«Доктор Веб» исследовал бэкдор, написанный на Python |
16 октября 2017 года
Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33. Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.
Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.
После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.
Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:
Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам:
Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована. Сигнатуры всех упомянутых выше вредоносных программ добавлены в вирусные базы Dr.Web и не представляют опасности для наших пользователей.
#backdoor #бэкдор #вредоносное_ПО #троянец|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2017 года |
29 сентября 2017 года
В сентябре широкую известность получила группа уязвимостей BlueBorne в стеке протокола Bluetooth, которую выявили специалисты по информационной безопасности. Эти уязвимости позволяют злоумышленникам получить полный контроль над Bluetooth-совместимыми устройствами, распространять среди них вредоносные программы и незаметно красть конфиденциальную информацию. Кроме того, в прошедшем месяце в каталоге Google Play был найден очередной банковский троянец.
В сентябре стало известно об обнаружении целого ряда уязвимостей в стеке протокола Bluetooth, получивших название BlueBorne. Они позволяют злоумышленникам полностью контролировать широкий спектр атакуемых устройств, выполнять на них произвольный код и красть конфиденциальную информацию. Опасности подвержены в том числе смартфоны и планшеты под управлением Android, на которых не установлены закрывающие эти уязвимости «заплатки» ОС.
Специалисты компании «Доктор Веб» готовят обновление антивируса Dr.Web Security Space для Android, которое позволит наряду с уже известными уязвимостями обнаруживать на защищаемых устройствах и указанные программные ошибки.
В сентябре в каталоге Google Play был выявлен банковский троянец Android.BankBot.234.origin, который скрывался в безобидной игре под названием Jewels Star Classic. Через некоторое время после запуска он запрашивает доступ к функциям специальных возможностей Android. С их помощью вредоносная программа скрытно устанавливает и запускает спрятанный в ее ресурсах троянец Android.BankBot.233.origin. В свою очередь, Android.BankBot.233.origin отслеживает запуск приложения «Play Маркет» и показывает поверх его окна фишинговую форму настройки платежного сервиса, в которой запрашивает информацию о банковской карте. Введенные пользователем сведения передаются вирусописателям, после чего те могут незаметно украсть деньги со счета жертвы, т. к. троянец перехватывает все СМС-сообщения с проверочными кодами.
Особенности Android.BankBot.234.origin:
Для владельцев Android-устройств опасность представляют не только вредоносные приложения, которые распространяются в Интернете и встречаются даже в официальном каталоге Android-программ Google Play, но и различные уязвимости операционной системы и ее компонентов. Для защиты от этих угроз необходимо своевременно устанавливать все доступные обновления, а также использовать антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в сентябре 2017 года |
29 сентября 2017 года
В сентябре несколько средств массовой информации сообщили о том, что киберпреступники стали активно использовать браузеры пользователей для несанкционированного майнинга (добычи) криптовалют. Наибольшей популярностью у злоумышленников пользуется криптовалюта Monero (XMR).
Майнер, добавленный в сентябре в вирусные базы Dr.Web под именем Tool.BtcMine.1046, был написан на языке JavaScript. При заходе на некоторые сайты внедренный в код разметки веб-страниц сценарий JavaScript начинал майнить криптовалюту. По сообщениям пользователей, в этот момент нагрузка на процессор компьютера достигала 100%, и возвращалась к нормальным значениям только после закрытия окна браузера. Трудно сказать, является ли этот инцидент следствием взлома сайтов или добровольного внедрения майнера в код их владельцами. В настоящий момент при попытке перехода на веб-страницы, содержащие подобный сценарий, Антивирус Dr.Web предупреждает пользователей об обнаружении потенциально опасного содержимого.
Вскоре в вирусные базы был добавлен еще один похожий инструмент, получивший наименование Tool.BtcMine.1048. Этот майнер также был написан на JavaScript. Возможно, он был задуман как альтернатива заработку за счет размещения рекламы, однако использовался без явного согласия посетителей сайтов. Иными словами, указанная технология может применяться как легально, так и в целях криминального заработка. Подобные сценарии могут встраиваться в код сайта не только его владельцами, но и внедряться туда с помощью недобросовестных рекламодателей или в результате взлома. Кроме того, функция добычи криптовалюты может быть реализована и в плагинах, которые пользователи самостоятельно устанавливают в своих браузерах.
