Крім цього, ProActiv “бачить” ознаки шкідливої ​​активності в багатьох системних процесах, включаючи cmd.exe, dllhost.exe, explorer.exe і rundll32.exe, і зупиняє їх роботу. В одній зі скарг користувача, зокрема, говориться, що співробітники його компанії після установки оновлення перезавантажили комп’ютери і не змогли знову увійти в систему.

“Проблемне” оновлення вийшло тільки для користувачів платних версій антивіруса для операційних систем Windows XP, Windows Vista і Windows 7. Безкоштовний варіант Avira не включає в себе компонент ProActiv, тому збоїв не виникає.

Розробники антивіруса визнали, що оновлення містить помилки, і випустили “латочку”, яка усуває неполадки. На сайті Avira також з’явилася інструкція про те, як розблокувати заборонені антивірусом програми.

Користувачам, які не можуть увійти в систему, також радять запустити Windows в безпечному режимі, відключити компонент ProActiv і виконати перезавантаження.

Блокування антивірусом нешкідливих програм стала не єдиним збоєм в історії Avira. Восени 2011 року через помилку в базі сигнатур Avira “обізнався” і прийняв за вірус один з власних компонентів.

Під час відвідування такого ресурсу браузер Android-пристрою починає автоматично завантажувати шкідливий код, проте інсталяція трояна вимагає згоди користувача. Крім того, як наголошується, NotCompatible зможе інфікувати гаджет тільки в тому випадку, якщо дозволена установка додатків не з магазину Google.

Попередній аналіз дозволяє припустити, що NotCompatible теоретично може застосовуватися для отримання доступу до приватних мереж і захищеної інформації. Втім, зважаючи незначного трафіку інфікованих сайтів особливої ​​загрози шкідлива програма поки не представляє.

Lookout Mobile Security відзначає, що схема розповсюдження NotCompatible вже давно використовується авторами вірусів для персональних комп’ютерів.

З листопада 2011 року “Лабораторія Касперського” ​​є привілейованим учасником програми Samsung Enterprise Alliance, створеної для реалізації диференційованого підходу до продажів, маркетингу та розробки рішень. Програма дозволяє провідним національним і глобальним партнерам – незалежним розробникам програмного забезпечення та системним інтеграторам – створювати нові моделі отримання прибутку на основі мобільних пристроїв Samsung Electronics.

Рішення “Лабораторії Касперського” ​​для власників смартфонів і планшетів Samsung володіють розширеним терміном дії безкоштовної пробної версії: місяць при установці з магазину додатків Samsung Apps в порівнянні з тижнем при завантаженні з інших офіційних джерел.

Після закінчення терміну Kaspersky Mobile Security і Kaspersky Tablet Security можливо буде придбати в магазині Samsung Apps за зниженою ціною. Ці рішення вже зараз доступні на десяти мовах – російській, англійській, французькій, німецькій, іспанській, датською, шведською, норвезькою, фінською та корейському. Тепер користувачі по всьому світу можуть завантажити захист для смартфонів і планшетів від “Лабораторії Касперського” ​​на пристрої Samsung, які працюють на платформі Android.

Програма отримала назву NotCompatible. Її творці зламують сайти і поміщають в їх код елемент iframe з посиланням на троян. Коли користувач відкриває такий сайт в браузері для Android, шкідливий файл Update.апк починає завантажуватися автоматично.

Якщо зайти на зламаний сайт з комп’ютера або зі смартфона під керуванням іншої операційної системи, завантаження файлу розпочато не буде.

NotCompatible видає себе за оновлення для Android. Зараження відбувається в тому випадку, якщо користувач не тільки завантажив файл, а й встановив програму на пристрій. Останнє можливе лише в тому випадку, якщо в системі дозволена установка додатків з невідомих джерел.

У блозі Lookout Mobile Security кажуть, що поки програма не виконує шкідливих операцій. Тим не менш, є ризик, що творці NotCompatible “доопрацюють” троян і будуть використовувати його для вторгнення в приватні мережі шляхом перетворення зараженого пристрою в проксі-сервер.

На даний момент число сайтів, що містять шкідливий код, невелика, і вони не відрізняються високою відвідуваністю. Один з таких ресурсів, наприклад, належить американській компанії, що випускає засоби для боротьби з термітами.

Lookout Mobile Security відзначає, що випадок з NotCompatible став одним з перших, коли зламані сайти використовуються для поширення трояна для мобільних пристроїв. Зазвичай до такої схеми вдаються творці шкідливих програм для персонального комп’ютера.

