В последнее время снова много стали говорить о рутките TDSS, а точнее о последней его модификации TDL3. По классификации ESET, данный руткит относится к вредоносным программам семейства Win32/Olmarik. По нашим статистическим данным, наибольшую активность, он проявляет в США. Другие антивирусные компании также подтверждают сей факт.

Стоит отметить, что за достаточно небольшой промежуток времени появилось уже несколько независимых исследований по этой теме: раз , два, три. Сегодня Центр вирусных исследований и аналитики российского представительства ESET обнародовал свой аналитический отчет «Руткит Win32/Olmarik: технологии работы и распространения», который был подготовлен по итогам длительного мониторинга и анализа различных модификаций этого руткита. Ниже мы приводим выдержки из этого документа.

В нашем исследовании присутствует описание не только технологий внедрения и функционирования, но и способов монетизации распространения. В нашем отчете присутствует ряд технологических моментов, нерассмотренных в других аналитических работах.
WIN32/OLMARIK распространяется посредством специальной программы – дропера, задачей которой является скрытая установка руткита. Тело дропера зашифровано и обфусцированно для того, чтобы затруднить детектирование антивирусным ПО. Во время расшифрования дропер использует некоторые приемы для противодействия отладке, эмуляции и определения выполнения в среде виртуальной машины.

Началась эта история уже более десяти дней назад, когда стало известно об очередной уязвимости в продуктах компании Adobe, приводящей к возможности удаленного выполнения вредоносного кода. Началось активное распространение этой заразы, в частности, эксплойт вошел в состав многих эксплойт-паков, активно распространяющихся в данный момент времени. Но самое интересное началось после того, как вечером 10 июня появился публичный код эксплойта в составе Metasploit.

Ассоциация компаний Интернет-индустрии (Internet Industry Association, IIA) Австралии выпустила интересный документ под названием internet industry code of practice (icode). Документ позиционируется как отраслевой стандарт, призванный, прежде всего, повысить защищенность локального сегмента от киберпреступности. Разрабатывался документ компаниями из области информационных технологий в тесном контакте с правительственными структурами. Стандарт является добровольным. Но, очевидно, если он покажется свою состоятельность и эффективность, может быть принят в отрасли на обязательной основе.

Компания Eset уже на протяжении нескольких лет выступает спонсором конференции, посвящённой практическим аспектам информационной безопасности — CONFidence. И каждый год мы предлагаем задание в виде crackme, за быстрое решение которого выдаются ценные призы. В этом году наш польский офис, официальное открытие которого состоялось в начале года, подготовил весьма оригинальное задание. Ведь конференция проходила в их родном городе, в Кракове.



Если вы хотите попробовать свои силы, тогда не читайте информацию подкатом, так как там мы опубликовали описание алгоритма проверки регистрационного кода. Скачать crackme можно здесь.

В последних числах мая в Хельсинки прошла ежегодная конференция, посвященная сетевым угрозам CARO (Computer Antivirus Research Organization). Интересно, что прошлогодняя CARO’2009 проходила в Будапеште (Венгрия). В связи с этим вспомнился бородатый анекдот про переселение финно-угорских народов, «кто умел читать, пошел на юго-запад». Тем не менее, Хельсинки – очень интересный с точки зрения туризма город, поэтому российское представительство ESET с удовольствием отправило своих делегатов на конференцию (эксперты из других представительств ESET тоже были). Гостеприимным «хозяином» конференции в 2010 году стала финская компания F-Secure.

Управление ботсетью с мобильного телефона уже давно стало реальностью — нам уже встречались случаи управления ботнетом и через jabber. А несколько лет назад для этих целей пользовался большой популярностью у злоумышленников протокол IRC. На прошлой неделе нам попалась на глаза любопытная программа генерации ботов MSIL/Twebot.A, которая «привязывает» их к командному центру в виде твиттер-аккаунта, через который ведется все управление ботсетью.


Update:
Добавлено описание MSIL/Twebot.B.

Киберпреступники находятся в постоянном поиске возможных путей быстрого заработка на беспечных пользователях. В интернете постоянно появляются новые схемы SMS-мошенничества, так как этот способ заработка позволяет злоумышленникам быстро обогатиться. Новым трендом этой криминальной индустрии стала монетизация за счет популярности электронных библиотек.

