«Лаборатория Касперского» предупредила о всплеске активности «червя» Koobface, заражающего сайты социальных сетей и способного собирать конфиденциальную информацию о пользователе.

Как говорится в сообщении компании, по наблюдениям группы исследователей «Лаборатории Касперского», в течение трех последних недель командные серверы Koobface отключались или подвергались лечению в среднем три раза в сутки. Командные серверы используются для посылки удаленных команд и обновлений на все компьютеры, зараженные данным червем.

Алгоритм заражения Koobface таков: комментарии и сообщения, отправляемые пользователям через зараженный аккаунт, содержат ссылку на подложный сайт YouTube, откуда под видом установочного файла новой версии проигрывателя Flash Player, к примеру, на компьютер пользователя попадает сетевой червь.

Как указывают эксперты «Лаборатории Касперского», сначала количество работающих командных серверов червя постоянно снижалось, однако сейчас оно растет, и угроза заражения сохраняется, потому что количество атак Koobface будет только увеличиваться.

«25 февраля их [командных серверов] было 107, а 8 марта уже 71, — говориться в сообщении производителя антивирусных программ. — Однако затем в течение всего двух суток их число выросло вдвое, до 142. По состоянию на 18 марта количество серверов составило 79, так что в ближайшее время стоит ожидать очередного роста», — предупреждают эксперты «Лаборатории Касперского».

Как указывают представители производителя антивирусных программ, в первую очередь количество серверов вируса увеличилось в США — их доля выросла с 48 до 52%. «Проследить количество командных серверов Koobface можно, оценив географическое распределение IP-адресов, через которые происходит обмен информацией с зараженными компьютерами», — поясняется в сообщении.

Старший вирусный аналитик «Лаборатории Касперского» Сергей Голованов в интервью BFM.ru уточняет, что данный червь завязан на обслуживающие его деятельность серверы, с которых он загружает свои новые копии и сообщения, публикуемые в социальных сетях. «Увеличение численности и производительности данных серверов говорит о том, что злоумышленники готовятся к расширению. Ситуация аналогична закупке компьютерной техники компанией, готовящейся к увеличению штата сотрудников. В случае с данным червём, этими «сотрудниками» будут зараженные пользователи соцсетей», — объясняет он. По словам Голованова, от подобных угроз социальные сети защищены очень плохо. Отличить сообщения обычного пользователя от вредоносной активности червя крайне сложно, а «попытка убедить людей не переходить по ссылкам, отправленным от имени знакомых и друзей, нереальна».

Впервые червь проявил себя летом 2008 года, тогда были атакованы компьютеры пользователей MySpace и Facebook. Сообщения сопровождались комментариями типа «Ты должен видеть это. Мои друзья сняли тебя на скрытую камеру» или «Это действительно звезды? Смешные моменты и много другое». В декабре 2008 года пользователи Facebook были вновь атакованы вредоносным червем.

Вот, как описывал механизм заражения Koobface в своем блоге на Mail.ru Руслан Аболымов: «В конце 2008-начале 2009 года такой вирус был обнаружен в Facebook, Myspace, Twitter и других социальных сетях. Приманкой служило сообщение на стене от друга, который якобы хотел с вами поделиться чем-то интересным. И нажав на эту ссылку, вы посылали вирус всем своим друзьям».

В апреле прошлого года корпорация Microsoft совместно с пользовательской сетью Facebook, в настоящее время насчитывающей более 400 млн активных участников, объединила усилия по борьбе с червем. За две недели при помощи антивирусных средств от Microsoft удалось избавить более 133 тысяч персональных компьютеров. Однако уже летом 2009 года «Лаборатория Касперского» вновь отметила резкое увеличение числа модификаций Koobface — с 324 до 1000 за период с мая по июнь 2009 года.

Директор департамента проектирования и консалтинга компании «Информзащита» Юрий Самохин в интервью BFM.ru указывает, что в настоящее время под угрозой оказались пользователи социальных сетей Twitter, Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo и fubar. «Российские сети «Одноклассники», «ВКонтакте», «Профессионалы» и другие не атакуются», — указывает он. — В в случае коммерческого успеха организаторов бот-сети, количество атак в ближайшее время может увеличиться».