Также в сентябре специалисты по информационной безопасности обнаружили уязвимости в стеке протоколов Bluetooth, а аналитики «Доктор Веб» выяснили, что киберпреступники используют «Интернет вещей» для массовой рассылки спама.
Компания «Доктор Веб» уже рассказывала о вредоносной программе Linux.ProxyM, которая запускает на инфицированном Linux-устройстве SOCKS-прокси-сервер. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC, то есть он может работать на многих «умных» устройствах, таких как роутеры, телевизионные приставки и т. д. Вирусные аналитики установили, что киберпреступники рассылают с помощью зараженных этим троянцем устройств спам, рекламирующий ресурсы для взрослых. Ежесуточно каждое зараженное Linux.ProxyM устройство рассылает порядка 400 писем. Активность этого ботнета показана на следующем графике:
Больше всего зараженных Linux.ProxyM устройств, с которых выполняются атаки, расположено в Бразилии. На втором месте по этому показателю – США, на третьем – Россия.
Более подробная информация о Linux.ProxyM изложена в статье, опубликованной на нашем сайте.
В сентябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение сентября 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 298 324 интернет-адреса.
| Август 2017 | Сентябрь 2017 | Динамика |
|---|---|---|
| + 275 399 | + 298 324 | +8.32% |
В сентябре появилась информация о выявленной группе опасных уязвимостей BlueBorne в реализации протокола Bluetooth. Им подвержены различные устройства, включая Android-смартфоны и планшеты. Эти уязвимости позволяют получить полный контроль над атакуемыми устройствами, выполнять на них произвольный код и похищать конфиденциальную информацию. Помимо этого в прошедшем месяце в каталоге Google Play был обнаружен троянец Android.BankBot.234.origin, предназначенный для кражи сведений о банковских картах.
Наиболее заметные события, связанные с «мобильной» безопасностью в сентябре:
Более подробно о вирусной обстановке для мобильных устройств в сентябре читайте в нашем обзоре.
|
|
Злоумышленники используют «Интернет вещей» для рассылки спама |
12 сентября 2017 года
Речь идет о вредоносной программе Linux.ProxyM, о которой мы уже рассказывали в июне. Напомним, что этот троянец запускает на инфицированном устройстве SOCKS-прокси-сервер и способен детектировать ханипоты (от англ. honeypot — «горшочек с медом») — специальные ресурсы, созданные исследователями вредоносных программ в качестве приманки для злоумышленников. Соединившись со своим управляющим сервером и получив от него подтверждение, Linux.ProxyM загружает с этого сервера адреса двух интернет-узлов: с первого он получает список логинов и паролей, а второй необходим для работы SOCKS-прокси-сервера. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Иными словами, Linux.ProxyM может работать практически на любом устройстве под управлением Linux, включая роутеры, телевизионные приставки и другое оборудование.
Вирусные аналитики «Доктор Веб» выяснили, что с использованием Linux.ProxyM злоумышленники рассылают спам. С управляющего сервера на зараженное устройство поступает команда, содержащая адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В письмах рекламируются различные сайты категории «для взрослых». Типичное сообщение электронной почты, отправляемое с использованием зараженных Linux.ProxyM устройств, имеет следующее содержание:
Subject: Kendra asked if you like hipster girls
A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!
Согласно статистике, имеющейся в распоряжении компании «Доктор Веб», в среднем в течение суток каждое зараженное Linux.ProxyM устройство рассылает порядка 400 писем. График зафиксированного нашими специалистами количества атак троянца Linux.ProxyM представлен ниже.
Количество уникальных IP-адресов зараженных устройств показано на следующей диаграмме. Следует отметить, что иллюстрация показывает только число наблюдаемых аналитиками «Доктор Веб» ботов, реальное же количество инфицированных устройств может быть больше.
