Лжеантивирус под «мак», новые 64-битные руткиты и другие майские «сюрпризы»

1174
Doctor Web Logo

Компания «Доктор Веб» рассказала о майских угрозах этого года. Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender. Если лжеантивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы — все еще в новинку, тем более в масштабе эпидемий. А вот появление руткитов, атакующих 64-битные системы Windows, уже почти не удивляет: открыв для себя в 2010 году это поле деятельности, злоумышленники продолжают совершенствоваться в расчете на быстро растущее число пользователей этих ОС. Ниже более подробно представлены эти и некоторые другие угрозы мая 2011 года.

От чего «защищает» MacDefender?

В мае мак-сообщество столкнулось с неожиданной угрозой: в зарубежных СМИ появились сообщения о фишинговой атаке с использованием вредоносной программы — ложного антивируса. Это ПО фигурирует под именами MacDefender, MacSecurity, MacProtector или MacGuard, попадая на компьютеры через неблагонадежные сайты, на которых пользователь узнаёт, что его система якобы заражена. Для устранения проблемы предлагается воспользоваться «антивирусом». В случае скачивания MacDefender, имитируя действия по поиску и обнаружению вирусов, приступает к достижению своей истинной цели — получению от пользователя денег за якобы полнофункциональную версию.

После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений — Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить».

Угрозы мая

Для приобретения «лицензионной версии» MacDefender злоумышленники предлагают воспользоваться кредитной картой (причем передача данных происходит на незащищенной странице). После оплаты программа перестает что-либо находить в системе, создавая иллюзию, что деньги потрачены не впустую.

MacDefender представляет угрозу для пользователей операционных систем Mac OS X 10.4–10.6. Стоит отметить, что схема взаимодействия этого ложного антивируса с серверами злоумышленников весьма схожа с аналогичными вредоносными программами для Windows. По мнению аналитиков «Доктор Веб», при его распространении используется партнерская схема.

Apple, хотя и с некоторой задержкой, признала существование этой проблемы: на сайте компании была размещена инструкция по удалению MacDefender, а также рекомендации относительно того, как избежать его попадания на компьютер, и обещание в ближайшее время выпустить обновление операционной системы, «которое будет автоматически находить и удалять вредоносное ПО MacDefender и его известные разновидности». На сегодняшний день вирусная база Dr.Web насчитывает шесть модификаций этой вредоносной программы, включая самую последнюю, снабженную «прединсталлятором», а в Dr.Web для Mac OS X уже реализовано лечение от них.

64-битных руткитов становится больше

В прошедшем месяце в вирусные базы Dr.Web были добавлены очередные модификации руткитов, «заточенных» под 64-битные версии операционных систем. Так, вредоносная программа Trojan.Necurs имеет в своем арсенале как 32-, так и 64-битный руткит-драйвер с «тестовой» подписью, благодаря которой обходит ограничение 64-битных версий Windows на загрузку неподписанных драйверов, используя системную утилиту bcdedit.exe. Вместе с тем Trojan.Necurs способен блокировать загрузку драйверов многих антивирусов, препятствуя защите системы.

Новая версия бэкдора семейства Maxplus — BackDoor.Maxplus.13 — также умеет действовать в 64-битных системах. Эта вредоносная программа прекрасно обходится и без руткит-драйвера, используя для запуска подмену в реестре одной из ссылок на модуль подсистемы Windows: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems","Windows". Таким образом, некорректное лечение от BackDoor.Maxplus.13 может привести к полной неработоспособности системы. Стоит отметить, что этот способ активизации был опробован еще в 2007 году троянской программой Trojan.Okuks — но тогда еще в 32-битных версиях Windows. Смерть террориста № 1 как повод для вредоносного спама

Сообщение о ликвидации 2 мая 2011 года Усамы бен Ладена, разумеется, не осталось без внимания киберпреступников. Мошенники попытались воспользоваться повышенным интересом к этому событию, действуя проверенным методом: через спам-рассылки, в расчете на неосторожный «клик».

В частности, было отмечено массовое распространение через почту вредоносного файла Laden’s Death.doc, использовавшего уязвимость в обработке RTF-файлов. Запущенный в Microsoft Word, этот файл инициировал закачивание очередной модификации программы семейства BackDoor.Diho — BackDoor.Diho.163, функциональность которой вполне типична для данного вида вредоносных объектов: сбор информации, хранящейся в компьютере пользователя, выполнение команд злоумышленников, функции прокси. Сам файл Laden’s Death.doc классифицируется Dr.Web как Exploit.CVE2010.3333.

