Сентябрь 2011 года оказался достаточно тихим и не принес сколь-нибудь серьезных всплесков вирусной активности: по всей видимости, создатели вредоносного ПО, вернувшись с летнего отдыха, решили посвятить себя более прагматичным занятиям. Тем не менее в сентябре был обнаружен уникальный по своей архитектуре троянец, способный заражать BIOS персональных компьютеров. Также широкое распространение получил новый бэкдор для Mac OS X. Наконец, в сентябре значительно увеличилось число фишинговых атак на пользователей социальных сетей.
СенÑÑбÑÑ 2011 года оказалÑÑ Ð´Ð¾ÑÑаÑоÑно ÑÐ¸Ñ Ð¸Ð¼ и не пÑÐ¸Ð½ÐµÑ ÑколÑ-нибÑÐ´Ñ ÑеÑÑезнÑÑ Ð²ÑплеÑков виÑÑÑной акÑивноÑÑи: по вÑей видимоÑÑи, ÑоздаÑели вÑедоноÑного ÐÐ, веÑнÑвÑиÑÑ Ñ Ð»ÐµÑнего оÑдÑÑ Ð°, ÑеÑили поÑвÑÑиÑÑ ÑÐµÐ±Ñ Ð±Ð¾Ð»ÐµÐµ пÑагмаÑиÑнÑм занÑÑиÑм. Тем не менее в ÑенÑÑбÑе бÑл обнаÑÑжен ÑникалÑнÑй по Ñвоей аÑÑ Ð¸ÑекÑÑÑе ÑÑоÑнеÑ, ÑпоÑобнÑй заÑажаÑÑ BIOS пеÑÑоналÑнÑÑ ÐºÐ¾Ð¼Ð¿ÑÑÑеÑов. Также ÑиÑокое ÑаÑпÑоÑÑÑанение полÑÑил новÑй бÑÐºÐ´Ð¾Ñ Ð´Ð»Ñ Mac OS X. ÐаконеÑ, в ÑенÑÑбÑе знаÑиÑелÑно ÑвелиÑилоÑÑ ÑиÑло ÑиÑинговÑÑ Ð°Ñак на полÑзоваÑелей ÑоÑиалÑнÑÑ ÑеÑей.
СпамеÑÑ Ð´ÐµÐ»ÑÑ Ð´ÐµÐ½Ñги ÐаддаÑи
Ð ÑвÑзи Ñ Ð½ÐµÐ´Ð°Ð²Ð½Ð¸Ð¼Ð¸ полиÑиÑеÑкими ÑобÑÑиÑми в Ðивии ÑÑаÑÑилиÑÑ ÑлÑÑаи моÑенниÑеÑÐºÐ¸Ñ Ð¿Ð¾ÑÑовÑÑ ÑаÑÑÑлок, в коÑоÑÑÑ Ð·Ð»Ð¾ÑмÑÑленники пÑедлагаÑÑ Ñвоим жеÑÑвам воÑполÑзоваÑÑÑÑ Ð´ÐµÐ½Ñгами c замоÑоженнÑÑ ÑÑеÑов ÑемÑи ÐаддаÑи.
Ð¡Ñ ÐµÐ¼Ð° моÑенниÑеÑÑва вполне ÑÑандаÑÑна Ð´Ð»Ñ «Ð½Ð¸Ð³ÐµÑийÑÐºÐ¸Ñ Ð¿Ð¸Ñем». ÐиÑего пÑинÑипиалÑно нового ÑпамеÑÑ Ð¿ÑидÑмаÑÑ Ð¿Ð¾ÐºÐ° Ñак и не Ñмогли, однако оÑевидно, ÑÑо они пÑодолжаÑÑ ÑледиÑÑ Ð·Ð° полиÑиÑеÑкой ÑиÑÑаÑией и опеÑаÑивно менÑÑÑ ÑемаÑÐ¸ÐºÑ ÑÐ²Ð¾Ð¸Ñ Ð¿Ð¾Ñланий в ÑооÑвеÑÑÑвии Ñ Ð½Ð¾Ð²Ñми ÑеалиÑми.
Trojan.Bioskit.1 заÑÐ°Ð¶Ð°ÐµÑ BIOS компÑÑÑеÑа
РнаÑале ÑенÑÑбÑÑ Ð² ÑÑки ÑкÑпеÑÑов виÑÑÑной лабоÑаÑоÑии компании «ÐокÑÐ¾Ñ Ðеб» попал пÑимеÑаÑелÑнÑй ÑкземплÑÑ Ð²ÑедоноÑной пÑогÑаммÑ, полÑÑивÑей название Trojan.Bioskit.1. ÐÑоме вÑего пÑоÑего, в него Ð·Ð°Ð»Ð¾Ð¶ÐµÐ½Ñ Ð¼ÐµÑ Ð°Ð½Ð¸Ð·Ð¼Ñ, позволÑÑÑие заÑазиÑÑ BIOS маÑеÑинÑкой плаÑÑ ÐºÐ¾Ð¼Ð¿ÑÑÑеÑа, еÑли он пÑоизведен компанией Award Software.
ÐеÑвонаÑалÑно дÑÐ¾Ð¿Ð¿ÐµÑ ÑÑоÑнÑа Trojan.Bioskit.1 пÑовеÑÑеÑ, запÑÑÐµÐ½Ñ Ð»Ð¸ в опеÑаÑионной ÑиÑÑеме пÑоÑеÑÑÑ Ð½ÐµÑколÑÐºÐ¸Ñ ÐºÐ¸ÑайÑÐºÐ¸Ñ Ð°Ð½ÑивиÑÑÑов. ÐÑли ÑаковÑе обнаÑÑживаÑÑÑÑ, Ñо вÑедоноÑÐ½Ð°Ñ Ð¿ÑогÑамма ÑÐ¾Ð·Ð´Ð°ÐµÑ Ð¿ÑозÑаÑное диалоговое окно, из коÑоÑого оÑÑÑеÑÑвлÑеÑÑÑ Ð²Ñзов ее главной ÑÑнкÑии. ÐаÑем Trojan.Bioskit.1 опÑеделÑÐµÑ Ð²ÐµÑÑÐ¸Ñ Ð¾Ð¿ÐµÑаÑионной ÑиÑÑÐµÐ¼Ñ Ð¸, еÑли ÐµÑ Ð¾ÐºÐ°Ð·ÑваеÑÑÑ ÐС Windows 2000 или вÑÑе (за иÑклÑÑением Windows Vista), пÑÐ¾Ð´Ð¾Ð»Ð¶Ð°ÐµÑ Ð·Ð°Ñажение.
