Новостной дайджест от компании Trend Micro
16 Февраля 2009
WALEDAC любит (спамить) вас!
Флорабель Бетион (Разработчик средств защиты от спама)
Использование праздничных дней и мемориальных дат в качестве инструмента социальной инженерии при рассылке спама – фирменный прием Storm. Следующие примеры спама - наглядное доказательство связи червя WALEDAC с вышеупомянутой гигантской сетью ботов.
Эти сообщения переполняют почтовые ящики перед Днем Святого Валентина – что тоже очень характерно для прошлых проявлений спама Storm. Если получатель щелкнет на ссылке в таком сообщении, он попадет на сайт с изображениями сердец. Если он щелкнет мышью на этом сайте, ему будет предложено загрузить файл (разумеется, вредоносный), который Trend Micro классифицирует как WORM_WALEDAC.AR.
Червь WORM_WALEDAC.AR размножается путем рассылки спама со ссылками на страницы, с которых загружаются его копии. Подобно другим вариантам WALEDAC, этот червь опасен тем, что он открывает порты со случайными номерами для получения команд от удаленного пользователя.
В прошлом уже встречались угрозы, очень похожие на Storm по своему действию и характеристикам:
Поддельные сайты с новостями об Обаме
Новое - это хорошо забытое старое: спам с вирусами в новогодних поздравлениях
Поздравления "С новым вирусом!" переполняют ящики электронной почты
Помимо методик социальной инженерии, используемых в электронной почте, черви этого типа также используют следующие методы:
Применение сетей Fast-flux и нескольких серверов DNS для домена
Использование имен файлов ecard.exe и postcard.exe
В некоторых случаях – установка фальшивых систем защиты от программ-шпионов
Система Trend Micro Smart Protection Network блокирует сообщения электронной почты, рассылаемые этим червем, и нейтрализует самого червя для прекращения его вредоносной деятельности. Пользователям следует проявлять осторожность при переходе по ссылкам в сообщениях электронной почты и загрузке файлов с неизвестных сайтов.
http://blog.trendmicro.com/new-malware-threatens-mac-users/
Распространение VIRUX
Мэки Круз (Технические средства связи)
Все чаще из разных стран приходят сообщения о сложном механизме заражения файлов, применяющем несколько процедур заражения. Новый вирус появляется из Интернета, проходит сквозь брандмауэр Windows и заражает файлы сразу несколькими способами с применением нескольких уровней шифрования. На момент написания этой статьи США были в наибольшей степени подвержены атакам.
Как правило, механизмы заражения работают по одной из следующих схем:
полостная схема – вирус вставляет свой код в неиспользуемые участки исходного файла
добавление в конец – вирус добавляет свой код в конец файла
добавление в начало – вирус добавляет свой код в начало файла
маскировка точки входа – сложный механизм заражения, направленный на усложнение обнаружения вируса
Однако VIRUX пользуется следующей схемой заражения:
вирус заражает EXE и .SCR, превращая их в варианты вируса PE_VIRUX. Сложность ухищрений, к которым прибегли разработчики вируса для затруднения его нейтрализации, объясняется тем, что делает этот вирус: он подключается к серверам IRC и выходит на канал, с которого принимает и выполняет команды на зараженном компьютере. Таким образом, он может сделать с компьютером все, что угодно.
PE_VIRUX.A также подключается к сайтам и загружает файлы с них. Чуть раньше на этой неделе он загружал вирус TROJ_INJECTOR.AR, однако через несколько часов по той же ссылке стал загружаться другой вариант вируса PE_VIRUX.
Помимо всего прочего, PE_VIRUX также заражает файлы сценариев. В файлы сценариев (.PHP, .ASP и .HTML) PE_VIRUX вставляет вредоносный код IFrame, автоматически загружающийся при открытии этих файлов. Trend Micro обнаруживает зараженные сценарии и классифицирует их как HTML_IFRAME.NV. Эти действия вируса способны спровоцировать его массовое распространение: если зараженные файлы сценариев окажутся на общедоступном сайте, все его посетители будут автоматически переходить на страницу, адрес которой указан во вредоносном коде iFrame. По указанному адресу находится вредоносная страница, автоматически загружающая HTML_XPLOIT.V, который, в свою очередь, загружает PE_VIRUT.BO.