Операційна система Android надає встановленим додаткам доступ до показань вбудованих в смартфон або планшет датчиків – акселерометра, гіроскопа і сенсора орієнтації. Саме ці дані і аналізує троян, намагаючись вирахувати, до якого місця екрану доторкнувся користувач. Далі програма за допомогою спеціальних алгоритмів зіставляє результат з розташуванням кнопок на віртуальній клавіатурі, що дозволяє з великою часткою ймовірності вгадати натиснуту цифру або символ.

TapLogger складається з двох компонентів – власне шпигуна, який працював непомітно для власника пристрою, і простенької гри HostApp, в якій користувачеві пропонується шукати ідентичні зображення серед представлених на екрані. Гра служить не стільки для маскування, скільки для “тренування” трояна: з її допомогою програма накопичує відомості про параметри дисплея, особливості взаємодії користувача з тачскріном і іншими. Чим більше такої інформації отримає TapLogger, тим вище ймовірність точного вгадування символів.

Дослідники говорять, що для підбору пароля з чотирьох знаків методом перебору потрібно до 10 000 спроб. TapLogger дозволяє звести їх кількість до 81 зі 100-відсотковою ймовірністю успіху. У випадку з пінкод з шести символів потрібне введення 729 комбінацій з імовірністю успіху 80%. Метод “грубої сили” (brute force) у цьому випадку зажадає до мільйона спроб.

Автори програми підкреслюють, що аналогічний троян може бути створений для комунікаторів BlackBerry, а також пристроїв під управлінням iOS з джейлбрейком.

Так, відомі розробники “Лабораторія Касперського” ​​і Dr.Web запустили веб-сервіси FlashbackCheck і Anti-Flashback, де користувач може ввести ідентифікатор свого комп’ютера (Hardware UUID) і дізнатися, чи підтримує “мак” зв’язок з сервером ботнету. Якщо з’ясується, що комп’ютер заражений, можна видалити троян з допомогою спеціальної утиліти.

Компанія F-Secure пропонує користувачам завантажити з її сайту інструмент FlashBack Removal. Програма перевіряє комп’ютер і при виявленні небезпечних елементів поміщає їх в ZIP-файл, захищений паролем (пароль – “infected”).

Flashback атакує комп’ютери на базі Mac OS X, використовуючи вразливість в Java. Інфіковані пристрої утворюють ботнет, який контролюють кілька серверів. На початку квітня число заражених комп’ютерів перевищувало 600 000, що, за різними оцінками, становить від одного до двох відсотків від загального числа “Mac-ів”.

Крім цього, корпорація Apple офіційно повідомила про вихід оновлення http://support.apple.com/kb/HT5242, яке рятує комп’ютер від троянської програми.

Зараження троянцем BackDoor.Flashback.39 здійснюється з використанням інфікованих сайтів і проміжних TDS (Traffic Direction System, систем розподілу трафіку), що перенаправляє користувачів Mac OS X на шкідливий сайт. Таких сторінок фахівцями було виявлено досить багато – всі вони містять Java-скрипт, що завантажує в браузер користувача Java-аплет, який, в свою чергу, містить експлойт.

За інформацією з деяких джерел на кінець березня у видачі Google були присутні більше 4 млн. заражених веб-сторінок. Крім того, на форумах користувачів Apple повідомлялося про випадки зараження троянцем BackDoor.Flashback.39.

Починаючи з лютого 2012 року зловмисники почали використовувати для поширення шкідливого програмного забезпечення уразливості CVE-2011-3544 та CVE-2008-5353, а після 16 березня вони стали застосовувати інший експлойт (CVE-2012-0507). Виправлення для даної уразливості корпорація Apple випустила тільки 3 квітня 2012 року.

Експлойт зберігає на жорсткий диск інфікованого “Mac-у” виконуваний файл, призначений для завантаження корисного навантаження з віддалених керуючих серверів та її подальшого запуску. Фахівцями було виявлено дві версії троянця: приблизно з 1 квітня зловмисники стали використовувати модифікований варіант BackDoor.Flashback.39. Як і в попередніх версіях, після запуску шкідлива програма перевіряє наявність на жорсткому диску наступних компонентів:

- /Library/Little Snitch
- /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
- /Applications/VirusBarrier X6.app
- /Applications/iAntiVirus/iAntiVirus.app
- /Applications/avast!.app
- /Applications/ClamXav.app
- /Applications/HTTPScoop.app
- /Applications/Packet Peeper.app

Якщо зазначені файли виявити не вдалося, то троянець формує за певним алгоритмом список керуючих серверів, відсилає повідомлення про успішну установку на створений зловмисниками сервер статистики і виконує послідовний опитування командних центрів.