Ð ÑлÑÑае еÑли BIOS компÑÑÑеÑа оÑлиÑаеÑÑÑ Ð¾Ñ Award, ÑÑоÑÐ½ÐµÑ Ð·Ð°ÑÐ°Ð¶Ð°ÐµÑ Master Boot Record, пеÑезапиÑÑÐ²Ð°Ñ Ð¿ÐµÑвÑе 14 ÑекÑоÑов жеÑÑкого диÑка, вклÑÑÐ°Ñ MBR. ÐÑигиналÑнÑй MBR ÑÐ¾Ñ ÑанÑеÑÑÑ Ð² 8 ÑекÑоÑе. ÐÑли же ÑÑоÑнÑÑ ÑдаеÑÑÑ Ð¾Ð¿Ð¾Ð·Ð½Ð°ÑÑ Award BIOS, в дело вÑÑÑÐ¿Ð°ÐµÑ ÑпакованнÑй в ÑеÑÑÑÑÐ°Ñ Ð´ÑоппеÑа дÑÐ°Ð¹Ð²ÐµÑ bios.sys, обладаÑÑий пÑгаÑÑим деÑÑÑÑкÑивнÑм ÑÑнкÑионалом. Рнем Ñеализовано ÑÑи меÑода:
- ÐпознаÑÑ Award BIOS (попÑÑно опÑеделиÑÑ ÑÐ°Ð·Ð¼ÐµÑ ÐµÐ³Ð¾ обÑаза и, Ñамое главное, I/O поÑÑа, ÑеÑез коÑоÑÑй можно пÑогÑаммно заÑÑавиÑÑ ÑгенеÑиÑоваÑÑ SMI (System Management Interrupt) и Ñаким обÑазом иÑполниÑÑ ÐºÐ¾Ð´ в Ñежиме SMM).
- Ð¡Ð¾Ñ ÑаниÑÑ Ð¾Ð±Ñаз BIOS на диÑк в Ñайл c: ios.bin.
- ÐапиÑаÑÑ Ð¾Ð±Ñаз BIOS из Ñайла c: ios.bin.
ÐолÑÑиÑÑ Ð´Ð¾ÑÑÑп и Ñем более пеÑезапиÑаÑÑ Ð¼Ð¸ÐºÑоÑÑ ÐµÐ¼Ñ Ñ BIOS — задаÑа неÑÑивиалÑнаÑ. ÐÐ»Ñ ÑÑого ÑнаÑала Ð½ÐµÐ¾Ð±Ñ Ð¾Ð´Ð¸Ð¼Ð¾ оÑганизоваÑÑ Ð²Ð·Ð°Ð¸Ð¼Ð¾Ð´ÐµÐ¹ÑÑвие Ñ ÑипÑеÑом маÑеÑинÑкой плаÑÑ Ð´Ð»Ñ ÑазÑеÑÐµÐ½Ð¸Ñ Ð´Ð¾ÑÑÑпа к ÑипÑ, заÑем нÑжно опознаÑÑ Ñам Ñип и пÑимениÑÑ Ð·Ð½Ð°ÐºÐ¾Ð¼Ñй Ð´Ð»Ñ Ð½ÐµÐ³Ð¾ пÑоÑокол ÑÑиÑаниÑ/запиÑи даннÑÑ . Ðо авÑÐ¾Ñ ÑÑой вÑедоноÑной пÑогÑÐ°Ð¼Ð¼Ñ Ð¿Ð¾Ñел более легким пÑÑем, пеÑеложив вÑе ÑÑи задаÑи на Ñам BIOS. Ðн воÑполÑзовалÑÑ ÑезÑлÑÑаÑами ÑабоÑÑ ÐºÐ¸ÑайÑкого иÑÑледоваÑелÑ, извеÑÑного под ником Icelord, пÑоделанной еÑе в 2007 годÑ. Тогда пÑи анализе ÑÑилиÑÑ Winflash Ð´Ð»Ñ Award BIOS бÑл обнаÑÑжен пÑоÑÑой ÑпоÑоб пеÑепÑоÑивки микÑоÑÑ ÐµÐ¼Ñ ÑеÑез ÑеÑвиÑ, пÑедоÑÑавлÑемÑй Ñамим BIOS в SMM (System Management Mode). ÐÑогÑаммнÑй код SMM в SMRAM не виден опеÑаÑионной ÑиÑÑеме (еÑли BIOS коÑÑекÑно напиÑан, Ñо доÑÑÑп к ÑÑой памÑÑи им заблокиÑован) и иÑполнÑеÑÑÑ Ð½ÐµÐ·Ð°Ð²Ð¸Ñимо Ð¾Ñ Ð½ÐµÐµ. ÐазнаÑение данного кода веÑÑма ÑазнообÑазно: ÑмÑлÑÑÐ¸Ñ Ð½Ðµ ÑеализованнÑÑ Ð°Ð¿Ð¿Ð°ÑаÑно возможноÑÑей маÑеÑинÑкой плаÑÑ, обÑабоÑка аппаÑаÑнÑÑ Ð¾Ñибок, ÑпÑавление Ñежимами пиÑаниÑ, ÑеÑвиÑнÑе ÑÑнкÑии и Ñ.д.
ÐÐ»Ñ Ð¼Ð¾Ð´Ð¸ÑикаÑии Ñамого обÑаза BIOS Ð´Ð°Ð½Ð½Ð°Ñ Ð²ÑедоноÑÐ½Ð°Ñ Ð¿ÑогÑамма иÑполÑзÑÐµÑ ÑÑилиÑÑ cbrom.exe (Ð¾Ñ Phoenix Technologies), коÑоÑÑÑ, как и вÑе пÑоÑие ÑайлÑ, она неÑÐµÑ Ñ ÑÐµÐ±Ñ Ð² ÑеÑÑÑÑÐ°Ñ . ÐÑи помоÑи ÑÑой ÑÑилиÑÑ ÑÑоÑÐ½ÐµÑ Ð²Ð½ÐµÐ´ÑÑÐµÑ Ð² обÑаз Ñвой модÑÐ»Ñ hook.rom в каÑеÑÑве ISA BIOS ROM. ÐаÑем Trojan.Bioskit.1 оÑÐ´Ð°ÐµÑ ÑÐ²Ð¾ÐµÐ¼Ñ Ð´ÑайвеÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ Ð¿ÐµÑепÑоÑиÑÑ BIOS из обновленного Ñайла.
