Ліпень 2010 гады адзначыўся не толькі экстрэмальнай спякотай, але і з'яўленнем і шырокім распаўсюджваннем траянцаў Trojan.Stuxnet. Гэтыя шкоднасныя праграмы выкарыстаюць альтэрнатыўны спосаб запуску са здымных носьбітаў, а таксама ўжываюць выкрадзеныя лічбавыя подпісы вядомых вытворцаў ПА.

Выкарыстанне буткит-тэхналогій становіцца нормай для шкоднасных праграм. У той жа час блакавальнікі Windows, сапхнуўшыся з процідзеяннем, скарацілі тэмпы свайго распаўсюджвання, і сёння інтэрнэт-ашуканцы спрабуюць знайсці альтэрнатыву платным СМС-паведамленням.

Trojan.Stuxnet знайшоў «дзюру» у Windows і пранікае праз цэтлікі Ліпеньскай «навінкай» летняга сезону, якая прымусіла антывірусную індустрыю ў які раз сур'ёзна мабілізаваць свае рэсурсы, стала шкоднасная праграма новага тыпу, якая па класіфікацыі Dr.Web атрымала найменне Trojan.Stuxnet.1. Яе распаўсюджванне апынулася напроста звязана з раней невядомай уразлівасцю аперацыйнай сістэмы Windows. Гэты траянец прынёс з сабой некалькі навінак у вобласці абыходу ахоўных механізмаў Microsoft і ўжо паспеў прадэманстраваць усю сур'ёзнасць сваіх намераў — адным з першых зафіксаваных ужыванняў Trojan.Stuxnet.1 стаў прамысловы шпіянаж.

Траянец усталёўвае ў сістэму два драйвера, адзін з якіх з'яўляецца драйверам-фільтрам файлавай сістэмы, якія хаваюць наяўнасць кампанентаў шкоднаснай праграмы на здымным носьбіце. Другі драйвер выкарыстоўваецца для ўкаранення зашыфраванай дынамічнай бібліятэкі ў сістэмныя працэсы і спецыялізаванае ПА для выканання асноўнай задачы.

Аўтары новага траянца паднеслі карыстачам адразу неск олько непрыемных неспадзевак. Па-першае, ужо згаданая эксплуатацыя ўразлівасці Windows: шкоднасная праграма выкарыстае «слабое звяно» у алгарытме апрацоўкі змесціва цэтлікаў. Варта адзначыць, што карпарацыя Microsoft аператыўна адрэагавала на выяўленне гэтай уразлівасці. Па інфармацыі, апублікаванай распрацоўнікам АС Windows, ёй схільныя як 32-бітныя, так і 64-бітныя версіі, пачынальна з Windows XP і сканчаючы Windows 7 і Windows Server 2008 R2. Зламыснікі могуць выкарыстаць гэтую «пралом» і для выдаленага запуску шкоднасных праграм. Акрамя таго, небяспечны код можа інтэгравацца ў дакументы некаторых тыпаў, якія прадугледжваюць наяўнасць у іх убудаваных цэтлікаў, і распаўсюджвацца пасродкам эксплуатацыі выяўленай уразлівасці.

2 жніўня 2010 гады кампанія Microsoft выпусціла крытычны патч для ўсіх схільных уразлівасці версій Windows. Для тых сістэм, у якіх наладжана аўтаматычнае абнаўленне, патч усталюецца аўтаматычна, і для яго ўжывання запатрабуецца перазагрузка кампутара.

«Неспадзеўкі» ад аўтараў Trojan.Stuxnet на гэтым не скончыліся. Драйверы, якія траянец усталёўвае ў сістэму, забяспечаныя лічбавымі подпісамі, выкрадзенымі ў вытворцаў легальнага праграмнага забеспячэння. У ліпені стала вядома аб выкарыстанні подпісаў, прыналежных такім кампаніям, як Realtek Semiconductor Corp. і JMicron Technology Corp. Зламыснікі выкарыстаюць подпіс для «ціхай» усталёўкі ў мэтавую сістэму.