Распределение источников атак с использованием Linux.ProxyM по географическому признаку за минувшие 30 дней показано на следующей иллюстрации:
Можно предположить, что ассортимент реализуемых Linux-троянцами функций будет расширяться и в дальнейшем. «Интернет вещей» уже давно находится в фокусе интересов вирусописателей, о чем свидетельствует широкое распространение вредоносных программ для Linux, способных заражать устройства с различной аппаратной архитектурой.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в августе 2017 года |
31 августа 2017 года
В августе в каталоге Google Play было обнаружено большое число вредоносных Android-приложений, в том числе троянцы, которые выполняли DDoS-атаки. Другие вредоносные программы незаметно загружали указанные злоумышленниками веб-сайты и самостоятельно нажимали на размещенные на них баннеры, за что вирусописатели получали вознаграждение. Еще один Android-троянец, выявленный в Google Play в августе, показывал поддельные формы ввода поверх запускаемых программ и похищал логины, пароли и другую конфиденциальную информацию. Кроме того, в последнем летнем месяце в Google Play был найден троянец-дроппер, предназначенный для установки прочих вредоносных приложений.
В августе в каталоге Google Play было обнаружено несколько троянцев семейства Android.Click. Два из них получили имена Android.Click.268 и Android.Click.274 соответственно. После запуска они незаметно для владельцев мобильных устройств выполняли DDoS-атаки («Отказ в обслуживании») на указанные вирусописателями веб-сайты, открывая несколько их копий, а также могли по команде отправлять множество сетевых пакетов на целевые серверы. В результате пользователи зараженных Android-смартфонов и планшетов, которые загрузили эти программы, невольно становились соучастниками киберпреступлений.
Другой троянец, добавленный в вирусную базу Dr.Web как Android.Click.269, незаметно открывал заданные в командах злоумышленников веб-сайты и нажимал на размещенные на них баннеры. За это авторы вредоносного приложения получали вознаграждение. Помимо этого, Android.Click.269 показывал рекламу при разблокировке экрана зараженных Android-устройств.
Все указанные троянцы были встроены в ПО для просмотра видео с сервиса YouTube.
Особенности Android.Click.268 и Android.Click.274:
Особенности AndAndroid.Click.269:
В последнем летнем месяце в вирусную базу Dr.Web был добавлен банковский троянец Android.BankBot.225.origin, который распространялся через каталог Google Play. Он был скрыт внутри приложения под названием «Earn Real Money Gift Cards», предназначенного для получения подарочных денежных сертификатов за установку рекламируемых программ.
Android.BankBot.225.origin отслеживает запуск банковских и других приложений и показывает поверх их окон поддельные формы ввода конфиденциальной информации. Кроме того, по команде вирусописателей он может скачивать на зараженные устройства прочие программы, которые затем пытается установить.
Еще один троянец, обнаруженный в Google Play в августе, был внесен в вирусную базу Dr.Web как Android.MulDrop.1067. Он скрывался в игре под названием «Bubble Shooter Wild Life». При каждом старте эта вредоносная программа запрашивает разрешение на отображение элементов интерфейса поверх других приложений.
Через некоторое время после запуска она пытается получить доступ к специальным возможностям (Accessibility Service), показывая соответстующее уведомление. Если владелец устройства соглашается предоставить троянцу нужные полномочия, Android.MulDrop.1067 может самостоятельно устанавливать другие Android-приложения, автоматически нажимая на кнопки в диалоговых окнах и подтверждая все действия. Троянец проверяет наличие на карте памяти apk-файла, который он должен установить, однако текущая версия Android.MulDrop.1067 не содержит никаких скрытых файлов и не имеет функции загрузки их из Интернета. Это может говорить о том, что троянец все еще находится на стадии разработки.