Кроме того, в мае специалисты «Доктор Веб» отмечали массовую рассылку писем, содержавших файл Fotos_Osama_Bin_Laden.exe, который на деле оказывался вовсе не шокирующими кадрами с участием террориста № 1, а банальным «бразильским банкером» Trojan.PWS.Banker.55330, написанным на Delphi. Напомним, что вредоносные программы этого семейства специализируются на краже данных, связанных с банковскими счетами, электронными картами и системами электронных платежей.

Trojan.SMSSend можно «подхватить» не только на файлообменниках

Продолжают изощряться распространители SMS-троянцев. Если до сих пор неосторожно скачать себе Trojan.SMSSend можно было, попав на мошеннический сайт, замаскированный под файлообменник, то в мае эта программа была замечена на ресурсе, предлагающем для скачивания различного рода инструкции.

Угрозы мая

Trojan.MBRlock приходит на смену «винлокам»?

В мае служба технической поддержки «Доктор Веб» зафиксировала очередной всплеск запросов, связанных с блокировкой операционных систем. Причем на этот раз речь идет отнюдь не о пресловутом Trojan.Winlock, а о более опасной вредоносной программе — Trojan.MBRlock, изменяющей главную загрузочную запись (Master Boot Record, MBR).

В отличие от «винлоков» эта вредоносная программа блокирует не вход в операционную систему, а сам ее запуск. Если на компьютере установлено несколько операционных систем, то Trojan.MBRlock препятствует запуску каждой из них. Попытки восстановить стандартную MBR специализированными средствами могут привести к потере пользовательских данных — таблица разделов диска может не восстановиться.

Угрозы мая

В MBR вредоносная программа записывает код, который загружает с соседних секторов основное тело Trojan.MBRlock. После чего пользователь видит требования злоумышленников, которые необходимо выполнить для восстановления загрузочной области диска и загрузки операционной системы. Из 39 известных модификаций этой вредоносной программы 27 было добавлено в вирусные базы Dr.Web в мае.

Новые угрозы для Android: смешные и не очень

В мае была обнаружена и добавлена в «мобильную» вирусную базу вредоносная программа Android.NoWay.1, которая, активизировавшись на мобильном устройстве, проверяла дату, и, если это происходило 21 мая, рассылала по списку контактов SMS с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалиптических теорий должен был наступить конец света.

Также в прошедшем месяце были обнаружены очередные шпионские программы, распространяющиеся вполне легально, однако в силу своей функциональности, представляющей опасность для пользователей Android — в случае если «шпион» установлен на мобильное устройство без их ведома. Речь идет о ПО Cell Phone Recon, по классификации Dr.Web получившем наименование Android.Recon, и о SpyDroid, занесенном в вирусную базу как Android.SpyDroid.

Угрозы мая

Кроме того, был выявлен ряд вредоносных программ, маскировавшихся под приложение Jimm, предназначенное для обмена сообщениями в сети ICQ при помощи мобильных устройств. На самом же деле эти программы занимались рассылкой SMS-сообщений без ведома пользователя.

3 июня 2011

09:10

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Сервис CyberLink PerfectCam накладывает макияж на лицо абонента во время видеосвязи: Сервис CyberLink PerfectCam совместим со Skype, Skype for Business, Google Hangouts и CyberLink U 6

Эксперты Strategy Analytics назвали самый продаваемый смартфон по итогам минувшего квартала: Всего за квартал было продано 360,4 млн смартфонов14

На выпуск объектива Biotar 75/f1.5 уже собрано более $300 000 : Один объектив Biotar 75/f1.5 стоит $94911

Производитель называет Alphacool Eisbaer 420 самой большой готовой системой жидкостного охлаждения: Радиатор Alphacool Eisbaer 420 изготовлен из меди1

Маршрутизатор ASRock X10 предназначен для умного дома: Маршрутизатор ASRock X10 поддерживает протоколы IoT 7

По данным TrendForce, за год продажи ноутбуков увеличились на 3,6%; Apple совсем немного отстает от Asus : Первое место среди поставщиков ноутбуков пятый квартал подряд удерживает компания HP5

Продажи фототехники Fujifilm за год выросли на 9,2%: Компания Fujifilm отчиталась за минувший квартал3

Не стоит ждать игровых видеокарт с GPU Volta в «обозримом будущем»: Nvidia пока не собирается выпускать видеокарты с GPU Volta34

Смартфон Sony Xperia XZ1 предстал на «живых» фото: Смартфон Sony Xperia XZ1 не будет сильно отличаться от предшественника11

