DDoS-атаки на LiveJournal
Начавшиеся в самом конце марта и продолжившиеся в начале апреля
DDoS-атаки на блог-хостинг LiveJournal.com стали заметным событием в
России. Один из ботнетов, ответственных за атаку, находится под нашим
наблюдением, что позволило выявить некоторые подробности атаки.
До начала апреля практически каждый день все компьютеры, входящие в
состав этого ботнета, получали в качестве мишени для DDoS-атаки одну-две
ссылки. Однако 4 апреля все боты получили список из 36 ссылок. В число
атакованных попали главные страницы LiveJournal: http://livejournal.com и http://livejournal.ru.
Остальные ссылки в списке вели на популярные странички российских
блогеров-«тысячников». Атакованные страницы периодически были недоступны
30 марта, 4 и 6 апреля. Атаки прекратились после 6 апреля.
Использованный злоумышленниками ботнет построен на основе популярного
бота Optima, который появился в продаже в конце 2010 года. По некоторым
косвенным признакам можно сказать, что зомби-сеть, объединяющая
зараженные Optima машины и принимавшая участие в DDoS-атаке, cостоит из
десятков тысяч зараженных компьютеров.
PDF-эксплойты
В очередной раз мы фиксируем рост активности эксплойтов, использующих
уязвимости в продуктах Adobe. Один из таких экспойтов —
Exploit.JS.Pdfka.dmg — оказался на 9-м месте среди 20 наиболее
распространенных программ в интернете. Количество пользователей,
подвергшихся в апреле атакам различными модификациями Exploit.JS.Pdfka,
исчисляется уже сотнями тысяч. Рисунок ниже иллюстрирует это.
География распространенности семейства Exploit.JS.Pdfka в апреле. Первое место — Россия, второе — США, третье — Германия
Злоумышленники уже в который раз используют одну и ту же тактику:
на взломанном легальном ресурсе размещается вредоносный JavaScript,
который эксплуатирует критическую уязвимость в одном из популярных
легальных продуктов. Если пользователь, использующий уязвимое ПО,
попадает на легальный взломанный ресурс, то практически сразу же в
результате срабатывания эксплойта на его компьютер незаметно загружается
одна или несколько вредоносных программ. То есть в очередной раз мы
имеем дело с уже ставшими классическими drive-by-download атаками.
В апреле компания Adobe закрыла
очередной набор уязвимостей в своих продуктах Adobe Reader и Adobe
Acrobat. Уровень опасности уязвимостей был обозначен как «Critical». Мы
настоятельно рекомендуем всем пользователям обновить эти приложения.
Патчи для конкретных версий продукта можно найти здесь.
Уязвимость MS11-020
В апреле компания Microsoft выпустила 17 бюллетеней, закрывающих
уязвимости в различных продуктах Windows. Среди 63 уязвимостей,
исправленных Microsoft, есть и патч для критической «дыры» MS11-020.
Опасная брешь, открывающая возможность удаленного исполнения
произвольного кода в нулевом кольце, была обнаружена в SMB Server.
Данная уязвимость может эксплуатироваться с использованием специально
сформированного SMB-пакета, отправляемого на уязвимую систему.
Уязвимость представляет серьезную опасность: в прошлом обнаружение
подобной уязвимости повлекло за собой появление такого червя, как Kido.
Поэтому мы настоятельно рекомендуем всем пользователям как можно быстрее
обновить свои системы.
SMS-троянцы
В апреле продолжилось активное распространение SMS-троянцев (в
основном, на территории России). Одним из каналов распространения
по-прежнему был SMS-спам. В течение месяца мы регулярно получали жалобы пользователей на спамовые SMS-рассылки.
Некоторые рассылки обладали общими признаками:
- рассылки осуществлялись примерно в одно и то же время (в 4 или 5 утра по московскому времени);
- сообщения в подавляющем большинстве случаев имели следующий вид:
‘Poluchen MMS dlya abonenta <телефонный номер получателя>. Posmotret: http://******.do.am/имя_файла.jar’;
- во вредоносных ссылках использовались имена файлов YaZ.jar либо 606.jar.
Пример одного из спамовых SMS-сообщений
На момент осуществления всех зафиксированных нами рассылок файлы,
на которые вели ссылки, детектировались «Лабораторией Касперского» как
Trojan-SMS.J2ME.Smmer.f.
И еще одна деталь: судя по всему, вредоносные сайты, на которые вели
ссылки в спам-сообщениях, на самом деле создавались с помощью одного из
популярных бесплатных онлайн-конструкторов сайтов. Владельцы данного
конструктора предоставляют в том числе и услуги хостинга, которыми и
воспользовались злоумышленники, разместив вредоносные страницы на домене
второго уровня .do.am.
Закрытие ботнета Coreflood
Наступление на бот-сети продолжается. Вслед за закрытием ботнета Rustock, о котором мы писали
в мартовском обзоре, в апреле были закрыты командные центры еще одного
немаленького (порядка 2 миллионов зомби-машин) ботнета Coreflood.
Большинство зараженных ботами машин располагалось на территории США.
В данном случае инициатором закрытия стало министерство юстиции США,
которое получило разрешение на перехват управления ботнетом. После
перехвата управления бот-сетью всем ботам была разослана команда на
прекращение работы.