ÐÑи ÑледÑÑÑей пеÑезагÑÑзке компÑÑÑеÑа в пÑоÑеÑÑе иниÑиализаÑии BIOS бÑÐ´ÐµÑ Ð²ÑзÑваÑÑ Ð²Ñе имеÑÑиеÑÑ PCI Expansion ROM, в Ñом ÑиÑле и hook.rom. ÐÑедоноÑнÑй код из ÑÑого модÑÐ»Ñ ÐºÐ°Ð¶Ð´Ñй Ñаз пÑовеÑÑÐµÑ Ð·Ð°ÑаженноÑÑÑ MBR и пеÑезаÑÐ°Ð¶Ð°ÐµÑ ÐµÐµ в ÑлÑÑае Ð½ÐµÐ¾Ð±Ñ Ð¾Ð´Ð¸Ð¼Ð¾ÑÑи. СледÑÐµÑ Ð¾ÑмеÑиÑÑ, ÑÑо налиÑие в ÑиÑÑеме Award BIOS вовÑе не гаÑанÑиÑÑÐµÑ Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ÑÑÑ Ð·Ð°ÑÐ°Ð¶ÐµÐ½Ð¸Ñ Ð´Ð°Ð½Ð½Ñм ÑÑоÑнÑем. Так, из ÑÑÐµÑ Ð¿ÑовеÑеннÑÑ Ð² виÑÑÑной лабоÑаÑоÑии маÑеÑинÑÐºÐ¸Ñ Ð¿Ð»Ð°Ñ Ð·Ð°ÑазиÑÑ ÑдалоÑÑ ÑолÑко однÑ, а в двÑÑ Ð´ÑÑÐ³Ð¸Ñ Ð² памÑÑи BIOS баналÑно не Ñ Ð²Ð°Ñило меÑÑа Ð´Ð»Ñ Ð·Ð°Ð¿Ð¸Ñи нового модÑлÑ.
ÐелÑÐ·Ñ Ð½ÐµÐ´Ð¾Ð¾ÑениваÑÑ Ð¾Ð¿Ð°ÑноÑÑÑ Ð¿Ð¾Ð´Ð¾Ð±Ð½Ð¾Ð³Ð¾ Ñода ÑгÑоз, оÑобенно Ñ ÑÑеÑом Ñого, ÑÑо в бÑдÑÑем возможно поÑвление более ÑовеÑÑеннÑÑ Ð¼Ð¾Ð´Ð¸ÑикаÑий данной ÑÑоÑнÑкой пÑогÑаммÑ, либо виÑÑÑов, дейÑÑвÑÑÑÐ¸Ñ Ð¿Ð¾ ÑÑ Ð¾Ð¶ÐµÐ¼Ñ Ð°Ð»Ð³Ð¾ÑиÑмÑ. РнаÑÑоÑÑий Ð¼Ð¾Ð¼ÐµÐ½Ñ Ð² анÑивиÑÑÑное ÐÐ Dr.Web добавлено деÑекÑиÑование и леÑение MBR, ÑиÑÑемнÑÑ Ñайлов и ÑайловÑÑ ÐºÐ¾Ð¼Ð¿Ð¾Ð½ÐµÐ½Ñов виÑÑÑа.
BackDoor.Flashback — бÑÐºÐ´Ð¾Ñ Ð´Ð»Ñ MacOS
BackDoor.Flashback ÑÑал ÑеÑвеÑÑÑм извеÑÑнÑм бÑкдоÑом Ð´Ð»Ñ Ð¾Ð¿ÐµÑаÑионной ÑиÑÑÐµÐ¼Ñ MacOS X, однако в оÑлиÑие Ð¾Ñ ÑÐ²Ð¾Ð¸Ñ Ð¿ÑедÑеÑÑвенников, ÑÐ°ÐºÐ¸Ñ ÐºÐ°Ðº, напÑимеÑ, вÑедоноÑÐ½Ð°Ñ Ð¿ÑогÑамма BackDoor.Olyx, полÑÑил ÑÑезвÑÑайно ÑазвиÑÑй ÑÑнкÑионал и ÑложнÑÑ Ð°ÑÑ Ð¸ÑекÑÑÑÑ. ÐÑоме Ñого, ÑÑо пеÑвое в Ñвоем Ñоде вÑедоноÑное пÑиложение данного Ñипа Ð´Ð»Ñ Mac OS, полÑÑивÑее ÑиÑокое ÑаÑпÑоÑÑÑанение и ÑеализÑÑÑее Ñ Ð¾ÑоÑо пÑодÑманнÑÑ ÑÑ ÐµÐ¼Ñ Ð¿Ð¾ ÑаÑпÑоÑÑÑÐ°Ð½ÐµÐ½Ð¸Ñ Ð¸ поддеÑÐ¶Ð°Ð½Ð¸Ñ Ð¶Ð¸Ð²ÑÑеÑÑи боÑов.
УÑÑановÑик данной ÑÑоÑнÑкой пÑогÑÐ°Ð¼Ð¼Ñ Ð¼Ð°ÑкиÑÑеÑÑÑ Ð¿Ð¾Ð´ инÑÑаллÑÑÐ¾Ñ Ð¿ÑоигÑÑваÑÐµÐ»Ñ Adobe Flash Player. ÐÑи поÑеÑении полÑзоваÑелем ÑаÑпÑоÑÑÑанÑÑÑего вÑедоноÑное ÐÐ ÑайÑа на ÑкÑане его компÑÑÑеÑа Ð²Ð¾Ð·Ð½Ð¸ÐºÐ°ÐµÑ ÑообÑение об оÑибке пÑоигÑÑваÑÐµÐ»Ñ Adobe Flash, поÑле Ñего полÑзоваÑÐµÐ»Ñ Ð¿ÑедлагаеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ ÐµÐ³Ð¾ веÑÑиÑ.
