Лжеантивирус под «мак», новые 64-битные руткиты и другие майские «сюрпризы»

1174
Doctor Web Logo

Компания «Доктор Веб» рассказала о майских угрозах этого года. Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender. Если лжеантивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы — все еще в новинку, тем более в масштабе эпидемий. А вот появление руткитов, атакующих 64-битные системы Windows, уже почти не удивляет: открыв для себя в 2010 году это поле деятельности, злоумышленники продолжают совершенствоваться в расчете на быстро растущее число пользователей этих ОС. Ниже более подробно представлены эти и некоторые другие угрозы мая 2011 года.

От чего «защищает» MacDefender?

В мае мак-сообщество столкнулось с неожиданной угрозой: в зарубежных СМИ появились сообщения о фишинговой атаке с использованием вредоносной программы — ложного антивируса. Это ПО фигурирует под именами MacDefender, MacSecurity, MacProtector или MacGuard, попадая на компьютеры через неблагонадежные сайты, на которых пользователь узнаёт, что его система якобы заражена. Для устранения проблемы предлагается воспользоваться «антивирусом». В случае скачивания MacDefender, имитируя действия по поиску и обнаружению вирусов, приступает к достижению своей истинной цели — получению от пользователя денег за якобы полнофункциональную версию.

После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений — Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить».

Угрозы мая

Для приобретения «лицензионной версии» MacDefender злоумышленники предлагают воспользоваться кредитной картой (причем передача данных происходит на незащищенной странице). После оплаты программа перестает что-либо находить в системе, создавая иллюзию, что деньги потрачены не впустую.

MacDefender представляет угрозу для пользователей операционных систем Mac OS X 10.4–10.6. Стоит отметить, что схема взаимодействия этого ложного антивируса с серверами злоумышленников весьма схожа с аналогичными вредоносными программами для Windows. По мнению аналитиков «Доктор Веб», при его распространении используется партнерская схема.

Apple, хотя и с некоторой задержкой, признала существование этой проблемы: на сайте компании была размещена инструкция по удалению MacDefender, а также рекомендации относительно того, как избежать его попадания на компьютер, и обещание в ближайшее время выпустить обновление операционной системы, «которое будет автоматически находить и удалять вредоносное ПО MacDefender и его известные разновидности». На сегодняшний день вирусная база Dr.Web насчитывает шесть модификаций этой вредоносной программы, включая самую последнюю, снабженную «прединсталлятором», а в Dr.Web для Mac OS X уже реализовано лечение от них.

64-битных руткитов становится больше

В прошедшем месяце в вирусные базы Dr.Web были добавлены очередные модификации руткитов, «заточенных» под 64-битные версии операционных систем. Так, вредоносная программа Trojan.Necurs имеет в своем арсенале как 32-, так и 64-битный руткит-драйвер с «тестовой» подписью, благодаря которой обходит ограничение 64-битных версий Windows на загрузку неподписанных драйверов, используя системную утилиту bcdedit.exe. Вместе с тем Trojan.Necurs способен блокировать загрузку драйверов многих антивирусов, препятствуя защите системы.

Новая версия бэкдора семейства Maxplus — BackDoor.Maxplus.13 — также умеет действовать в 64-битных системах. Эта вредоносная программа прекрасно обходится и без руткит-драйвера, используя для запуска подмену в реестре одной из ссылок на модуль подсистемы Windows: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems","Windows". Таким образом, некорректное лечение от BackDoor.Maxplus.13 может привести к полной неработоспособности системы. Стоит отметить, что этот способ активизации был опробован еще в 2007 году троянской программой Trojan.Okuks — но тогда еще в 32-битных версиях Windows. Смерть террориста № 1 как повод для вредоносного спама

Сообщение о ликвидации 2 мая 2011 года Усамы бен Ладена, разумеется, не осталось без внимания киберпреступников. Мошенники попытались воспользоваться повышенным интересом к этому событию, действуя проверенным методом: через спам-рассылки, в расчете на неосторожный «клик».

В частности, было отмечено массовое распространение через почту вредоносного файла Laden’s Death.doc, использовавшего уязвимость в обработке RTF-файлов. Запущенный в Microsoft Word, этот файл инициировал закачивание очередной модификации программы семейства BackDoor.Diho — BackDoor.Diho.163, функциональность которой вполне типична для данного вида вредоносных объектов: сбор информации, хранящейся в компьютере пользователя, выполнение команд злоумышленников, функции прокси. Сам файл Laden’s Death.doc классифицируется Dr.Web как Exploit.CVE2010.3333.

Кроме того, в мае специалисты «Доктор Веб» отмечали массовую рассылку писем, содержавших файл Fotos_Osama_Bin_Laden.exe, который на деле оказывался вовсе не шокирующими кадрами с участием террориста № 1, а банальным «бразильским банкером» Trojan.PWS.Banker.55330, написанным на Delphi. Напомним, что вредоносные программы этого семейства специализируются на краже данных, связанных с банковскими счетами, электронными картами и системами электронных платежей.

Trojan.SMSSend можно «подхватить» не только на файлообменниках

Продолжают изощряться распространители SMS-троянцев. Если до сих пор неосторожно скачать себе Trojan.SMSSend можно было, попав на мошеннический сайт, замаскированный под файлообменник, то в мае эта программа была замечена на ресурсе, предлагающем для скачивания различного рода инструкции.

Угрозы мая

Trojan.MBRlock приходит на смену «винлокам»?

В мае служба технической поддержки «Доктор Веб» зафиксировала очередной всплеск запросов, связанных с блокировкой операционных систем. Причем на этот раз речь идет отнюдь не о пресловутом Trojan.Winlock, а о более опасной вредоносной программе — Trojan.MBRlock, изменяющей главную загрузочную запись (Master Boot Record, MBR).

В отличие от «винлоков» эта вредоносная программа блокирует не вход в операционную систему, а сам ее запуск. Если на компьютере установлено несколько операционных систем, то Trojan.MBRlock препятствует запуску каждой из них. Попытки восстановить стандартную MBR специализированными средствами могут привести к потере пользовательских данных — таблица разделов диска может не восстановиться.

Угрозы мая

В MBR вредоносная программа записывает код, который загружает с соседних секторов основное тело Trojan.MBRlock. После чего пользователь видит требования злоумышленников, которые необходимо выполнить для восстановления загрузочной области диска и загрузки операционной системы. Из 39 известных модификаций этой вредоносной программы 27 было добавлено в вирусные базы Dr.Web в мае.

Новые угрозы для Android: смешные и не очень

В мае была обнаружена и добавлена в «мобильную» вирусную базу вредоносная программа Android.NoWay.1, которая, активизировавшись на мобильном устройстве, проверяла дату, и, если это происходило 21 мая, рассылала по списку контактов SMS с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалиптических теорий должен был наступить конец света.

Также в прошедшем месяце были обнаружены очередные шпионские программы, распространяющиеся вполне легально, однако в силу своей функциональности, представляющей опасность для пользователей Android — в случае если «шпион» установлен на мобильное устройство без их ведома. Речь идет о ПО Cell Phone Recon, по классификации Dr.Web получившем наименование Android.Recon, и о SpyDroid, занесенном в вирусную базу как Android.SpyDroid.

Угрозы мая

Кроме того, был выявлен ряд вредоносных программ, маскировавшихся под приложение Jimm, предназначенное для обмена сообщениями в сети ICQ при помощи мобильных устройств. На самом же деле эти программы занимались рассылкой SMS-сообщений без ведома пользователя.

3 июня 2011 Г.

09:10

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Тайваньские производители спешат освоить технологию mini-LED: Технология mini-LED может найти применение в самостоятельных дисплеях и в системах подсветки жидкокристаллических дисплеев5

Alphabet инвестирует в Lyft 1 млрд долларов: Alphabet стала крупным инвестором Lyft 4

Sony Xperia Hello — устройство с SoC Snapdragon 650 и ОС Android. Но это не смартфон и не планшет: Робот Sony Xperia Hello основан на ОС Android7

Sharp Aquos R Compact — самый компактный безрамочный смартфон, оснащённый экраном диагональю менее пяти дюймов: Смартфон Sharp Aquos R Compac получил дисплей диагональю менее пяти дюймов41

Некоторые смартфоны с Windows 10 Mobile не получат обновления Fall Creators Update: Lumia 640 и 640 XL не получат обновления Fall Creators Update6

Смартфон Google Pixel 2 XL заработал у iFixit шесть баллов: iFixit разобрали Google Pixel 2 XL9

Apple вдвое уменьшила заказы на смартфоны iPhone 8 до конца года: Apple уменьшает заказы на новые смартфоны59

Поставки игровых мониторов выросли на 350%: В первом полугодии рынок игровых мониторов вырос до 1,1 млн единиц

Компьютерная модель смартфона HTC U11 Plus демонстрирует дизайн новинки: HTC U11 Plus засветился на видео2

В Гонконге засветился ноутбук-трансформер на базе процессора Intel Gemini Lake: Представителем линейки Gemini Lake оказался двухъядерный CPU Intel Celeron N40002

Результаты GeForce GTX 1070 Ti в ПО 3DMark на 6-10% выше, чем у разогнанной GTX 1070: GeForce GTX 1070 Ti засветилась в 3DMark4

Samsung прекращает выпуск небольших телевизоров диагональю 20-30 дюймов: Постепенно акцент будет смещаться в сторону больших моделей диагональю 60 и более дюймов разрешением 4К45

