Лжеантивирус под «мак», новые 64-битные руткиты и другие майские «сюрпризы»

ПредыдущаяСледующая
Doctor Web Logo

Компания «Доктор Веб» рассказала о майских угрозах этого года. Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender. Если лжеантивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы — все еще в новинку, тем более в масштабе эпидемий. А вот появление руткитов, атакующих 64-битные системы Windows, уже почти не удивляет: открыв для себя в 2010 году это поле деятельности, злоумышленники продолжают совершенствоваться в расчете на быстро растущее число пользователей этих ОС. Ниже более подробно представлены эти и некоторые другие угрозы мая 2011 года.

От чего «защищает» MacDefender?

В мае мак-сообщество столкнулось с неожиданной угрозой: в зарубежных СМИ появились сообщения о фишинговой атаке с использованием вредоносной программы — ложного антивируса. Это ПО фигурирует под именами MacDefender, MacSecurity, MacProtector или MacGuard, попадая на компьютеры через неблагонадежные сайты, на которых пользователь узнаёт, что его система якобы заражена. Для устранения проблемы предлагается воспользоваться «антивирусом». В случае скачивания MacDefender, имитируя действия по поиску и обнаружению вирусов, приступает к достижению своей истинной цели — получению от пользователя денег за якобы полнофункциональную версию.

После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений — Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить».

Угрозы мая

Для приобретения «лицензионной версии» MacDefender злоумышленники предлагают воспользоваться кредитной картой (причем передача данных происходит на незащищенной странице). После оплаты программа перестает что-либо находить в системе, создавая иллюзию, что деньги потрачены не впустую.

MacDefender представляет угрозу для пользователей операционных систем Mac OS X 10.4–10.6. Стоит отметить, что схема взаимодействия этого ложного антивируса с серверами злоумышленников весьма схожа с аналогичными вредоносными программами для Windows. По мнению аналитиков «Доктор Веб», при его распространении используется партнерская схема.

Apple, хотя и с некоторой задержкой, признала существование этой проблемы: на сайте компании была размещена инструкция по удалению MacDefender, а также рекомендации относительно того, как избежать его попадания на компьютер, и обещание в ближайшее время выпустить обновление операционной системы, «которое будет автоматически находить и удалять вредоносное ПО MacDefender и его известные разновидности». На сегодняшний день вирусная база Dr.Web насчитывает шесть модификаций этой вредоносной программы, включая самую последнюю, снабженную «прединсталлятором», а в Dr.Web для Mac OS X уже реализовано лечение от них.

64-битных руткитов становится больше

В прошедшем месяце в вирусные базы Dr.Web были добавлены очередные модификации руткитов, «заточенных» под 64-битные версии операционных систем. Так, вредоносная программа Trojan.Necurs имеет в своем арсенале как 32-, так и 64-битный руткит-драйвер с «тестовой» подписью, благодаря которой обходит ограничение 64-битных версий Windows на загрузку неподписанных драйверов, используя системную утилиту bcdedit.exe. Вместе с тем Trojan.Necurs способен блокировать загрузку драйверов многих антивирусов, препятствуя защите системы.

Новая версия бэкдора семейства Maxplus — BackDoor.Maxplus.13 — также умеет действовать в 64-битных системах. Эта вредоносная программа прекрасно обходится и без руткит-драйвера, используя для запуска подмену в реестре одной из ссылок на модуль подсистемы Windows: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems","Windows". Таким образом, некорректное лечение от BackDoor.Maxplus.13 может привести к полной неработоспособности системы. Стоит отметить, что этот способ активизации был опробован еще в 2007 году троянской программой Trojan.Okuks — но тогда еще в 32-битных версиях Windows. Смерть террориста № 1 как повод для вредоносного спама

Сообщение о ликвидации 2 мая 2011 года Усамы бен Ладена, разумеется, не осталось без внимания киберпреступников. Мошенники попытались воспользоваться повышенным интересом к этому событию, действуя проверенным методом: через спам-рассылки, в расчете на неосторожный «клик».