Сергей Голованов из «Лаборатории Касперского»уточнил, что список социальных сетей, атакуемых червем Koobface, злоумышленники оперативно обновляют: «Из популярных в России ресурсов страдают также Myspace.com и Livejournal.com». Он советует по возможности не раскрывать в сети личную информацию: домашний адрес, телефонный номер и другие данные, а также использовать современные браузеры последних версий.

Глава представительства в России и СНГ корпорации Тrend Micro Вениамин Левцов в интервью BFM.ru отмечает, что в случае массовой атаки, действительно, есть риск утечки конфиденциальной информации — номеров мобильных телефонов, кредитных карт и прочего. Это актуально в случае, если зайти в социальную сеть решат сотрудники финансовой сферы через свой офисный компьютер. «Но использование одного из проверенных антивирусов и его регулярное обновление позволяет защитить компьютер от подобных атак, — рассказал Левцов BFM.ru. — Кроме того, в офисах используются различные системы защиты, которые блокируют нежелательные соединения».

Что же стоит предпринять пользователям вышеназванных сетей? Юрий Самохин рекомендует отказаться от их использования. «Я бы рекомендовал человеческим существам не использовать микроблоги, блоги и социальные сети, — говорит он BFM.ru. — Но поскольку это невозможно реализовать в принципе, то в случае массовых эпидемий рекомендуется отключать обработчик java-сценариев при посещении сайтов социальных сетей и блогов», — говорит он.

То, насколько сами социальные сети защищены от подобных угроз, зависит от специфики контента, указывает Самохин. «Если пользователи имеют возможность прямого редактирования
реклама
html/xml-контента, то в случае взлома аккаунта пользователя возможно внедрение вредоносного кода в контекст его профайла или микроблога», — говорит эксперт BFM.ru.

Как указывают BFM.ru эксперты, в прошлом году в сети активизировались кибер-преступники. В феврале этого года компания ICL (входит в группу компаний Fujitsu) выпустила отчет, в котором приводятся примеры заметных кибер-преступлений прошлого года, передает «Бизнес Online». У оператора платежей с кредитных карт Heartland Payment Systems, к примеру, были украдены данные более 100 млн кредитных и дебетовых карт после того, как в систему обработки платежей было внедрено вредоносное ПО. Хакеры провели множество атак в «социальных сетях». В феврале прошлого года был взломан сайт Общественной палаты, в декабре — газеты «Московский комсомолец» и GZT.RU. Сайт «Ведомостей» подвергался атакам в декабре 2009 года и в феврале этого.

Эксперты Eset отмечают рост числа заражений троянцем-спамером Lethic на территории Европы.

В середине марта в Голландии на его долю приходилось около 13% от общего числа детектов, в Эстонии — 9%, в Бельгии 7%. Следы инфекции замечены также в Дании, Норвегии, Швеции, Португалии, Словении, Словакии,
реклама
Хорватии, Сербии, Греции, Великобритании и России. В масштабах всей Европы присутствие Lethic пока оценивается в 1%, что позволило исследователям занести этого троянца в список Top 20 интернет-угроз.

История Lethic короткая, но бурная. Одноименный ботнет привлек к себе внимание борцов за чистоту интернета в конце прошлого года, когда его вклад в спам-трафик стал заметен. В начале января M86 Security и MessageLabs зафиксировали резкое увеличение потоков нелегитимной корреспонденции, распространяемой спамботами Lethic. Однако усилиями американских регистраторов и интернет-провайдеров его управляющие центры удалось на неделю нейтрализовать. В середине месяца ботнет-спамер вернулся в строй, приняв экстренные меры для защиты командного трафика.

Данный троянец, по-видимому, загружается на компьютеры пользователей другими вредоносными программами. В настоящее время для маскировки именует себя explorer.exe.