Распространение вредоносных программ
Если в почтовом трафике вредоносные программы, распространяющиеся самопроизвольно или благодаря спаму, являются представителями самых разных семейств, то через ICQ распространяются в основном три группы подобных программ:
- IM-черви – вредоносные программы, использующие клиент как плацдарм для саморазмножения;
- Троянские программы, нацеленные на воровство паролей, в том числе и к номерам ICQ (в подавляющем большинстве случаев это Trojan-PSW.Win32.LdPinch);
- Вредоносные программы, классифицируемые «Лабораторией Касперского» как Hoax.Win32.*.* (сюда относится вредоносное ПО, предназначенное для получения от пользователя денежных средств обманным путем).
Каким же образом распространяются вредоносные программы через ICQ?
Распространение IM-червей происходит без участия (или почти без участия) пользователя. Многие IM-черви после попадания на компьютер пользователя распространяют ссылку на себя по номерам, содержащимся в контакт-листе IM-клиента зараженной машины. Функционал IM-червей достаточно разнообразен: это и упомянутое выше воровство паролей, и создание ботнетов, а иногда – обычная деструктивная деятельность (например, удаление всех файлов формата .mp3 на компьютере пользователя). Через ICQ активно распространялись такие зловреды, как Email-Worm.Win32.Warezov и Email-Worm.Win32.Zhelatin (Storm Worm).
Однако в большинстве случаев для успешного проведения атаки злоумышленникам необходимо участие пользователя. Тем или иным способом они пытаются спровоцировать потенциальную жертву перейти по ссылке, размещенной в полученном сообщении, а если по ссылке загружается вредоносная программа – открыть загружаемый файл. Для достижения желаемого результата мошенники часто применяют методы социальной инженерии.
Вот пример атаки, конечной целью которой является загрузка на компьютер жертвы вредоносного ПО. Для начала злоумышленник регистрирует некоторое количество пользователей с привлекательной для знакомства информацией (например, «симпатичная девушка 22 лет ищет парня»). Затем он «привязывает» к этим номерам боты (небольшие программы с примитивным интеллектом, способные поддержать простой разговор). В самом начале беседы заинтересованные пользователи обычно хотят увидеть фотографию «симпатичной девушки», для чего бот предлагает им перейти по ссылке. Стоит ли говорить, что по указанному адресу любопытного пользователя ожидает не фотография, а вредоносная программа?
Еще один вариант – внесение ссылки на вредоносную программу в личные данные «симпатичной девушки». Этот вариант атаки требует от злоумышленника дополнительных усилий: ему необходимо не только заполнить хотя бы несколько основных полей в личных данных и выбрать потенциальных жертв атаки, но и самому общаться с ними, пытаясь заинтересовать их «красивыми фотографиями с побережья Тихого океана», ссылка на которые размещена в личных данных «собеседницы».
Распространение вредоносных программ с помощью ICQ-спама также не обходится без методов социальной инженерии. При этом рассылается не сама вредоносная программа, а ссылка на зловреда.
Ссылки в спаме могут вести и на сайты (легальные, но взломанные, либо специально созданные злоумышленниками), страницы которых заражены кодом троянцев-даунлоадеров. В задачу даунлоадеров входит загрузка другого вредоносного ПО на компьютер жертвы. Ниже приведено более подробное описание такой атаки.
Для загрузки вредоносного ПО с помощью зловредного кода, внедренного на веб-сайт, чаще всего используются ошибки, или уязвимости, браузеров (в основном, Internet Explorer). Для начала злоумышленник атакует легальный и, как правило, достаточно популярный веб-сайт, на страницы которого он внедряет код (например, iframe или зашифрованный Java-script), устанавливающий вредоносную программу на компьютеры посетителей данного сайта. Другой вариант – на дешевом или бесплатном хостинге создается простой сайт с подобным загрузочным кодом. Затем производится массовая IM-рассылка с рекламой данной веб-страницы. Если пользователь переходит по предложенной ему ссылке, происходит незаметная загрузка вредоносного ПО на его компьютер. При этом пользователь может даже не подозревать о том, что сайт, на который он зашел, был атакован или является поддельным. А на его компьютере тем временем уже вовсю орудует LdPinch или IRCBot.