В частности, было отмечено массовое распространение через почту вредоносного файла Laden’s Death.doc, использовавшего уязвимость в обработке RTF-файлов. Запущенный в Microsoft Word, этот файл инициировал закачивание очередной модификации программы семейства BackDoor.Diho — BackDoor.Diho.163, функциональность которой вполне типична для данного вида вредоносных объектов: сбор информации, хранящейся в компьютере пользователя, выполнение команд злоумышленников, функции прокси. Сам файл Laden’s Death.doc классифицируется Dr.Web как Exploit.CVE2010.3333.

Кроме того, в мае специалисты «Доктор Веб» отмечали массовую рассылку писем, содержавших файл Fotos_Osama_Bin_Laden.exe, который на деле оказывался вовсе не шокирующими кадрами с участием террориста № 1, а банальным «бразильским банкером» Trojan.PWS.Banker.55330, написанным на Delphi. Напомним, что вредоносные программы этого семейства специализируются на краже данных, связанных с банковскими счетами, электронными картами и системами электронных платежей.

Trojan.SMSSend можно «подхватить» не только на файлообменниках

Продолжают изощряться распространители SMS-троянцев. Если до сих пор неосторожно скачать себе Trojan.SMSSend можно было, попав на мошеннический сайт, замаскированный под файлообменник, то в мае эта программа была замечена на ресурсе, предлагающем для скачивания различного рода инструкции.

Угрозы мая

Trojan.MBRlock приходит на смену «винлокам»?

В мае служба технической поддержки «Доктор Веб» зафиксировала очередной всплеск запросов, связанных с блокировкой операционных систем. Причем на этот раз речь идет отнюдь не о пресловутом Trojan.Winlock, а о более опасной вредоносной программе — Trojan.MBRlock, изменяющей главную загрузочную запись (Master Boot Record, MBR).

В отличие от «винлоков» эта вредоносная программа блокирует не вход в операционную систему, а сам ее запуск. Если на компьютере установлено несколько операционных систем, то Trojan.MBRlock препятствует запуску каждой из них. Попытки восстановить стандартную MBR специализированными средствами могут привести к потере пользовательских данных — таблица разделов диска может не восстановиться.

Угрозы мая

В MBR вредоносная программа записывает код, который загружает с соседних секторов основное тело Trojan.MBRlock. После чего пользователь видит требования злоумышленников, которые необходимо выполнить для восстановления загрузочной области диска и загрузки операционной системы. Из 39 известных модификаций этой вредоносной программы 27 было добавлено в вирусные базы Dr.Web в мае.

Новые угрозы для Android: смешные и не очень

В мае была обнаружена и добавлена в «мобильную» вирусную базу вредоносная программа Android.NoWay.1, которая, активизировавшись на мобильном устройстве, проверяла дату, и, если это происходило 21 мая, рассылала по списку контактов SMS с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалиптических теорий должен был наступить конец света.

Также в прошедшем месяце были обнаружены очередные шпионские программы, распространяющиеся вполне легально, однако в силу своей функциональности, представляющей опасность для пользователей Android — в случае если «шпион» установлен на мобильное устройство без их ведома. Речь идет о ПО Cell Phone Recon, по классификации Dr.Web получившем наименование Android.Recon, и о SpyDroid, занесенном в вирусную базу как Android.SpyDroid.

Угрозы мая

Кроме того, был выявлен ряд вредоносных программ, маскировавшихся под приложение Jimm, предназначенное для обмена сообщениями в сети ICQ при помощи мобильных устройств. На самом же деле эти программы занимались рассылкой SMS-сообщений без ведома пользователя.

3 июня 2011 Г.

