Исследователь кибербезопасности Ван Хуэй (Wang Hui) из 360Netlab опубликовал пост о том, что семейство вредоносных программ-майнеров криптовалюты под названием ADB.Miner начало быстро распространяться.

Вредоносная программа имеет аналогичные возможности с червями и использует интерфейс отладки ADB на порт 5555 для распространения. Как правило, порт 5555 остается закрытым, однако инструмент отладки ADB, используемый для проведения диагностических тестов, иногда случайно может открыть его. Как только цель заражена, она продолжает сканировать порт 5555 для дальнейшего распространения и находит другие устройства с открытым портом, такие как смартфоны на базе Android, планшеты или смарт-телевизоры.

«В целом, мы считаем, что вредоносный код, основанный на Android-интерфейсе ADB, теперь активно распространяет червей и заражает более 5000 устройств за 24 часа»,  — сообщает команда 360Netlab. — «Пострадавшие устройства активно пытаются передать вредоносный код дальше».

Команда 360Netlab также отметила, что у майнера есть код Mirai в модуле сканирования.

Mirai — это ботнет, который захватил миллионы уязвимых интернет-устройств для проведения DDoS-атак. Вредоносная программа содержит программное обеспечение для майнинга криптовалюты Monero (XMR).

Компания ESET предупреждает о появлении нового семейства вредоносных программ, атакующих устройства под управлением операционных систем с ядром Linux.

Зловред получил название Linux/Shishiga. Анализ показал, что программа написана на скриптовом языке программирования Lua. При распространении она использует подбор паролей сетевых протоколов Telnet и SSH из заданного списка.

ESET отмечает, что, на первый взгляд, Shishiga напоминает другие вредоносные программы, которые распространяются через слабозащищённые Telnet и SSH. Тем не менее, этот зловред отличается использованием протокола BitTorrent и модулей Lua.

По всей видимости, к созданию программы причастны русскоговорящие хакеры. Дело в том, что в составе зловреда присутствует файл readme.lua, который содержит текст последнего куплета песни «Всё идет по плану» группы «Гражданская оборона».

Эксперты полагают, что Shishiga находится в начале развития. На это, в частности, указывают постоянные изменения компонентов, комментарии в коде и информация по устранению багов.

Более подробную информацию о зловреде можно найти здесь. 

«Доктор Веб» изучил механизм работы зловреда BackDoor.Ragebot.45, способного инфицировать архивы и удалять другие вредоносные программы.

Ragebot — это червь, распространяющийся через систему удалённого доступа VNC (Virtual Network Computing). Зловред получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому злоумышленники отдают управляющие директивы.

Ragebot инфицирует компьютеры под управлением Windows. Проникнув в систему, червь запускает FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удалённого доступа к рабочему столу VNC. Обнаружив такую машину, Ragebot пытается получить к ней несанкционированный доступ путём перебора паролей по списку.

Если взлом удался, червь устанавливает с удалённым компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нём код для загрузки по протоколу FTP собственной копии. Это обеспечивает автоматическое распространение.

Червь способен инфицировать RAR-архивы на съёмных носителях, внедряя в них свою копию под видом exe-файла. Правда, заражение в данном случае происходит только тогда,  когда пользователь самостоятельно запустит исполняемый файл.

Наконец, по командам злоумышленников Ragebot способен искать в системе сторонние троянские программы, завершать их процессы и удалять соответствующие модули. 

Чрезвычайная ситуация на атомной станции может привести к последствиям, отголоски которых способны напоминать о себе человечеству на протяжении многих десятилетий. С развитием технологий обеспечить максимально эффективную защиту автоматизированного процесса должна электроника, однако чем больше компьютеров регулируют работу станции, тем уязвимее она кажется для хакеров. 

Так, в этот вторник на атомной электростанции Гундремминген в Германии, расположенной в 120 км к северо-западу от Мюнхена, местный диспетчер сообщил об инфицировании станционных компьютеров в блоке «B» вирусами. И хотя вредоносное программное обеспечение не несло прямой угрозы для деятельности объекта, так как внутренняя сеть АЭС изолирована от доступа в Интернет, подобное небрежное отношение является крайне неприемлемым для безопасности объектов такого уровня. 

www.ludwighartmann.de

По данным, предоставленным СМИ уполномоченными лицами по связям с общественностью, специалистами были обнаружены на модернизированных в 2008 году компьютерах вирусы «W32.Ramnit» и «Conficker». Первый предназначается для кражи информации, а хорошо известный пользователям Всемирной паутины червь Conficker способен отключать ряд служебных сервисов Windows и всячески вредить нормальному функционированию ПК. В задачи систем, атакованных вирусами, входила визуализация процессов, связанных с перемещением тепловыделяющих элементов в процессе «выгорания» в них ядерного топлива.

