В последнее время мы заметили, что в наших URL-фильтрах с вредоносными программами появилось много легитимных доменов. Сначала мы думали, у нас большая проблема с ложными срабатываниями, но после анализа мы обнаружили некоторую закономерность.
Все ссылки пришли с сервера популярной социальной сети «Одноклассники». Пользователи этой сети получают поддельные сообщения со ссылками на фотографии.
Ссылки ведут на домены, которые выглядят совершенно невинно, и были зарегистрированы достаточно давно. Но все они являлись доменами 3 или 4 уровня, и привели к нескольким вредоносным IP-адресам: 69.197.136.99, 94.249.188.224 и 178.63.214.97, 94.249.189.21.

Все сайты, которые мы проверили имели домены второго уровня( xx.yy / www.XX.YY), ведущие на «чистые» легитимные сайты. Только 3-й уровень(ZZ.XX.YY) вел на вредоносные сайты. Сначала мы думали о краже паролей и модификации записей в DNS-хостинге(таком, как GoDaddy или таких, где подобные нападения были зафиксированы в прошлом). Но поскольку мы видели их слишком много, мы поняли, что нам нужно искать другое объяснение.

Тогда мы заметили, что все домены размещены на серверах afraid.org. Эта служба предоставляет бесплатный DNS-хостинг, что делает ее очень популярнай как для злоумышленников, так и для обычных пользователей. Ознакомиться с их реестром можно здесь(http://freedns.afraid.org/domain/registry/) — большая часть топовых доменов известна вирусным аналитикам как хостинг вредоносных программ. Но домены, которые мы нашли, не определенно были созданы для этой цели. Мы связались с владельцем сервиса и были удивлены тем фактом, что любой человек может зарегистрироваться и создать поддомен для любого из доменов, размещенных на afraid.org. Лично я считаю, что подобная свобода — это хорошо, но должна быть и ответственность.

Все эти ссылки на изображения вели к исполняемым файлам из семейства троянов Bicololo, которое мы впервые обнаружили более двух месяцев назад. Они имеют несколько характеристик: исполняемые файлы являются установщиками, в данном случае созданными с помощью Nullsoft Installer; всегда распаковываются 3 файла в директорию %PROGRAMFILES%\s1\s1 –  .bat, .jpg и .exe – далее они выполняются в этом порядке. Наиболее важный файлы в атаке — .bat, в данном случае он называется «090909.bat»( https://www.virustotal.com/file/606d720d0447f00b1df527978174347762b5371160783816b1ed3524c6b66a8d/analysis/1347352288/). Этот файл добавляет IP-адреса и домены поддельных русских социальных сетей и почтовых сайтов  - my.mail.ru, vk.com, odnoklassniki.ru, и т.д. —  в %WINDIR%\System32\etc\hosts. Сам скрипт до определенной степени рандомизирован и использует различные имена переменных и под-строки, содержащие элементы пути и URL-адресов в каждом варианте трояна.

Файл .jpg – всего лишь изображение, как правило обнаженной девушки, взятое из социальных сетей.

Третий файл является исполняемым файлом, в нашем случае он называется «lublu_vinograd.exe»( https://www.virustotal.com/file/07a63db075fb163f46a6dee091ae5498cf574de6130872d4d99aaca24bbe4b16/analysis/). Этот файл создан в Borland Delphi и содержит в основном «мертвый» код из неопасного проект Delphi — в данном случае, «Chart FX 3″, и статически прилинкованной библиотеки Indy для поддержки HTTP-соединений. Что на самом деле выполняется – это небольшой блок кода заглушки, добавленный к программе, который делает etc\hosts скрытым, создает новый, пустой файл в System32\Drivers\etc c названием «hоsts», где «о» является символом кириллицы. Таким образом, это считается, другим именем файла и служит прикрытием для скрытого инфицированных оригинала. Далее выполняется HTTP запрос к URL-адресу, собирающему статистику, так троян сигнализирует об успешном инфицировании автору этой вредоносной программы. Она не пытается размножиться или добавить себя в автозапуск.

Таким образом, на момент написания этого сообщения в блоге, целями этого вредоносного ПО являются перенаправление трафика крупных русских социальных сетей на IP-адреса серверов атакующих и кража данных учетных записей. После установки, когда зараженный пользователь посещает сайт социальной сети, он/она видит почти идеальную копию русской версии сайта, датированной 2011 годом(атакующие ламы забыли изменить год в копирайте на некоторых страницах и даже не пытаются использовать сервисы геолокации, чтобы обеспечить выдачу на языке пользователя, так vk.com отображается на английском языке при открытии из Праги; к тому же они забыли о последнем графический редизайне vk.com).

Настоящий VK.com

Поддельный VK.com

С последней версией вирусных баз, avast! Обнаруживает вредоносные файлы, блокирует доступ к скачиванию вирусов, а также блокирует доступ к серверам перенаправляющим на сайты злоумышленников.

Наверное, каждый известный человек может Вам рассказать о своем негативном опыте, связанном со своей популярностью. То же самое происходит и с популярным бесплатным  антивирусом avast!

Антивирус avast! насчитает более 135 млн. активных пользователей и является широко распространенным продуктом среди домашних пользователей. Популярность продукта доказана тем, что две трети новых пользователей выбрали avast! после рекомендаций своих друзей и знакомых. И что же все-таки может быть отрицательным в популярности?

