Kaspersky Lab: szkodliwe programy IV 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy III 2011

W tym samym miesiącu firma Microsoft opublikowała 17 biuletynów zawierających łaty na luki w różnych produktach z rodziny Windows. Wśród zidentyfikowanych 63 dziur znajdowała się krytyczna luka MS11-020. Luka ta została wykryta w serwerze SMB i umożliwiała zdalne wykonanie kodu przy użyciu specjalnie stworzonego pakietu wysłanego do podatnego na ataki systemu. Dziura ta stanowi poważne zagrożenie – w przeszłości wykrycie podobnych luk spowodowało pojawienie się robaków, takich jak Kido. Dlatego zalecamy użytkownikom, aby jak najszybciej uaktualnili swoje systemy.

Trojany SMS

W omawianym miesiącu trojany SMS nadal rozprzestrzeniały się w szybkim tempie, głównie w Rosji. Jednym ze sposobów propagacji takich trojanów jest spam SMS. W kwietniu otrzymywaliśmy regularne zgłoszenia o takich incydentach.

Zauważyliśmy podobieństwa między kilkoma z takich wysyłek spamu SMS:

• wiadomości zostały wysłane w mniej więcej tym samym czasie (około godz. 14)
• większość wiadomości miała następująca treść: “There’s an MMS for the subscriber [numer telefonu odbiorcy]. See: http://******.do.am/имя_файла.jar”
• zainfekowane odsyłacze wykorzystywały nazwy plików: YaZ.jar oraz 606.jar

W czasie, gdy pojawiły się pierwsze spamowe wiadomości SMS, pliki, do których prowadziły odsyłacze, były już wykrywane przez Kaspersky Lab jako Trojan-SMS.J2ME.Smmer.f.
Kolejną ciekawostką jest to, że szkodliwe strony, do których prowadziły odsyłacze, wydają się być stworzone przy użyciu darmowego narzędzia online do tworzenia stron internetowych. Właściciel tego narzędzia oferuje również usługi hostingowe, które cyberprzestępcy wykorzystywali do utrzymywania swoich szkodliwych stron.

Zamknięcie botnetu Coreflood

Cały czas trwa kampania antybotnetowa. Po zamknięciu botnetu Rustock, o którym pisaliśmy w raporcie marcowym, przyszła kolej na zlikwidowanie centrów kontroli ogromnego botnetu o nazwie Coreflood. Większość z 2 milionów maszyn zombie, które tworzyły ten botnet, była zlokalizowana w Stanach Zjednoczonych.

Zamknięcie Coreflooda zostało zainicjowane przez amerykański departament sprawiedliwości, który otrzymał zgodę na przejęcie kontroli nad botnetem. Następnie do wszystkich botów w tej sieci wysłano polecenia, aby przestały działać.

Nie jest to pierwszy przypadek zlikwidowania botnetu na skutek interwencji władz. Innym przykładem może być zamknięcie botnetu Rustock - możliwe dzięki wspólnym działaniom firmy Microsoft oraz amerykańskich organów ścigania - czy zlikwidowanie botnetu Bredolab, którego właściciele zostali aresztowani przez holenderską policję.

Miejmy nadzieję, że to nie ostatni raz, gdy władze państwowe decydują się zainterweniować, aby pomóc w zamknięciu botnetów.