Вредоносное ПО было также найдено на 18 съёмных носителях, преимущественно USB-накопителях. Но какой-либо угрозы для систем непосредственно станции они уже не представляли, так как распространялись через компьютеры в принадлежащих АЭС административных зданиях. Стоит отметить, что подобные инциденты на предприятиях в последнее время вовсе не редкость, однако реальный ущерб вирусы, если их деятельность не была изначально направлена на вывод из строя оборудования, не наносили. 

Компания ESET сообщила о появлении новой вредоносной программы Linux/Remaiten. Сообщается, что зловредное приложение заражает модемы, роутеры и другие устройства, объединяя их в ботнет. В дальнейшем такая сеть может использоваться для загрузки троянов и вирусов и для DDoS-атак.

По мнению сотрудников ESET, Remaiten — это доработанная версия ботов Kaiten и Gafgyt, направленных на встраиваемые устройства. Gafgyt сканирует IP-адреса и пытается обнаружить работающий порт Telnet. Затем приложение подбирает имя пользователя и пароль для входа в систему. При успешном подключении начинается загрузка исполняемых файлов вредоносной программы.

Remaiten также пытается обнаружить порт Telnet и пытается пройти аутентификацию на нем, однако он действует более избирательно при установке исполняемых файлов. Троян анализирует инфраструктуру жертвы и подбирает необходимый загрузчик. Затем загрузчик загружает полноценный бот с управляющего сервера.

После установки бота, Remaiten выполняет команды управляющего сервера. Он может загружать вредоносные файлы в систему и проводить DDoS-атаки. Кроме того, Remaiten может уничтожать другие боты, установленные на заражённом устройстве. 

Компания «Доктор Веб» тщательно проанализировала опасную программу-шифровальщика KeRanger для платформы OS X и разработала технологию восстановления повреждённых файлов.

На днях, напомним, по Интернету прошла волна сообщений о том, что пользователям компьютеров Apple угрожает первый полнофункциональный червь-вымогатель. Зловред впервые был обнаружен в инфицированном обновлении популярного торрент-клиента для OS X. Причём программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple.

После проникновения на ПК жертвы KeRanger выжидает три дня, а затем устанавливает соединение со своим управляющим сервером с использованием сети TOR. После этого зловред начинает процесс шифрования файлов: в папке пользователя KeRanger шифрует абсолютно все файлы, к которым у него имеются права доступа. После этого вредоносная программа пытается зашифровать содержимое логического раздела /Volumes, то есть файлы, хранящиеся на жёстком диске и в смонтированных логических разделах.

Ключ для шифрования и файл с требованиями злоумышленников зловред получает с управляющего сервера. Характерным признаком работы программы является добавление к зашифрованным файлам расширения ".encrypted" и появление в папках файла с именем "README_FOR_DECRYPT.txt".

Для того чтобы воспользоваться услугой «Доктора Веба» по расшифровке файлов, которые стали недоступны в результате проникновения KeRanger, необходимо отправить запрос в службу технической поддержки компании. Инструкции по его составлению доступны на этой странице. 

Операционная система Mac OS X всегда славилась надёжностью и защищённостью от вирусов и прочих опасностей, к которым привыкли пользователи Windows. Иногда эти качества превозносились энтузиастами Mac в том числе и в издевательской форме по отношению к Windows. Однако рост популярности устройств Apple сыграл с ними злую шутку: пока Mac были маргинальными или профессиональными устройствами, они мало интересовали злоумышленников, но как только их популярность в достаточной степени выросла — появился и интерес, а вслед за ним и соответствующее программное обеспечение.

Часть кода KeRanger, запакованная UPX

Буквально на днях, 4 марта, специалистами Palo Alto Networks был обнаружен первый полнофункциональный червь-вымогатель, способный шифровать данные в среде OS X. Он был найден в составе популярного BitTorrent-клиента Transmission 2.90, причём подписанного действующим сертификатом разработчика. В версии 2.91 червь отсутствует; любопытно также, что заразились только те пользователи, кто обновил программу с серверов разработчика. Те же, кто получили обновления «по воздуху», остались чистыми. Червь носит название KeRanger и начинает свою деструктивную работу спустя три дня после проникновения в систему и установки.

