Профессионалы часто называют операционную систему Windows идеальной средой для обитания вирусных программ. Этот горький юмор обусловлен не только уязвимой архитектурой самой ОС, но и её распространённостью среди домашних пользователей. При желании эффективно заразить можно любую ОС, и троянец Linux.Sshdkit – свежий тому пример.
Он был Алгоритм вычисления адреса командного сервера выглядит следующим образом.использован в феврале для массового взлома серверов под управлением ОС Linux. Троянец распространяется в виде динамической библиотеки. Он скрыто встраивается в процесс sshd, перехватывает логин и пароль пользователя, после чего отправляет своим создателям данные для аутентификации по UDP. Сам заражённый сервер под управлением ОС Linux становился частью ботнета – сети из множества инфицированных узлов под общим контролем злоумышленников.
В общем случае любая операционная система становится мишенью для вирусных атак, как только приходит время её популярности. Распространённость ОС Android и её связь со счетами пользователей смартфонов сейчас привлекает повышенное внимание мошенников, не устающих изобретать новые способы внедрения.
Хорошо известные троянцы семейства Android.SmsSend в марте стали распространяться в основном с помощью рекламной платформы Airpush. В легальных целях она используется для показа рекламных сообщений авторами бесплатно предоставляемых приложений для смартфонов и планшетов с ОС Android. В случае заражённой программы вместо привычной рекламы троянец создаёт диалоговое окно, имитирующее запрос на обновление системных компонентов.
Нажатие по нему приводит к отправке платного SMS или даже оформлению платной подписки. Однако сразу владелец гаджета об этом не узнает. Ему покажут окно с графической имитацией процесса обновления и сообщат об «успехе». Такая особенность поведения заставляет думать неискушённых пользователей о ложном срабатывании антивируса, и его часто отключают (если он вообще был установлен).
С начала года отмечается рост рекламных троянцев и для Mac OS X. Однако если в случае компьютеров под управлением ОС Windows у вредоносного кода есть масса способов попасть в систему без участия пользователя, то авторам троянов под «макось» приходится использовать человеческий фактор.
Trojan.Yontoo.1. проникает в систему обманным путём. Пользователь сам загружает его под видом плагина, плеера или другой полезной программы.
Троянец устанавливает связь с управляющим сервером и скрыто передаёт на него данные о загруженной пользователем веб-странице. В неё «на лету» встраиваются чужие рекламные блоки, ссылки в которых ведут на фишинговые сайты, магазины недобросовестных продавцов или загрузку другого вредоносного кода. Аналогичную цель преследует следующий троянец, но достигается она иным образом.
встраивает рекламные блоки и ссылки на заражённые сайты в просматриваемые пользователем веб-страницы с помощью JavaScript. Что здесь удивительного? Механизм взаимодействия.
Любой разработчик стремится автоматизировать процесс обновления своей программы на компьютере пользователя. Не являются исключением и вирусописатели. Чтобы их код получал апдейты и команды от своего создателя, часто приходится идти на ухищрения. Компьютер жертвы может находиться за прокси-сервером и межсетевым экраном, а иметь надёжную скрытую связь с ним крайне важно для поддержания мошеннической схемы и её монетизации.
Среди нетривиальных методов обхода защитных систем новым словом можно считать использование расширения SPF для протокола отправки электронной почты. Разрабатываемый для борьбы со спамом, недавно он стал надёжным каналом связи между троянами и подконтрольными их создателям серверами. Именно через SPF на заражённую машину передаётся список актуальных адресов для показа новых рекламных блоков и ссылок на другую заразу.