В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами Win32/Weelsof ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера.

Symantec обнаружила необычного банковского троянца, который ворует информацию, внедряясь в браузер на правах компонента.

Neloweg, как его нарекли эксперты, интересуют регистрационные данные банковских и ftp-ресурсов, почтовых сервисов, а также информация, вводимая в веб-формы. Как и ZeuS, он оперирует списком банковских сайтов и, находя соответствие, добавляет на страницу специализированный JavaScript. Однако, в отличие от ZeuS, использующего для инъекций штатный конфигурационный файл, Neloweg запрашивает данные с сервера, контролируемого злоумышленниками. Он на лету модифицирует содержимое страницы, используя скрытый тег div, и выполняет JavaScript, хранящийся на удаленном сервере.

По свидетельству Symantec, новый троянец может распространяться через drive-by загрузки, спам, целевые рассылки, а также с помощью других вредоносных программ. Он атакует Firefox, IE и несколько менее популярных браузеров, использующих движки Trident, Gecko и WebKit. Способ интеграции Neloweg в браузер весьма неординарен: зловред не создает лишних расширений и плагинов, высвечиваясь в общем списке надстроек, а устанавливается как полноценный компонент. Даже если его удалить, то в случае с Firefox, например, он будет воссоздаваться и заново инсталлироваться при каждом подключении браузера к интернету.

После установки Neloweg открывает бэкдор, позволяющий зараженному браузеру принимать удаленные команды. Подчиняясь недоброй воле, новоявленный бот сможет обрабатывать содержимое текущей страницы, перенаправлять пользователя на конкретный ресурс, останавливать загрузку страниц, красть пароли, запускать исполняемые файлы, ― даже выполнять команду на самоуничтожение.

Первые единичные заражения Neloweg были обнаружены на территории Великобритании и Голландии. Насколько известно, за пределы Западной Европы он пока не вышел. Информация для пользователей защитных решений ЛК: детект Trojan-Banker.Win32.Neloweg.a будет включен в следующее обновление.

Киберпреступники непрерывно ищут новые способы заражения систем, чтобы в идеале остаться незамеченными. И их креативным навыкам нет предела — это показывает последняя волна вредоносных загрузчиков. Первыми среди них стали бразильские банковские троянцы, цель которых – удалять защитное ПО.

Такой нетрадиционный способ заражения поражает только системы, использующие ntldr — загрузчик ОС семейства Windows NT вплоть до Windows XP и Windows Server 2003 включительно. Такой выбор – не совпадение: XP по-прежнему является самой популярной операционной системой в нескольких странах, включая Бразилию, где она установлена почти на 47% всех компьютеров.

Заражение инициирует маленький вредоносный файл размером 10 КБ, детектируемый как Trojan-Downloader.Win32.VB.aoff, рассылаемый в электронном письме. Он загружает в систему 2 новых файла, размещенных на Amazon WS Cloud - xp-msantivirus (1.83 MB) и xp-msclean (7.4 MB), переименовывает легитимный ntldr на ntldr.old, а затем устанавливает в качестве нового загрузчика операционной системы измененную версию GRUB, специально настроенную для запуска файла menu.lst

Вредоносный загрузчик, заменивший оригинальный ntldr: модифицированная копия GRUB

Впоследствии файл menu.lst будет отвечать за вызов файла xp-msantivirus в процессе загрузки системы:

Содержание файла menu.lst. Содержание сообщения следующее: “Инструмент инициализации Microsoft для удаления вредоносного ПО”

Файлы xp-msantivirus и xp-msclean представляют собой загрузчики *nix системы, специально подготовленные киберпреступниками для удаления некоторых защитных файлов в процессе загрузки. Неудивительно, что основными мишенями являются файлы в составе весьма популярного защитного плагина, используемого бразильскими банками - GBPlugin, установленного на 23 миллионах компьютеров. Вредоносный загрузчик также предназначен для удаления файлов из Microsoft Security Essentials, Windows Defender и других:

После заражения троянская программа принудительно вызывает перезагрузку системы…

«Центру обновления Windows необходимо перезагрузить компьютер для завершения установки важных обновлений»

… а затем происходят все изменения. Вредоносный загрузчик отображает поддельные сообщения, в которых утверждается, что работает средство удаления вредоносных программ Microsoft:

«Инструмент для удаления вредоносного ПО (KB890830) Не выключайте и не отключайте от сети компьютер до завершения процесса»

Для объяснения длительного времени загрузки отображается еще одно сообщение, утверждающее, что система заражена, и идет удаление «вредоносных файлов»:

«Пожалуйста, подождите до завершения операции. Не выключайте и не перезагружайте ваш компьютер. ВНИМАНИЕ: на вашем компьютере обнаружены зараженные файлы. Идет процесс удаления вирусов. Это может занять некоторые время в зависимости от количества обнаруженных файлов, зараженных вирусом. Не отключайте и не перезагружайте ваш компьютер во время этого процесса, дождитесь его завершения, и перезагрузка произойдет автоматически»

Наконец, после завершения процесса загрузки вредоносный загрузчик удаляет себя и устанавливает чистый ntldr в качестве активного – его миссия выполнена, и троянская банковская программа, детектируемая как Trojan-Downloader.Win32.Banload.bqmv, остается работать на зараженном компьютере, готовая украсть данные пользователя, необходимые для осуществления операций онлайн-бинкинга.