Результат сработавшего червя

Как только начинается шифрование данных, червь связывается с серверами C2 через сеть Tor и после завершения шифрования требует выплаты пользователям выкупа в размере 1 биткоина. Пока червь не начал свою разрушительную работу, избавиться от него не так уж и сложно, достаточно следовать инструкции, опубликованной на сайте центра исследований Palo Alto Networks:

Выделенный процесс является процессом KeRanger

• C помощью Terminal или Finder проверить, существуют ли файлы /Applications/Transmission.app/Contents/Resources/ General.rtf или /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf. Если да, клиент Transmission заражён и его следует удалить.
• Используя Activity Monitor, проверить систему на запущенный процесс kernel_service. В случае его обнаружения использовать функцию Open Files and Ports и проверить путь /Users/<username>/Library/kernel_service. Если файл существует, он и является главным процессом KeRanger. Используйте опцию Quit, а затем Force Quit.
• После всех предпринятых действий рекомендуется проверить систему на существование файлов .kernel_pid, .kernel_time, .kernel_complete или kernel_service в директории ~/Library. При нахождении одного или нескольких таких файлов, удалите их. Не забудьте удалить инфицированную версию Transmission 2.90.

Любопытно, что сам по себе KeRanger является незавершённым проектом и, похоже, будет дорабатываться создателями-злоумышленниками. Предполагают даже, что в будущих версиях он получит возможность шифровать резервные копии файлов, что существенно осложнит ситуацию для пользователя. Apple отреагировала на угрозу тем, что аннулировала соответствующий сертификат разработчика и обновила сигнатуры в антивирусном ПО XProtect. Вся необходимая информация была сообщена также разработчику BitTorrent-клиента Transmission.

Компания ESET предупреждает о появлении нового семейства вредоносных программ для программных платформ на ядре Linux: зловреды объединены под общим названием Linux/Moose.

В отличие от большинства других Linux-угроз, вредоносные программы Moose не предназначены для компрометации персональных компьютеров или организации DDoS-атак. Вместо этого целью киберпреступников являются роутеры и некоторые другие сетевые устройства.

После заражения операционной системы маршрутизатора злоумышленники используют Linux/Moose для кражи трафика, проходящего через устройство. В частности, их интересуют служебные файлы сессий НТТР (cookie).

Впоследствии полученные данные используются при осуществлении различных мошеннических схем в социальных сетях Facebook и Instagram, а также в Twitter, YouTube и других сервисах. С их помощью можно, например, искусственно увеличить число просмотров видео, повысить количество подписчиков и т. д.

Помимо компрометации социальных сетей, Linux/Moose перенаправляет DNS-трафик. Это позволяет злоумышленникам организовать атаки типа man-in-the-middle в различных веб-сервисах.

Linux/Moose также может конкурировать с другими семействами вредоносного ПО в системе, принудительно завершая их процессы. 

Специалисты компании AdaptiveMobile предупреждают о появлении новой версии червя Selfmite, инфицирующего мобильные устройства под управлением операционной системы Android.

Оригинальная модификация Selfmite была обнаружена в июне. После проникновения на смартфон или планшет с поддержкой сотовой связи программа начинает рассылать SMS по найденным контактам с предложением загрузить некий файл APK (Android Package). Согласившись, адресат текстового сообщения получает вредоносный код.

Первая версия Selfmite рассылала SMS только на 20 номеров. Новая модификация пытается отправить сообщения всем контактам в адресной книге, причём делается это циклически. В результате, по оценкам, только с сотни инфицированных устройств за последние полторы недели было разослано 150 тыс. посланий. Если тарифный план владельца гаджета не предусматривает безлимитные SMS, финансовые потери могут оказаться весьма ощутимыми.

Кроме того, в процессе заражения Selfmite создаёт на «домашнем» экране гаджета две пиктограммы. Они ведут на веб-сайты, предлагающие различные платные услуги и приложения. Таким образом злоумышленники пытаются заработать на своём творении.

География распространения Selfmite довольно широка: инфицированные устройства выявлены в 16 странах, в том числе в России. Впрочем, на масштабную эпидемию червь всё же не способен, поскольку не эксплуатирует уязвимости Android и требует для установки непосредственной загрузки потенциальной жертвой. 