2 ноября AMD проведёт закрытое мероприятие, посвящённое мобильным APU Ryzen: Новые подробности о мобильных APU Ryzen могут появиться 2 ноября7

Национальная ассоциация телерадиовещателей просит Apple добавить приемник FM в новые iPhone: Ассоциация поставила под сомнение предыдущее заявление Apple32

Смартфон Echo Horizon превзошел ожидания, представлен Echo Horizon Lite: Цена Echo Horizon Lite составляет 130 евро1

Соотношение сторон экрана бюджетного смартфона Gionee F205 составляет 18:9: Gionee F205 базируется на SoC MediaTek MT67394

LG и Qualcomm будут вместе работать над технологиями для беспилотных автомобилей: Обе компании планируют возглавить цепочку поставщиков комплектующих для самоуправляемых автомобилей1

Представлена камера Samsung 360 Round, оснащенная 17 объективами: Samsung 360 Round поступит в продажу в октябре7

Samsung Bixby 2.0 — всё тот же голосовой помощник, но теперь нацеленный на более широкий спектр устройств: Samsung представила платформу Bixby 2.02

Gartner считает, что iPhone X подстегнет продажи в мобильной индустрии в 2018 году: Продажи мобильных телефонов увеличатся на 2,4% и составят 1,9 млрд единиц4

Samsung приступила к разработке Galaxy Note9, думая над расширением перечня возможностей S Pen: Напомним, в следующем году в линейке Galaxy Note может выйти первый смартфон компании со сгибающимся дисплеем23

В Китае Huawei Mate 10 выйдет уже завтра, пользователям предложат еще две версии: Huawei Mate 10 Pro и Huawei Mate 10 Porsche Design поступят в пролажу в середине ноября5

Смартфон HTC U11 Plus засветился в GFXBench и Geekbench: В Geekbench смартфон набрал 1920 и 5765 баллов в однопоточном и многопоточном тестах соответственно1

Представлен смартфон Nokia 7: SoC Snapdragon 630, защищенное исполнение и задняя панель под стеклом: Nokia 7 оценена в эквивалент $3808

Xiaomi Redmi Note 5 и Redmi 5 Plus будут представлены до 11 ноября: Более доступная модель Xiaomi Redmi 5 Plus получит Soc Snapdragon 450 и будет стоить около 120 долларов

Zotac GeForce GTX 1080 Ti ArcticStorm Mini — самая маленькая 3D-карта GeForce GTX 1080 Ti: 3D-карта Zotac GeForce GTX 1080 Ti ArcticStorm Mini оснащена водоблоком14

У побережья Шотландии заработала первая в мире плавучая ветряная электростанция: Hywind Scotland может обеспечить электричеством 20 000 домохозяйств52

Своя гарнитура смешанной реальности появилась и у Fujitsu: Новинка, названная Win MR, пока доступна для заказа только в Японии

LG V30 с честью выдержал испытания блогера JerryRigEverything: LG V30 сложно погнуть 14

В рейтинге Greenpeace компания Apple заняла второе место, а Samsung — третье, но с конца: Greenpeace оценила крупнейшие IT-компании 66

Модуль Moto Smart Speaker для смартфонов Moto Z оснащён парой стереодинамиков и поддерживает Amazon Alexa: Модуль Moto Smart Speaker оценили в 150 долларов1

Снимок безрамочного смартфона Meizu демонстрирует наличие кнопки mBack, несмотря на дисплей 18:9: Meizu выпустит безрамочный смартфон с физической кнопкой mBack8

997
1318

iXBT TV

  • Обзор беззеркальной фотокамеры Fujifilm X-A10 формата APS-C со сменными объективами

  • Планшеты для подводного чтения, дешевый безрамочный смартфон и автономная VR-гарнитура

  • Обзор 3D-принтера Funtastique Evo: дешевая, но вполне функциональная DIY-модель

  • Обзор робота-пылесоса Polaris PVCR 0920WV Rufer с функцией влажной протирки полов

  • Новинки Google на любой вкус: Pixel 2, Pixel 2 XL, Pixelbook, Clip, Home Mini и Max

  • Обзор водонепроницаемого бинокля Canon 10x42L IS WP с оптическим стабилизатором

  • Обзор компактного вертикального пылесоса Kitfort КТ-525

  • Обзор 15-дюймового игрового ноутбука MSI GE63VR 7RF Raider 4K с 4K-экраном

  • Ракета вместо самолета, умные AC Amazon, робот-мяч

  • Обзор парогенератора MIE Stiro Pro для глажки, отпаривания и уборки дома

  • Обзор изогнутого 37,5-дюймового IPS-монитора Acer XR382CQK с соотношением сторон 21:9

  • Обзор робота-полотера Everybot RS500

1212

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать