На днях Microsoft сообщил о блокировке ботнета, созданного из компьютеров, зараженных вирусом Nitol. Этот вирус был обнаружен в предустановленном виде на нескольких новых компьютерах с контрафактной ОС Windows. За последние полгода это уже не первый случай обнаружения крупного ботнета. Эксперты eScan в России и странах СНГ рассказывают о тенденциях в области распространения зловредов и дают советы, как избежать заражений.
Напомним, в ходе операции “b70”, которая стартовала в августе 2011 г., эксперты Microsoft приобрели двадцать новых ПК, включая около десяти ноутбуков с Windows XP SP1 и SP3, и на трёх из них было обнаружено вредоносное ПО: Trafog, Malat и Nitol. Особый интерес привлёк последний вирус, поскольку вел активную деятельность и пытался соединиться с командным сервером. Кроме того, было обнаружено, что злоумышленникам удалось заразить вредоносным ПО компьютеры ещё на стадии их производства, воспользовавшись “незащищенностью цепочек поставок”.
Nitol предназначен для проведения DDoS-атак и обладает способностью к самостоятельному копированию на все подключаемые к компьютеру внешние носители. Согласно собственной информации Microsoft, вирус относится к категории бэкдоров — программ, которые позволяют злоумышленнику устанавливать на компьютере жертвы взломщик с целью последующего доступа к системе с полными правами. Он предоставляет злоумышленнику возможность дистанционно включать веб-камеру и микрофон на компьютере жертвы и фиксировать нажатие каждой клавиши (функция кейлоггера), получая таким образом доступ к банковским онлайн-счетам жертвы.
За последние полгода Microsoft отключает уже второй крупнейший ботнет. Весной специалисты провели успешный рейд против сети компьютеров-зомби, созданной семейством вредоносных программ Zeus. В ходе этой операции, получившей кодовое название “b71”, были заблокированы несколько командных пунктов, контролировавших распространение Zeus. Троян Zeus, проникнув на компьютер, следил за действиями пользователя и отсылал перехваченные пароли банковских аккаунтов злоумышленникам. Особая опасность Zeus состояла в том, что его “сборки” свободно продавались на черном рынке киберкриминальных сообществ. По подсчётам специалистов, на момент ликвидации Zeus ему удалось инфицировать около 13 млн. ПК, причём всего 3 млн. из них были расположены непосредственно в США.
Эксперты eScan в России и СНГ считают, что обнаружение ботнетов, состоящих из тысяч или десятков тысяч зараженных компьютеров – вполне рядовое событие в наше время. Интересно то, что в данном случае компьютеры были заражены изначально и поставлялись пользователям с предустановленным вредоносным ПО. Главная опасность в том, что, с точки зрения большинства пользователей, компьютер «прямо из магазина» свободен от любого вредоносного ПО: пользователь зачастую работает на таком компьютере довольно продолжительное время, прежде чем установит весь комплект требуемого ПО, в том числе и антивирус. А «изначальное» заражение компьютера во многих случаях делает установку и нормальную эксплуатацию защитных программ невозможной.
Данный случай вплотную подводит нас к вопросу о безопасности, которую должны обеспечивать поставщики новых компьютеров. Небольшие сборщики часто используют контрафактные версии операционных систем. Заражение таких компьютеров до поставки конечному заказчику вполне вероятно. Но не застрахованы от такой угрозы и вполне нормальные поставщики. Ситуация усугубляется тем, что поставщики стремятся установить на компьютеры целый «ворох» другого ПО помимо операционной системы. И трудно сказать, насколько серьезное внимание при этом уделяется безопасности.
Кроме того, экспертами отмечается еще одна потенциальная угроза. Несколько недель назад общественности был представлен концепт вредоносной программы Rakshasa, способный заражать прошивки таких «железных» компонентов, как материнские и сетевые карты. Распространение в будущем подобных угроз потребует серьезного контроля безопасности не только на уровне сборщика и поставщика готовых компьютеров, но и на уровне поставщиков компонентов.
В свете таких тенденций развития вредоносных программ хотелось бы дать несколько советов. Не следует приобретать компьютер у подозрительных поставщиков. Антивирусная программа должна быть первым ПО, установленным на компьютер немедленно, после первого включения. При этом желательно не просто установить программу, а запустить полное сканирование жестких дисков – и только после этого продолжать дальнейшую настройку системы и установку другого ПО.
По материалам компании eScan.