10 лет назад, в июне 2004-го, в «Лабораторию Касперского» попало странное электронное письмо, содержащее исполняемый файл без какого-либо текста. Причём файл этот не предназначался ни для одной из «настольных» программных платформ. Оказалось, что e-mail-вложение представляло собой первого мобильного червя — зловреда, названного Cabir и разработанного под операционную систему Symbian.

Image Source/Corbis

Анализ кода Cabir показал, что червь способен распространяться посредством Bluetooth и умеет передавать файлы. Выяснилось, что программа написана участником международной группы вирусописателей 29A с псевдонимом Valtezz. Появление Cabir фактически открыло новую эпоху компьютерных угроз.

Через несколько месяцев после обнаружения червя группа 29A открыла фрагменты исходного кода зловреда в очередном номере своего электронного журнала, и модификации Cabir стали появляться каждую неделю. Любопытно, что вспышка эпидемии Cabir была зафиксирована только через два года — на стадионе в Финляндии, где проходил чемпионат мира по лёгкой атлетике. Чрезвычайная популярность Symbian-смартфонов в этой стране, большое число приезжих из разных государств и высокая заполненность трибун стадиона позволили Cabir распространиться на большое число сотовых аппаратов, принадлежащих болельщикам и спортсменам.

Science Picture Co./Corbis

В настоящее время беспроводная связь Bluetooth практически не используется вирусописателями для распространения своих творений. Одним из редких ныне примеров является Flame, который включает Bluetooth на зараженном ноутбуке с целью получения к нему и к его сети удалённого доступа со стороны хозяина вредоносной программы.

«Лаборатория Касперского» отмечает также, что следующим за Cabir прорывом в отрасли мобильных угроз стал червь Commwar, который умел рассылать вредоносные MMS-сообщения по контакт-листу зараженного устройства. Сейчас большинство мобильных вредоносных программ нацелены на платформу Android. 

«Лаборатория Касперского» обнаружила мобильную вредоносную программу, основной целью которой является сервис интернет-телефонии Sipnet.

toptenreviews.com

В отличие от других подобных зловредов червь Worm.AndroidOS.Posms.a начинает рассылать SMS-спам сразу после запуска, не дожидаясь команды с сервера злоумышленников. Деятельность червя на зараженном мобильном устройстве в основном сводится к созданию аккаунта в сети Sipnet без ведома владельца гаджета. Вредоносная программа способна самостоятельно управлять учётной записью и скрытно пополнять её счет, переводя деньги со счёта мобильного телефона жертвы. Кроме того, червь может настроить переадресацию звонков на другой номер и заказать звонок за счёт владельца устройства.

По команде с сервера зловред также может блокировать входящие звонки с определённых номеров, загружать и устанавливать Android-приложения, а также начинать/заканчивать DoS-атаку на сервер.

digitalsensus.com

«Лаборатория Касперского» отмечает, что Worm.AndroidOS.Posms.a поначалу распространялся очень активно, однако после того, как число заблокированных установок достигло пика, сервер злоумышленников, с которого загружалась вредоносная программа, стал недоступен. Через неделю появилась новая версия червя, но сервер распространения вновь очень быстро стал недоступен.

Эксперты отмечают, что зловред имеет достаточно мощный арсенал функций, поэтому очень странно, что его распространение раз за разом быстро заканчивается. Возможно, злоумышленники оттачивают его возможности и в дальнейшем планируют массированную атаку. 

Компания ESET предупреждает о появлении вредоносной программы Samsapo, атакующей российских пользователей смартфонов и планшетов под управлением операционной системы Android.

giiks.com

Samsapo обладает функциональностью червя: он способен к полностью или частично автоматизированному распространению с зараженного Android-устройства. В качестве сервера установки вредоносного кода используется домен, зарегистрированный 24 апреля 2014 года.

Поиск новых жертв осуществляется с помощью методов социальной инженерии. Устройство, инфицированное Samsapo, рассылает по всей адресной книге пользователя SMS-сообщения с текстом на русском языке «Это твои фото?» и прикладывает ссылку на вредоносный АРК-файл.

Запрашиваемые вредоносным приложением права

Среди ключевых особенностей вредоносной программы эксперты ESET называют возможность подписки пользователя на платные SMS-услуги, кражу персональных данных жертвы (номера телефона, текстовых сообщений и др.), загрузку на устройство других вредоносных файлов с определённых веб-адресов, сокрытие в системе под видом утилиты com.android.tools.system v1.0, блокировку телефонных вызовов и модификацию настроек. 