ÐÑли он ÑоглаÑаеÑÑÑ Ð²ÑполниÑÑ ÑÑо обновление, оÑÑÑеÑÑвлÑеÑÑÑ ÑепоÑка ÑедиÑекÑов, коÑоÑÐ°Ñ Ð·Ð°Ð²ÐµÑÑаеÑÑÑ Ð¿Ñедложением загÑÑзиÑÑ Ð¸ ÑÑÑановиÑÑ Ð°ÑÑ Ð¸Ð², ÑодеÑжаÑий Ñайл Ñ Ð¸Ð¼ÐµÐ½ÐµÐ¼ FlashPlayer-11-macos.pkg (ÑÑÐ¾Ñ Ð°ÑÑ Ð¸Ð² загÑÑжаеÑÑÑ ÑолÑко в Ñом ÑлÑÑае, еÑли клиенÑÑÐºÐ°Ñ Ð¾Ð¿ÐµÑаÑÐ¸Ð¾Ð½Ð½Ð°Ñ ÑиÑÑема — MacOS X Lion). ÐаÑем наÑинаеÑÑÑ Ð¿ÑоÑеÑÑ Ð¸Ð½ÑÑаллÑÑии «Ð¿ÑоигÑÑваÑелѻ, по завеÑÑении коÑоÑого Ð¿Ð°ÐºÐµÑ ÑдалÑеÑÑÑ, а в Ð¿Ð°Ð¿ÐºÑ /Library/Preferences/ ÑÑÑанавливаеÑÑÑ Ð¾Ñновной ÐºÐ¾Ð¼Ð¿Ð¾Ð½ÐµÐ½Ñ Preferences.dylib, ÑеализÑÑÑий в ÑиÑÑеме ÑÑнкÑии бÑкдоÑа и ÑпоÑобнÑй вÑполнÑÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ, поÑÑÑпаÑÑие Ð¾Ñ Ð¼Ð½Ð¾Ð³Ð¾ÑиÑленнÑÑ ÑдаленнÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ð½ÑÑ ÑенÑÑов. СледÑÐµÑ Ñакже оÑмеÑиÑÑ, ÑÑо в бÑкдоÑе пÑедÑÑмоÑÑено полÑÑение дополниÑелÑнÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´ из ÑообÑений на ÑеÑвеÑе mobile.twitter.com.
ÐÑновное ÑÑнкÑионалÑное назнаÑение Preferences.dylib кÑоеÑÑÑ Ð² вÑполнении ÑазлиÑнÑÑ Ð´Ð¸ÑекÑив, поÑÑÑпаÑÑÐ¸Ñ Ð¾Ñ Ñдаленного командного ÑенÑÑа, в Ñом ÑиÑле и лÑбÑÑ ÑÑандаÑÑнÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´ оболоÑки shell. Также библиоÑека пÑедназнаÑена Ð´Ð»Ñ Ð¸Ð½ÑегÑиÑÐ¾Ð²Ð°Ð½Ð¸Ñ Ð² пÑоÑмаÑÑиваемÑе полÑзоваÑелем веб-ÑÑÑаниÑÑ ÐºÐ¾Ð´Ð° на ÑзÑке JavaScript.
ÐÑ Ð¾Ñа за подполÑнÑми ÑайÑами
РнаÑале ÑенÑÑбÑÑ 2011 года ÑпеÑиалиÑÑами компании «ÐокÑÐ¾Ñ Ðеб» бÑл пÑоведен ÑÑд пÑоÑилакÑиÑеÑÐºÐ¸Ñ Ð¼ÐµÑопÑиÑÑий, благодаÑÑ ÐºÐ¾ÑоÑÑм ÑдалоÑÑ Ð²ÑÑвиÑÑ Ð¸ добавиÑÑ Ð² Ð±Ð°Ð·Ñ Ð Ð¾Ð´Ð¸ÑелÑÑкого конÑÑÐ¾Ð»Ñ Ð±Ð¾Ð»ÑÑое колиÑеÑÑво ÑайÑов, ÑодеÑжаÑÐ¸Ñ Ð¼Ð°ÑеÑÐ¸Ð°Ð»Ñ Ð¿Ð¾ÑногÑаÑиÑеÑкого Ñ Ð°ÑакÑеÑа либо ÑеализÑÑÑÐ¸Ñ ÑазлиÑнÑе ÑÑ ÐµÐ¼Ñ Ð¿Ð¾Ð´Ð¿Ð¾Ð»Ñного бизнеÑа.
Ð ÑаÑпоÑÑжении аналиÑиков оказалÑÑ ÑпиÑок доменов, на коÑоÑÑе оÑÑÑеÑÑвлÑлоÑÑ Ð¿ÐµÑенапÑавление полÑзоваÑелей Ñ Ð¿Ð¾Ð´Ð²ÐµÑгÑÐ¸Ñ ÑÑ Ð²Ð·Ð»Ð¾Ð¼Ñ Ð¸Ð½ÑеÑнеÑ-ÑеÑÑÑÑов. ÐÑоанализиÑовав ÑÑÑ Ð¸Ð½ÑоÑмаÑиÑ, ÑпеÑиалиÑÑÑ ÐºÐ¾Ð¼Ð¿Ð°Ð½Ð¸Ð¸ вÑÑÑнили, ÑÑо на каждом из IP-адÑеÑов ÑÐ°ÐºÐ¸Ñ Ñзлов, как пÑавило, ÑазмеÑаеÑÑÑ ÐµÑе неÑколÑко ÑайÑов. Ðногие из Ð¸Ñ ÑиÑла коÑоÑÑÑ ÑодеÑÐ¶Ð°Ñ ÑазлиÑнÑй ÑомниÑелÑнÑй конÑÐµÐ½Ñ — подделÑнÑе ÑлÑÐ¶Ð±Ñ Ñайлового обмена, а Ñакже ÑайÑÑ, пÑедлагаÑÑие на плаÑной оÑнове ÑазлиÑнÑе ÑÑлÑги, напÑимеÑ, гаданиÑ, Ñ Ð¸ÑоманÑиÑ, Ð¿Ð¾Ð´Ð±Ð¾Ñ Ð´Ð¸ÐµÑ, ÑоÑÑавление ÑодоÑловнÑÑ , поиÑк ÑгнаннÑÑ Ð°Ð²Ñомобилей и даже леÑение Ð¾Ñ Ð¿ÑÑÑей. ÐÑÑÑеÑалиÑÑ ÑÑеди Ð½Ð¸Ñ Ð¸ оÑкÑовенно поÑногÑаÑиÑеÑкие ÑеÑÑÑÑÑ. ÐножеÑÑво подобнÑÑ Ð²ÐµÐ±-ÑайÑов ÑодеÑжало ÑÑÑлки на дÑÑгие ÑзлÑ, Ð´Ð»Ñ ÐºÐ¾ÑоÑÑÑ Ñакже ÑоÑÑавлÑлÑÑ ÑпиÑок ÑоÑедÑÑвÑÑÑÐ¸Ñ Ñ Ð½Ð¸Ð¼Ð¸ на одном Ñ Ð¾ÑÑе ÑайÑов. ÐÑе полÑÑеннÑе ÑÑÑлки пÑовеÑÑлиÑÑ Ð²ÑÑÑнÑÑ. Таким обÑазом бÑла вÑÑвлена ÑÐµÐ»Ð°Ñ ÑеÑÑ, ÑоÑÑоÑÑÐ°Ñ Ð¸Ð· ÑайÑов ÑомниÑелÑного ÑодеÑжаниÑ. Ðдин из ÑÑагменÑов Ñакой ÑеÑи показан на пÑедложенной ниже иллÑÑÑÑаÑии.
