Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Przegląd aktywności wirusów według Doctor Web - sierpień 2015

1 września 2015, Warszawa

W sierpniu 2015 pojawił się nowy trojan, zaprojektowany do infekowania routerów pracujących pod kontrolą systemu Linux. Ujawnił się także nowy niebezpieczny program "górniczy", posiadający zestaw funkcji typowych dla robaków i potrafiący samodzielnie rozpowszechniać się poprzez sieć. Ponadto, w sierpniu analitycy bezpieczeństwa Doctor Web wykryli trojana typu downloader, dystrybuowanego w dokumentach Microsoft Word, instalatora niechcianych aplikacji należącego do rodziny LoadMoney. Pojawiło się również kilka złośliwych programów wymierzonych w system Android.

GŁÓWNE TRENDY SIERPNIA

  • pojawienie się złośliwych programów wymierzonych w routery z systemem Linux
  • dystrybucja trojanów typu downloader i instalatorów niechcianych aplikacji dla Windows
  • rosnąca liczba złośliwych programów dla Androida

Zagrożenie miesiąca

Wraz z pojawieniem się elektronicznej waluty, twórcy wirusów otrzymali sposobność znalezienia nowej metody wykradania pieniędzy od użytkowników — skutkiem tego było stworzenie i pojawienie się trojanów "górniczych". Jednakże ze względu na to, że ilość środków niezbędna do tworzenia tego typu aplikacji ciągle wzrastała, cyberprzestępcy zaczęli tracić zainteresowanie tą sferą potencjalnych dochodów. Mimo to, w sierpniu 2015, analitycy Doctor Web zyskali kolejną szansę przebadania trojana należącego do wymienionej kategorii. Ten złośliwy program został nazwany Trojan.BtcMine.737.

Od wewnątrz Trojan.BtcMine.737 wygląda jak rosyjska zabawka matrioszka — składa się z trzech instalatorów, osadzonych jeden w drugim. Pierwsza "warstwa" zawiera prosty program typu dropper, który po uruchomieniu próbuje zakończyć wszystkie uruchomione procesy wirusa Trojan.BtcMine.737. Wypakowuje również ze swojego kodu plik wykonywalny kolejnego instalatora, osadza go w folderze tymczasowym, uruchamia go i kasuje oryginalny plik. Drugi instalator posiada szersze spektrum funkcjonalności, które są typowe dla robaków sieciowych. Aktywowany, zapisuje plik wykonywalny do jednego z kilku folderów na zainfekowanym komputerze i uruchamia go. Następnie replikuje się do kilku folderów ustawiając jeden z nich jako dostępny z sieci lokalnej. Kopie instalatora wyglądają jak archiwa WinRAR o nazwie Key.

screen

Następnie złośliwy program kopiuje siebie do głównych katalogów wszystkich dysków twardych i przechodzi przez wszystkie komputery w otoczeniu sieciowym, próbując podłączyć się do nich, używając loginów i haseł ze specjalnej listy. Co więcej, jeśli dostępny jest wymagany sprzęt, Trojan.BtcMine.737 konfiguruje i uruchamia punkt dostępowy Wi-Fi. Jeśli połączenie z dowolnym komputerem w sieci zostanie zestawione, trojan próbuje replikować się na ten komputer i uruchomić stworzoną kopię. Program CNminer.exe, zapisany na dysku twardym przez wirusa Trojan.BtcMine.737 podczas drugiego kroku instalacji, jest w rzeczywistości instalatorem narzędzia "górniczego". Pisaliśmy już na temat tego zagrożenia w innym artykule.

Najpopularniejsze zagrożenia sierpnia 2015 na podstawie raportów z Dr.Web CureIt!

screen

Najpopularniejsze zagrożenia sierpnia 2015 na podstawie serwerów statystyk Doctor Web

screen

Najpopularniejsze złośliwe programy sierpnia 2015 wykryte w wiadomościach e-mail

screen

Botnety

W sierpniu analitycy bezpieczeństwa Doctor Web kontynuowali monitorowanie dwóch podsieci należących do botnetu, stworzonego przez cyberprzestępców z użyciem infektora plików Win32.Rmnet.12. Ich średnia aktywność została pokazana na poniższych diagramach:

screen

screen

Rmnet to rodzina wirusów rozpowszechniających się bez interwencji użytkownika. Mogą one wbudowywać zawartość w załadowane strony www (co teoretycznie daje cyberprzestępcom możliwość uzyskania dostępu do informacji o kontach bankowych ofiar) jak i wykradać ciasteczka i hasła zapisane w popularnych klientach FTP i wykonywać inne polecenia wydawane przez cyberprzestępców.

Botnet składający się z komputerów zainfekowanych wirusem Win32.Sector wciąż pozostaje aktywny. Jego średnia dzienna aktywność została pokazana na poniższym diagramie:

screen

Win32.Sector potrafi wykonywać następujące działania:

W sierpniu cyberprzestępcy kontrolujący botnet wirusa Linux.BackDoor.Gates.5 stali się bardziej aktywni i zintensyfikowali swoje ataki na różne zasoby Internetu — w porównaniu z poprzednim miesiącem liczba zaatakowanych adresów IP zwiększyła się o 118% i wyniosła 2.083. Jak poprzednio większość celów ataków była zlokalizowana w Chinach (87%), podczas gdy 11% zaatakowanych stron www była hostowana w Stanach Zjednoczonych.

