Будьте здоровы, компьютеры!

Обнаруженное в апреле вредоносное программное обеспечение (ПО) BackDoor.Dande — это узкоспециализированная троянская программа, которая изначально была предназначена злоумышленниками для хищения информации из приложений, используемых аптеками и фармацевтическими фирмами для закупки медикаментов. Вирусописатели модифицировали данное ПО, немного изменив его архитектуру.

Первая версия этой вредоносной программы была предназначена для хищения информации из нескольких используемых в фармацевтической индустрии «систем электронного заказа», таких как специализированная конфигурация «Аналит: Фармация» для платформы 1С, «Система электронного заказа» СЭЗ-2, программа формирования заявок «Российская фармация», система электронного заказа фармацевтической группы «РОСТА», программа «Катрен WinPrice» и некоторых других. Обновленная же версия BackDoor.Dande, получившая наименование BackDoor.Dande.2, ориентирована на сбор данных только из приложения «АИАС ИНПРО-ФармРынок».

Программа инфицировала компьютеры порядка 400 аптек, расположенных преимущественно в южных регионах России. С помощью BackDoor.Dande.2 злоумышленники похищают информацию об объемах заказов и ценах на закупаемые организациями лекарства. На сегодняшний день распространение вируса существенно замедлилось благодаря мерам, принятым работниками информационной безопасности. Самая сильная вспышка «эпидемии» была зарегистрирована в период с 1 по 5 мая, когда в так называемой бот-сети (botnet) зарегистрировалось 616 инфицированных компьютеров. Киберпреступники используют специальные троянские программы, чтобы обойти систему защиты компьютеров, получить контроль над ними и объединить их в единую сеть ботнет, которой можно управлять удаленно. Такие сети можно использовать для осуществления атак типа «отказ в обслуживании» (Distributed Denial of Service, DDoS) крупномасштабных кампаний по рассылке спама и других типов кибератак. В некоторых случаях киберпреступники создают большую сеть зомби-компьютеров, а затем продают доступ к этой сети другим преступникам или сдают ее в аренду. Спамеры арендуют или приобретают такие сети для проведения крупномасштабных кампаний по распространению спама.
Согласно имеющейся в распоряжении компании «Доктор Веб» статистике, у многих вирусных программ, обращающихся к бот-сети BackDoor.Dande.2, совпадают IP-адреса, что свидетельствует о факте заражения сразу нескольких компьютеров ряда предприятий, подключенных к одной локальной сети с общим выходом в Интернет. Наибольшее число инфицированных IP-адресов (229) территориально относится к Ростову-на-Дону и Ростовской области, довольно много случаев заражения (46 IP-адресов) зафиксировано в Московском регионе, также активность ботнета зафиксирована в Новосибирске, Екатеринбурге, Минеральных Водах, Владикавказе и некоторых других городах России.

«На вопросы о том, как подобные программы попадают в сети предприятий, нужно спрашивать ответ у МВД, — говорит генеральный директор ООО «Доктор Веб» Борис Шаров. — Только по результатам полицейского расследования станет ясно, как сотни аптек одного региона России оказались заражены одним и тем же вирусом, похищающим информацию об оптовых закупках лекарственных средств этими аптеками». В то же время компания «Доктор Веб» рекомендует фармацевтическим компаниям и аптекам проверить используемые ими компьютеры на предмет наличия данной вредоносной программы, а также сообщает, что для пользователей антивируса Dr.Web BackDoor.Dande.2 угрозы не представляет.

В лаборатории Касперского поясняют, что вредоносные программы для заражения конкретных групп пользователей разрабатывают целые криминальные группировки. Как правило, эти программы первоначально никак себя не проявляют, так что их сложно распознать. Сегодня производство таких вирусов поставлено на поток, отследить и изготовить противоядие для каждого просто невозможно. Вирус может проникнуть через уязвимость защиты компьютера, во время просмотра взломанных сайтов самой разной тематики, а также через съемные устройства: флеш-карты, мобильные телефоны, фотоаппараты. Помимо ограничений на использование рабочих компьютеров в личных целях специалисты советуют регулярно обновлять вирусные базы, чтобы защита компьютерного оборудования была максимально эффективной.