Доктор Веб: жаркий вирусный июль 2010 года

По сообщениям компании Доктор Веб июль 2010 года ознаменовался не только экстремальной жарой, но и появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.

Июльской «новинкой» летнего сезона, заставившей антивирусную индустрию в который раз серьезно мобилизовать свои ресурсы, стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stuxnet.1 стал промышленный шпионаж.

Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.

Авторы нового троянца преподнесли пользователям сразу несколько неприятных сюрпризов. Во-первых, уже упомянутая эксплуатация уязвимости Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости. По информации, опубликованной разработчиком ОС Windows, ей подвержены как 32-битные, так и 64-битные версии, начиная с Windows XP и заканчивая Windows 7 и Windows Server 2008 R2. Злоумышленники могут использовать эту «брешь» и для удаленного запуска вредоносных программ. Кроме того, опасный код может интегрироваться в документы некоторых типов, предполагающих наличие в них встроенных ярлыков, и распространяться посредством эксплуатации обнаруженной уязвимости.

2 августа 2010 года компания Microsoft выпустила критический патч для всех подверженных уязвимости версий Windows. Для тех систем, в которых настроено автоматическое обновление, патч установится автоматически, и для его применения потребуется перезагрузка компьютера.

«Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют подпись для «тихой» установки в целевую систему.

Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.

У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exploit.Cpllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.

В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем. Отреагировали на появление новой угрозы и специалисты компании «Доктор Веб» — в вирусную базу были оперативно добавлены процедуры лечения зараженных троянцем систем.: жаркий вирусный июль 2010 года

По сообщениям компании Доктор Веб июль 2010 года ознаменовался не только экстремальной жарой, но и появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.

Июльской «новинкой» летнего сезона, заставившей антивирусную индустрию в который раз серьезно мобилизовать свои ресурсы, стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stuxnet.1 стал промышленный шпионаж.

Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.

Авторы нового троянца преподнесли пользователям сразу несколько неприятных сюрпризов. Во-первых, уже упомянутая эксплуатация уязвимости Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости. По информации, опубликованной разработчиком ОС Windows, ей подвержены как 32-битные, так и 64-битные версии, начиная с Windows XP и заканчивая Windows 7 и Windows Server 2008 R2. Злоумышленники могут использовать эту «брешь» и для удаленного запуска вредоносных программ. Кроме того, опасный код может интегрироваться в документы некоторых типов, предполагающих наличие в них встроенных ярлыков, и распространяться посредством эксплуатации обнаруженной уязвимости.

2 августа 2010 года компания Microsoft выпустила критический патч для всех подверженных уязвимости версий Windows. Для тех систем, в которых настроено автоматическое обновление, патч установится автоматически, и для его применения потребуется перезагрузка компьютера.

«Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют подпись для «тихой» установки в целевую систему.

Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.

У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exploit.Cpllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.

В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем. Отреагировали на появление новой угрозы и специалисты компании «Доктор Веб» — в вирусную базу были оперативно добавлены процедуры лечения зараженных троянцем систем.

***********************************************************

BitDefender: утечка паролей для входа в социальные сети дает доступ к электронной почте пользователей

BitDefender призывает участников социальных сетей уделять больше внимания защите их учетных записей. Как выяснилось в ходе эксперимента многие пользователи популярных социальных сетей весьма легкомысленно относятся к приватности личной информации и защите своих учетных данных. Проводимое в течение недели исследование позволили получить электронные адреса, учетные записи и пароли к ним более чем 250 000 беспечных пользователей. Личные данные были опубликованы в блогах, системах совместной работы, торрентах и других открытых источниках.

Выборочный анализ учетных записей показал, что 87 процентов из них до сих пор активны и могут быть вскрыты с использованием полученной информации. Более того, оказалось, что у 75 процентов случайно отобранных пользователей совпадают пароли электронной почты и учетных записей в социальных сетях.

Последствия вскрытия учетных записей социальных сетей и почтовых ящиков многочисленны и далеко не безобидны – от дальнейших краж чужих учетных данных, рассылки спама и вирусов, до значительно более серьезных преступлений.

«Просто представьте, что злоумышленник входит под вашим именем в он-лайн игру и продает все ваши виртуальные вещи (которые стоят вполне реальных денег). Или, например, публикует порнографию от вашего имени. Но самые большие проблемы начинаются, когда злоумышленник, представляясь вами, совершает мошенничества с реальными банками, магазинами или правительственными структурами. Так что нужно очень серьезно думать, выбирая пароль, и относится ответственно к сохранению его в тайне».

Источники: №1, №2