При этом PE_VIRUT.BO после очистки превращается в TROJ_VIRUX.A. Этот троянский конь подключается к сайтам, которые на момент написания этой статьи не работают, однако могут начать работу в любой момент.
Различные варианты PE_VIRUX также заражают файлы аналогичных типов на всех жестких дисках и во всех папках зараженного компьютера.
Читатели могут вспомнить механизм заражения с похожим названием — PE_VIRUT — который благодаря своей изощренности также посеял немало хаоса. Он обсуждался в следующих записях блога:
«Вуди Аллен мертв», — говорит PE VIRUT
Загрузка вируса в фальшивом обновлении от имени Microsoft
Активно используется уязвимость Adobe Reader
Однако пока мы отмечали сходство между этими вирусами, инженеры TrendLabs установили, что VIRUX превосходит VIRUT по сложности (повышение сложности вирусов — основной инструмент злоумышленников в борьбе против систем защиты, применяемый для повышения вероятности повторного заражения).
В настоящее время TrendLabs ведут подробное изучение этой вредоносной программы. Система Trend Micro Smart Protection Network блокирует все адреса URL, используемые в данной атаке, предохраняя пользователей даже от непреднамеренного посещения соответствующих страниц. Полное описание вредоносной программы PE_VIRUX.A опубликовано в посвященной ей статье вирусной энциклопедии.
Эхо политических войн в Интернете
Флорабель Бетион (Разработчик средств защиты от спама)
Политические дебаты и неурядицы в очередной раз послужили пищей для злоумышленников, и по Интернету прокатилась волна атак, связанных с политиками.
Парламентские выборы в Израиле, прошедшие 10 февраля 2009 года, использовались спамерами в качестве приманки для распространения вредоносных программ. Выборы первоначально были запланированы на 2010 год, однако в связи тем, что лидер партии «Кадима» и премьер-министр Эхуд Ольмерт ушел в отставку, а его преемнице Ципи Ливни не удалось сформировать коалиционное правительство, они были перенесены на более ранний срок - сообщает BBC.
Приуроченный к этим событиям спам предлагает получателю загрузить вредоносную программу, выдавая ее за электронную игру на тему выборов в Израиле.
Вредоносный файл размещен на сервере популярного провайдера хостинга. Это обстоятельство дает вредоносной программе определенный «иммунитет»: ссылку на нее нельзя блокировать, поскольку по этому же адресу находятся серверы легитимных клиентов компании.
Загружаемый файл представляет собой архив .zip, в котором находится файл game1.exe или game2.exe со значком Flash. Исполняемый файл содержит вирус (TROJ_DROPPER.JCM), устанавливающий сборщик адресов электронной почты (TROJ_MYDOOM.CV).
К нам также поступила пока не проверенная информация о том, что российские хакеры-активисты подозреваются в организации атаки против Киргизии. Специалисты по защите обнаружили, что несколько провайдеров в Киргизии подверглись атакам DDoS. Для проведения атак, предположительно, использовались серверы, находящиеся в России.
Хакерами-активистами называют тех, кто использует хакерские инструменты для политической и агитационной деятельности – которая в силу своей сути может повлиять не только на сетевую безопасность, но и на глобальную политическую обстановку.
Старший специалист Trend Micro по исследованию угроз Пол Фергюсон обсуждает деятельность хакеров-активистов и приводит характерные примеры в этой записи блога. Прочие случаи:
Новый год принес новые волны хакерского активизма
Взломщики изменяют лицо ООН
Война между Швецией и Турцией в Интернете
Червь Обамы: все новое - это хорошо забытое старое
Дж. М. Хиполито (технические средства связи)
После обнаружения вредоносной программы, названной «Червь Обамы», в сети начальной школы в штате Иллинойс специалисты по безопасности вступили в полемику о таящейся в нем угрозе.
В большинстве отчетов обсуждался вопрос о том, являлся ли данный файл вредоносным в принципе, поскольку его деятельность сводилась к показу изображения президента США.
Однако для нас интересно другое: авторы большинства отчетов склоняются к мысли о том, что атака была спровоцирована одним из учеников школы и могла стать результатом неосторожного обращения с инструментарием для создания вредоносных программ. По итогам анализа отчетов у нас возникли следующие идеи:
1. Сам по себе факт того, что данный инцидент мог стать результатом шалости, не вызывает удивления, однако тот факт, что все это случилось в начальной школе, совершенно меняет дело. Сама возможность того, что ученик начальной школы может начать подобную атаку, весьма пугает. Данный случай — лучшее напоминание о том, насколько легкодоступны инструменты, с помощью можно создать «неплохую» вредоносную программу.
2. Кроме того, невзирая на то, что в компьютерах начальных школ в целом хранятся не очень важные данные, эти школьные компьютеры нуждаются в точно такой же защите, что любые другие. Каждый день этими компьютерами пользуются десятки учеников, и поэтому они должны быть снабжены надежной защитой от угроз.
3. Программу, спровоцировавшую данный инцидент, можно назвать не более чем досадной – ведь она не делала ничего плохого. Однако нужно понимать, что если эта программа смогла распространиться, это могла бы сделать и гораздо более опасная программа. Система Smart Protection Network относится к этой программе со всей серьезностью и классифицирует ее как MAL_OTORUN.
Сам вредоносный файл обнаруживается и классифицируется как WORM_KARAB.A.
Скомпрометирован поиск видео в Google
Джейк Сориано (технические средства связи)
Угроза, связанная с перенаправлением результатов открытого поиска в Yahoo!, о которой мы писали в блоге буквально несколько дней назад, могла исходить от совершенно других злоумышленников, однако новый случай компрометации систем поиска свидетельствует о том, что данная стратегия начинает пользоваться большой популярностью у злоумышленников.
Результаты поиска видео в Google были скомпрометированы: вместо настоящих видеороликов в ответ на около 400 000 запросов были выданы ссылки на точки перенаправления, которые в конце концов вели на страницы загрузки и выполнения вредоносных программ.
Trend Micro классифицирует этот вредоносный исполняемый файл как WORM_AQPLAY.A. Червь, по одному имени исполняемого файла которого — FlashPlayer.v3.181.exe — можно судить о выбранной тактике социальной инженерии, распространяется по съемным и сетевым дискам в случаях, когда включен режим автоматического проигрывания содержимого дисков. Данный файл выдает себя за программу установки Adobe Flash, которую пользователям предлагают загрузить и установить поддельные сайты при попытке просмотра видеороликов.
В данном случае очень любопытно узнать, как пользователи попадали на эти поддельные сайты. Исследователи полагают, что организаторы этой атаки воспользовались большим количеством доменов. На их серверах размещались страницы с огромным количеством специальных ключевых слов, благодаря которым они выдавались в начале результатов поиска по определенным строкам.
Пользователи, доверяющие поисковой системе, переходили по ссылкам и попадали на вредоносные сайты. Данный принцип используется во многих атаках на основе компрометации результатов поиска, однако это еще не все. Новая угроза получила механизм маскировки от обнаружения: предложение загрузить и установить файл FlashPlayer.v3.181.exe получали только пользователи, перенаправленные с сайта Google Video.
Организаторы атак, основанных на компрометации результатов поиска, злоупотребляют доверием пользователей поисковым системам. Данный метод позволяет злоумышленникам манипулировать результатами поиска таким образом, чтобы ссылки на вредоносные сайты появлялись в начале списка. Эта методика использовалась и в других атаках:
Еще больше результатов поиска в Google ведут на фальшивые ролики
Миллион поисковых строк для заражения
Массовая компрометация сайтов: осада продолжается
Система Trend Micro Smart Protection Network уже нейтрализует червь WORM_AQPLAY.A.
Флорабель Бетион (Разработчик средств защиты от спама)
Использование праздничных дней и мемориальных дат в качестве инструмента социальной инженерии при рассылке спама – фирменный прием Storm. Следующие примеры спама - наглядное доказательство связи червя WALEDAC с вышеупомянутой гигантской сетью ботов.
Эти сообщения переполняют почтовые ящики перед Днем Святого Валентина – что тоже очень характерно для прошлых проявлений спама Storm. Если получатель щелкнет на ссылке в таком сообщении, он попадет на сайт с изображениями сердец. Если он щелкнет мышью на этом сайте, ему будет предложено загрузить файл (разумеется, вредоносный), который Trend Micro классифицирует как WORM_WALEDAC.AR.
Червь WORM_WALEDAC.AR размножается путем рассылки спама со ссылками на страницы, с которых загружаются его копии. Подобно другим вариантам WALEDAC, этот червь опасен тем, что он открывает порты со случайными номерами для получения команд от удаленного пользователя.
В прошлом уже встречались угрозы, очень похожие на Storm по своему действию и характеристикам:
Поддельные сайты с новостями об Обаме
Новое - это хорошо забытое старое: спам с вирусами в новогодних поздравлениях
Поздравления "С новым вирусом!" переполняют ящики электронной почты
Помимо методик социальной инженерии, используемых в электронной почте, черви этого типа также используют следующие методы:
Применение сетей Fast-flux и нескольких серверов DNS для домена
Использование имен файлов ecard.exe и postcard.exe
В некоторых случаях – установка фальшивых систем защиты от программ-шпионов
Система Trend Micro Smart Protection Network блокирует сообщения электронной почты, рассылаемые этим червем, и нейтрализует самого червя для прекращения его вредоносной деятельности. Пользователям следует проявлять осторожность при переходе по ссылкам в сообщениях электронной почты и загрузке файлов с неизвестных сайтов.
http://blog.trendmicro.com/new-malware-threatens-mac-users/
Распространение VIRUX
Мэки Круз (Технические средства связи)
Все чаще из разных стран приходят сообщения о сложном механизме заражения файлов, применяющем несколько процедур заражения. Новый вирус появляется из Интернета, проходит сквозь брандмауэр Windows и заражает файлы сразу несколькими способами с применением нескольких уровней шифрования. На момент написания этой статьи США были в наибольшей степени подвержены атакам.
Как правило, механизмы заражения работают по одной из следующих схем:
полостная схема – вирус вставляет свой код в неиспользуемые участки исходного файла
добавление в конец – вирус добавляет свой код в конец файла
добавление в начало – вирус добавляет свой код в начало файла
маскировка точки входа – сложный механизм заражения, направленный на усложнение обнаружения вируса
Однако VIRUX пользуется следующей схемой заражения:
вирус заражает EXE и .SCR, превращая их в варианты вируса PE_VIRUX. Сложность ухищрений, к которым прибегли разработчики вируса для затруднения его нейтрализации, объясняется тем, что делает этот вирус: он подключается к серверам IRC и выходит на канал, с которого принимает и выполняет команды на зараженном компьютере. Таким образом, он может сделать с компьютером все, что угодно.
PE_VIRUX.A также подключается к сайтам и загружает файлы с них. Чуть раньше на этой неделе он загружал вирус TROJ_INJECTOR.AR, однако через несколько часов по той же ссылке стал загружаться другой вариант вируса PE_VIRUX.
Помимо всего прочего, PE_VIRUX также заражает файлы сценариев. В файлы сценариев (.PHP, .ASP и .HTML) PE_VIRUX вставляет вредоносный код IFrame, автоматически загружающийся при открытии этих файлов. Trend Micro обнаруживает зараженные сценарии и классифицирует их как HTML_IFRAME.NV. Эти действия вируса способны спровоцировать его массовое распространение: если зараженные файлы сценариев окажутся на общедоступном сайте, все его посетители будут автоматически переходить на страницу, адрес которой указан во вредоносном коде iFrame. По указанному адресу находится вредоносная страница, автоматически загружающая HTML_XPLOIT.V, который, в свою очередь, загружает PE_VIRUT.BO.
