Ликвидация ботнета Rustock стала главной новостью марта в сфере ИБ

cd18a6c87cc00738 Ликвидация ботнета Rustock стала главной новостью марта в сфере ИБВ сфере информационной безопасности в марте 2011 года произошло множество изменений. В числе главных новостей — ликвидация крупнейшей в мире спам-сети, ботнета Win32.Ntldrbot, известного также под названием Rustock. 17 марта стали недоступны 26 его командных центров.По оценкам Microsoft, компьютер, зараженный Win32.Ntldrbot, рассылал до 10 000 писем в час. При этом, по данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом, можно оценивать в несколько миллиардов сообщений в сутки. Ответственность за «уничтожение» Win32.Ntldrbot взяла на себя корпорация Microsoft, которая провела операцию совместно с американскими властями.Также в марте компания «Доктор Веб» заявила об обнаружении новой модификации троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Этот вирус изменяет номера счетов получателей платежей, а последняя его модификация, вероятно, даже позволяет злоумышленникам создать виртуальный терминал.Заражение терминала происходит в два этапа. Сначала на него попадает BackDoor.Pushnik, который представляет собой запакованный исполняемыйc8ef368b80e77bae Ликвидация ботнета Rustock стала главной новостью марта в сфере ИБ файл размером около 620 Кб, и распространяется через сменные носители. После установки троянец получает управляющие данные от своих командных центров и, через несколько промежуточных шагов, загружает и запускает бинарный файл размером 60-70 Кб, содержащий Trojan.PWS.OSMP. Тот перебирает запущенные процессы в поисках процесса maratl.exe, являющегося частью программного окружения платежных терминалов. Далее троянец внедряется в процесс и изменяет счет получателя непосредственно в памяти процесса.Компания Adobe объявила в марте об обнаружении очередной уязвимости в проигрывателе Adobe Flash Player 10.2.152.33 и некоторых более ранних версиях. Она позволяла злоумышленникам атаковать систему при помощи специально оформленного swf-файла. Уязвимость является общей для версий данного программного продукта для Windows, Mac OS, Linux, Solaris и ранних версий Android.Еще одним подтверждением активности преступников стала массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal. Похожей атаке в марте подвергся и Facebook. Его пользователи стали получать62ca60dd388d7c7c Ликвидация ботнета Rustock стала главной новостью марта в сфере ИБ спам-сообщения, рассылаемые от имени действующих аккаунтов. В сообщениях содержалась короткая ссылка, приводящую пользователей на мошенническую страницу, копирующую дизайн Facebook. На этой странице размещалось уведомление с запросом личной информации пользователя. В случае заполнения полей запроса злоумышленники получали доступ к аккаунту жертвы, от имени которой в дальнейшем происходила аналогичная рассылка по списку друзей.За катастрофой в Японии последовала волна спама соответствующей тематики. Некоторые образцы рассылок содержали призывы к пожертвованиям, при этом в качестве отправителя фигурировала одна из известных благотворительных организаций, а в теле письма присутствовала ссылка на мошеннический ресурс, готовый принимать пожертвования. В других случаях пользователей заманивали на вредоносные ресурсы путем предложения просмотреть видеоролик о катастрофе. При переходе по предлагаемой ссылке на компьютер пользователя устанавливался Trojan.FakeAlert.Подобные рассылки зафиксированы по всему миру. Так злоумышленники распространяют широкий спектр троянского ПО — лжеантивирусы, поддельные системные утилиты, всевозможные блокировщики.