Специалисты по вопросам сетевой безопасности SANS Institute предупреждают о появлении компьютерного червя, атакующего маршрутизаторы Linksys.

Иллюстрация mashable.com

Вредоносная программа, получившая название TheMoon, распространяется через порт 8080. Она может при необходимости задействовать SSL. Посредством запроса "/HNAP1/" URL червь получает перечень параметров маршрутизатора и текущую версию прошивки. После этого уязвимому CGI-скрипту отправляется эксплойт; причём запрос, как отмечается, не требует авторизации. Далее осуществляется загрузка основного кода вредоносной программы.

Инфицированное сетевое устройство выполняет поиск новых жертв. Анализ показывает, что червь содержит список приблизительно 670 сетей, в которых производится сканирование. Пока не ясно, производит ли TheMoon обмен данными с командно-контрольным центром. Но, судя по всему, такая функциональность предусмотрена.

В зависимости от версии установленной «прошивки» атакам могут быть подвержены следующие сетевые устройства Linksys: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 и E900. Правда, атака возможна только в том случае, если активирована функция удалённого управления Remote Management Access, которая по умолчанию выключена.

Представители Linksys сообщили, что осведомлены о проблеме, которая по их словам, затрагивает отдельные маршрутизаторы E-серии и точки доступа Wireless-N. Обновлённую версию ПО разработчики обещают выпустить «в ближайшие недели». 

Компания Symantec предупреждает о появлении новой вредоносной программы, способной поражать х86-совместимые компьютеры под управлением Linux и, возможно, различные интернет-устройства вроде маршрутизаторов и телевизионных приставок.

Сообщается, что червь Linux.Darlloz использует уязвимость в php-cgi — компоненте, позволяющем использовать РНР в конфигурации Common Gateway Interface (CGI). Данная брешь была устранена в PHP 5.4.3 и PHP 5.3.13 ещё в мае 2012 года.

Во время исполнения вредоносная программа генерирует произвольный IP-адрес и пытается получить доступ к определённому пути на атакуемой машине. Если это удаётся, выполняется запрос HTTP POST, эксплуатирующий уязвимость. Если машина содержит брешь, на неё загружается вредоносный код, и процесс повторяется.

Пока единственным распространяющимся вариантом Linux.Darlloz является версия для систем с архитектурой х86. Однако исследователи Symantec утверждают, что уже существуют варианты под платформы ARM, PPC, MIPS и MIPSEL, которые используются в таких устройствах, как роутеры, IP-камеры, ТВ-приставки и пр.

Таким образом, злоумышленники, похоже, пытаются максимизировать поле возможных атак. Впрочем, нужно повторить, пока нападений на устройства, не являющиеся компьютерами, зафиксировано не было. 

Британские ученые с немецкими фамилиями Штюрценбаум и Хёкнер (S. R. Stürzenbaum, M. Höckner)  из департамента естественно-научных изысканий и аналитики лондонского «Кингс колледж» опубликовали результаты исследований земляных червей на предмет их привлечения в качестве работников нано-предприятий по изготовлению квантовых точек. Оказывается, если обычным земляным червям скармливать особую смесь, содержащую определенные химические микроэлементы, то их организм на выходе может выдавать на-гора эти самые квантовые точки — нано-частицы со способностью поглощать и излучать свет.

Ученые интересовались в первую очередь квантовыми точками из теллурида кадмия, поскольку именно этот материал применяется в тонкопленочных фотоэлектрических технологиях. Само по себе это химическое соединение достаточно ядовито и живые организмы стараются от него побыстрее избавляться. В кишечном тракте земляных червей есть свой эквивалент печени, который, по мнению ученых, способен нейтрализовывать токсичные соединения, отрывая от них кадмий, и таким образом делать возможным его соединение с теллуром для образования соли теллурида кадмия. Ученые намешали грунт с солями CdCl₂ и Na₂TeO₃ и оставили в нем земляных червей на 11 дней. В конце срока в червях обнаружили частицы, анализ которых показал, что искомый CdTe получен.

Опуская излишние научные описания, следует отметить, что если это и не технологическая революция, то точно прорыв в био- и нано-технологиях, который существенно повлияет, например, на рынок светодиодов, солнечных панелей и экранов для мобильных телефонов. До практического привлечения червей и их желудочно-кишечного тракта в производство электроники пока еще далеко, но Штюрценбаум и Хёкнер уже планируют новые эксперименты.

Материалы по теме:

• Научный дайджест №21;
• Научный дайджест №20;
• Научный дайджест №19.