ÐолÑÑинÑÑво вÑÑвленнÑÑ IP-адÑеÑов пÑинадлежали пÑовайдеÑам из ÐеликобÑиÑании, ÐидеÑландов, ÐиÑгинÑÐºÐ¸Ñ Ð¾ÑÑÑовов, ÐибÑалÑаÑа, и лиÑÑ Ð½ÐµÐ·Ð½Ð°ÑиÑелÑÐ½Ð°Ñ Ð¸Ñ ÑаÑÑÑ ÑаÑполагалаÑÑ Ð½Ð° ÑеÑÑиÑоÑии РоÑÑийÑкой ФедеÑаÑии. ÐбнаÑÑженнÑе в Ñ Ð¾Ð´Ðµ пÑовеÑки адÑеÑа бÑли Ð´Ð¾Ð±Ð°Ð²Ð»ÐµÐ½Ñ Ð² ÑпиÑки РодиÑелÑÑкого конÑÑÐ¾Ð»Ñ Dr.Web. ÐÐ¾Ð¼Ð¿Ð°Ð½Ð¸Ñ «ÐокÑÐ¾Ñ Ðеб» оÑмеÑаеÑ, ÑÑо подобнÑе меÑопÑиÑÑÐ¸Ñ Ð¿Ð¾ блокиÑовке ÑайÑов ÑомниÑелÑного ÑодеÑÐ¶Ð°Ð½Ð¸Ñ Ð±ÑдÑÑ Ð¿ÑоводиÑÑÑÑ Ð¸ в далÑнейÑем.
«Ð ÐонÑакÑе»: оÑеннее обоÑÑÑение
СеÑедина ÑенÑÑбÑÑ Ð±Ñла оÑмеÑена новÑми ÑлÑÑаÑми ÑиÑинговÑÑ Ð°Ñак на полÑзоваÑелей «Ð ÐонÑакÑе». ÐпеÑвÑе ÑелÑÑ ÑеÑевÑÑ Ð¼Ð¾Ñенников ÑÑали поклонники попÑлÑÑной онлайн-игÑÑ «Ð Ðогиле», вÑÑÑоенной в ÑÑÑ ÑоÑиалÑнÑÑ ÑеÑÑ. ÐлоÑмÑÑленники вÑбиÑали в каÑеÑÑве жеÑÑÐ²Ñ Ð½Ð°Ð¸Ð±Ð¾Ð»ÐµÐµ опÑÑнÑÑ Ð¸Ð³Ñоков. ÐаÑем они оÑпÑавлÑли им лиÑное ÑообÑение Ñ Ð¿Ñедложением воÑполÑзоваÑÑÑÑ «ÑÑзвимоÑÑÑÑ» игÑÑ «Ð Ðогиле», коÑоÑÐ°Ñ ÑÐºÐ¾Ð±Ñ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ Ð±ÐµÑплаÑно полÑÑиÑÑ Ð¸Ð³ÑовÑе пÑедмеÑÑ, обÑÑно доÑÑÑпнÑе ÑолÑко за денÑги. ÐÐ»Ñ ÑÑого жеÑÑве пÑедлагалоÑÑ Ð·Ð°Ð³ÑÑзиÑÑ Ð¸ ÑÑÑановиÑÑ ÑпеÑиалÑное пÑиложение. ÐÑли жеÑÑва ÑоглаÑалаÑÑ Ð²Ð¾ÑполÑзоваÑÑÑÑ ÑÑÐ¾Ð»Ñ Ð·Ð°Ð¼Ð°Ð½ÑивÑм пÑедложением, вÑе далÑнейÑее обÑение ÑеÑевÑе моÑенники пеÑеноÑÑÑ Ð² Skype. ÐÑÐ±Ð¾Ñ Ð´Ð°Ð½Ð½Ð¾Ð³Ð¾ ÑÑедÑÑва коммÑникаÑии обÑÑловлен Ñем, ÑÑо ÑÑаÑик Skype не поддаеÑÑÑ ÑилÑÑÑаÑии в оÑлиÑие Ð¾Ñ Ð´ÑÑÐ³Ð¸Ñ Ð¿ÑоÑоколов мгновенного обмена ÑообÑениÑми, ÑÐ°ÐºÐ¸Ñ ÐºÐ°Ðº ICQ или Jabber.
