В последнее время мы заметили, что в наших URL-фильтрах с вредоносными программами появилось много легитимных доменов. Сначала мы думали, у нас большая проблема с ложными срабатываниями, но после анализа мы обнаружили некоторую закономерность.
Все ссылки пришли с сервера популярной социальной сети «Одноклассники». Пользователи этой сети получают поддельные сообщения со ссылками на фотографии.
Ссылки ведут на домены, которые выглядят совершенно невинно, и были зарегистрированы достаточно давно. Но все они являлись доменами 3 или 4 уровня, и привели к нескольким вредоносным IP-адресам: 69.197.136.99, 94.249.188.224 и 178.63.214.97, 94.249.189.21.

Все сайты, которые мы проверили имели домены второго уровня( xx.yy / www.XX.YY), ведущие на «чистые» легитимные сайты. Только 3-й уровень(ZZ.XX.YY) вел на вредоносные сайты. Сначала мы думали о краже паролей и модификации записей в DNS-хостинге(таком, как GoDaddy или таких, где подобные нападения были зафиксированы в прошлом). Но поскольку мы видели их слишком много, мы поняли, что нам нужно искать другое объяснение.

Тогда мы заметили, что все домены размещены на серверах afraid.org. Эта служба предоставляет бесплатный DNS-хостинг, что делает ее очень популярнай как для злоумышленников, так и для обычных пользователей. Ознакомиться с их реестром можно здесь(http://freedns.afraid.org/domain/registry/) — большая часть топовых доменов известна вирусным аналитикам как хостинг вредоносных программ. Но домены, которые мы нашли, не определенно были созданы для этой цели. Мы связались с владельцем сервиса и были удивлены тем фактом, что любой человек может зарегистрироваться и создать поддомен для любого из доменов, размещенных на afraid.org. Лично я считаю, что подобная свобода — это хорошо, но должна быть и ответственность.

Все эти ссылки на изображения вели к исполняемым файлам из семейства троянов Bicololo, которое мы впервые обнаружили более двух месяцев назад. Они имеют несколько характеристик: исполняемые файлы являются установщиками, в данном случае созданными с помощью Nullsoft Installer; всегда распаковываются 3 файла в директорию %PROGRAMFILES%\s1\s1 –  .bat, .jpg и .exe – далее они выполняются в этом порядке. Наиболее важный файлы в атаке — .bat, в данном случае он называется «090909.bat»( https://www.virustotal.com/file/606d720d0447f00b1df527978174347762b5371160783816b1ed3524c6b66a8d/analysis/1347352288/). Этот файл добавляет IP-адреса и домены поддельных русских социальных сетей и почтовых сайтов  - my.mail.ru, vk.com, odnoklassniki.ru, и т.д. —  в %WINDIR%\System32\etc\hosts. Сам скрипт до определенной степени рандомизирован и использует различные имена переменных и под-строки, содержащие элементы пути и URL-адресов в каждом варианте трояна.

Файл .jpg – всего лишь изображение, как правило обнаженной девушки, взятое из социальных сетей.

Третий файл является исполняемым файлом, в нашем случае он называется «lublu_vinograd.exe»( https://www.virustotal.com/file/07a63db075fb163f46a6dee091ae5498cf574de6130872d4d99aaca24bbe4b16/analysis/). Этот файл создан в Borland Delphi и содержит в основном «мертвый» код из неопасного проект Delphi — в данном случае, «Chart FX 3″, и статически прилинкованной библиотеки Indy для поддержки HTTP-соединений. Что на самом деле выполняется – это небольшой блок кода заглушки, добавленный к программе, который делает etc\hosts скрытым, создает новый, пустой файл в System32\Drivers\etc c названием «hоsts», где «о» является символом кириллицы. Таким образом, это считается, другим именем файла и служит прикрытием для скрытого инфицированных оригинала. Далее выполняется HTTP запрос к URL-адресу, собирающему статистику, так троян сигнализирует об успешном инфицировании автору этой вредоносной программы. Она не пытается размножиться или добавить себя в автозапуск.

Таким образом, на момент написания этого сообщения в блоге, целями этого вредоносного ПО являются перенаправление трафика крупных русских социальных сетей на IP-адреса серверов атакующих и кража данных учетных записей. После установки, когда зараженный пользователь посещает сайт социальной сети, он/она видит почти идеальную копию русской версии сайта, датированной 2011 годом(атакующие ламы забыли изменить год в копирайте на некоторых страницах и даже не пытаются использовать сервисы геолокации, чтобы обеспечить выдачу на языке пользователя, так vk.com отображается на английском языке при открытии из Праги; к тому же они забыли о последнем графический редизайне vk.com).

Настоящий VK.com

Поддельный VK.com

С последней версией вирусных баз, avast! Обнаруживает вредоносные файлы, блокирует доступ к скачиванию вирусов, а также блокирует доступ к серверам перенаправляющим на сайты злоумышленников.

• 

Наверное, каждый известный человек может Вам рассказать о своем негативном опыте, связанном со своей популярностью. То же самое происходит и с популярным бесплатным  антивирусом avast!

Антивирус avast! насчитает более 135 млн. активных пользователей и является широко распространенным продуктом среди домашних пользователей. Популярность продукта доказана тем, что две трети новых пользователей выбрали avast! после рекомендаций своих друзей и знакомых. И что же все-таки может быть отрицательным в популярности?