Разумеется, выполнению всех этих вредоносных операций помогают некоторые факторы, такие как, например, работа в ОС под аккаунтом с привилегиями администратора и.т.д. Вредоносный загрузчик детектируется антивирусом Касперского как Trojan.Boot.Burg.a.

Выражаю благодарность моему коллеге Вячеславу Закоржевскому за помощь.

Эксперты F-Secure обнаружили новую версию OSX-троянца, который использует вычислительные мощности зараженного компьютера для генерации биткойнов в пользу своих хозяев.

Первоначальный вариант зловредного майнера для Mac OS, известный как DevilRobber (в классификации ЛК Backdoor.OSX.Miner), объявился на торрент-трекерах в конце октября. Его компоненты скачали несколько пользователей The Pirate Bay в комплекте с копиями популярных легальных программ. DevilRobber обладает функционалом бэкдора, осуществляет сбор информации на зараженной машине и отправляет ее на удаленный ftp-сервер злоумышленника. При запуске троянец проверяет наличие Little Snitch (файервола) и производит установку лишь при его отсутствии. Он создает точку запуска ~/Library/LaunchAgents/com.apple.legion.plist и прописывается в домашней папке как ~/Library/mdsa1331.

Список зловредов, заточенных под OS X, пополнился еще одним творением вирусописателей, копирующим трюки своих Windows-собратьев. Эксперты Intego, обнаружившие этого троянца, нарекли его Flashback ― от Flash Player, за который он себя выдает. Не исключено также, что «крестные отцы» просто хотели подчеркнуть тривиальность социально-инженерной уловки, которую использовали злоумышленники: один из вариантов перевода «flashback» ― «возвращение к прошлому».

Новый троянец, который в ЛК детектируется как Trojan-Downloader.OSX.Flashfake.a, пока однократно замечен itw ― его скачал из интернета один из легкомысленных поклонников Mac OS X. Всегда есть вероятность, что, обнаружив в Сети недоступный видеоролик, для активации которого предлагается обновить Flash Player, пользователь бездумно воспользуется ссылкой или иконкой, услужливо проставленной на зловредной странице. Если он при этом использует Safari с дефолтными настройками, троянский инсталлятор с безобидным расширением вроде .pkg или .mpkg будет запущен сразу после загрузки.

Для начала Flashback попытается отключить наличные средства мониторинга сетевой активности, в первую очередь Little Snitch. Затем он устанавливает динамический загрузчик dyld, а в домашнюю папку ― бэкдор (~/Library/Preferences/Preferences.dylib). Последний подключается к командному серверу и передает информацию о зараженной машине: версию OS X, архитектуру процессора (Intel или PowerPC) и т.п. В качестве опознавательного знака резидентный зловред использует хэшированный по MD5 идентификатор компьютера (UUID). Служебный трафик Flashback шифрует по алгоритму RC4.

По словам исследователей, в функционал нового бэкдора входит также загрузка других вредоносных файлов и проверка наличия обновлений. В последнем случае резидентный Flashback создает свой Sha1-хэш и периодически проверяет его на соответствие текущей версии, обращаясь к C&C-серверу. Если хэш-коды не совпадают, значит, настало время получить обновление.

Вирус-аналитики F-Secure проанализировали образец троянской программы для Mac OS X, которая замаскирована под невинный pdf-документ.

Вредоносные pdf-файлы ― давно не новость для пользователей Windows, но на платформе OS X этот трюк применяется впервые. При запуске троянец, которого F-Secure детектирует как Dropper:OSX/Revir, загружает и открывает pdf-файл с китайскими иероглифами ― куском текста из прошлогодней статьи политического характера. Пока незадачливый юзер занят его изучением, троянец в фоновом режиме пытается установить другой компонент ― Backdoor.OSX.Imuler. По свидетельству экспертов, этот бэкдор ориентирован на сбор и кражу информации, включая скриншоты. При активации он пытается связаться с управляющим сервером, который пока не активен. Соответствующий домен зарегистрирован в марте текущего года.

Способ распространения нового троянца не известен, так как сэмпл был получен из базы VirusTotal. По мнению экспертов, вредоносный файл, скорее всего, доставляется вложением через спам-рассылки. Весьма вероятно, что образец, подвергнутый анализу, ― лишь тестовая версия, призванная проверить эффективность маскировки на другой платформе.

