Пресс-Релизы

Компания Trend Micro представила новостной дайджест за декабрь №10

Оцените вкус "фишингового филе" от McDonald's Айви Кортес, специалист по обнаружению актов мошенничества

Фишеры постоянно ищут способы заманивания жертв в новые ловушки.

До сих пор подобные атаки касались финансовых учреждений и банков, но недавно ситуация изменилась - в схему была вовлечена популярная сеть быстрого питания McDonald's.

На ложной странице размещена Анкета для выяснения удовлетворенности клиентов с обещанием перечислить 75 долларов на банковский счет за заполнение анкеты.

После заполнения анкеты у пользователя запрашивались имя, адрес электронной почты, номер кредитной карты и электронная подпись.

Поддельные опросы и раньше применялись для мошеннических атак. Опросы якобы под эгидой Wal-Mart, American Airlines и даже предвыборной кампании кандидата в президенты США Барака Обамы проводились для сбора персональной информации о потенциальных жертвах.

Аналогично атаке, связанной с McDonald's, все опросы предлагали каждому участнику поощрение в той или иной форме. Это ясно показывает, что киберпреступники извлекают выгоду из стремления пользователей экономить по максимуму, особенно в предпраздничную пору.

Праздники для хакеров

Джонатан Леопандо (средства связи)

В предновогодние дни покупатели по всему миру составляют списки тех, кого они будут поздравлять, и покупают им подарки. В это время зарабатывает большинство представителей розничного бизнеса, а также компьютерные преступники.

Давно известно, что распространение вредоносных программ резко активизируется в конце года. Например, по статистике Trend Micro в 2007 году количество заражений вредоносными программами во всем мире с сентября по декабрь возросло в пять раз. Локальная статистика в Великобритании, Германии и Японии показывает то же самое. И сейчас, в 2008 году, эта тенденция сохраняется, и пик атак вредоносных программ приходится на конец года.

Это не случайное совпадение. Пользователи Интернета в это время чаще всего совершают покупки - значит они, скорее всего, просматривают сведения о товарах, скидках и т. п.

Все это создает для кибер-преступников дополнительные возможности для наживы.

Атаки, направленные на потенциальных покупателей, принимают новые формы. В прошлом году злоумышленники распространяли шпионские программы с помощью запросов - например, «рождественские подарки покупки» в поисковой системе Google, которая показывала ссылки на страницы с «подарком» TROJ_ZLOB.ERT. Ранее в этом году этот трюк применялся для запроса «Хэллоуин костюмы», только на этот раз подарком была программа Mal_FakeAV6.

Покупки в Интернете гораздо рискованнее покупок в обычном магазине. Этот риск связан с платежами в Интернете и доставкой товаров. Неудивительно, что оба фактора используются преступниками. Система PayPal - одно из наиболее популярных средств платежей в Интернете - оказывалась множество раз под прицелом фишинговых атак.

А как используется доставка? Различные программы перехвата ввода с клавиатуры семейства ZBOT распространяются в сообщениях электронной почты о недоставленных посылках. Прикрепленный файл похож на счет-фактуру, а на самом деле он содержит вредоносный код.

Итак, чего же ожидать в наступающем сезоне праздников? Как говорится, все это уже было, и все это еще будет. Можно ожидать наплыва таких же атак - только в гораздо большем количестве. Можно также ожидать, что эти атаки станут изощреннее. Тем не менее, Smart Protection Network продолжит защищать пользователей от любых атак в праздничные дни.

Вредоносный код WinCE затемняет обои в телефоне

Джейк Сориано (технические средства связи)

Программа со старым вредоносным кодом WinCE заражает мобильные телефоны с системой Windows. Trend Micro квалифицирует ее как WINCE_CRYPTIC.A, новый вариант старой программы WinCE.

Старший специалист по исследованию угроз Джемс Янедза (Jamz Yaneza) говорит, что она работает как типичный «компанейский вирус», потому что сохраняет вредоносный код в отдельном файле. Обычные вирусы заражают сами файлы, но WINCE_CRYPTIC.A делает иначе. Вместо этого данный вирус создает «файлы-компаньоны» с именами карты памяти зараженных мобильных телефонов. Эти файлы-компаньоны содержат вредоносный код, и когда пользователи открывают файлы карты памяти, запускаются вредоносные программы.

По сути вирус не заражает сами файлы; изменения выполняются его полиморфным ядром. Янедза добавляет, что этот файл может определяться как троян с некоторыми полиморфными функциями. Вирусы-компаньоны делают это, чтобы предотвратить обнаружение. Пользователю кажется, что он работает с нормальным приложением, а на самом деле он запускает вредоносную программу.

Однако при заражении WINCE_CRYPTIC.A изменяется цвет текста и фона в телефоне. WinCe изменяет цвета в мобильном телефоне.

Вирус может распространяться через карты памяти. Его также можно загрузить на мобильный телефон с сайта в Интернете. Янедза считает, что заражение также может произойти через инфракрасный порт или Bluetooth, когда эти функции постоянно включены в телефоне.

Злоумышленники также широко используют тот факт, что возрастает количество мобильных устройств с возможностью выхода в Интернет. Компьютерные преступники зарабатывают деньги на пользователях мобильных устройств всеми возможными способами - от рассылки спама до установки вымогательских программ. Интересно, что эти вредоносные программы при вымогании денег работают иначе, чем вирусы для телефонов Symbian. Вирусы Symbian печально известны тем, что они блокируют телефоны и требуют заплатить деньги за исправление поврежденных телефонов.

Раньше вирус WinCE не использовал эту процедуру. Наши исследователи полагают, что создатели WinCE готовятся расширить зону угрозы для мобильных устройств.

Для вируса WINCE_CRYPTIC.A уязвимы следующие устройства:

  • Смартфоны Windows Mobile 5.0
  • Windows Mobile 5.0 PocketPC/PocketPC Phone Edition

  • Windows Mobile 6.0/6.1 Classic
  • Windows Mobile 6.0/6.1 Standard
  • Windows Mobile 6.0/6.1 Professional

Система Trend Micro Smart Protection Network уже позволяет обнаруживать и удалять вирус WINCE_CRYPTIC.A. Тем не менее, Trend Micro рекомендует не загружать приложения для телефонов из неизвестных источников. WINCE_CRYPTIC.A не запускается на персональных компьютерах, но оттуда его можно загрузить на мобильные устройства. Следует осторожно обращаться с зараженными приложениями и документами. Государственный институт стандартов и технологий США также предоставляет руководства по безопасности мобильных телефонов.

Новые вирусы угрожают пользователям Mac

Джейк Сориано (технические средства связи)

Специалист по исследованию угроз компании Trend Micro Айвин Макалинтал сообщил, что новые вирусы поражают систему Mac OS. Вредоносная программа, которая определяется какOSX_LAMZEV.A, позволяет злоумышленникам получить контроль над зараженной системой.

Заразиться ей можно при загрузке сайтов с этой программой. Пользователи принимают ее за обычную программу, устанавливают и запускают на своей системе.

При запуске OSX_LAMZEV.A предлагает выбрать приложение и порт с номером больше 1024. Эти порты зарегистрированы Комитетом по цифровым адресам в Интернете (IANA) и применяются для патентованных приложений.

Вирус создает файл /tmp/com.apple.DockSettings и копирует его в папку ~/Library/LaunchAgents. Затем исходный файл удаляется, а его копия загружается каждый раз при загрузке системы. Выбранные пользователем приложения копируются вирусом в эту же папку. Это создает еще один компонент вируса, который выполняется при запуске выбранного приложения Mac.

Эта вредоносная программа нарушает безопасность, так как злоумышленники могут удаленно получить контроль над зараженной системой. OSX_LAMZEV.A также имеет функцию автозапуска, и уже при включении зараженного Mac запускаются «черные дыры».

Интересно, что в ноябре прошлого года появился другой нашумевший вирус для Mac. Он квалифицирован компанией Trend Micro как OSX_DNSCHAN.A. Это старый троянский вредоносный код появился в двух новых версиях - для Windows и Mac, которые загружались в зависимости от браузера и операционной системы.

Вирус не очень распространен, но количество заражений постоянно растет. Другие угрозы для Mac описаны в следующих блогах:

  • Поддельная программа на платформе Mac
  • Вредоносные программы начинают второй раунд на Mac OS

Система Trend Micro Smart Protection Network уже позволяет обнаруживать и удалять вирус OSX_LAMZEV.A.