироваться произвольные имена. Таким образом, боты ZeuS станут носителями уникальных цифровых отпечатков, и идентифицировать их будет еще сложнее.

«Синий экран смерти», появившийся на некоторых ПК после установки последних обновлений для Windows, помог выявить присутствие руткита семейства TDSS.

Как оказалось, третье поколение этих серьезных зловредов (в классификации ЛК Rootkit.Win32.TDSS), представители которого были обнаружены на пострадавших компьютерах, конфликтует с одним из тринадцати патчей, разосланных Microsoft на прошлой неделе.

Руткит TDSS/TDL3 работает на уровне ядра: внедряется в системный драйвер Windows и создает собственную виртуальную файловую систему, в которой прячет основной код. Для маскировки своего присутствия он перехватывает системные функции (Windows API), отыскивая их по разнице между виртуальным и базовым адресами (RVA), которую вычислил в процессе инсталляции.

После установки на зараженный компьютер патча MS10-015 RVA-адреса поменялись. При перезапуске Windows адрес, запрошенный руткитом, оказался неправильным, и эта ошибка привела к зависанию системы и появлению BSoD — «синего экрана смерти» (Blue Screen of Death). Исправить положение можно, устранив зловреда. Для этого следует заменить зараженный драйвер чистой копией. Вероятнее всего, это будет atapi.sys, хотя возможны и другие варианты. Можно пролечить систему с помощью специальной утилиты — такой, как TDSSKiller, разработанная в ЛК.

Microsoft проводит собственное расследование, но пока не нашла других причин, которые могли бы вызвать аналогичный сбой. По словам экспертов, зловред поразил только ОС Win32, включая Vista и Windows 7. Дело, видимо, в том, что в 64-битных версиях систем MS используются дополнительные технологии, позволяющие усилить защиту ядра. Патч MS10-015 изъят из службы Windows Update до окончания расследования.

В лагере противника инцидент с «синим экраном» тоже не прошел незамеченным. За несколько часов авторы TDL3 обновили билд, и зловреду уже не страшна установка MS10-015. По свидетельству Symantec, им пришлось для этого даже отключить большинство своих ботов. Компонент режима пользователя теперь называется не tdlcmd.dll, а z00clicker.dll. Новая версия распространяется так же быстро и теми же методами — через торренты и варез-сайты.

Эксперты английской компании Prevx, которые с особым вниманием отслеживают эволюцию TDSS, отмечают, что вирусописатели трудятся над своим детищем не покладая рук. Последние несколько месяцев обновления выпускались ежедневно, иногда даже несколько раз в сутки.

Российский хостинг-провайдер Агава предлагает клиентам бесплатный доступ к автоматизированной системе безопасности, помогающей своевременно обнаружить угрозу и пролечить зараженный ресурс.

«Система обнаружения вирусов» трижды в неделю сканирует веб-сайты и высылает электронные уведомления о найденных уязвимостях, вредоносных файлах и скриптах. Владельцам скомпрометированных ресурсов предоставляются также исчерпывающие рекомендации по устранению возникших проблем.

В июле Агава провела проверку клиентских ресурсов. 967 из них оказались заражены. Компания предупредила владельцев об опасности: зараженные сайты не только подвергают риску посетителей, но блокируются антивирусами, браузерами и поисковыми системами, что приводит к сокращению числа посещений. В результате совместных усилий по очистке число зараженных сайтов на хостинге Агавы сократилось более чем в 2 раза. Специалисты Агавы усовершенствовали механизм поиска вредоносного кода и теперь предлагают «Систему обнаружения вирусов» как постоянную бесплатную услугу, которая включена во все тарифы виртуального Unix-хостинга.

Следует заметить, что случаи, когда хостинг-провайдер берет на себя ответственность за чистоту веб-ресурсов, достаточно редки даже в мировой практике, а в Рунете это и вовсе не принято. Обычно проблема надежности веб-сайта заботит тех, кто непосредственно заинтересован в ее решении, — посетителей, чьи компьютеры могут подвергнуться атаке, и владельца, рискующего репутацией ресурса.

"Агава" начала борьбу с вирусами

Вирусам на хостинге – бой!