Вирусописатели всеми способами пытаются распространять Android-троянцев через каталог приложений Google Play. Чтобы увеличить вероятность заражения мобильных устройств, они встраивают вредоносные программы в полнофункциональные приложения и используют различные механизмы обхода проверки безопасности, чтобы троянцы как можно дольше оставались незамеченными. Для защиты смартфонов и планшетов под управлением ОС Android пользователям необходимо установить антивирусные продукты Dr.Web, которые способны бороться с современными Android-угрозами.
|
|
«Доктор Веб»: обзор вирусной активности в августе 2017 года |
31 августа 2017 года
В начале последнего летнего месяца были зафиксированы массовые рассылки, ориентированные на администраторов интернет-ресурсов. В частности, мошенники отправляли письма якобы от имени компании «Региональный Сетевой Информационный Центр» (RU-CENTER), причем, по всей видимости, используя базу контактов администраторов доменов. В письмах получателю предлагалось разместить на сервере специальный PHP-файл, что могло привести к компрометации интернет-ресурса. Также в августе был обнаружен троянец-майнер, в коде загрузчика которого упоминался адрес сайта популярного специалиста по информационной безопасности Брайана Кребса. Кроме того, в вирусные базы Dr.Web были добавлены версии загрузчиков Linux-троянца Hajime для устройств с архитектурой MIPS и MIPSEL.
Сетевые черви семейства Linux.Hajime известны с 2016 года. Для их распространения злоумышленники используют протокол Telnet. После подбора пароля и авторизации на атакуемом устройстве плагин-инфектор сохраняет находящийся в нем загрузчик, написанный на ассемблере. С компьютера, с которого осуществлялась атака, тот загружает основной модуль троянца, а уже он включает инфицированное устройство в децентрализованный P2P-ботнет. До недавних пор антивирусы детектировали загрузчик Linux.Hajime только для оборудования с архитектурой ARM, однако вирусные аналитики «Доктор Веб» добавили в базы аналогичные по своим функциям вредоносные приложения для MIPS и MIPSEL-устройств.
Согласно статистике «Доктор Веб», больше всего случаев заражения Linux.Hajime приходится на Мексику, на втором месте находится Турция, а замыкает тройку «лидеров» Бразилия. Более подробную информацию о загрузчиках Hajime, добавленных в вирусные базы Dr.Web под именами Linux.DownLoader.506 и Linux.DownLoader.356, можно почерпнуть в опубликованной на нашем сайте статье.
В августе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение августа 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 275 399 интернет-адресов.
| Июль 2017 | Август 2017 | Динамика |
|---|---|---|
| + 327 295 | + 275 399 | -15,8% |
Нередко в список нерекомендуемых попадают сайты, подвергшиеся атакам злоумышленников. Те размещают на скомпрометированных интернет-ресурсах сценарии для накрутки посещаемости, скрипты, перенаправляющие пользователей на сторонние сайты, а иногда распространяют таким образом вредоносное ПО. При осуществлении целевых атак с целью компрометации интернет-ресурсов злоумышленники в первую очередь собирают информацию о целевом сайте. В частности, они пытаются определить тип и версию веб-сервера, который обслуживает сайт, версию системы управления контентом, язык программирования, на котором написан «движок», и прочую техническую информацию, среди которой — список поддоменов основного домена атакуемого веб-сайта. Если обслуживающие сайт DNS-серверы сконфигурированы правильно, взломщики не смогут получить по своему запросу информацию о доменной зоне. Однако в случае неправильной настройки DNS-серверов специальный AXFR-запрос позволяет киберпреступникам получить полные данные о зарегистрированных в доменной зоне поддоменах. Неправильная настройка DNS-серверов сама по себе не является уязвимостью, однако может стать косвенной причиной компрометации интернет-ресурса. Подробнее об этом рассказано в опубликованной нами статье.
В августе вирусные аналитики «Доктор Веб» добавили в базы нового троянца-майнера для ОС Linux, получившего наименование Linux.BtcMine.26. Эта вредоносная программа предназначена для добычи криптовалюты Monero (XMR) и распространяется аналогично Linux.Mirai: злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нем программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троянец.
Загрузчик майнера Linux.BtcMine.26 отличает одна архитектурная особенность: в его коде несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. Подробные сведения об этой вредоносной программе содержатся в нашей новости.