Ransomware szyfrujące pliki

Liczba zapytań o wsparcie techniczne Doctor Web, dotycząca ataków tego typu wirusów, wyniosła w sierpniu 1425 przypadków, co stanowi wzrost o 0,77% w stosunku do lipca.

Najpopularniejsze wirusy tego typu to:

Zagrożenia dla systemu Linux

W sierpniu 2015 analitycy bezpieczeństwa Doctor Web przebadali kilka złośliwych programów potrafiących infekować routery, pracujące pod kontrolą systemu Linux.

Jeden z tych trojanów, nazwany Linux.PNScan.1, był dystrybuowany w szczególny sposób — analitycy Doctor Web przypuszczają, że początkowo Linux.PNScan.1 był instalowany na zaatakowanych routerach, bezpośrednio przez twórców wirusa. W tym celu wykorzystali podatność ShellShock uruchamiając skrypt z istotnymi ustawieniami. Następnie malware było ładowane i instalowane na urządzeniach przez trojany należące do rodziny Linux.BackDoor.Tsunami, które zaś są dystrybuowane z użyciem Linux.PNScan.1. Ten złośliwy program oferuje jedną funkcję - złamanie hasła dostępu do routera. Jeśli próba zhakowania powiedzie się, trojan ładuje złośliwy skrypt, który pobiera i instaluje backdoory zgodne z architekturą routera (ARM, MIPS, lub PowerPC). Skrypt potrafi również pobrać backdoora, jeśli po wykorzystaniu podatności Shellshock, cyberprzestępcy z powodzeniem zhakują komputer z procesorem Intel(x86). Wymienione backdoory potrafią wykonywać komendy wydawane przez cyberprzestępców. Przykładowo, po otrzymaniu komendy, aplikacje potrafią pobrać narzędzie Tool.Linux.BrutePma.1. Jest ono używane do zhakowania panelu administracyjnego PHPMyAdmin, wykorzystywanego do zarządzania relacyjnymi bazami danych.

Co więcej, na serwerach kontrolowanych przez cyberprzestępców, analitycy bezpieczeństwa Doctor Web wykryli inne złośliwe programy, wśród których znalazła się modyfikacja Linux.PNScan.2 i trojan nazwany Trojan.Mbot, którego głównym zadaniem jest hakowanie stron www. Inny wykryty trojan został nazwany Perl.Ircbot.13. Oferuje on możliwość wyszukiwania podatności w stronach www stworzonych z użyciem kilku platform CMS i w stronach www wykorzystujących systemy zarządzania sklepami on-line. Wykryto 1439 urządzeń zainfekowanych z użyciem wymienionych złośliwych programów. Co więcej, w 649 przypadkach udało się określić położenie geograficzne zainfekowanych urządzeń, co ilustruje poniższa mapa:

screen

Więcej informacji na ten temat można znaleźć tym artykule.

Inne złośliwe aplikacje

W sierpniu 2015 analitycy bezpieczeństwa Doctor Web przebadali niebezpiecznego trojana typu downloader, nazwanego W97M.DownLoader.507 i dystrybuowanego jako dokument Worda załączany do wiadomości e-mail. Aby odczytać zawartość takiego dokumentu, użytkownik jest proszony o włączenie obsługi makr w MS Word.

Gdy makra zostaną zaktywowane, wyświetla się tekst na ekranie PC ofiary. W tym samym czasie trojan rozpoczyna pobieranie kilku fragmentów kodu ze zdalnego serwera. Używając tych fragmentów, złośliwy program generuje kilka skryptów, które z kolei pobierają z serwera, kontrolowanego przez cyberprzestępców, niebezpiecznego trojana bankowego i uruchamiają go. Więcej informacji o tym trojanie można znaleźć w tym artykule.

Inna złośliwa aplikacja przebadana w sierpniu przez laboratorium wirusowe Doctor Web została nazwana Trojan.LoadMoney.336. Ten instalator niechcianego oprogramowania dość często bywa wykrywany na komputerach osobistych. Schemat dystrybucji trojana wygląda następująco: jeśli użytkownik próbuje pobrać kilka plików zlokalizowanych w usłudze udostępniania plików, kontrolowanej przez cyberprzestępców, zostaje przekierowany na stronę www, z której Trojan.LoadMoney.336 jest pobierany do komputera. Po uruchomieniu, trojan podłącza się do zdalnego serwera i otrzymuje plik konfiguracyjny. Ten plik zawiera linki do powiązanych aplikacji (czasami złośliwych), które są pobierane i uruchamiane przez trojana na zainfekowanym komputerze.

Niebezpieczne strony www

W sierpniu 2015 do bazy Dr.Web dodano 834.753 adresów URL niezalecanych stron www, co stanowi wzrost o 1,62% w stosunku do lipca.

Złośliwe i niechciane programy dla Androida

W porównaniu z poprzednim miesiącem sierpień okazał się być raczej spokojnym w zakresie naruszeń bezpieczeństwa urządzeń mobilnych. Tym niemniej urządzenia z Androidem wciąż pozostają głównym celem dla cyberprzestępców, specjalizujących się w tworzeniu i dystrybucji złośliwych aplikacji dla urządzeń mobilnych. Przykładowo, w sierpniu analitycy bezpieczeństwa Doctor Web wykryli nowego trojana dla Androida, zaprojektowanego do szpiegowania użytkowników. Co więcej, podczas ostatniego miesiąca lata, nowe niebezpieczne ransomware, trojany bankowe i trojany SMS również zwiększyły swoją liczebność.

Spośród najbardziej wartych zauważenia zdarzeń powiązanych z malware dla Androida możemy wymienić:

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A