Компания «Доктор Веб» отмечает в представленном ею отчете, что июль нынешнего года ознаменовался не только экстремальной жарой, но и появлением и широким распространением троянцев Trojan.Stuxnet.

Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям.

Июльской «новинкой» сезона, заставившей антивирусную индустрию в который раз серьезно мобилизовать свои ресурсы, стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stuxnet.1 стал промышленный шпионаж.

Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.

Авторы нового троянца преподнесли пользователям сразу неск олько неприятных сюрпризов. Во-первых, вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков в Windows. Справедливости ради следует отметить, что Microsoft оперативно отреагировала на обнаружение этой уязвимости. 2 августа компания выпустила критический патч для всех подверженных уязвимости версий Windows.

«Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения, в частности, у Realtek Semiconductor и JMicron Technology. Злоумышленники используют подпись для «тихой» установки в целевую систему.

Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.

У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка.
В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится еще некоторое время — до установки  выпущенного Microsoft патча на большинство систем.

Буткиты — программы, модифицирующие загрузочный сектор диска — постепенно становятся привычным компонентом вредоносного ПО. Применение буткитов приводит к тому, что обычные средства анализа системы на наличие вредоносного кода не в состоянии детектировать объект комплексно. Не имея возможности отследить модификацию загрузочного сектора, они могут определить лишь те компоненты вредоносных программ, которые расположены на диске в виде обычных файлов. Таким образом, даже после лечения вирус снова окажется в системе, и так продолжится до тех пор, пока загрузочный сектор диска не будет возвращен к исходному состоянию.
Лишь немногие комплексные антивирусные средства способны выявить модификацию загрузочного сектора и полностью вылечить систему от буткита.

В большинстве случаев разработчики антивирусов предлагают избавляться от этой проблемы с помощью специальных утилит. И здесь возникает сложность, которой и пользуются злоумышленники: пользователь далеко не всегда своевременно начинает искать альтернативные пути решения проблемы, поскольку не в состоянии понять, что его антивирус просто «не видит» факта модификации загрузочного сектора системного диска.

Одним из буктитов, беспокоившим пользователей в июле, стал уже известный Trojan.Hashish. Проблема заражения им в прошлом месяце была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Explorer, в которых отображалась реклама. Причем данные окна открывались даже в том случае, если использовался один из альтернативных браузеров. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.

В июле эпидемия блокировщиков пошла на спад — сервер статистики Dr.Web зафиксировал 280 тыс. обнаружений против 420 тыс. в июне. Во многом это связано с успешными действиями, которые совместно с пользователями предпринимают и антивирусные компании. Так, из-за усиленного противодействия СМС-мошенникам авторы блокировщиков вынуждены в очередной раз задействовать другие схемы монетизации доходов. Они используют все новые электронные платежные системы и даже начинают предлагать пользователям несколько вариантов передачи денег за разблокировку на выбор.

Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов, — социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows.

В дальнейшем можно ожидать постепенного снижения распространения блокировщиков. Это связано и со значительно более низкой эффективностью схем оплаты без использования СМС, и с повышенным вниманием к проблеме со стороны правоохранительных органов. Уверенно растет и число пользователей, владеющих информацией об альтернативных методах разблокировки компьютеров, не подразумевающих передачу денег злоумышленникам.

Продолжилось массированное распространение через электронную почту различных модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны сообщения с прикрепленными к ним HTML-файлами (JS.Redirector). Эти сообщения перенаправляют пользователей на страницы с рекламой и вредоносные сайты. Отмечена повышенная активность полиморфных файловых вирусов семейства Win32.Sector.

Подводя итоги, можно отметить, что июль не принес неразрешимых задач ни для разработчиков антивирусного ПО, ни для рядовых пользователей.