Ð Ñ Ð¾Ð´Ðµ далÑнейÑего обÑÐµÐ½Ð¸Ñ Ð·Ð»Ð¾ÑмÑÑленники пÑедлагаÑÑ Ð¶ÐµÑÑве ÑкаÑаÑÑ Ð¸ ÑÑÑановиÑÑ Ð¿Ñиложение bag_vmogile.exe, под видом коÑоÑого ÑаÑпÑоÑÑÑанÑеÑÑÑ ÑÑоÑнÑÐºÐ°Ñ Ð¿ÑогÑамма Trojan.KeyLogger.9754, пÑедназнаÑÐµÐ½Ð½Ð°Ñ Ð´Ð»Ñ Ð¿ÐµÑÐµÑ Ð²Ð°Ñа нажаÑий ÐºÐ»Ð°Ð²Ð¸Ñ Ð¸ оÑпÑавки на ÑдаленнÑй FTP-ÑеÑÐ²ÐµÑ ÑкÑаденнÑÑ Ñаким обÑазом паÑолей. ÐÑи попÑÑке оÑкÑÑÑÑ Ð´Ð°Ð½Ð½Ñй Ñайл пÑоиÑÑ Ð¾Ð´Ð¸Ñ Ð¼Ð³Ð½Ð¾Ð²ÐµÐ½Ð½Ð¾Ðµ заÑажение компÑÑÑеÑа.
ÐÑоме Ñого, ÑеÑевÑе моÑенники пÑодолжаÑÑ ÑкÑплÑаÑиÑоваÑÑ ÑиÑоко извеÑÑнÑй меÑод ÑиÑинга Ñ Ð¸ÑполÑзованием ÑÑнкÑии «ÐокÑменÑÑ» ÑоÑиалÑной ÑеÑи «Ð конÑакÑе». ÐиÑего не подозÑеваÑÑÐµÐ¼Ñ Ð¿Ð¾Ð»ÑзоваÑÐµÐ»Ñ Ð¾ÑÑÑлаеÑÑÑ Ð»Ð¸Ñное ÑообÑение, вклÑÑаÑÑее ÑÑÑÐ»ÐºÑ Ð½Ð° ÑкаÑивание докÑменÑа Word, в коÑоÑом ÑодеÑжиÑÑÑ Ð¿Ð¾Ð´ÑÐ¾Ð±Ð½Ð°Ñ Ð¸Ð½ÑÑÑÑкÑÐ¸Ñ Ð¿Ð¾ ÑÑÑановке ÑпеÑиалÑной пÑогÑаммÑ, ÑÐºÐ¾Ð±Ñ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÑÑей пÑоÑмаÑÑиваÑÑ ÑиÑло поÑеÑиÑелей его ÑÑÑаниÑки в ÑоÑиалÑной ÑеÑи. Ðод видом ÑÑой пÑогÑÐ°Ð¼Ð¼Ñ ÑаÑпÑоÑÑÑанÑеÑÑÑ ÑÑоÑÐ½ÐµÑ BackDoor.Piranha.2, Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÐºÐ¾ÑоÑого злоÑмÑÑленники Ñоздали неÑколÑко ÑÑпеÑно дейÑÑвÑÑÑÐ¸Ñ Ð² наÑÑоÑÑий Ð¼Ð¾Ð¼ÐµÐ½Ñ Ð±Ð¾Ñ-ÑеÑей. ÐÑ Ð² оÑеÑедной Ñаз пÑизÑваем полÑзоваÑелей пÑоÑвлÑÑÑ Ð±Ð´Ð¸ÑелÑноÑÑÑ Ð¸ не ÑÑÑанавливаÑÑ Ð½Ð° компÑÑÑеÑе Ð½Ð¸ÐºÐ°ÐºÐ¸Ñ Ð¿Ñиложений, пÑиÑланнÑÑ Ð½ÐµÐ·Ð½Ð°ÐºÐ¾Ð¼Ñми оÑпÑавиÑелÑми или даже лÑдÑми, заÑегиÑÑÑиÑованнÑми в ÑпиÑке дÑÑзей, поÑколÑÐºÑ Ð¸Ñ ÑÑеÑнÑе запиÑи могÑÑ Ð±ÑÑÑ Ð²Ð·Ð»Ð¾Ð¼Ð°Ð½Ñ Ð·Ð»Ð¾ÑмÑÑленниками.
СенÑÑбÑÑÑкие ÑгÑÐ¾Ð·Ñ Ð´Ð»Ñ Android
Ð ÑенÑÑбÑе ÑпеÑиалиÑÑами компании «ÐокÑÐ¾Ñ Ðеб» в виÑÑÑнÑе Ð±Ð°Ð·Ñ Ð±Ñло добавлено 115 новÑÑ Ð·Ð°Ð¿Ð¸Ñей, ÑооÑвеÑÑÑвÑÑÑÐ¸Ñ ÑгÑозам Ð´Ð»Ñ Ð¼Ð¾Ð±Ð¸Ð»Ñной опеÑаÑионной ÑиÑÑÐµÐ¼Ñ Android. ÐбÑолÑÑнÑм лидеÑом ÑÑеди Ð²Ð½Ð¾Ð²Ñ Ð²ÑÑвленнÑÑ ÑгÑоз ÑвлÑÑÑÑÑ Ð²ÑедоноÑнÑе пÑогÑÐ°Ð¼Ð¼Ñ ÑемейÑÑва Android.SmsSend (92 запиÑи), на вÑоÑом меÑÑе Ñ 6 запиÑÑми ÑаÑположилоÑÑ ÑемейÑÑво Android.Imlog, далее ÑледÑÑÑ Android.Ddlight (4 запиÑи), Android.Typnotify (3 запиÑи), а Ñакже Android.Geinimi, Android.Flexispy и Android.Backdoor (по 2 запиÑи).
Ðомимо оÑмеÑеннÑÑ Ð²ÑÑе 115 виÑÑÑнÑÑ Ð·Ð°Ð¿Ð¸Ñей, обÑабоÑаннÑÑ ÑпеÑиалиÑÑами вÑÑÑнÑÑ, 58 ÑазновидноÑÑей ÑгÑоз Ð´Ð»Ñ Android бÑло вÑÑвлено авÑомаÑиÑеÑки пÑи помоÑи ÑÐµÑ Ð½Ð¾Ð»Ð¾Ð³Ð¸Ð¸ Origin Tracing, о коÑоÑой Ð¼Ñ Ñже пиÑали в одном из ÑÐ²Ð¾Ð¸Ñ Ð¾Ð±Ð·Ð¾Ñов. СÑеди ÑÐ°ÐºÐ¸Ñ Ð²ÑедоноÑнÑÑ Ð¿ÑогÑамм, ÑаÑпознаÑÑ ÐºÐ¾ÑоÑÑе помогла ÑÐµÑ Ð½Ð¾Ð»Ð¾Ð³Ð¸Ñ Origin Tracing — 18 модиÑикаÑий Android.SmsSend, 7 модиÑикаÑий Android.Gongfu, по 5 модиÑикаÑий Android.Plankton и Android.Spy, 4 Android.DreamExploid и 3 веÑÑии Android.Geinimi.
