Ноя
13
2010

Червь и компьютер

Одна из самых известных компьютерных зомби-сетей Koobface приносит своим владельцам по $2 млн в год. Аналитики Information Warfare Monitor впервые раскрыли структуру бизнеса ботнетов: через платежные системы деньги пострадавших интернет-пользователей переводятся на четыре российских мобильника. Международный отдел Управления «К» уже изучает информацию.

Технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов. Чтобы проследить проводки, он использовал ошибки, допущенные самими хакерами, утверждает аналитик.

Червь Koobface (анаграмма Facebook) распространяется через аккаунты социальных сетей Blogspot, Facebook, MySpace, Google, Twitter и через сервисы сокращения ссылок типа bit.ly. Хакеры рассылали ссылки якобы от друзей пользователя с предложением посмотреть видео или послушать клип. По ссылке пользователь попадал на зараженную страницу и запускал файл, который давал хакерам контроль над компьютером. В качестве примера Вильнев приводит подложную страницу YouTube, на которой просят загрузить недостающий кодек или обновить версию плеера Adobe Flash. Так хакеры собирают номера банковских карт, пароли, личные данные.
Другой вариант заражения предусматривает перехват поисковых запросов пользователей и передачу этой информации в сеть Koobface. В этом случае пользователю отправляются подложные результаты поиска, и он переходит по ссылке на зараженную страницу. Хакеры используют технологии, которые пытаются с ними бороться: они мониторят свои ссылки с помощью Google Safe Browsing API и проверяют, не были ли они отмечены как вирусные в bit.ly или Facebook.

Исследователи жалуются, что часто хакеров покрывают хостинговые компании, которые предоставляют им сервера и отказываются раскрывать данные о своих клиентах. Одним из дружественных хакерам хостеров назван MiraxNetworks. Как установили исследователи, основное количество серверов группы расположено в США.

Хакеры используют стандартные способы монетизации ботнетов: плата за клики на рекламные баннеры, плата за установку программного обеспечения. После того как червь заразил компьютер, он генерирует клики на рекламу, хотя пользователь на нее не нажимал.

Бенджамин Эдельман, профессор Гарвардской школы бизнеса, рассказывает, что написать программу для подделки кликов, которая заставит компьютер нажимать на платную рекламу, просто. По его данным, подобными червями заражены десятки миллионов компьютеров.

Мошенникам из Koobface удалось заработать в период с июня 2009 года по июнь 2010 года более $2 млн. Исследователям удалось найти файл с ежедневными отчетами о доходах хакеров. Дневные доходы за последние семь лет отсылаются на четыре российских номера мобильных телефонов. Средний дневной доход составляет $5857. Самая большая дневная сумма – $19 928 – была получена 23 марта 2010 года.

Обналичить счет мобильника просто: можно прийти в офис оператора и расторгнуть контракт, в этом случае оператор возвращает оставшиеся деньги абоненту. Второй способ – операторская услуга мобильного перевода. Нужно набрать на мобильном телефоне цифровой код, и оператор спишет с баланса указанную сумму. Деньги перечисляются получателю, который может их снять по предъявлению паспорта в банке-партнере оператора.

Также найден архивный файл Koobface, который содержал записи о платежах через Paymer (paymer.com). Paymer – это платежный сервис, который интегрируется с российской платежной системой WebMoney, которую также часто используют хакеры. Архив содержит записи о 255 операциях. Суммы делились на части по $200. Есть списки получателей – это имена, фамилии, ники.

Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET, говорит, что знает Koobface «на протяжении нескольких лет».

«По нашим данным, сегодня данная угроза не так активна, как раньше, и распространяется уже не в таких масштабах. Если говорить о нейтрализации или заражении Koobface, то у большинства антивирусных решений нет никаких проблем в обнаружении этого червя. Цифры, указанные автором исследования, на мой взгляд, приуменьшены. Развитие ботнета Koobface происходит с помощью так называемой партнерской программы. Поскольку авторам удалось найти файл и узнать доходы злоумышленников только из одной «партнерки», в реальности цифра может быть значительно больше»

,

– заметил он.

Исследователи надеются, что полученная информация поможет правоохранительным органам в раскрытии преступлений хакеров. В российском Управлении «К» МВД, занимающемся борьбой с преступлениями в сфере высоких технологий, «Газете.Ru» сказали, что направили информацию о связях Koobface в международный отдел. Представитель одного из мобильных операторов сообщил, что по запросу от Управления «К» и по решению суда оператор предоставит всю имеющуюся информацию о владельце номера и «всячески поспособствует следствию».

Для того, чтобы по возможности уберечься от заражения червем Koobface , специалисты «Лаборатории Касперского» советуют пользователям осторожнее относиться к ссылкам в сообщениях подозрительного содержания, даже если они получены от пользователя, которому можно доверять. Также важно использовать свежие версии браузеров, антивирусного ПО и по возможности не раскрывать в сети личную информацию: домашний адрес и телефонный номер.

Еще материалы на эту тему: 
Ноя
18
2009

200 крупнейших российских компаний

По ссылке можно познакомиться с крупнейшими компаниями "второго эшелона" на российском рынке.
К первому эшелону можно отнести госкорпорации, ведущие компании и банки. Эти компании в кризис сохраняют относительную стабильность и перспективы сотрудничества на рынке обеспечения безопасности.

Комментарии (3)

Аватар пользователя corner

Это к IT экспертам портала

Аватар пользователя Talisker

IT экперты портала рекомендуют купить таки себе Macintosh и забыть о 99% процентах вирусных угроз )) Ну или голову включать иногда, прежде чем кликнуть. Как общий совет.

Структуры, обслуживающие "смсников" аффилированы с топ-менеджментом операторов, часто это личные кормушки "топов". В последнее время они уже обнаглели до того, что связываются с явным криминалом. Видимо, денег от бесконечных "рейтингов фоток", "мое имя" и "супертреннингов" с порнушкой уже не хватает на жизнь.

Все права защищены и охраняются законом. © 2009-2012 "QSec. Вопросы безопасности", © 2010 "ООО "ИД "Янтарный терем". Почтовый адрес: 236006  г. Калиниград, ул. Геологическая д.1
; тел/факс (4012) 960305; тел. (4012) 779-600
; е-mail - vb.kaliningrad@mail.ru

При поддержке Информационно-Аналитического Центра (ИАЦ) Национальной ассоциации телохранителей (НАСТ) России
Автоматизированное извлечение информации без согласования с редакцией ресурса запрещено. При использовании материалов гиперссылка обязательна.
Для замечаний и предложений используйте контактную форму для зарегистрированных пользователей.
Правила использования материалов, опубликованных на сайте ИАП "Вопросы безопасности" и Соглашение о конфиденциальности.
О портале   О журнале "Вопросы Безопасности"