Варта заўважыць, што, акрамя драйвераў, якія падпісваюцца для непрыкметнай усталёўкі, падпісаны таксама і шкоднаснай файл, які запускаецца з дапамогай эксплойта ўразлівасці Windows Shell са здымных носьбітаў. Але дадзены подпіс практычна адразу пасля першай жа актывізацыі траянца перастае дзейнічаць: убудаваны лічыльнік заражэнняў стала мадыфікуе выкананы файл, у выніку чаго подпіс прыходзіць у непрыдатнасць.

У Trojan.Stuxnet.1 даволі хутка з'явіліся шматлікія паслядоўнікі, выкарыстоўвалыя паказаную ўразлівасць Windows. Усяго за некалькі дзён шкоднасныя праграмы, выкарыстоўвалыя для свайго запуску такія цэтлікі, узначалілі Топ-20 вірусных праграм, выяўленых у ліпені на кампутарах карыстачоў, а Trojan.Stuxnet.1 паспеў апынуцца на шостым месцы гэтага спісу.

У цяперашні час ідзе масіраванае распаўсюджванне шкоднасных праграм, якія эксплуатуюць выяўленую ўразлівасць. Верагодна, яно падоўжыцца яшчэ некаторы час да ўсталёўкі толькі што выпушчанага Microsoft патча на большасць сістэм.

Масавае выкарыстанне буткитов

Буткиты — праграмы, модифицирующие загрузны сектар кружэлкі — паступова становяцца звыклым кампанентам шкоднаснага ПА. Ужыванне буткитов прыводзіць да таго, што звычайныя сродкі аналізу сістэмы на наяўнасць шкоднаснага кода не ў стане дэтэктаваць аб'ект комплексна. Не маючы магчымасці адсачыць мадыфікацыю загрузнага сектара, яны могуць вызначыць толькі тыя кампаненты шкоднасных праграм, якія размешчаныя на кружэлцы ў выглядзе звычайных файлаў. Такім чынам, нават пасля лячэння вірус зноў апынецца ў сістэме, і так працягнецца датуль, пакуль загрузны сектар кружэлкі не будзе вернуты да зыходнага стану.

Толькі нешматлікія комплексныя антывірусныя сродкі здольныя выявіць мадыфікацыю загрузнага сектара і цалкам вылечыць сістэму ад буткита. У большасці выпадкаў распрацоўнікі антывірусаў прапаноўваюць пазбаўляцца ад гэтай праблемы з дапамогай адмысловых утыліт. І тут узнікае складанасць, якой і карыстаюцца зламыснікі: карыстач далёка не заўсёды своечасова пачынае шукаць альтэрнатыўныя шляхі рашэння праблемы, паколькі не ў стане зразумець, што яго антывірус проста «не бачыць» факту мадыфікацыі загрузнага сектара сістэмнай кружэлкі.

Адным з буктитов, беспокоившим карыстачоў у ліпені, стаў ужо вядомы Trojan.Hashish. Праблема заражэння ім у мінулым месяцы была актуальная ў Еўропе. Дзеянні шкоднаснай праграмы прыводзілі да самаадвольнага адкрыцця вокнаў Internet Explorer, у якіх адлюстроўвалася рэклама. Прычым дадзеныя вокны адчыняліся нават у тым выпадку, калі выкарыстоўваўся адзін з альтэрнатыўных браўзэраў. Іншым вынікам працы Trojan.Hashish стала перыядычнае прайграванне стандартнага сістэмнага гуку, які адпавядае запуску праграмы, калі такі наладжаны ў Windows.

