Архив метки: троян

«Мисс Троянский конь» для «Одноклассников» не страшна пользователям

22 мая 2008 года

Служба вирусного мониторинга компании “Доктор Веб” зафиксировала массовую рассылку писем, адресованных пользователям социальной сети “Одноклассники”. В письмах содержится ссылка на сайт, посетив который пользователь может заразить компьютер.

Рассылка писем производится от разных пользователей, в том числе от имени некой "Глории Чернявской, Россия, Москва Возраст: 22 года".

"Привет, Роман(Антон, Виталий) 🙂
Увидела твою анкету в списке "Друзей моих друзей" и решила попросить тебя о небольшом одолжении.
Дело в том, что я участвую в конкурсе красоты "Мисс Рунет" и мне очень нужна поддержка. Если тебя не затруднит,
зайди пожалуйста на сайт конкурса и проголосуй за меня.
http://miss-runet.net/?a=125****
голосование абсолютно бесплатно, достаточно нажать на ссылку "Отдать свой голос".
Победа в данном конкурсе для меня очень много значит, иначе бы я не стала обращаться с подобной просьбой.
Заранее благодарю за помощь."

По указанной ссылке (адрес модицифирован) открывается окно с фотографиями претендентки и отзывами людей, якобы уже проголосовавших за нее.

При нажатии на ссылку "Отдать свой голос" предлагается скачать файл fire-codec5107.exe (по классификации Dr.Web Trojan.MulDrop.16008). Будучи скачанным, троянец помещает на жесткий диск компьютера жертвы файлы notepad2.exe (BackDoor.Mbot), reebsd2.exe (Trojan.DnsChange) и сalc2.exe (Trojan.DnsChange). Инфицирование компьютера производится с целью использования его для последующих спам-рассылок.

Как видно интерес к социальным сетям у вирусописателей не ослабевает. “Социальные сети представляют особую ценность для таких атак в силу многочисленности потенциальных жертв”, – комментирует Генеральный директор компании “Доктор Веб” Борис Шаров. “Подобные атаки чаще всего связаны с попытками мошенничества. Также во время таких атак оттачиваются “мастерство” и техники вирусописателей. Нередко целью атаки служит завладение компьютером и превращение его в одно из звеньев бот-сети с целью дальнейшей рассылки спама. Во всех перечисленных случаях, за атаками стоят коммерческие интересы и немалые деньги”.

Чтобы не стать жертвой подобных рассылок рекомендуем следовать простейшим советам: не открывать письма и не читать вложений в письмах от незнакомых адресатов, не заходить на подозрительные сайты. Также желательно иметь на ПК установленный антивирус, на котором производятся регулярные обновления вирусных баз.

___

По материалам компании "Доктор Веб"

Павел Селёдкин, selyodkin@yandex.ru

На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус не детектирует Rustock.C

 

На днях мир отметил печальную годовщину – тридцатилетие спама. Пройдя путь от надоедливой рекламы американских консерв Hornel Foods под торговой маркой SPAM, рассылка нежелательных писем превратилась в серьезную общемировую проблему. Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.

 

Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама.

 

Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит (rootkit) предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений.

 

Rootkit (руткит, от англ. root – “корень” и kit – “набор”) — программа или набор программ, позволяющие компьютерному злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого факта присутствия.

 

Обкатка новых технологий перехвата функций сетевых драйверов и техник сокрытия себя в системе была начата автором этого руткита в конце 2005 – начале 2006 года, когда появились его первые бета-версии.

 

В том же 2006 появилась версия Rustock.B, которая позволяла обходить файерволы и прятать спам-трафик. Справляться с первыми версиями руткита для антивирусных компаний не составляло особого труда.

 

А вот со следующей версией Rustock случилась загвоздка: его образец не смогли обнаружить ни антивирусные компании, ни вирусописатели. По принципу “нет жертвы — нет преступления” большинство антивирусных вендоров заняло такую позицию: “Раз даже мы его не видим (не нашли), значит он не существует. Это миф!”

 

Но оказалось, что Win32.Ntldrbot не миф.

 

Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании “Доктор Веб” в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.

 

Службой вирусного мониторинга компании “Доктор Веб” обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.

 

То, что у Win32.Ntldrbot было столько времени действовать безнаказанно, означает, что никто не даст гарантии, что и ваша машина не является частью одной из бот-сетей и не рассылает спам прямо сейчас.

 

 

На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус не детектирует Rustock.C. Также ни один антивирус, кроме антивируса Dr.Web, не лечит зараженные им системные файлы.

 

По материалам отчета Вячеслава Русакова —

вирусного аналитика компании "Доктор Веб"

___

 

Полностью отчет можно скачать здесь >>>

Сам я не первый год пользуюсь антивирусом Dr.Web — очень доволен.

 

Павел Селёдкин, selyodkin@yandex.ru