Rosyjska firma antywirusowa Doctor Web przedstawiła podsumowanie największych zagrożeń z sieci w ostatnich trzech miesiącach br. Wynika z niego, że okres od początku lipca do końca września był szczególnie niespokojny dla użytkowników systemu Android, posiadaczy blogów oraz miłośników gry Grand Theft Auto.

Najważniejsze zagrożenia trzeciego kwartału 2013 r.

Bazując na danych zebranych przez aplikację Dr.Web CureIt!, za największą liczbę infekcji w omawianym okresie odpowiedzialny był Trojan.LoadMoney.1, opierający swoje działanie na ładowaniu niebezpiecznych plików.

Wykorzystując popularność najnowszej gry z serii Grand Theft Auto (GTA V), na serwerach torrent cyberprzestępcy wraz z jej piracką wersją rozprzestrzeniali plik, będący niebezpiecznym malware. W pobieranym pliku zawarty jest trojan, przy pomocy którego gracz otrzymuje propozycję wpisania w stosowny formularz numeru telefonu komórkowego i kodu potwierdzającego, otrzymanego w osobnej wiadomości SMS. Jeśli wyśle on SMS z kodem, zostaje zapisany do związanej z grą usługi, a w charakterze opłaty jego rachunek obciążany zostaje kwotą 1 EUR dziennie, tak długo, aż użytkownik jej nie wypowie. Przy pomocy takich trojanów przechwytywane są dane operacji płatniczych z zaatakowanego urządzenia.

Inne często wykrywane w ostatnim czasie zagrożenia to choćby Trojan.Hosts.6815 – niebezpieczny program modyfikujący plik hosts systemu operacyjnego w celu przekierowania przeglądarki internetowej na strony wyłudzające informacje (tzw. phishing) czy Trojan.InstallMonster.28 – kolejny wirus opierający swoje działanie na ładowaniu niebezpiecznych plików. Popularne były także takie złośliwe programy jak trojan reklamowy Trojan.Packed.24524 i Trojan.Mods.3, podmieniający przeglądane przez użytkownika strony www na inne.

W sierpniu wykryto także złośliwy program Trojan.WPCracker.1, ingerujący w zawartość blogów i stron opartych na popularnych systemach CMS (systemy zarządzania treścią) takich jak Wordpress czy Joomla. Niebezpieczeństwo, jakie niesie ze sobą ten trojan polega na tym, że używając go, przestępcy mogą zmienić zawartość bloga lub osadzić w nim inne złośliwe oprogramowanie w celu infekowania komputerów odwiedzających dany blog Internautów. Odnotowany nagły wzrost ataków typu brute-force (polegających na przeprowadzaniu przez człowieka lub program komputerowy prób przełamania zabezpieczeń – na przykład odgadnięcia hasła – przez sukcesywne sprawdzanie wszystkich możliwości) na strony www może być powiązany z rozpowszechnieniem się tego trojana.

Ponadto w atakach na użytkowników bankowości elektronicznej oszuści zaczęli wykorzystywać technologie przetwarzania w chmurze. W takim przypadku oddzielny komponent zmodyfikowanego trojana Zeus lub Ciavax umieszczany jest na serwerze w chmurze, stamtąd trafia na komputer ofiary i również z tego źródła ładuje swoje pozostałe elementy. Przy pomocy takich programów, cyberprzestępcy przechwytują dane operacji płatniczych z zaatakowanego urządzenia. Metody przetwarzania w chmurze wykorzystane do dystrybucji malware opóźniają jego analizę i utrudniają opracowanie efektywnych sposobów walki z nim.

Keyloggery

Analitycy Doctor Web wykryli nową wersję wirusa BackDoor.Maxplus, który działa jako keylogger i podłącza zainfekowane komputery do sieci peer-to-peer zarządzanej przez przestępców. Aby uniknąć wykrycia przez oprogramowanie antywirusowe, trojan ten używa skomplikowanych metod maskowania się. Gdy uruchomi się na zainfekowanym urządzeniu, kopiuje siebie do dwóch losowo wybranych katalogów systemowych. Nazwy pliku wykonywalnego BackDoor'a są zapisywane w rejestrze od lewej do prawej (podobnie jak ma to miejsce w języku arabskim lub hebrajskim).