09:10

Ctrl
ПредыдущаяСледующая
194
194

Все новости за сегодня

Три новых смартфона Apple в прошлом квартале продавались хуже, чем две новинки за соответствующий период 2016 года : iPhone X занял 20% продаж новых смартфонов Apple

ITC подозревает Samsung, SK Hynix и другие компании в ценовом сговоре, касающемся SSD: Расследование было начато через две недели после того, как компания BiTMICRO подала в ITC жалобу7

В этом году производители чаще будут использовать композитные материалы в шасси ноутбуков: Основным материалом все же останутся алюминиевые сплавы14

Acer Iconia One 8 (2018) — планшет с бюджетной платформой и 1 ГБ оперативной памяти: Планшет Acer Iconia One 8 (2018) получит мало ОЗУ14

В этом квартале предложение телевизионных ЖК-панелей превысит спрос, что приведет к снижению цен: Ожидается, что заметнее всего подешевеют 32-дюймовые панели5

Toshiba рассматривает возможность первичного публичного размещения акций дочерней компании, выпускающей флэш-память: Продажа полупроводникового производства Toshiba консорциуму во главе с Bain Capital может и не состояться

Против Apple подали коллективный иск из-за уязвимостей Meltdown и Spectre: По мнению истцов, компания Apple нарушила «подразумеваемую гарантию» и обогащалась незаконно44

Трехслойный датчик изображения, созданный Samsung, способен снимать видео 1080p с частотой 480 к/с: Другим достоинством нового датчика является высокая скорость автоматической фокусировки57

Автомобильное зарядное устройство Xiaomi Mi Car Inverter стоит $31: Устройство подключается к автомобильному прикуривателю, предлагая пользователям стандартный разъем для китайской вилки10

Smartisan обещает показать революционный продукт, на который будут равняться другие производители в течение следующего десятилетия: Источники предполагают, что речь идет о новом флагманском смартфоне, который будет оснащен однокристальной системой Snapdragon 84516

Смартфон Xiaomi Mi 6X спереди будет напоминать Samsung Galaxy S8: Свежее изображение демонстрирует нам новый чехол с точно такими же вырезами на задней панели4

Опубликованы новые изображения полноэкранного смартфона Meizu 15 Plus: Схематическое изображение задней панели указывают на наличие вертикальной сдвоенной камеры и вспышки в виде светодиодного кольца

Смартфон Vivo X20 Plus с подэкранным дактилоскопическим датчиком выпустят 24 января: Цена устройства составит около 625 долларов4

Huawei назвали самым рекомендуемым брендом смартфонов в Китае: В рейтинге Chnbrand за 2017 году представлено около 6000 брендов, среди которых оказалось 60% китайских компаний9

Смартфон Huawei Mate 10 Pro оказался очень устойчивым к морозу: Huawei Mate 10 Pro заморозили в озере11

Google и Tencent образовали альянс, договорившись о взаимном использовании патентов: В данный момент в Китае заблокированы различные сервисы Google2

Nokia представит новые смартфоны 25 февраля: Пресс-конференция пройдет в Музее современного искусства в Барселоне

Появилось схематическое изображение смартфона Nokia с модулем из пяти камер: Смартфон Nokia с пятью камерами будет похож на Lumia 10206

Nvidia просит продавцов реализовывать видеокарты в первую очередь геймерам, а не майнерам: Nvidia хочет решить проблему дефицита видеокарт рекомендациями для продавцов52

iXBT TV

  • Обзор цветного светодиодного МФУ Xerox VersaLink C605 для малых и средних офисов

  • Apple отключит замедление iPhone, 10 лет MacBook Air, дрон спас человека

  • Обзор автомобиля Mercedes-Benz E 220 d 4Matic All-Terrain Luxury: полноприводный внедорожный универсал

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

  • Apple специально замедляет старые iPhone, VR-революция, крошечный телефон

  • Обзор широкоугольного объектива Canon EF 35 mm F1.4L II USM

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс