Компания Symantec распространила на днях сообщение о новой вредоносной программе, которая пытается заражать не только Windows, но даже и виртуальные машины. Кроссплатформенный зловред также атакует компьютеры, работающие под управлением Mac OS X, и устройства под управлением Windows Mobile.
Вредоносная программа, получившая от Symantec название OSX.Crisis, распространяется в виде файлов JAR. Самым слабым местом в цепочке заражения снова оказывается человек — зловред использует методы «социального инжиниринга», а попросту говоря, выдаёт себя за Adobe FlashPlayer. Более того, файл .JAR снабжён, по-видимому, фальшивым сертификатом от Verisign для пущей достоверности.
Стоит добавить, однако, что JAR — это архивный файл под Java, соответственно этот файл может быть задействован только в том случае, если Java установлена в систему.
Надо заметить, что зловред для Mac OS X был выявлен ещё в июле, и лишь впоследствии выяснилось, что троян теоретически опасен и для Windows, и даже для виртуальных машин.
— Описанный… JAR-файл, через который распространялся бэкдор OS X, включает в себя ещё один файл, предназначенный для Windows. Первичный анализ показал, что он обладает той же архитектурой и функциональностью, что и OS X компонент. При более детальном рассмотрении были выявлены некоторые особенности. В частности, вредоносная программа может заражать виртуальные машины VMware, — пояснил «Компьютерре» Сергей Голованов, ведущий антивирусного эксперта «Лаборатории Касперского». — Это позволяет осуществлять хищение и перехват данных с виртуальных машин, включая финансовую информацию, используемую при проведении онлайн-платежей. Другие вредоносные программы, избегающие заражения виртуальных машин, как правило, действуют так, чтобы не быть обнаруженными антивирусными экспертами. Morcut же [так в «Лаборатории Касперского» обозначают Crisis. — Прим. КТ] стремится проникнуть в как можно большее количество систем, чтобы украсть максимальное количество информации.
Cамое забавное, что виртуальные машины — один из главных инструментов для отлова и препарирования неизвестных ранее вредоносных программ. Вирусописатели это прекрасно знают: многие зловреды, обнаружив присутствие виртуальной машины, моментально самоликвидируются. По мнению экспертов Symantec, Crisis/Morcut — первая зараза, пытающаяся атаковать VM.
Причём атаковать «в лобовую»: троян не использует никаких брешей в безопасности в пакете виртуализации VMWare, согласно описанию экспертов Symantec. Любая такая система — это файл или несколько файлов на диске машины-хоста, и именно ими троянец и пытается манипулировать, причём ему не важно, работает VM в данный момент или нет.
Заражает эта тварь и мобильные устройства на базе Windows Mobile, однако вредоносных модулей для них перехватить не удалось, выявлена только сама возможность «забрасывать» их.
Насколько же реально опасен Morcut/Crisis?
— На сегодняшний день системой Kaspersky Internet Security зафиксировано 21 заражение пользователей во всём мире, в том числе в Италии, Мексике, Иране, Турции, Ираке, Омане, Бразилии, Казахстане, Киргизстане, Таджикистане, — говорит Голованов.
Symantec также указывает на низкую степень распространённости заразы. Интерес она представляет, похоже, лишь академический.
В свою очередь, компания «Доктор Веб» объявила о выявлении троянца, который атакует Linux и Mac OS X — похищает пароли. Обнаружившие его эксперты признают, что так до сих пор и не разобрались в механизмах распространения новой напасти.
Вообще говоря, если смотреть последние релизы от антивирусных компаний, может сложиться впечатление, что ситуация хуже некуда — новые зловреды появляются ежемесячно тысячами для самых разных платформ; самая популярная мобильная платформа Android находится под постоянным прицелом вирусописателей, поскольку она самая сырая и открытая, и даже под iOS и Mac OS время от времени что-нибудь нет-нет да и вылезает.
А ещё ботнеты, чьи размеры оцениваются в сотни тысяч, а то и миллионы машин.
Однако ничего столь же апокалиптичного, как, например, SQL Slammer, в 2003 году отрезавший от интернета Южную Корею и замедливший весь мировой трафик, так в общем-то и не происходит. Новые зловреды интересны чаще всего сами по себе, нежели в силу своей какой-то сверхопасности.
Ну а потом, если уж начистоту, разработчикам систем сетевой безопасности надо продавать свои разработки. А для этого надо потенциальную их аудиторию чем-то впечатлять. Новые функции, понятное дело, добавляются в security suites по случаю роста распространённости какой-нибудь особо выдающейся напасти. Например, в выходящей на днях Kaspersky Internet Security 2013 повышенное внимание уделено защите онлайнового банкинга и работы с платёжными системами. И тут как нельзя вовремя «подворачивается» Gauss, «банковский» троянец. Совпадение, наверное. Но так или иначе законы маркетинга требуют акцентировать внимание потенциальной клиентуры ровно на тех угрозах, для которых разрабатывались новые функции. OSX.Crisis/Morcut — тоже «банковский» троянец, как явствует из комментария эксперта «Лаборатории».
В последней версии Dr. Web в качестве бонуса идёт лицензия на Dr. Web Mobile Security Suite для защиты мобильных устройств под управлением Android OS, Symbian OS, Windows Mobile. Потому что мобильная безопасность — модная тема. Как и «родительский контроль».
А что касается malware под Mac OS X и iOS, все антивирусные компании посчитали своим долгом выпустить по антивирусу для этих систем из соображений «социального заказа»: мол, что это за безобразие, никаких вирусов и троянов? Непорядок! Должны быть. И под Linux тоже!
Ну а не вирусы, так хоть пусть антивирусы будут.