Na początku jesieni analitycy Doctor Web poinformowali także o wykryciu nowego keyloggera BackDoor.Saker.1. W czasie instalacji na zaatakowanym komputerze, trojan ten wykorzystuje szkodliwy kod zawarty w pliku temp.exe, który pozwala mu na obejście systemu kontroli zabezpieczeń systemu Windows (UAC).

Zagrożenia dla systemu Android

Wrzesień był szczególnie niespokojny dla użytkowników systemu Android. Na uwagę zasługuje zwłaszcza wykrycie największego w historii botnetu (grupy komputerów zainfekowanych złośliwym oprogramowaniem), który według informacji zebranych przez analityków Doctor Web zawiera już ponad 200 tysięcy urządzeń mobilnych opartych na tej platformie. Codziennie podłączanych jest do niego średnio ponad 2 tysiące nowych zainfekowanych urządzeń z systemem Android. Poza tym nadal groźne pozostają trojany SMS, fałszywe narzędzia antywirusowe czy programy szpiegujące. Przykładem tych ostatnich są trojany z rodziny Android.SmsSpy, które rozpowszechniały się pod postacią znanych narzędzi, np. Adobe Flash Player'a. Głównym zadaniem tych programów jest kradzież wszystkich przychodzących SMS-ów. Jest to tym groźniejsze, że niektóre z nich mogą zawierać kody mTAN do potwierdzenia transakcji w bankowości elektronicznej.

Od września w bazie danych wirusów Dr.Web dostępne są również Android.Fakealert.8.origin, Android.Fakealert.9.origin i Android.Fakealert.10.origin, podszywające się pod programy antywirusowe. Poza tym odkryta została modyfikacji trojana Obad, znanego w bazach antywirusowych Dr.Web jako Android.Siggen.3.origin. Program ten potrafi wysyłać wiadomości SMS na numery Premium, a także ładować na urządzenie mobilne inne złośliwe załączniki.

Zagrożenie dla Mac OS X

We wrześniu zidentyfikowano groźnego trojana BackDoor.Leverage.1, występującego pod postacią pliku JPG i rozprzestrzenianego drogą mailową lub poprzez zawirusowane strony, który może stanowić zagrożenie dla użytkowników systemu Mac OS X. Wśród plików, które program ładuje na zarażony komputer, znalazł się logotyp grupy hakerskiej Syrian Electronic Army (SEA). Według opinii specjalistów narażone na ten złośliwy program są tylko wczesne wersje Mac OS X. Dla wersji Mac OS X 10.8 nie stanowi on już żadnego zagrożenia.

Zagrożenia dla systemu Linux

Wirusem sierpnia tego roku, według specjalistów z firmy Doctor Web, został inny trojan, tj. Linux.Hanthie, znany również jako „Hand of Thief” („Ręka Złodzieja”). Posiada on dodatkowy moduł, służący do przechwytywania danych (tzw. grabber), który osadzany jest zarówno w popularnych przeglądarkach (Mozilla Firefox, Google Chrome, Opera), jak i w tych działających tylko w systemie Linux (Chromium i Ice Weasel). Funkcjonalność ta umożliwia rejestrowanie danych wprowadzanych przez użytkownika, m.in. na stronach banków czy w systemach płatności, i wysyłanie ich do cyberprzestępców.

Wszystkie wymienione wyżej złośliwe programy są wykrywane i usuwane przez oprogramowanie antywirusowe Dr.Web, jednak aby uniknąć infekcji specjaliści Doctor Web rekomendują zaniechanie pobierania i instalowania programów pochodzących z podejrzanych, nieautoryzowanych źródeł.

Źródło: Doctor Web