Популярность очень близко связана с известностью, а все что хорошо известно, обычно становится объектом поиска в Google, Yandex и других поисковиках. Огромное количество поисковых запросов одного известного бренда неизбежно притягивает мошенников. На практике это означает, что некоторые результаты поиска с использованием ключевого слова “Avast” могут  отображать также и веб-сайты мошенников.  Такого типа веб-сайты предлагают скачать антивирус бесплатно, но за определенную стоимость. Вовремя загрузки и установки продукта Вас попросят ввести Ваши данные (ФИО, адрес эл. почты и почтовый адрес) либо отправить платную смс на определенный номер мобильного телефона. Конечно же, такие паразиты не только портят  репутацию нашей торговой марки, но и всех известных компаний-разработчиков бесплатного ПО.      Читать далее…

• 

Лето для сотрудников отдела маркетинга было перегружено работой.  Основную часть  времени  заняла  разработка дизайна  нового веб-сайта Сообщества.  Наконец-то работа над созданием сайта практически завершена, и мы надеемся, что Вам  он очень понравится!!!

Текущая версия веб-сайта нуждалась в значительных изменениях, и мы решили создать что-то новое и интересное. Мы добавили  навигацию на правой стороне страницы, изменили дизайн, и сделали сайт более интерактивным. Были добавлены новые секции, в которых Вы найдете актуальную информацию об антивирусе avast!

Вот небольшой пример страницы  нового сайта…

• 

Известно ли Вам, что 19 июля 2011 г. был официальный выпуск новых продуктов avast! для защиты бизнес сети. Решение по безопасности avast! Business Protection использует движок  версии 6.0 и включает новую консоль централизованного администрирования на базе веб, которая дает возможность ИТ специалистам и поставщикам услуг удаленно управлять, и защищать рабочие станции, и сервера в их сети через Интернет.

Новая консоль для централизованного управления (Small Business Console) представляет собой веб приложение, которое можно запустить в любом браузере на базе Silverlight 4.0 и является идеальный решением для малых и средних компаний. Разработанные настройки по умолчанию дают возможность перенимать и комбинировать конфигурации с предыдущей системы и тем самым упрощают процесс установки.  По сравнению с другими антивирусными продуктами avast! Business Protection потребляет на 25% меньше вычислительных ресурсов.

avast! Business Protection поставляется в двух вариантах:

• avast! Business Protection включает в себя консоль централизованного администрирования и защиту от всех видов вредоносного ПО;
• avast! Business Protection Plus  включает все функции Business Protection, плагин Exchange для защиты почтовых ящиков и дополнительные, как Брандмауэр и Антиспам.

Продукты доступны в продаже, как у наших региональных дилеров, так и в онлайн магазине AVAST.

• 

Специалисты вирусной лаборатории AVAST установили, что в основном руткит инфекции поражают компьютера, у которых установлена пиратская версия  ОС WindowsXP. Вывод был сделан после полугодового исследования более 630 тыс.образцов из имеющихся каталогов. В итоге  74% инфекций возникли на ПК   с  операционной системой WindowsXP,  17%  на ПК  с  ОС WindowsVista и только  12%  на ПК с  ОС Windows 7. Таким обзаром, 75% руткитов поражают ОС   Windows XP; основной мишенью становятся пиратские версии

Операционная система Windows XP уже  устарела, но по-прежнему остается самой распространенной операционной системой в мире. Согласно нашим данным 49% пользователей антивируса avast! дают предпочтение Windows XP, 38% используют Windows 7 и всего лишь 13% Windows Vista.

Что же такое руткиты?

Руткиты  активно скрывают  свое присутствие от  администраторов, путем  разрушения  стандартного функционирования операционной системы или других приложений и получают доступ к программному обеспечению и данным.

Исследование показало, что 62% всех руткит инфекций попадает через заражение MBR (главная загрузочная запись)  и 27% через заражение драйверов.  Явным лидером в руткит заражениях становится Alureon(TDL4/TDL3),который ответственный за  74% случаев заражения.

avast! – это единственный антивирус, который может обеспечить обнаружение руткитов вовремя их установки на  ПК  при помощи функций сканирования вовремя загрузки или по требованию. Эта функция включена как в платные, так и в бесплатные  версии антивируса avast!

Специалист по руткитам компании AVAST Software, г-н Гмерек будет присутствовать на предстоящем  событии Blackhat/Def Con, которая будет проходить  в Лас-Вегасе 3-7 августа 2011 г. Его сессия дает представление и подробную  статистику по всем глобальным инфекциям, источникам и технологическому  направлению создателей руткитов.

• 

Я бы хотела поблагодарить всех энтузиастов  AVAST, которые рекомендуют наш  бесплатный антивирус  своим друзьям и родственникам.  Впервые бесплатная версия антивируса  avast! стала доступной для пользователей в  России 1 июня 2001 г. — около 10 лет назад. Однако  первая  регистрация на наш продукт была сделана лишь в феврале 2002 года. Мы никогда не тратили средства на проведение рекламы на Российском рынке и первые годы мы не достигали желаемого количество регистраций  (см.рис.1).  Постепенно благодаря Сообществу пользователей и их рекомендациям, антивирус  avast!  становится одной из самых популярных  программ на Российском рынке среди домашних пользователей. По текущим данным  мы защищаем на 2 миллиона больше пользователей в  России, чем  год назад. Еще не пользуетесь бесплатной  защитой от avast!? Скачайте прямо сейчас avast! Бесплатный Антивирус

Уже 7,8 миллионов  человек  в России доверяют защиту своего ПК антивирусу avast!

Большое Вам спасибо за лояльность и  поддержку!

Рис.1 Количество зарегистрированных пользователей avast!  в России

•