РкаÑеÑÑве одной из наиболее инÑеÑеÑнÑÑ ÑгÑоз Ð´Ð»Ñ Ð´Ð°Ð½Ð½Ð¾Ð¹ плаÑÑоÑÐ¼Ñ ÑледÑÐµÑ Ð½Ð°Ð·Ð²Ð°ÑÑ ÑÑоÑнÑа Android.SpyEye.1. РиÑÐºÑ Ð·Ð°ÑÐ°Ð¶ÐµÐ½Ð¸Ñ ÑÑой вÑедоноÑной пÑогÑаммой подвеÑÐ¶ÐµÐ½Ñ Ð² пеÑвÑÑ Ð¾ÑеÑÐµÐ´Ñ Ð¿Ð¾Ð»ÑзоваÑели, компÑÑÑеÑÑ ÐºÐ¾ÑоÑÑÑ Ñже инÑиÑиÑÐ¾Ð²Ð°Ð½Ñ ÑÑоÑнÑкой пÑогÑаммой SpyEye. ÐÑи обÑаÑении к ÑазлиÑнÑм банковÑким ÑайÑам, адÑеÑа коÑоÑÑÑ Ð¿ÑиÑÑÑÑÑвÑÑÑ Ð² конÑигÑÑаÑионном Ñайле ÑÑоÑнÑа, в пÑоÑмаÑÑиваемÑÑ Ð¿Ð¾Ð»ÑзоваÑелем веб-ÑÑÑаниÑÑ Ð¾ÑÑÑеÑÑвлÑеÑÑÑ Ð¸Ð½ÑекÑÐ¸Ñ Ð¿Ð¾ÑÑоÑоннего ÑодеÑжимого, коÑоÑое Ð¼Ð¾Ð¶ÐµÑ Ð²ÐºÐ»ÑÑаÑÑ ÑазлиÑнÑй ÑекÑÑ Ð¸Ð»Ð¸ веб-ÑоÑмÑ. Таким обÑазом, ниÑего не подозÑеваÑÑÐ°Ñ Ð¶ÐµÑÑва оÑкÑÑÐ²Ð°ÐµÑ Ð² бÑаÑзеÑе наÑÑолÑного компÑÑÑеÑа или ноÑÑбÑка веб-ÑÑÑаниÑÑ Ð±Ð°Ð½ÐºÐ°, в коÑоÑом Ñ Ð½ÐµÐµ имееÑÑÑ ÑÑеÑ, и обнаÑÑÐ¶Ð¸Ð²Ð°ÐµÑ ÑообÑение о Ñом, ÑÑо банком Ð²Ð²ÐµÐ´ÐµÐ½Ñ Ð² дейÑÑвие новÑе меÑÑ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи, без ÑоблÑÐ´ÐµÐ½Ð¸Ñ ÐºÐ¾ÑоÑÑÑ Ð¿Ð¾Ð»ÑзоваÑÐµÐ»Ñ Ð½Ðµ ÑÐ¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð»ÑÑиÑÑ Ð´Ð¾ÑÑÑп к ÑиÑÑеме «Ðанк-Ðлиенѻ. ÐÐ»Ñ ÑÑого он должен ÑÑÑановиÑÑ Ð½Ð° Ñвой мобилÑнÑй ÑелеÑон ÑпеÑиалÑное пÑиложение, коÑоÑое ÑÐºÐ¾Ð±Ñ Ð·Ð°ÑиÑÐ¸Ñ ÐµÐ³Ð¾ Ð¾Ñ Ð¿ÐµÑÐµÑ Ð²Ð°Ñа СÐС-ÑообÑений. Ðиже на пÑоÑмаÑÑиваемой полÑзоваÑелем ÑÑÑаниÑе пÑиводиÑÑÑ ÑÑÑлка на ÑÑÑ Ð¿ÑогÑаммÑ, ÑаÑпÑоÑÑÑанÑемÑÑ Ð¿Ð¾Ð´ именем simseg.apk. Ð Ð°Ð·Ð¼ÐµÑ Ð²ÑедоноÑной пÑогÑÐ°Ð¼Ð¼Ñ ÑоÑÑавлÑÐµÑ Ð¿Ð¾ÑÑдка 20 ÐбайÑ.
ÐоÑле загÑÑзки и инÑÑаллÑÑии на мобилÑном ÑÑÑÑойÑÑве данное пÑиложение не оÑобÑажаеÑÑÑ Ð² ÑпиÑке ÑÑÑановленнÑÑ Ð¿ÑогÑамм: Ð´Ð»Ñ Ñого ÑÑÐ¾Ð±Ñ ÐµÐ³Ð¾ оÑÑÑкаÑÑ, полÑзоваÑÐµÐ»Ñ Ð¿ÑидеÑÑÑ Ð¿ÐµÑейÑи в ÑиÑÑемнÑй Ð°Ð¿Ð¿Ð»ÐµÑ «ÐаÑÑÑойки», оÑкÑÑÑÑ Ñаздел «ÐÑиложениѻ и вÑбÑаÑÑ Ð¾Ð¿ÑÐ¸Ñ «Ð£Ð¿Ñавление пÑиложениÑми». ÐÑедоноÑÐ½Ð°Ñ Ð¿ÑогÑамма ÑкÑÑваеÑÑÑ Ð¿Ð¾Ð´ знаÑком «Ð¡Ð¸ÑÑема».