В связи с широким распространением различных устройств для чтения электронных книг, число запросов осуществляющих поиск интернет-библиотек, стремительно растет. И уже ни для кого не новость, что любой всплеск активности в сети привлекает внимание киберприступников. Сейчас злоумышленники стали активно создавать ресурсы по распространению электронных или аудио книг, которые пользователи скачивают в виде самораспаковывающегося архива.

В прошедшие выходные состоялась конференция РусКрипто'2010. Каждый год она собирает ведущих специалистов в области ИБ. Конференция уже давно расширила свои тематические границы, и теперь криптографии посвящена только одна секция. А в рамках остальных рассматривается широкий круг практических вопросов, связанных с ИБ. Например, два года назад дебютировала секция «Интернет и информационная безопасность», а в этом году были добавлены секции «Расследование инцидентов. Механизмы, технологии, проблемы, опыт» и «Penetration testing internals». Подобные преобразования с каждым годом привлекают к участию в конференции все больше специалистов-практиков, что выгодно отличает РусКрипто от других мероприятий по ИБ, где акцент часто делается на маркетинговой направленности участников и их докладов.
В этом году мы приняли активное участие в этой конференции, а также стали спонсорами студенческого конкурса РусКрипто CTF.
В рамках секции «Расследование инцидентов. Механизмы, технологии, проблемы, опыт» был представлен наш доклад «Исследование вредоносных программ с точки зрения расследования инцидентов», (не судите строго качество записи, она была произведена любителями, и ни в коем случае не претендует на профессионализм).

Организация US-CERT недавно сообщила о найденном ими вредоносном функционале в программном обеспечении для зарядных USB-устройств от Energizer (Energizer DUO USB).

Совсем недавно мы писали о борьбе компании Microsoft с ботнетом Waledac. И теперь снова восторжествовала победа правосудия — удалось задержать непосредственно создателей другого ботнета под названием Mariposa. Это крупнейшая ботсеть, по аналитическим данным, состоящая почти из 13 миллионов машин зараженных пользователей. Помимо рядовых пользователей в него входили боты из банков и крупных компаний более чем из 190 стран мира.

Не так давно компания ESET официально заявила об открытии Вирусной лаборатории в одном из крупнейших научных, культурных и экономических центров Польши — в Кракове. Это одно из важнейших технологических подразделений, которое, как и наш Центр вирусных исследований и аналитики, должно улучшать качество обнаружения вирусных угроз, попадающих в лаборатории ESET со всего мира благодаря технологии глобального мониторинга ThreatSense.Net.

Вот уже более года продолжает свое существование один из самых продуктивных ботнетов для рассылки спама — Waledac. На свет появилась уже не одна модификация данного троянца. В антивирусных базах ESET он известен под именем Win32/Waledac.

Вы, наверное, уже не раз слышали упоминание о Waledac, так как практически ни один праздник в прошлом году не обошелся без рассылки спама с этой вредоносной программой внутри. По нашим измерениям, ботнет, созданный с помощью программы Waledac, может рассылать около нескольких миллиардов спам-писем ежедневно. Протокол сетевого взаимодействия данного ботнета был проанализирован независимыми исследователями и опубликован в ноябре прошлого года на конференции European Conference on Computer Network Defense.

Во вторник, на прошлой неделе, вышло внеплановое обновление от Microsoft, под номером MS10-015 . Данный патч устранял уязвимость, которая позволяет локально повысить свои привилегии, и вносил модификации непосредственно в ядро ОС. Это обновление повлекло довольно непредвиденные последствия — некоторые пользователи испытывали проблемы после его установки. А конкретнее, после перезагрузки системы, которая требуется для установки этого обновления, стала проявляться критическая ошибка в одном из системных драйверов, которая в дальнейшем демонстрировала BSoD.

Мы уже давно наблюдаем за развитием ситуации, связанной с вредоносной программой Win32/TrojanDownloader.Bredolab, в народе известной больше, как Zeus bot, или еще проще — Зевс. Это довольно успешное вредоносное поделье (не поворачивается язык назвать это продуктом) вирусописателей, уже давно прижилось на рынке злонамеренных программ, и пользуется большой популярностью среди киберприступников. Ресурс ZeuS Tracker до сих пор фиксирует большое количество активных центров управления, созданных благодаря распространению данного троянца. Каждый такой центр может управлять огромным количеством ботов. Но чтобы не концентрировать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя.

По статистике ZeuS Tracker, на сегодняшний день всего зафиксировано 1296 командных центра данного ботнета, из них активны сейчас только 697.

