Вирусная активность в ноябре 2011 года: новые схемы мошенников

В этом году ноябрь отметился распространением новых мошеннических схем, направленных против пользователей социальной сети «В Контакте» и владельцев мобильных устройств, а также появлением новой троянской программы, ворующей информацию у фармацевтических компаний

По данным аналитиков компании «Доктор Веб», ноябрь текущего года отметился распространением новых мошеннических схем, которые направлены против пользователей социальной сети «В Контакте», владельцев мобильных устройств, и появлением новой троянской программы, которая ворует конфиденциальную информацию у фармацевтических компаний. Помимо этого в прошлом месяце наблюдался рост заражений компьютеров вредоносными программами-энкодерами.

Отметим, что тема выборов в Государственную Думу РФ осталась вирусописателями и спамерами почти без внимания, что довольно странно, так как, как правило, злоумышленники почти никогда не упускают возможность использовать в своих целях громкие события. Так, по данным аналитиков компании, объем спама на политические темы в ноябре ничуть не увеличился по сравнению с предыдущими месяцами, оставаясь на довольно низком уровне.

Однако была зафиксирована почтовая рассылка с темой «Зарплата военных вырастет, но количество надбавок и льгот резко снизится?», в письмо которой был вложен документ Microsoft Word, содержащий угрозу Exploit.Rtf.based, которая эксплуатирует уязвимость в программе Microsoft Word и позволяет выполнять произвольный код при открытии инфицированного документа в формате RTF.

Новые атаки на пользователей «В Контакте»

Социальные сети также не остались без внимания злоумышленников в ноябре. Так, были замечены атаки киберпреступников на пользователей «В Контакте». В частности, в одном из случаев сетевые мошенники оставляют на стене потенциальной жертвы (либо через систему личных сообщений) послание с рекламным роликом ресурса, который якобы позволяет бесплатно отправлять виртуальные подарки другим пользователям этой социальной сети и также получать дополнительные голоса. Разумеется, ссылка ведет на фишинговый сайт злоумышленников.

Еще одна уловка заключается в том, что со взломанной странички знакомого или друга пользователю посылается просьба проголосовать за него на некоем сайте – нажать на кнопку «Like», однако чтобы отдать свой голос, необходимо войти на сайт при этом формы регистрации и авторизации на сайте не имеется, но посетитель может выполнить «вход» с использованием специальной системы «интеграции» с социальными сетями Twitter, Facebook и «В Контакте». Разумеется, данная «система интеграции» является поддельной, и после того как пользователь введет в ней свой логин и пароль, они тут же окажутся в руках мошенников.

Угрозы для мобильных устройств

В ноябре 2011 года жители Санкт-Петербурга, Свердловской, Воронежской, Московской, Липецкой областей, Краснодара, Екатеринбурга, Красноярска, Приморского края и Нижнего Новгорода подверглись новой атаке.

Схема работы киберпреступников довольно проста: на телефон жертвы приходит СМС-сообщение о поступившем на его номер MMС, чтобы посмотреть которое доверчивый пользователь должен перейти по ссылке на предложенный мошенниками сайт, и если он делает это, то на его мобильное устройство под видом MMС загружается какое-либо изображение или видеоролик, а вместе с ними и троянская программа (предназначена для устройств с поддержкой Java). Как правило, это Java.SMSSend.251, однако троянцы такого рода очень часто видоизменяются в целях усложнения их детектирования (примерно раз в две недели).

Нетрудно догадаться, что, попав на мобильный телефон, данный троянец начинает отправлять СМС-сообщения на короткий номер, и в результате этого со счета пользователя списывается некоторая сумма денег.

Отметим, что обычно такие сообщения рассылаются ночью или по выходным дням. Сделано это для того, чтобы максимально осложнить жертве общение со службами технической поддержки мобильного оператора.

Троянец для фармацевтов

Что касается данной троянской программы, то она предназначена для кражи данных из приложений, используемых в фармацевтических компаниях. Называется данный троян BackDoor.Dande, а написан он на языке C.

Когда этот троян попадает на компьютер жертвы, то сам определяет имя текущего пользователя и версию операционной системы. В случае, если это Windows XP или Windows Server 2003, бэкдор устанавливает соединение с удаленным управляющим сервером и загружает оттуда зашифрованный конфигурационный файл, а также код троянской программы Trojan.PWS.Dande, которая дешифруется и сохраняется в одной из папок жертвы. Помимо этого бэкдор способен выполнять поступающие из командного центра директивы, такие как, например, команда на скачивание, сохранение и запуск модуля Trojan.PWS.Dande, удаление этого модуля, запись данных в конфигурационный файл и тому подобное.

Специалисты отмечают, что этот бэкдор обладает довольно любопытным механизмом поиска управляющих серверов - если один из них окажется закрыт, то в этом случае троян отыщет новый согласно заложенному в него алгоритму, позволяющему генерировать имя командного центра. Помимо этого, полезная нагрузка способна запускаться только на том компьютере, который был инфицирован, а так как эта вредоносная программа заражает библиотеку advapi32.dll (загружается во все запущенные в системе процессы), то код беспрепятственно встраивается в них.

По словам специалистов компании «Доктор Веб», появление Trojan.PWS.Dande, предназначенного для кражи данных о ценах и объемах заказа медикаментов, указывает на то, что в данном случае речь идет о редком представителе узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.

Другие угрозы ноября

В число других угрозах ноября также вошли новая модификация многокомпонентного бэкдора для Mac OS Х (вошла в вирусные базы Dr.Web под именем BackDoor.Flashback.8), новая модификации программы-вымогателя Trojan.MBRLock, а также был отмечен рост числа случаев шифрования пользовательских файлов троянцами семейства Trojan.Encoder и Trojan.FolderLock.