При этом PE_VIRUT.BO после очистки превращается в TROJ_VIRUX.A. Этот троянский конь подключается к сайтам, которые на момент написания этой статьи не работают, однако могут начать работу в любой момент.
Различные варианты PE_VIRUX также заражают файлы аналогичных типов на всех жестких дисках и во всех папках зараженного компьютера.
Читатели могут вспомнить механизм заражения с похожим названием — PE_VIRUT — который благодаря своей изощренности также посеял немало хаоса. Он обсуждался в следующих записях блога:
«Вуди Аллен мертв», — говорит PE VIRUT
Загрузка вируса в фальшивом обновлении от имени Microsoft
Активно используется уязвимость Adobe Reader
Однако пока мы отмечали сходство между этими вирусами, инженеры TrendLabs установили, что VIRUX превосходит VIRUT по сложности (повышение сложности вирусов — основной инструмент злоумышленников в борьбе против систем защиты, применяемый для повышения вероятности повторного заражения).
В настоящее время TrendLabs ведут подробное изучение этой вредоносной программы. Система Trend Micro Smart Protection Network блокирует все адреса URL, используемые в данной атаке, предохраняя пользователей даже от непреднамеренного посещения соответствующих страниц. Полное описание вредоносной программы PE_VIRUX.A опубликовано в посвященной ей статье вирусной энциклопедии.
Эхо политических войн в Интернете
Флорабель Бетион (Разработчик средств защиты от спама)
Политические дебаты и неурядицы в очередной раз послужили пищей для злоумышленников, и по Интернету прокатилась волна атак, связанных с политиками.
Парламентские выборы в Израиле, прошедшие 10 февраля 2009 года, использовались спамерами в качестве приманки для распространения вредоносных программ. Выборы первоначально были запланированы на 2010 год, однако в связи тем, что лидер партии «Кадима» и премьер-министр Эхуд Ольмерт ушел в отставку, а его преемнице Ципи Ливни не удалось сформировать коалиционное правительство, они были перенесены на более ранний срок - сообщает BBC.
Приуроченный к этим событиям спам предлагает получателю загрузить вредоносную программу, выдавая ее за электронную игру на тему выборов в Израиле.
Вредоносный файл размещен на сервере популярного провайдера хостинга. Это обстоятельство дает вредоносной программе определенный «иммунитет»: ссылку на нее нельзя блокировать, поскольку по этому же адресу находятся серверы легитимных клиентов компании.
Загружаемый файл представляет собой архив .zip, в котором находится файл game1.exe или game2.exe со значком Flash. Исполняемый файл содержит вирус (TROJ_DROPPER.JCM), устанавливающий сборщик адресов электронной почты (TROJ_MYDOOM.CV).
К нам также поступила пока не проверенная информация о том, что российские хакеры-активисты подозреваются в организации атаки против Киргизии. Специалисты по защите обнаружили, что несколько провайдеров в Киргизии подверглись атакам DDoS. Для проведения атак, предположительно, использовались серверы, находящиеся в России.
Хакерами-активистами называют тех, кто использует хакерские инструменты для политической и агитационной деятельности – которая в силу своей сути может повлиять не только на сетевую безопасность, но и на глобальную политическую обстановку.
Старший специалист Trend Micro по исследованию угроз Пол Фергюсон обсуждает деятельность хакеров-активистов и приводит характерные примеры в этой записи блога. Прочие случаи:
Новый год принес новые волны хакерского активизма
Взломщики изменяют лицо ООН
Война между Швецией и Турцией в Интернете
Червь Обамы: все новое - это хорошо забытое старое
Дж. М. Хиполито (технические средства связи)
После обнаружения вредоносной программы, названной «Червь Обамы», в сети начальной школы в штате Иллинойс специалисты по безопасности вступили в полемику о таящейся в нем угрозе.