Программы для мгновенного обмена сообщениями также имеют уязвимости, которые могут быть использованы для атаки. С помощью уязвимости можно, например, вызвать переполнение буфера и исполнение произвольного кода в системе или получить доступ к удаленному компьютеру без ведома и согласия его владельца.
Если преступник встроит в код вредоносной программы, которая будет запускаться в системе после переполнения буфера, функцию самораспространения с использованием той же уязвимости на других машинах, то такая программа может в короткие сроки проникнуть на компьютеры значительной части пользователей, использующих уязвимое приложение, и вызвать настоящую эпидемию. Однако использование уязвимостей IM-клиентов для атаки требует от злоумышленников высокого уровня технической подготовки, что несколько ограничивает их возможности.
В последнее время при помощи ICQ-спама активно распространяются программы-обманки, якобы генерирующие пин-коды карт оплаты услуг связи различных мобильных операторов. Такие программы детектируются «Лабораторией Касперского» как not-virus.Hoax.Win32.GSMgen. На самом деле данное ПО неограниченное число раз генерирует случайную комбинацию цифр, которую и предлагается использовать в качестве пин-кода для пополнения телефонного счета. Программа выдает результаты в зашифрованном виде, а чтобы их расшифровать, нужно получить от автора ключ (разумеется, за него нужно заплатить). Сумма обычно небольшая – примерно 10-15 долларов, что служит дополнительным соблазном для пользователя. Он думает примерно так: «Заплачу один раз 300 рублей, а потом всю жизнь буду говорить по мобильному телефону бесплатно»! Поскольку полученный таким образом набор цифр не позволяет пополнить счет, в данном случае мы имеем дело с обыкновенным мошенничеством. (Отметим, что если бы данная программа действительно генерировала пин-коды карт оплаты услуг связи, то, во-первых, она стоила бы намного дороже, а во-вторых, создатели программы соблюдали бы строжайшую секретность, опасаясь привлечь к себе внимание операторов мобильной связи и спецслужб.)
Окно программы-«генератора» пин-кодов.
Спам в ICQ
В отличие от email-спама, спам в ICQ на данный момент исследован недостаточно хорошо. Ниже приведены результаты небольшого исследования, которое было проведено нами в период с 23 февраля по 23 марта 2008 года. Мы исследовали тематику нежелательных сообщений, рассылаемых пользователям ICQ, а также провели сравнительный анализ спама в ICQ и спама, рассылаемого по электронной почте.
Популярные тематики в ICQ-спаме
Тематика спам-сообщений в ICQ весьма разнообразна: это может быть реклама нового сайта или игрового сервера, просьба проголосовать за кого-то в каком-нибудь конкурсе, предложение купить дорогой мобильный телефон по сниженной цене и т.д. Однако, перейдя по рекламной ссылке, можно попасть на сайт с эксплойтом, использующим уязвимости Internet Explorer или другого популярного браузера. Спам-сообщение также может содержать URL вредоносной программы (сообщения, содержащие вредоносные ссылки, в данном исследовании в отдельную категорию не выделялись).
Тематическое распределение ICQ-спама.
Первое место в нашем рейтинге занимает реклама сайтов развлекательного содержания (18,47%). С высокой долей вероятности можно утверждать, что рассылки подобного рода будут и впредь занимать лидирующие позиции в спам-статистике ICQ, что объясняется высокой эффективностью подобного спама. Вот типичная ситуация: человек в течение длительного времени работает за компьютером, и тут ему по ICQ приходит сообщение об открытии нового сайта со множеством смешных картинок/историй/видео и т.п. Скорее всего, уставший пользователь захочет отвлечься от работы и перейдет по предложенной ссылке.
Что касается занявшей второе место рубрики «Спам "для взрослых"» (17,19%), то здесь рассылаемые сообщения напоминают спам-письма в почтовом трафике: это реклама сайтов знакомств, порно-ресурсов, частного эротического материала и т.д.
В рубрику «Заработки в Сети» (15,83%) попали сообщения, содержащие предложения денег за клики по рекламе, посещение определенных сайтов, просмотр рекламы, а также сообщения, связанные с сетевым маркетингом.
Рубрика «Остальной спам» (12,77%) формируется из сообщений различной тематики, низкий процент которых в общем потоке спама не позволяет создать для них отдельные рубрики. Фантазии авторов таких сообщений можно только позавидовать. Рассылаются различные «письма счастья», реклама зубной пасты, предсказания архиепископов о грядущей в России диктатуре фашизма и т.д. Основные рекламируемые товары – это различные DVD-диски и автомобильные запчасти. В ICQ также встречаются фишинговые сообщения, о которых будет подробно рассказано ниже.
Сообщения, тем или иным образом затрагивающие ICQ, были отнесены к рубрике, занявшей в нашем списке пятое место (8,17%). Особняком здесь стоят «письма счастья ICQ-пользователя», которые в большинстве случаев содержат следующий текст (авторская орфография и стиль полностью сохранены):
«ВНИМАНИЕ !!! начиная с 1.12 ICQ стаНет платным.
Ты можешь предотвратить это, пошли 20 членам из твоего контактного
списка это сообщение. Это не является никакой шуткой (источник www.icq.com) Если ты послал его 20 раз
ты получишь электронное письмо и твой цветок стаНет синим. Т.е. ты попадаешь
в число тех, кто против. Если голосование выйграет, то аська остаНется бесплатной»
Меняются лишь даты и количество человек, которым предлагается послать данное сообщение. Следует отметить, что некоторые послания содержат многоуровневое цитирование – это означает, что многие пользователи искренне верят в то, что их цветок когда-нибудь «станет синим», а ICQ навсегда останется бесплатной.
Сообщения на разных языках, агитирующие за переход на новую, шестую версию ICQ-клиента, также приходят пользователям достаточно часто. Почему такие сообщения популярны у спамеров, до поры до времени оставалось непонятным. Имелись неподтвержденные данные о том, что ICQ 6.x содержит уязвимость, связанную с ошибкой обработки сообщений, сформированных определенным образом. 28 февраля 2008 года эта информация подтвердилась: согласно http://bugtraq.ru, «…отправка специально подготовленного … сообщения (в простейшем случае - "%020000000s") пользователю с установленной ICQ 6.x приводит к ошибке при формировании HTML-кода, предназначенного для отображения текста в интегрированном IE-компоненте. Данная ошибка способна привести к исполнению произвольного кода на удаленной системе». В последней сборке ICQ этой уязвимости нет.
Сообщения из рубрики «Компьютерные игры» (5,79%) можно разделить на две большие группы: первая рекламирует различные браузерные онлайн-игры, а вторая – игровые серверы, в большинстве своем для Lineage II и Counter-Strike.
Всего на треть процента от рекламы компьютерных игр отстают предложения нелегальных услуг (5,45%). Злоумышленники предлагают пользователям за определенную плату узнать пароль к нужному почтовому ящику, организовать DoS-атаку, изготовить поддельные документы (как российские, так и зарубежные), обучиться кардингу или приобрести необходимую для него информацию.
Восьмое место занимают сообщения с просьбами проголосовать за того или иного участника различных веб-конкурсов (5,28%).
На девятом месте – предложения по работе и совместному бизнесу (4,17%), на десятом – предложения компьютерных услуг, в том числе хостинга (3,22%).
Рубрика «Мобильный спам» (2,72%), которая находится в конце нашего списка, также включает в себя две группы сообщений. К первой относятся сообщения с рекламой сайтов, продающих мобильные телефоны. Кстати, зачастую цены на популярные модели там существенно ниже рыночных, что заставляет задуматься о происхождении и подлинности таких аппаратов. Во вторую группу входят сообщения, рекламирующие сайты с различным мобильным контентом.
С 23 февраля по 23 марта 2008 года в ICQ-спаме было зафиксировано не более 1% сообщений, рекламирующих лекарства или медицинские услуги.
В ICQ также иногда появляются фишинговые сообщения, которые не были выделены в отдельную группу ввиду их малого количества. Злоумышленники пытаются получить пароли к UIN’ам пользователей, используя методы социальной инженерии. Здесь успех мошенников во многом зависит от уровня информированности пользователя. Напоминаем, что, как правило, в случае каких-либо неполадок и сбоев официальная служба поддержки ICQ сообщает пользователям о проблемах, но ни в коем случае не требует отослать свой пароль на тот или иной электронный адрес или ввести его в веб-форму на сайте.
Одно из фишинговых сообщений с попыткой узнать пароль к ICQ.
Комментарии (0)