Порой обнаружение ботнета становится нелегкой задачей, особенно если запутаться в различных компонентах, таких как дропперы, инфекторы и прочие неприятные вещи. Около двух недель назад Хосе Назарио из Arbor Networks обратил мое внимание на новый зловред, оказавшийся еще одним P2P-ботом. После исполнения программа устанавливает большое количество всякой всячины, в том числе

• Исполняемый файл, скрытый в альтернативном потоке данных,
• Три генератора («майнера») Bitcoin: Ufasoft miner, RCP miner и Phoenix miner,
• Файл с информацией о географическом расположении IP-адресов.

Однако, пока оставим этот вопрос в стороне и поговорим об архитектуре ботнета, который на самом деле является всего лишь каналом для доставки других вредоносных программ на зараженные машины. Покопавшись в установленных программах, мы, наконец, нашли сам бот, который мы детектируем как Trojan.Win32.Miner.h. Файл защищен от анализа с помощью нескольких слоев обфускации, но в конце концов записывает исполняемый файл, сжатый упаковщиком UPX, в секцию памяти, откуда может быть восстановлен оригинальный код.

Помимо прочего, сразу же привлекает внимание список из 1953 строк IP-адресов, прописанных непосредственно в коде зловреда. Бот обращается к этим адресам на стадии загрузки для присоединения к пиринговой сети.

Эксперты BitDefender обнаружили в сети Facebook неординарного троянца, который умело использует идентификаторы и контакты жертвы для самораспространения, блокирует средства защиты и удаляет штатный антивирус на зараженной машине, заменяя его бесполезной имитацией, а также загружает дополнительные модули и поддерживает связь с другими участниками зловредной р2р-сети.

Зловред перехватывает сеанс связи жертвы с другим участником социальной сети, вставляя в чат-диалог провокационное сообщение со ссылкой на некий видеоролик, главным героем которого якобы является объект атаки. Ссылка ведет на поддельную страницу YouTube с соответствующим именем в заголовке (корректно скопированным из профиля) и нелицеприятными комментариями друзей (их имена позаимствованы из списка контактов). При попытке запустить «видеоролик» пользователю предлагается установить новую версию Flash Player, воспользовавшись ссылкой. При ее активации на ПК жертвы вместо «плеера» загружается троянец.

Компания BitDefender сообщает об обнаружении нового троянца, предназначенного для проведения DDoS-атак. Вредоносная программа маскируется под обновление для платформы Java.

По свидетельству экспертов, Backdoor.IRCBot.ADEQ весьма «заразен». Он может проникнуть в систему через р2р-сети, сменные носители, локальную сеть, систему мгновенного обмена сообщениями Windows и даже самоходом по почте, если на ПК установлен Outlook Express. Однако основным способом его распространения являются загрузки со взломанных сайтов.

Чтобы скрыть свое присутствие в системе, троянец добавляет себя в список разрешенных приложений в брандмауэре Windows и пытается препятствовать выводу сигналов тревоги от штатного антивируса. Он также деинсталлирует конкурентов, если они присутствуют в системе, ― бэкдоры, утилиты удаленного администрирования, DDoS-боты ― чтобы свести к минимуму зловредную деятельность и паразитный трафик на зараженной машине.

Как следует из названия троянца, он общается с хозяином по IRC-каналам. Вместе с командами ему отсылается такая информация, как URL мишени, время старта, продолжительность и интенсивность DDoS-атаки.

В последние выходные мая в фирменном магазине Android Market были обнаружены десятки копий легитимных программ с добавленным троянским функционалом. Зловред был опознан как облегченная версия печально известного DroidDream (в классификации ЛК Backdoor.AndroidOS.Rooter ).

Как и его предшественники, DroidDream Light крадет и отправляет на удаленный сервер данные о зараженном устройстве: модель, язык, страну, международные идентификаторы, версию SDK, список установленных приложений. URL, которые вызывает зловред, содержатся в зашифрованном виде в конфигурационном файле prefer.dat и, по свидетельству экспертов, в настоящее время недоступны.

Активация DroidDream Light происходит автоматически с изменением состояния активности смартфона ― например, при получении входящего вызова или SMS. В этот момент присутствие вредоносной программы можно обнаружить по запуску службы CoreService, которая обеспечивает подключение к удаленному серверу злоумышленников. По словам экспертов, новый вариант DroidDream также способен загружать дополнительные компоненты и приложения с конкретных страниц Android Market.

На настоящий момент Google изъяла из обращения 34 перепакованных приложения, снабженных довеском в виде DroidDream Light. На Android Market их представляли 6 разных разработчиков. Число жертв новой напасти, по некоторым оценкам, составляет от 30 до 120 тыс. пользователей. К расследованию данного инцидента подключены специалисты из AVG Technologies. Их оценка масштабов распространения инфекции гораздо скромнее ― 15 тысяч.

Весьма вероятно, что Google вновь развернет кампанию по дистанционной очистке зараженных устройств. Однако, как уже было замечено, такой шаг ― не решение проблемы. Пользовательские устройства по-прежнему уязвимы, а перспективы реорганизации Android Market все так же туманны.