В большинстве отчетов обсуждался вопрос о том, являлся ли данный файл вредоносным в принципе, поскольку его деятельность сводилась к показу изображения президента США.
Однако для нас интересно другое: авторы большинства отчетов склоняются к мысли о том, что атака была спровоцирована одним из учеников школы и могла стать результатом неосторожного обращения с инструментарием для создания вредоносных программ. По итогам анализа отчетов у нас возникли следующие идеи:
1. Сам по себе факт того, что данный инцидент мог стать результатом шалости, не вызывает удивления, однако тот факт, что все это случилось в начальной школе, совершенно меняет дело. Сама возможность того, что ученик начальной школы может начать подобную атаку, весьма пугает. Данный случай — лучшее напоминание о том, насколько легкодоступны инструменты, с помощью можно создать «неплохую» вредоносную программу.
2. Кроме того, невзирая на то, что в компьютерах начальных школ в целом хранятся не очень важные данные, эти школьные компьютеры нуждаются в точно такой же защите, что любые другие. Каждый день этими компьютерами пользуются десятки учеников, и поэтому они должны быть снабжены надежной защитой от угроз.
3. Программу, спровоцировавшую данный инцидент, можно назвать не более чем досадной – ведь она не делала ничего плохого. Однако нужно понимать, что если эта программа смогла распространиться, это могла бы сделать и гораздо более опасная программа. Система Smart Protection Network относится к этой программе со всей серьезностью и классифицирует ее как MAL_OTORUN.
Сам вредоносный файл обнаруживается и классифицируется как WORM_KARAB.A.
Скомпрометирован поиск видео в Google
Джейк Сориано (технические средства связи)
Угроза, связанная с перенаправлением результатов открытого поиска в Yahoo!, о которой мы писали в блоге буквально несколько дней назад, могла исходить от совершенно других злоумышленников, однако новый случай компрометации систем поиска свидетельствует о том, что данная стратегия начинает пользоваться большой популярностью у злоумышленников.
Результаты поиска видео в Google были скомпрометированы: вместо настоящих видеороликов в ответ на около 400 000 запросов были выданы ссылки на точки перенаправления, которые в конце концов вели на страницы загрузки и выполнения вредоносных программ.
Trend Micro классифицирует этот вредоносный исполняемый файл как WORM_AQPLAY.A. Червь, по одному имени исполняемого файла которого — FlashPlayer.v3.181.exe — можно судить о выбранной тактике социальной инженерии, распространяется по съемным и сетевым дискам в случаях, когда включен режим автоматического проигрывания содержимого дисков. Данный файл выдает себя за программу установки Adobe Flash, которую пользователям предлагают загрузить и установить поддельные сайты при попытке просмотра видеороликов.
В данном случае очень любопытно узнать, как пользователи попадали на эти поддельные сайты. Исследователи полагают, что организаторы этой атаки воспользовались большим количеством доменов. На их серверах размещались страницы с огромным количеством специальных ключевых слов, благодаря которым они выдавались в начале результатов поиска по определенным строкам.
Пользователи, доверяющие поисковой системе, переходили по ссылкам и попадали на вредоносные сайты. Данный принцип используется во многих атаках на основе компрометации результатов поиска, однако это еще не все. Новая угроза получила механизм маскировки от обнаружения: предложение загрузить и установить файл FlashPlayer.v3.181.exe получали только пользователи, перенаправленные с сайта Google Video.
Организаторы атак, основанных на компрометации результатов поиска, злоупотребляют доверием пользователей поисковым системам. Данный метод позволяет злоумышленникам манипулировать результатами поиска таким образом, чтобы ссылки на вредоносные сайты появлялись в начале списка. Эта методика использовалась и в других атаках:
Еще больше результатов поиска в Google ведут на фальшивые ролики
Миллион поисковых строк для заражения
Массовая компрометация сайтов: осада продолжается
Система Trend Micro Smart Protection Network уже нейтрализует червь WORM_AQPLAY.A.
Последние новости раздела
25 апреля 2024
24 апреля 2024
24 апреля 2024