ÐÐ»Ñ Ñого ÑÑÐ¾Ð±Ñ «Ð°ÐºÑивиÑоваÑÑ» данное пÑиложение ÑоглаÑно пÑедлагаемой злоÑмÑÑленниками инÑÑÑÑкÑии, полÑзоваÑÐµÐ»Ñ Ð´Ð¾Ð»Ð¶ÐµÐ½ вÑполниÑÑ Ñо Ñвоего ÑÑÑÑойÑÑва ÑелеÑоннÑй звонок на Ð½Ð¾Ð¼ÐµÑ 325000. Android.SpyEye.1 пеÑÐµÑ Ð²Ð°ÑÑÐ²Ð°ÐµÑ ÑÑÐ¾Ñ Ð·Ð²Ð¾Ð½Ð¾Ðº и демонÑÑÑиÑÑÐµÑ Ð½Ð° ÑкÑане мобилÑного ÑÑÑÑойÑÑва «ÐºÐ¾Ð´ акÑиваÑии», коÑоÑÑй ÑÐºÐ¾Ð±Ñ Ð¿Ð¾ÑÑебÑеÑÑÑ Ð²Ð²ÐµÑÑи на банковÑком ÑайÑе впоÑледÑÑвии, — ÑÑÐ¾Ñ ÐºÐ¾Ð´ вÑегда один и ÑÐ¾Ñ Ð¶Ðµ и пÑедÑÑавлÑÐµÑ Ñобой ÑиÑло 251340.
ÐоÑле ÑÑого вÑе полÑÑаемÑе владелÑÑем инÑиÑиÑованного ÑÑÑÑойÑÑва Ð²Ñ Ð¾Ð´ÑÑие СÐС-ÑообÑÐµÐ½Ð¸Ñ Ð±ÑдÑÑ Ð¿ÐµÑÐµÑ Ð²Ð°ÑÑваÑÑÑÑ ÑÑоÑнÑем и пеÑенапÑавлÑÑÑÑÑ Ð·Ð»Ð¾ÑмÑÑленникам.
ÐинлокеÑÑ Ð¿Ð¾ÑÑнÑлиÑÑ Ð½Ð° Ðапад
Ðз дÑÑÐ³Ð¸Ñ Ð·Ð°Ð¼ÐµÑнÑÑ ÑобÑÑий ÑенÑÑбÑÑ Ð¼Ð¾Ð¶Ð½Ð¾ оÑмеÑиÑÑ Ñо обÑÑоÑÑелÑÑÑво, ÑÑо пÑогÑаммÑ-вÑмогаÑели, блокиÑÑÑÑие ÑабоÑÑ Windows, Ñ Ð½Ð°ÑÑÑплением оÑени поÑÑнÑлиÑÑ Ð² ÑеплÑе кÑаÑ, а именно — оÑваиваÑÑ Ð¿ÑоÑÑоÑÑ Ð·Ð°ÑÑбежного ÐнÑеÑнеÑа. СнаÑала бÑло заÑикÑиÑовано поÑвление неÑколÑÐºÐ¸Ñ Ð¼Ð¾Ð´Ð¸ÑикаÑий винлокеÑов, оÑÐ½Ð¾Ð²Ð½Ð°Ñ Ð¾ÑобенноÑÑÑ ÐºÐ¾ÑоÑÑÑ Ð·Ð°ÐºÐ»ÑÑалаÑÑ Ð² Ñом, ÑÑо блокиÑÑÑÑее ÑкÑан полÑзоваÑÐµÐ»Ñ Ð¾ÐºÐ½Ð¾ ÑодеÑÐ¶Ð¸Ñ Ð¿Ð¾Ñлание, не пÑоÑÑо напиÑанное на ÑооÑвеÑÑÑвÑÑÑем ÑзÑке, но и подпиÑанное ÑÐºÐ¾Ð±Ñ ÑпÑавлением полиÑии ÑÑÑанÑ, в коÑоÑой пÑÐ¾Ð¶Ð¸Ð²Ð°ÐµÑ Ð¶ÐµÑÑва: Ð´Ð»Ñ ÐеÑмании ÑÑо Bundespolizei, Ð´Ð»Ñ ÐеликобÑиÑании — The Mertopolitan Police, Ð´Ð»Ñ ÐÑпании — La Policia Espanola. Ðо вÑÐµÑ ÑлÑÑаÑÑ Ð¿Ð¾Ð»ÑзоваÑÐµÐ»Ñ Ð¾Ð±Ð²Ð¸Ð½ÑÑÑ Ð² поÑеÑении незаконнÑÑ Ð²ÐµÐ±-ÑайÑов поÑногÑаÑиÑеÑкого Ñ Ð°ÑакÑеÑа и пÑедлагаÑÑ Ð¾Ð¿Ð»Ð°ÑиÑÑ «ÑÑÑаѻ Ñ Ð¸ÑполÑзованием одной из ÑаÑпÑоÑÑÑаненнÑÑ Ð² данной ÑÑÑане плаÑежнÑÑ ÑиÑÑем.
ÐаÑем ÑиÑокое ÑаÑпÑоÑÑÑанение полÑÑила модиÑикаÑÐ¸Ñ Ð¿ÑогÑаммÑ-вÑмогаÑелÑ, инÑиÑиÑÑÑÑÐ°Ñ Ð³Ð»Ð°Ð²Ð½ÑÑ Ð·Ð°Ð³ÑÑзоÑнÑÑ Ð·Ð°Ð¿Ð¸ÑÑ Ð¸ Ð´Ð¾Ð±Ð°Ð²Ð»ÐµÐ½Ð½Ð°Ñ Ð² виÑÑÑнÑе Ð±Ð°Ð·Ñ Ð¿Ð¾Ð´ именем Trojan.MBRlock.15. ÐÑÐ¾Ñ ÑÑоÑÐ½ÐµÑ Ñакже демонÑÑÑиÑÑÐµÑ Ð½Ð° ÑкÑане ÑообÑение на английÑком ÑзÑке, ÑодеÑжаÑее ÑÑебование заплаÑиÑÑ Ð·Ð° ÑазблокиÑÐ¾Ð²ÐºÑ ÑиÑÑÐµÐ¼Ñ 20 евÑо Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ Ð¾Ð´Ð½Ð¾Ð¹ из ÑаÑпÑоÑÑÑаненнÑÑ Ð½Ð° ÑеÑÑиÑоÑии ÐвÑÐ¾Ð¿Ñ Ð¿Ð»Ð°ÑежнÑÑ ÑиÑÑем.
ÐолÑзоваÑели, ÑÑавÑие жеÑÑвой Trojan.MBRlock, могÑÑ Ð²Ð¾ÑполÑзоваÑÑÑ