Под чужой личиной

В декабре прошлого года, согласно статистике "Лаборатории Касперского", доля спама в почтовом трафике по сравнению с ноябрем увеличилась на 7,7% и составила в среднем 81,4%. Вредоносные файлы содержались в 0,29% электронных сообщений, что на 2% меньше, чем было месяцем ранее.

Ссылки на фишинговые сайты находились в 0,78% всех электронных писем. Доля спама с графическими вложениями несколько выросла и составила 11%. Спамеры активно использовали файлохранилища и блоги для размещения рекламной информации. Примечательно, что в нелегитимных рассылках использовалось имя Барака Обамы.

Другой известный борец с вирусами - компания "Доктор Веб" - также отметила тот факт, что во второй половине декабря возросло число спам-рассылок. Продолжились и фишинг-рассылки - сообщения, замаскированные под послания солидных сайтов и завлекающие пользователей на страницы злоумышленников. Киберпреступниками активно эксплуатировались социальные сети вроде известных "Одноклассников". Появились и новые методы, используемые SMS-мошенниками.

В декабре вышло очередное критическое обновление для ОС семейства Windows, которое закрыло уязвимость в обработчике документов в формате XML. Причиной оперативного выпуска обновления стало распространение эксплойта, который использовал эту уязвимость. Данный эксплойт по классификации Dr.Web имеет название Exploit.CVE2008.4844. При запуске он осуществляет проверку наличия в системе браузера Internet Explorer 7, а также проверку на то, что он загружен в ОС Windows XP или Windows 2003 Server, после чего создает специально подготовленный XML-тег, в результате обработки которого начинат.ся загрузка со специально подготовленного сайта и установка в систему вредоносных программ.

В декабре появилось сразу несколько заметных случаев распространения вредоносных программ, в функционал которых входит блокирование доступа к документам пользователя. Одной из таких программ стал троян Trojan.Locker.8, который блокировал доступ к документам и папкам посредством их переименования на имена, не соответствующие стандартам, принятым в Windows. Этот троян распространялся в виде генератора серийных номеров на продукты, выпускаемые Adobe Systems.
Trojan.Encoder.33 представляет собой новую модификацию программ, использующих шифрование пользовательских документов. На этот раз, помимо шифрования файлов, троян перемещает их в специально создаваемые папки, расположенные в профиле пользователя Windows. Оригинальные файлы заменяются сообщением "FileError_22001", при этом если документ имел текстовый формат, то и сообщение было в текстовом формате, на место же графических файлов помещался графический файл с тем же сообщением.

Вирусописатели продолжают рассылать вредоносные программы под видом электронных открыток. В частности, в рассылке от якобы сервиса Hallmark давалась прямая ссылка на самораспаковывающийся архив, который содержал целый набор вполне безвредных системных утилит, которые использовались вредоносной программой, также входящей в состав архива. Данная вредоносная программа содержится в вирусной базе Dr.Web под именем Trojan.Runner.15.

Также авторами "электронных открыток" активно эксплуатировалась тема рождественских праздников. В течение последней декады декабря пользователи электронной почты получили множество писем со ссылкой на сайт, откуда якобы можно скачать рождественскую открытку. На самом деле все ссылки на данном подставном сайте вели на различные вредоносные программы, которые определяются Dr.Web как Trojan.Spambot.4202, Trojan.Spambot.4204, Trojan.Spambot.4214, а также Trojan.Promo.42.

С 16 по 23 декабря была заметна русскоязычная рассылка, к которой  приложена якобы фотография. На самом деле в приложенном архиве находился исполняемый файл DC005.JPG[множество символов подчеркивания].exe, который является трояном Trojan.DownLoad.9125. Этот троян при запуске загружает из Интернета вредоносную программу Trojan.PWS.GoldSpy.2581, которая, в свою очередь, устанавливает в систему еще два своих компонента - Trojan.PWS.GoldSpy.2579 и Trojan.PWS.GoldSpy.2580. Как отмечают в компании "Доктор Веб", эта рассылка подтверждает, что почтовые сообщения все чаще применяются в качестве транспорта для троянов, ворующих пользовательские пароли.

Механизмы личных сообщений, реализованные на сайтах социальных сетей, продолжают использоваться для различных схем мошенничества. В частности, многие пользователи социальной сети "В контакте" получили сообщение от специально созданного для рассылки аккаунта о том, что пользователь этой социальной сети может получить денежный бонус.

Подставной сайт имеет дизайн, похожий на официальный сайт социальной сети "В контакте", и предлагает пользователю ввести логин и пароль на свой аккаунт. После этого выводится сообщение об условиях "акции", в котором, в частности, предлагается скачать программу и установить ее на мобильный телефон.  На самом деле никакого бонуса пользователь в итоге не получал, а программа, установленная на телефон, начинала несанкционированную рассылку платных SMS-сообщений. Эта вредоносная программа определяется Dr.Web как одна из модификаций Java.SMSSend. В чем-то этот метод напоминает фишинг, только "удочкой" здесь служит не электронная почта, а система внутренних сообщений социальной сети. Достаточно хитрый ход, поскольку к потенциальной опасности электронной почты народ уже более-менее приучился, да и большинство антивирусов их блокирует, а нахождение в своем кругу "Одноклассников" несколько расслабляет.

Что касается традиционного фишинга, то, как сообщает "Доктор Веб", в прошлом месяце жертвами зловредных "рыболовов" оказались солидные клиенты заморских банков JPMorgan Chase Bank, Frost Bank, а также пользователи интернет-аукциона eBay. А по информации "Лаборатории Касперского", чаще всего мишенью фишеров становились платежные системы, пользовавшиеся у них популярностью и в прошлом месяце (PayPal (38,8%) и AmericanExpress (19,5%). Учитывая, что Интернет границ не имеет, пострадали утратившие бдительность пользователи по обе стороны океана.

В декабре также был зафиксирован примечательный случай SMS-мошенничества, ориентированный на пользователей нелицензионных копий Windows. Trojan.SMSReg.1 при запуске копирует себя в папку установки Windows и "прописывает" себя в автозапуск. После этого троян убирает с рабочего стола все окна и панели и выводит сообщение от имени корпорации Microsoft с требованием зарегистрировать используемую копию Windows с помощью SMS-сообщения.

Специалисты "Лаборатории Касперского" отмечают, что оправдался сделанный ими в прошлом месяце прогноз: спам "для взрослых" уступил первое место рубрике "медикаменты, товары и услуги для здоровья". Вероятно, что медицинская тема надолго останется лидером рейтинга спам-рассылок.
Хотя праздники уже прошли, но на будущее борцы с вирусами напоминают, что в периоды праздников мошенники активно применяют методы социальной инженерии, рассчитанные на веру потенциальных жертв в чудо. Так что если в праздничной почте обнаружено извещение об огромной сумме внезапного наследства или фантастическом выигрыше, лучше помнить, что, скорее всего, его послал "плохой Санта".

Читайте нас в: