Новый троянец переплюнул sms блокировщиков! Жара в июле 2010 года
Июль 2010 года ознаменовался не только экстремальной жарой, но и появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.
Trojan.Stuxnet нашел «дыру» в Windows и проникает через ярлыки
Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.
Авторы нового троянца преподнесли пользователям сразу несколько неприятных сюрпризов. Во-первых, уже упомянутая эксплуатация уязвимости Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости. По информации, опубликованной разработчиком ОС Windows, ей подвержены как 32-битные, так и 64-битные версии, начиная с Windows Xdiv и заканчивая Windows 7 и Windows Server 2008 R2. Злоумышленники могут использовать эту «брешь» и для удаленного запуска вредоносных программ. Кроме того, опасный код может интегрироваться в документы некоторых типов, предполагающих наличие в них встроенных ярлыков, и распространяться посредством эксплуатации обнаруженной уязвимости.
2 августа 2010 года компания Microsoft выпустила критический патч (Рекомендую его скачать и установить) для всех подверженных уязвимости версий Windows. Для тех систем, в которых настроено автоматическое обновление, патч установится автоматически, и для его применения потребуется перезагрузка компьютера.
«Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Cordiv. и JMicron Technology Cordiv. Злоумышленники используют подпись для «тихой» установки в целевую систему.
Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.
У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exdivloit.Cdivllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.
В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем. Отреагировали на появление новой угрозы и специалисты компании «Доктор Веб» — в вирусную базу были оперативно добавлены процедуры лечения зараженных троянцем систем.
Массовое использование буткитов
Лишь немногие комплексные антивирусные средства способны выявить модификацию загрузочного сектора и полностью вылечить систему от буткита. В большинстве случаев разработчики антивирусов предлагают избавляться от этой проблемы с помощью специальных утилит. И здесь возникает сложность, которой и пользуются злоумышленники: пользователь далеко не всегда своевременно начинает искать альтернативные пути решения проблемы, поскольку не в состоянии понять, что его антивирус просто «не видит» факта модификации загрузочного сектора системного диска.
Одним из буктитов, беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Exdivlorer, в которых отображалась реклама. Причем данные окна открывались даже в том случае, если использовался один из альтернативных браузеров. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.
Блокировщики отступают
Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов, — социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows.
В дальнейшем можно ожидать постепенного снижения распространения блокировщиков. Это связано и со значительно более низкой эффективностью схем оплаты без использования СМС, и с повышенным вниманием к проблеме со стороны правоохранительных органов. Уверенно растет и число пользователей, владеющих информацией об альтернативных методах разблокировки компьютеров, не подразумевающих передачу денег злоумышленникам.
Другие вредоносные программы июля
Текст статьи взят отсюда