Процессор обработки изображений Qualcomm Spectra второго поколения получит множество новых возможностей: Qualcomm Spectra ISP второго поколения сможет создавать трёхмерные слепки объектов2

Некоторые майнеры всё ещё считают, что из видеокарты Radeon RX Vega 64 можно выжать 80 MH/s при добыче криптовалюты: У майнеров ещё есть надежда на фантастический результат Radeon RX Vega 6424

Samsung получает за использование поисковой системы Google еще больше, чем Apple: Сумма выплат за этот год составит 3,5 млрд долларов29

Анонс смартфона Huawei Mate 10 состоится 16 октября в Мюнхене: Изначально смартфон будет выпущен на территории Европы2

Apple может создать свой сериал, который сможет составить конкуренцию Game of Thrones: Apple вложит в создание собственных сериалов и шоу 1 млрд долларов56

Прошивка Xiaomi MIUI сегодня отмечает 7 лет: MIUI 9 была выпущена 11 августа 20174

Удорожание памяти DRAM негативно скажется на стоимости видеокарт: Видеокарты подорожают из-за удорожания памяти DRAM7

Опубликовано изображение смартфона Samsung Galaxy Note 8 в цвете Deep Sea Blue: Samsung Galaxy Note 8 представят 23 августа этого года15

Xiaomi представит свою технологию трехмерного распознавания лиц в четвертом квартале 2017: По слухам, над собственными технологиями распознавания лиц работают компании Qualcomm и Xiaomi

Fiat Chrysler Automobiles присоединяется к BMW, Intel и Mobileye для разработки беспилотных авто: Fiat Chrysler Automobiles будет работать с BMW7

В 2021 году экраны с соотношением сторон 18:9 займут примерно 30% рынка дисплеев для смартфонов: Поставки сверхширокоформатных дисплеев для смартфонов по итогам года составят 170 млн единиц11

Линейка смартфонов Asus Zenfone 4 показана во всех цветах на официальных изображениях: Тайваньская презентация Asus Zenfone 4 должна состояться уже завтра2

Huawei подтвердила факт использования SoC Kirin 970 в смартфоне Mate 10: По слухам, Huawei Mate 10 выйдет в октябре этого года1

Новый беспроводной адаптер Xbox для Windows задержится до 2018 года: Новый беспроводной адаптер Xbox для Windows отличается от оригинального устройства уменьшенным примерно на треть размером.3

Основной камере Samsung Galaxy Note 8 приписывают датчики изображения разрешением 12 и 13 Мп: Похожие камеры реализованы в iPhone 7 Plus, OnePlus 5, Xiaomi Mi 6 и ряде других устройств1

Samsung CFG73 — изогнутый игровой монитор с кадровой частотой 144 Гц на базе панели VA: Samsung CFG73 обеспечивает охват 125% цветового пространства sRGB11

Гарнитура Lenovo с поддержкой Google Daydream будет называться Mirage: Детали могут появиться в начале сентября на IFA 2017

Видеокарты Radeon RX Vega 64 могут существенно подорожать уже в ближайшее время: Видеокарты Radeon RX Vega 64 могут подорожать 25

27-дюймовый монитор BenQ EW277HDR: поддержка HDR и расширенного цветового охвата DCI-P3: BenQ EW277HDR построен на ЖК-панели VA4

Конструкция систем охлаждения Gelid Phantom и Phantom Black включает семь тепловых трубок: Системы охлаждения Gelid Phantom и Phantom Black рассчитаны на процессоры с TDP 200 Вт1

Операционная система Xiaomi MIUI 9 будет использоваться в самом быстром электрическом суперкаре: Xiaomi MIUI 9 найдёт применение в NIO EP910

Камера Nikon D850 будет представлена в самое ближайшее время: На сайте производителя уже появилась заготовка для пресс-релиза5

Google выпустила браузерную версию мессенджера Allo: Google Allo теперь доступен из браузера5

Смартфон iPhone 7s станет крупнее предшественника: Новые смартфоны Apple снова вырастут в размерах56

Велосипед Xiaomi Mi Qicycle Mountain Bike оценили в 300 долларов: Xiaomi представила велосипед Mi Qicycle Mountain Bike30

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

  • Обзор электрической скороварки Unit USP-1090D: готовим под давлением

  • Обзор материнской платы Gigabyte GA-Z270-Gaming K3 c возможностью подъема напряжения на USB-портах

  • Обзор комплекта модулей памяти DDR4 Corsair Vengeance RGB с настраиваемой подсветкой

1212

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать