Операционная система Linux вновь получила порцию адресованных ей вредоносных программ. Компания «Доктор Веб» представила отчет о главных киберсобытиях июля 2015 года.
Троянцы, предназначенные для демонстрации жертвам назойливой рекламы при открытии в окне браузера различных веб-страниц, постепенно совершенствуются, используемые ими алгоритмы — усложняются, а ассортимент таких троянцев постепенно растет. Так, в июле обнаружен Trojan.Ormes.186, использующий технологию веб-инжектов для внедрения в веб-страницы посторонней рекламы. Троянец реализован в виде расширения для браузеров Mozilla Firefox, Chrome и Opera, распространяется он с использованием программ-дропперов. В теле вредоносной программы содержится список, состоящий из порядка 200 адресов интернет-ресурсов (сайты для поиска и размещения вакансий, поисковые системы и социальные сети), при обращении к которым Trojan.Ormes.186 выполняет веб-инжекты.
Помимо встраивания в веб-страницы рекламных баннеров, троянец обладает возможностью эмулировать щелчки мышью по различным элементам веб-страниц с целью подтверждения подписок для абонентов мобильных операторов «МегаФон» и «Билайн».
Наиболее распространенным вредоносом в июле признан Trojan.DownLoad3.35967. Он представляет семейство троянцев-загрузчиков, скачивающих из интернета и запускающих на атакуемом компьютере другое вредоносное ПО. На втором месте остановилось семейство программ-загрузчиков Trojan.LoadMoney, генерируемых серверами партнерской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО. Далее — Trojan.Click, семейство вредоносных программ, предназначенных для накрутки посещаемости различных интернет-ресурсов путем перенаправления запросов жертвы на определенные сайты с помощью управления поведением браузера.
В июле продолжили функционировать бот-сети. Среди них — ботнет, состоящий из зараженных файловым вирусом Win32.Rmnet.12 компьютеров. Это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
Также продолжает свое существование бот-сеть, состоящая из зараженных вирусом Win32.Sector компьютеров. Она обладает такими деструктивными функциями, как загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов, встраивание в запущенные на инфицированном компьютере процессы, возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков, инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящихся в общедоступных сетевых папках.
По сравнению с предыдущим месяцем еще заметнее снизилось число DDoS-атак на веб-сайты, предпринятых злоумышленниками с использованием вредоносной программы Linux.BackDoor.Gates.5. Число целей этих атак в июле составило 954, что на 25,7% меньше июньских показателей. Сократились и географические масштабы использования ботнета: 74,8% атак приходится на сайты, расположенные на территории Китая, еще 20,4% атакованных сайтов находится в США.
Злоумышленники продолжают создавать все новые и новые вредоносные программы для операционных систем семейства Linux. В июле аналитики «Доктор Веб» обнаружили еще одного троянца для этой платформы, получившего наименование Linux.BackDoor.Dklkt.1.
Этот бэкдор по задумке авторов должен реализовывать довольно обширный набор функций, однако на текущий момент большая часть предусмотренных в его архитектуре команд игнорируется. Фактически троянец в состоянии выполнять следующие команды злоумышленников: директиву начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Исходные компоненты бэкдора были созданы таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows.
На протяжении всего июля специалисты фиксировали появление и очередных вредоносных Android-приложений, а также отмечали различные атаки на пользователей Android-смартфонов и планшетов. В частности, в конце месяца вирусными аналитиками был обнаружен троянец Android.DownLoader.171.origin, распространявшийся в официальном каталоге приложений Google Play. Общее количество его загрузок с учетом альтернативных площадок составило порядка 1,5 млн. Этот троянец умеет не только устанавливать программы по команде злоумышленников, но также незаметно для пользователя удалять их. Кроме того, он способен демонстрировать пользователю уведомление в панели нотификаций Android, при нажатии на которое открывается окно браузера и выполняется переход на указанный злоумышленниками сайт.