В последнее время довольно сильный резонанс в СМИ вызвала, так называемая, эпидемия программ-блокираторов. Под программами-блокираторами подразумевается вредоносное ПО, которое после своей активации/запуска тем или иным образом блокирует работу пользователя на его компьютере. При этом за оказание услуги возвращения прежней работоспособности ПК злоумышленники вымогают денежные средства. Во всей этой истории с блокираторами интересно то, что данная проблема носит локальный характер для России и стран ближнего зарубежья. В других странах подобное мошенничество практически не распространено, а скорее является исключением из правил. Почему же у нас это приобрело настолько массовый характер? Ответ намного проще, чем может показаться, и находится на поверхности.

Сегодня на мобильный телефон одного из наших вирусных аналитиков поступило интересное SMS-сообщение:



Недолго думая, он скачал это приложение со специально оборудованного стенда. Кто бы мог подумать, что там окажется новая вредоносная программа — J2ME/TrojanSMS.Agent.B, которая на данный момент еще не детектируется ни одним из антивирусных решений, конечно же, уже кроме нашего. :)

В последнее время в Интернете получил массовое распространение ранее неизвестный червь — Win32/Zimuse, нацеленный на повреждение главной загрузочной записи MBR (Master Boot Record) на жестком диске.
Примечательно то, что данная угроза изначально была в шутку создана для заражения одного небольшого сообщества словацких байкеров. Возможно, это были происки конкурирующего с ними мотоклуба. Однако сегодня червь уже вышел из-под контроля его авторов и активно распространяется по всему миру. При этом 90% всех инфицированных пользователей сначала находились на территории Словакии. Но теперь по количеству заражений лидируют также США, Таиланд и Испания, с небольшим отставанием Италия, Чехия и другие европейские страны.

12 января компания Google сообщила об атаке на свой сервис электронной почты Gmail. По версии компании атака проводилась с территории Китая, и ее целью был сбор персональной информации с аккаунтов пользователей. Как стало известно позднее, Google не единственная компания , которая в тот момент столкнулась с подобной проблемой.

Отправной точкой атаки, целью которой была установка злонамеренного ПО, стала рассылка спам-писем, которая призывала адресатов осуществить переход по вредоносной ссылке. После перехода атака реализовывалась ранее неизвестным эксплойтом CVE-2010-0249 для браузеров Microsoft Internet Exporer различных версий (6, 7, 8).

Компания ESET начала бета-тестирование новой версии решения ESET NOD32 for Microsoft Exchange Server, предназначенного для защиты почтовых серверов от вирусов, шпионского и троянского ПО, руткитов и спама.



В новую версию добавлена технология HIPS (Host Intrusion Prevention System), защищающая от попыток внешнего воздействия на систему, и усовершенствована самозащита продукта. Программа поддерживает функцию Greylisting (серые списки), позволяющую более аккуратно и тщательно фильтровать спам-сообщения. Оптимизированы методы сканирования базы данных электронной почты, встроен диагностический инструмент ESET SysInspector, позволяющий быстро обнаружить скрытые руткиты без необходимости запуска полного сканирования и получить всю информацию о состоянии системы. Помимо этого ESET NOD32 for Microsoft Exchange автоматически ведет мониторинг всех процессов и предоставляет администратору подробный отчет о работе почтового сервера.

ESET NOD32 for Microsoft Exchange поддерживает работу Microsoft Exchange Server 2010, а также совместимо с версиями Microsoft Exchange Server 5.5, 2000, 2003 и 2007.

Скачать бета-версию можно на сайте ESET. Однако обращаем ваше внимание на то, что это тестовая версия продукта. Она не обладает полным функционалом, и мы не рекомендуем устанавливать ее на ПК и системы, выполняющие критически важные задачи.

Вирусописатели всегда активно используют различные социально-значимые события, которые случаются в нашей повседневной жизни. Рождественская и новогодняя тематика не стала исключением и уже активно используется не первый год среди злоумышленников.

На этот раз меня привлекла очередная итерация распространения небезызвестного червя Koobface, который начал свое активное распространение еще в начале этого года.

Способ заражения, который использует данный червь, довольно прост — при попытке просмотра флеш-видеоролика вам предлагается установить якобы недостающий видео-кодек, и если вы запустите предлагаемый злоумышленниками исполняемый файл, то подвергнете свою систему вирусному заражению.



Подобные вредоносные флеш-ролики можно обнаружить на вполне легальных ресурсах. Более того, они уже были замечены на таких известных сервисах, как Facebook, Youtube, Blogspot, Twitter и др.