Слід зазначити, що шкідлива програма використовує вельми цікавий механізм генерації адрес керуючих серверів, дозволяє в разі потреби динамічно перерозподіляти навантаження між ними, перемикаючись від одного командного центру до іншого. Отримавши відповідь керуючого сервера, BackDoor.Flashback.39 перевіряє передане з командного центру повідомлення на відповідність підпису RSA, а потім, якщо перевірка виявляється успішною, завантажує і запускає на інфікованої машині корисне навантаження, в якості якої може виступати будь-який виконуваний файл, вказаний в отриманій троянцем директиві.

Кожен з ботів передає управителю серверу в рядку запиту унікальний ідентифікатор інфікованого комп’ютера. З використанням методу sinkhole фахівцям вдалося перенаправити трафік ботнету на власні сервери, що дозволило здійснити підрахунок інфікованих вузлів.

На 4 квітня у бот-мережі діє понад 550 000 інфікованих комп’ютерів, що працюють під управлінням операційної системи Mac OS X. При цьому мова йде тільки про деякої частини ботнета, що використовує дану модифікацію троянця BackDoor.Flashback. Велика частина заражень припадає на частку США (56,6%, або 303 449 інфікованих вузлів), на другому місці знаходиться Канада (19,8%, або 106 379 інфікованих комп’ютерів), третє місце займає Великобританія (12,8%, або 68577 випадків зараження), на четвертій позиції – Австралія з показником 6,1% (32 527 інфікованих вузлів).

Для того щоб убезпечити свої комп’ютери від можливості проникнення троянця BackDoor.Flashback.39 фахівці рекомендують користувачам Mac OS X завантажити та встановити пропоноване корпорацією Apple оновлення безпеки: support.apple.com/kb/HT5228.

При відкритті сайту підробленого антивіруса користувачеві показується нібито системне повідомлення JavaScript, в якому говориться, що комп’ютер користувача заражений. Після того як користувач клікає на “OK”, запускається “процес сканування”.

На сторінці програми представлена ​​флеш-анімація, що імітує реалістичні значки, панель завантаження, а також вікна діалогів. Не дивно, що підроблений антивірус виявляє безліч вірусів. Розпакування флеш-архіву і його наступний аналіз показали, що в ньому міститься безліч додаткових файлів. Під час відтворення ролик вибирає файли випадковим чином і заявляє, що вони заражені (назви вірусів також вибираються навмання).

Після завершення сканування з’являється повідомлення служби безпеки Windows, в якому представлені результати процедури. Цей діалог може бути переміщений по екрану, а також можуть бути обрані або виключені різні інфекції.

Коли користувач намагається закрити вікно, з’являється попередження про наслідки, які нібито можуть настати, якщо вірус не буде переможений. Після натискання кнопки “Видалити все” у вікні системи безпеки Windows Security користувачеві пропонується завантажити шкідливий файл, що містить Windows Risk Minimizer. Після його запуску з’являється цілком професійно виглядає вікно. Потім “антивірус” знаходить нові загрози. Однак після закриття вікна шкідливе програмне забезпечення продовжує виводити спливаючі вікна та повідомлення на панелі завдань.

Зокрема, одне з повідомлень дає користувачеві неправдиві відомості про те, що браузер Google Chrome заражений. Після натискання на кнопку “Попередити атаку “відкривається платіжне вікно.

Інше повідомлення заявляє про нелегальне використання BitTorrent, посилаючись на вимоги SOPA (Stop Online Piracy Act). В цьому випадку кнопка “Попередити атаку” відсутня, але замість неї користувачеві пропонується отримати анонімне з’єднання (Get anonymous connection), для якого також відкривається вікно оплати.

Ще один тип повідомлення попереджає користувача про спробу крадіжки його ідентифікаційних даних.

Всі повідомлення направлені на те, щоб переконати користувача в наявності заражень комп’ютера і підштовхнути його до придбання марною програми вартістю $ 99,90, підкреслили в Symantec. Клієнти Symantec.cloud, а також користувачі інших антивірусних продуктів Symantec вже захищені від подібних загроз за допомогою оптимізованої системи аналізу посилань.

“Лабораторія Касперського” ​​вже вдруге вступає в сутичку з модифікацією ботнету Hlux / Kelihos. У вересні 2011 року “Лабораторією Касперського” ​​спільно з відділом компанії Misrosoft по боротьбі з кіберзлочинністю і компаніями Surf Net і Kyrus Tech, Inc був успішно відключені перші ботнет Hlux / Kelihos, до складу якого входило близько 40 000 хостів. У той раз “Лабораторія Касперського” ​​провела операцію з впровадження sinkhole-маршрутизатора, в ході якої ботнет і його резервна інфраструктура були відключені від командного сервера.

Незважаючи на нейтралізацію першого ботнету і встановлення контролю над ним, експерти “Лабораторії Касперського” ​​виявили сліди функціонування другого активного ботнету Hlux / Kelihos. Шкідлива програма для нього була написана з використанням того ж коду, що і в першому Hlux / Kelihos, однак новий бот, крім традиційних функцій розсилки спаму і проведення DDoS-атак, мав додаткові.

Протягом тижня, починаючи з 19 березня 2012 року, “Лабораторія Касперського”, команда CrowdStrike Intelligence, Honeynet Project і Dell SecureWorks проводили операцію по впровадженню sinkhole-маршрутизатора, в ході якої ботнет був успішно знешкоджено. На відміну від традиційних ботнетів, які для управління мережею використовують один командний сервер (C & C), Hlux / Kelihos має пірингову архітектуру, яка передбачає, що кожен комп’ютер може виступати в якості як сервера, так і клієнта. Для нейтралізації подібної схеми групою експертів з безпеки була створена глобальна розподілена мережа, що складається з комп’ютерів, які були впроваджені в інфраструктуру ботнету. Незабаром ця мережа стала настільки масштабною, що “Лабораторія Касперського” ​​змогла нейтралізувати дію ботів, запобігши можливість отримання ними шкідливих команд.

Оскільки велика частина комп’ютерів, що входять в ботнет, з’єднана з маршрутизатором, експерти “Лабораторії Касперського” ​​мають можливість відстежувати кількість і географічне положення заражених машин. На даний момент мова йде про 116 тисячах заражених системах. Більшість IP-адрес розташовані в Польщі і США.

Сервери були захоплені в ході рейдів, які пройшли в п’ятницю, 23 березня, в містах Скрентон, штат Пенсільванія, і Ломбард, штат Іллінойс. У рейдах взяли участь співробітники Служби маршалів США.

Ботнети, управління якими вдалося перехопити, об’єднують близько 13 мільйонів комп’ютерів по всьому світу. На них встановлена ​​троянська програма Zeus або її різновиди під назвами Ice-IX і SpyEye.

Zeus запам’ятовує, які клавіші на клавіатурі натискає користувач. Таким способом програма фіксує логіни і паролі. Оператори ботнетів використовували Zeus у фінансових махінаціях, в тому числі для зняття грошей з банківських рахунків жертв. Загальний збиток, нанесений ботнетами, оцінюється в суму понад ста мільйонів доларів.

Microsoft подала скаргу в суд на людей, яких підозрює в причетності до створення і управління ботнетами. Їх імена в заяві не розкриваються, згадуються тільки мережеві псевдоніми (”ніки”), в їх числі є ніки “Roma”, “Slavik”, “petr0vich” і “Denis Lubimov”.

У скарзі наводиться список доменів, задіяних в інфраструктурі ботнетів. Деякі з них пов’язані з поштовими адресами в зонах. RU і. UA.

З 2010 року Microsoft брала участь у закритті декількох великих ботнетів – Waledac, Rustock і Kelihos, проте представники компанії в офіційному блозі відзначили, що боротьба з Zeus забрала найбільших зусиль. Вони підкреслили, що перед Microsoft стоїть завдання не тільки закрити ботнети, але і нанести їх операторам “довгостроковий збиток”.

Zeus вперше виявили в 2007 році. Існує безліч різновидів програми. Розробники Zeus активно торгували модифікованими версіями, запитуючи за них від 700 до 15000 доларів в залежності від функціоналу. Зараження комп’ютерів Zeus відбувається, як правило, через листи з шкідливою посиланням.

У жовтні 2010 року були пред’явлені звинувачення групі осіб, які за допомогою Zeus крали кошти з рахунків вкладників американських банків. Більшість з них виявилися росіянами; також до шахрайства виявилося причетні жителі Україні, Білорусії, Молдови та Казахстану.