Уже не в первый раз государственные органы принимают активное участие
в нейтрализации бот-сетей. Напомним, что ботнет Rustock был закрыт в
результате совместной операции компании Microsoft и властей США, ботнет
Bredolab был ликвидирован (а его предполагаемый владелец и создатель
задержан) полицией Нидерландов.
Надеемся, что усилия государственных органов по закрытию ботнетов
продолжатся, и в будущем мы еще не раз узнаем об успешном проведении
подобных операций.
Взлом PlayStation Network
В конце апреля компания Sony сообщила о том, что PlayStation Network
(PSN) была взломана. Корпорация подтвердила, что злоумышленникам стали
доступны личные данные пользователей (имена, электронные и почтовые
адреса, даты рождения, логины и пароли). Sony не исключила и возможности
хищения данных кредитных карт, хотя доказательств кражи этой информации
не было.
Sony совместно с неназванной компанией ведет расследование данного
инцидента. Стоит отметить, что в PSN зарегистрировано порядка 75
миллионов аккаунтов, и данная утечка персональных данных по сути
является крупнейшей за всю историю.
По-прежнему нет информации о том, когда игроки смогут вновь
воспользоваться PSN. Пользователям PSN настоятельно рекомендуется
сменить пароль к учетной записи игрового сервиса, а также к другим
сервисам (если использовался один и тот же пароль). Также необходимо
следить за своей кредитной картой, и в случае появления признаков
мошенничества, сразу же ее блокировать.
P.S. Второго мая Sony опубликовала сообщение о том, что в результате
хакерской атаки злоумышленникам стали доступны персональные данные (имя,
адрес, email, пол, дата рождения, телефонный номер, логин и хэш пароля)
не только игроков PSN, но и пользователей Sony Online Entertainment.
Также компания сообщила об утечке информации о 12700 кредитных картах
(номер карты и срок действия) из устаревшей базы данных 2007 года.
TOP 20 вредоносных программ в интернете
Позиция |
Изменение позиции |
Вредоносная программа |
Количество атак* |
1 |
2 |
AdWare.Win32.HotBar.dh |
855838 |
2 |
4 |
Trojan.JS.Popupper.aw |
622035 |
3 |
New |
AdWare.Win32.Zwangi.fip |
356671 |
4 |
New |
AdWare.Win32.Agent.uxx |
300287 |
5 |
New |
AdWare.Win32.Gaba.eng |
254277 |
6 |
New |
AdWare.Win32.FunWeb.jp |
200347 |
7 |
New |
AdWare.Win32.FunWeb.kd |
170909 |
8 |
New |
AdWare.Win32.Zwangi.fmz |
161067 |
9 |
New |
Exploit.JS.Pdfka.dmg |
140543 |
10 |
New |
Trojan.JS.Redirector.oy |
138316 |
11 |
New |
Trojan-Ransom.Win32.Digitala.bpk |
133301 |
12 |
0 |
Trojan.JS.Agent.uo |
109770 |
13 |
0 |
Trojan-Downloader.JS.Iframe.cdh |
104438 |
14 |
New |
AdWare.Win32.Gaba.enc |
96553 |
15 |
-11 |
Trojan.HTML.Iframe.dl |
95299 |
16 |
-14 |
Hoax.Win32.ArchSMS.pxm |
94255 |
17 |
New |
Trojan-Downloader.Win32.Zlob.aces |
88092 |
18 |
New |
Trojan-Ransom.JS.SMSer.hi |
83885 |
19 |
New |
Trojan.JS.Iframe.ku |
77796 |
20 |
New |
AdWare.Win32.FunWeb.jt |
65895 |
* Общее число уникальных инцидентов, зафиксированных веб-антивирусом на компьютерах пользователей.
TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей
Позиция |
Изменение позиции |
Вредоносная программа |
Кол-во уникальных пользователей* |
1 |
0 |
Net-Worm.Win32.Kido.ir |
428587 |
2 |
1 |
Net-Worm.Win32.Kido.ih |
176792 |
3 |
-1 |
Virus.Win32.Sality.aa |
176171 |
4 |
Returned |
Virus.Win32.Virut.ce |
130140 |
5 |
0 |
Virus.Win32.Sality.bh |
121389 |
6 |
3 |
Trojan.Win32.Starter.yy |
113815 |
7 |
-3 |
Hoax.Win32.ArchSMS.pxm |
86908 |
8 |
-2 |
HackTool.Win32.Kiser.zv |
80900 |
9 |
5 |
Trojan-Downloader.Win32.Geral.cnh |
79573 |
10 |
2 |
HackTool.Win32.Kiser.il |
78526 |
11 |
-4 |
Hoax.Win32.Screensaver.b |
73664 |
12 |
-1 |
Worm.Win32.FlyStudio.cu |
71405 |
13 |
-5 |
AdWare.Win32.HotBar.dh |
68923 |
14 |
-1 |
Trojan.JS.Agent.bhr |
67435 |
15 |
New |
AdWare.Win32.FunWeb.kd |
62858 |
16 |
New |
Virus.Win32.Sality.ag |
55573 |
17 |
1 |
Trojan-Downloader.Win32.VB.eql |
53055 |
18 |
1 |
Worm.Win32.Mabezat.b |
52385 |
19 |
-2 |
Trojan.Win32.AutoRun.azq |
47865 |
20 |
New |
Virus.Win32.Nimnul.a |
47765 |
* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.
|