Блакавальнікі адыходзяць

У ліпені эпідэмія блакавальнікаў пайшла на спад — сервер статыстыкі Dr.Web зафіксаваў 280 000 детектов супраць 420 000 у чэрвені. Шмат у чым гэта звязана з паспяховымі дзеяннямі, якія сумесна з карыстачамі прадпрымаюць і антывірусныя кампаніі, у прыватнасці «Доктар Вэб». Так, з-за ўзмоцненага процідзеяння СМС-ашуканцам аўтары блакавальнікаў змушаныя ў чарговы раз задзейнічаць іншыя схемы манетызацыі прыбыткаў. Яны выкарыстаюць новыя электронныя аплатныя сістэмы і нават пачынаюць прапаноўваць карыстачам некалькі варыянтаў перадачы грошай за разблакоўку на выбар.

Сярод усіх зваротаў з нагоды блакавальнікаў істотна ўзрасла дзель запытаў, звязаных з блакаваннем папулярных сайтаў, — сацыяльных сетак, бясплатных паштовых сэрвісаў, пошукавых сістэм. Да канца ліпеня колькасць зваротаў з нагоды такіх блакавальнікаў перавысіла звароты аб блакаванні працоўнага стала Windows.

У наступным можна чакаць паступовага паніжэння распаўсюджвання блакавальнікаў. Гэта звязана і са значна ніжэйшай эфектыўнасцю схем аплаты без выкарыстання СМС, і з падвышанай увагай да праблемы са боку праваахоўных органаў. Упэўнена расце і лік карыстачоў, якія валодаюць інфармацыяй аб альтэрнатыўных метадах разблакоўкі кампутараў, не разумелых перадачу грошай зламыснікам.

Іншыя шкоднасныя праграмы ліпеня

Працягнулася масіраванае распаўсюджванне праз электронную пошту розных мадыфікацый Trojan.Oficla. Таксама ў паштовым трафіку па-ранейшаму прыкметныя паведамленні з прымацаванымі да іх HTML-файламі (JS.Redirector). Гэтыя паведамленні перанакіроўваюць карыстачоў на старонкі з рэкламай і шкоднасныя сайты. Адзначаная падвышаная актыўнасць паліморфных файлавых вірусаў сямейства Win32.Sector. Dr.Web даўно арыентаваны на лячэнне сістэм ад складаных паліморфных вірусаў, у ліпені распрацоўнікі аптымізавалі алгарытм детекта шкоднасных праграм гэтага тыпу. Еўрапейскіх карыстачоў па-ранейшаму працягваюць турбаваць банкаўскія траянцы, вынуждающие ўводзіць разавыя TAN-коды (падрабязна мы распавядалі аб іх у чэрвеньскім аглядзе), а таксама новыя варыянты лжеантивирусов у старым візуальным абліччы.

Падводзячы вынікі, можна адзначыць, што ліпень не прынёс невырашальных задач ні для распрацоўнікаў антывіруснага ПА, ні для радавых карыстачоў. Актыўнасць выкарыстання шкоднасных цэтлікаў, якія вызначаюцца Dr.Web як Exploit.Cpllnk, павінна паменшыцца ў сувязі з аператыўным вынахадам патча ад Microsoft. З прычыны таго, што буткиты становяцца радавым кампанентам шкоднасных праграм, антывірусным вендарам рана або позна прыйдзецца ўлучыць працу з загрузнымі сектарамі кружэлак у комплексныя прадукты, сыходзячы ад асобных утыліт. Блакавальнікі і іх аўтары сваімі паводзінамі навочна дэманструюць, што дужацца з імі зусім не бескарысна: комплексныя меры, прадпрымаемыя супраць іх, сапраўды прыносяць вынікі.

рэкамендуем прачытаць таксама

• Зламыснікі распаўсюджваюць траян пад выглядам утыліты для выдалення чарвяка Stuxnet
• ЛК: Шкоднаснае ПА у жніўні 2010 гады
• Траян выдае сябе за тэст сумяшчальнасці з Windows 7
• Доктар Вэб: Вірусная актыўнасць у снежні 2008 гады
• «Доктар Вэб» папярэджвае аб новай хвалі распаўсюджвання Trojan.Encoder

Каментаванне не дазволенае.