"Доктор Веб" обнаружил троянца для BIOS

Сентябрь 2011 года оказался достаточно тихим в плане вирусной активности, сообщил "Доктор Веб". Однако совсем исчезнуть киберпреступники не могут.

Так, в связи с недавними политическими событиями в Ливии участились случаи мошеннических почтовых рассылок, в которых злоумышленники предлагают своим жертвам воспользоваться деньгами с замороженных счетов семьи Каддафи.

В начале сентября "Доктор Веб" обнаружил вредоносную программу, получившую название Trojan.Bioskit.1. В ней заложены механизмы, позволяющие заразить BIOS материнской платы компьютера, если он произведен компанией Award Software. Первоначально дроппер троянца проверяет, запущены ли в операционной системе процессы нескольких китайских антивирусов. Если таковые обнаруживаются, то программа создает прозрачное диалоговое окно, из которого осуществляется вызов ее главной функции. Затем она определяет версию ОС и, если ею оказывается ОС Windows 2000 или выше (за исключением Vista), продолжает заражение.

BackDoor.Flashback стал четвертым известным бэкдором для MacOS X, но в отличие от своих предшественников получил чрезвычайно развитый функционал и сложную архитектуру. Установщик данной троянской программы маскируется под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта на экране его компьютера возникает сообщение об ошибке проигрывателя, после чего пользователю предлагается обновить версию. Если он соглашается выполнить это условие, осуществляется цепочка редиректов, которая завершается предложением загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg. Затем начинается процесс инсталляции "проигрывателя", по завершении которого пакет удаляется, а вместо него устанавливается основной компонент Preferences.dylib. Его основное функциональное назначение кроется в выполнении различных директив, поступающих от удаленного командного центра, в том числе и любых стандартных команд оболочки shell. Также библиотека предназначена для интегрирования в просматриваемые пользователем веб-страницы кода на языке JavaScript.

Середина сентября была отмечена новыми случаями фишинговых атак на пользователей "В Контакте". Впервые целью сетевых мошенников стали поклонники популярной онлайн-игры "В Могиле". Злоумышленники выбирали в качестве жертвы наиболее опытных игроков. Затем они отправляли им личное сообщение с предложением воспользоваться "уязвимостью" игры, которая якобы позволяет бесплатно получить игровые предметы, обычно доступные только за деньги. Если жертва соглашалась воспользоваться столь заманчивым предложением, все дальнейшее общение сетевые мошенники переносили в Skype. Далее злоумышленники предлагали установить приложение bag_vmogile.exe, под видом которого распространяется троянская программа Trojan.KeyLogger.9754, предназначенная для перехвата нажатий клавиш и отправки на удаленный FTP-сервер украденных таким образом паролей.

Кроме того, в прошлом месяце в вирусные базы "Доктор Веб" было добавлено 115 новых записей, соответствующих угрозам для мобильной ОС Android. Абсолютным лидером среди вновь выявленных угроз являются вредоносные программы семейства Android.SmsSend (92 записи), на втором месте с 6 записями расположилось семейство Android.Imlog, далее - Android.Ddlight (4 записи).