Популярность очень близко связана с известностью, а все что хорошо известно, обычно становится объектом поиска в Google, Yandex и других поисковиках. Огромное количество поисковых запросов одного известного бренда неизбежно притягивает мошенников. На практике это означает, что некоторые результаты поиска с использованием ключевого слова “Avast” могут  отображать также и веб-сайты мошенников.  Такого типа веб-сайты предлагают скачать антивирус бесплатно, но за определенную стоимость. Вовремя загрузки и установки продукта Вас попросят ввести Ваши данные (ФИО, адрес эл. почты и почтовый адрес) либо отправить платную смс на определенный номер мобильного телефона. Конечно же, такие паразиты не только портят  репутацию нашей торговой марки, но и всех известных компаний-разработчиков бесплатного ПО.      Читать далее…

Лето для сотрудников отдела маркетинга было перегружено работой.  Основную часть  времени  заняла  разработка дизайна  нового веб-сайта Сообщества.  Наконец-то работа над созданием сайта практически завершена, и мы надеемся, что Вам  он очень понравится!!!

Текущая версия веб-сайта нуждалась в значительных изменениях, и мы решили создать что-то новое и интересное. Мы добавили  навигацию на правой стороне страницы, изменили дизайн, и сделали сайт более интерактивным. Были добавлены новые секции, в которых Вы найдете актуальную информацию об антивирусе avast!

Вот небольшой пример страницы  нового сайта…

Известно ли Вам, что 19 июля 2011 г. был официальный выпуск новых продуктов avast! для защиты бизнес сети. Решение по безопасности avast! Business Protection использует движок  версии 6.0 и включает новую консоль централизованного администрирования на базе веб, которая дает возможность ИТ специалистам и поставщикам услуг удаленно управлять, и защищать рабочие станции, и сервера в их сети через Интернет.

Новая консоль для централизованного управления (Small Business Console) представляет собой веб приложение, которое можно запустить в любом браузере на базе Silverlight 4.0 и является идеальный решением для малых и средних компаний. Разработанные настройки по умолчанию дают возможность перенимать и комбинировать конфигурации с предыдущей системы и тем самым упрощают процесс установки.  По сравнению с другими антивирусными продуктами avast! Business Protection потребляет на 25% меньше вычислительных ресурсов.

avast! Business Protection поставляется в двух вариантах:

• avast! Business Protection включает в себя консоль централизованного администрирования и защиту от всех видов вредоносного ПО;
• avast! Business Protection Plus  включает все функции Business Protection, плагин Exchange для защиты почтовых ящиков и дополнительные, как Брандмауэр и Антиспам.

Продукты доступны в продаже, как у наших региональных дилеров, так и в онлайн магазине AVAST.

Специалисты вирусной лаборатории AVAST установили, что в основном руткит инфекции поражают компьютера, у которых установлена пиратская версия  ОС WindowsXP. Вывод был сделан после полугодового исследования более 630 тыс.образцов из имеющихся каталогов. В итоге  74% инфекций возникли на ПК   с  операционной системой WindowsXP,  17%  на ПК  с  ОС WindowsVista и только  12%  на ПК с  ОС Windows 7. Таким обзаром, 75% руткитов поражают ОС   Windows XP; основной мишенью становятся пиратские версии

Операционная система Windows XP уже  устарела, но по-прежнему остается самой распространенной операционной системой в мире. Согласно нашим данным 49% пользователей антивируса avast! дают предпочтение Windows XP, 38% используют Windows 7 и всего лишь 13% Windows Vista.

Что же такое руткиты?

Руткиты  активно скрывают  свое присутствие от  администраторов, путем  разрушения  стандартного функционирования операционной системы или других приложений и получают доступ к программному обеспечению и данным.

Исследование показало, что 62% всех руткит инфекций попадает через заражение MBR (главная загрузочная запись)  и 27% через заражение драйверов.  Явным лидером в руткит заражениях становится Alureon(TDL4/TDL3),который ответственный за  74% случаев заражения.

avast! – это единственный антивирус, который может обеспечить обнаружение руткитов вовремя их установки на  ПК  при помощи функций сканирования вовремя загрузки или по требованию. Эта функция включена как в платные, так и в бесплатные  версии антивируса avast!

Специалист по руткитам компании AVAST Software, г-н Гмерек будет присутствовать на предстоящем  событии Blackhat/Def Con, которая будет проходить  в Лас-Вегасе 3-7 августа 2011 г. Его сессия дает представление и подробную  статистику по всем глобальным инфекциям, источникам и технологическому  направлению создателей руткитов.

Я бы хотела поблагодарить всех энтузиастов  AVAST, которые рекомендуют наш  бесплатный антивирус  своим друзьям и родственникам.  Впервые бесплатная версия антивируса  avast! стала доступной для пользователей в  России 1 июня 2001 г. — около 10 лет назад. Однако  первая  регистрация на наш продукт была сделана лишь в феврале 2002 года. Мы никогда не тратили средства на проведение рекламы на Российском рынке и первые годы мы не достигали желаемого количество регистраций  (см.рис.1).  Постепенно благодаря Сообществу пользователей и их рекомендациям, антивирус  avast!  становится одной из самых популярных  программ на Российском рынке среди домашних пользователей. По текущим данным  мы защищаем на 2 миллиона больше пользователей в  России, чем  год назад. Еще не пользуетесь бесплатной  защитой от avast!? Скачайте прямо сейчас avast! Бесплатный Антивирус

Уже 7,8 миллионов  человек  в России доверяют защиту своего ПК антивирусу avast!

Большое Вам спасибо за лояльность и  поддержку!

Рис.1 Количество зарегистрированных пользователей avast!  в России