В последнем летнем месяце этого года в каталоге Google Play было обнаружено сразу несколько вредоносных Android-приложений. Троянцы, добавленные в вирусную базу Dr.Web как Android.Click.268 и Android.Click.274 выполняли DDoS-атаки на сетевые ресурсы. Другой троянец, получивший имя Android.Click.269, скрытно загружал указанные злоумышленниками веб-сайты и нажимал на имеющиеся там баннеры, принося прибыль киберпреступникам. Еще одна вредоносная Android-программа, которая распространялась в Google Play в августе, была внесена в вирусную базу как Android.BankBot.225.origin. Она показывала поддельные формы ввода поверх запускаемого банковского и другого ПО и крала всю вводимую информацию. Также в августе в каталоге Google Play был найден дроппер Android.MulDrop.1067, предназначенный для установки других троянцев.
Наиболее заметные события, связанные с «мобильной» безопасностью в августе:
Более подробно о вирусной обстановке для мобильных устройств в августе читайте в нашем обзоре.
|
|
Dr.Web первым обнаружил загрузчик троянца для «умных» Linux-устройств на базе MIPS и MIPSEL |
24 августа 2017 года
Троянцы семейства Linux.Hajime известны вирусным аналитикам с конца 2016 года. Это сетевые черви для Linux, распространяющиеся с использованием протокола Telnet. После успешной авторизации путем подбора пароля плагин-инфектор сохраняет на устройство хранящийся в нем загрузчик, написанный на ассемблере. С компьютера, с которого осуществлялась атака, тот загружает основной модуль троянца. В свою очередь вредоносная программа включает инфицированное устройство в децентрализованный P2P-ботнет. Linux.Hajime способен заражать объекты с аппаратной архитектурой ARM, MIPS и MIPSEL.
Помимо вредоносного загрузчика для ARM-устройств в «дикой природе» уже более полугода распространяются аналогичные по своим функциям модули для устройств с архитектурой MIPS и MIPSEL. Первый из них получил наименование Linux.DownLoader.506, второй — Linux.DownLoader.356. На момент подготовки этой статьи они оба детектировались только продуктами Dr.Web. Кроме того, вирусные аналитики «Доктор Веб» установили, что помимо использования троянцев-загрузчиков злоумышленники осуществляют заражение и при помощи стандартных утилит, например, скачивают Linux.Hajime посредством wget. А начиная с 11 июля 2017 года киберпреступники стали загружать троянца на атакуемое устройство с помощью утилиты tftp.
Собранная специалистами «Доктор Веб» статистика показывает, что на первом месте среди стран, к которым относятся IP-адреса зараженных Linux.Hajime устройств, находится Мексика. Также в тройку входят Турция и Бразилия. Географическое распределение IP-адресов инфицированных объектов показано на следующей диаграмме:
На следующей диаграмме показано количество зафиксированных компанией «Доктор Веб» атак с целью распространения Linux.Hajime в августе 2017 года.
Компания «Доктор Веб» напоминает: одним из наиболее надежных способов предотвращения атак на Linux-устройства является своевременная смена установленных по умолчанию логина и пароля. Кроме того, рекомендуется ограничивать возможность подключения к устройству извне по протоколам Telnet и SSH и своевременно обновлять прошивку. Антивирус Dr.Web для Linux определяет и удаляет все упомянутые версии загрузчиков Linux.Hajime, а также позволяет выполнить дистанционное сканирование устройств.
|
|
Dr.Web первым обнаружил загрузчик троянца для «умных» Linux-устройств на базе MIPS и MIPSEL |
24 августа 2017 года
Троянцы семейства Linux.Hajime известны вирусным аналитикам с конца 2016 года. Это сетевые черви для Linux, распространяющиеся с использованием протокола Telnet. После успешной авторизации путем подбора пароля плагин-инфектор сохраняет на устройство хранящийся в нем загрузчик, написанный на ассемблере. С компьютера, с которого осуществлялась атака, тот загружает основной модуль троянца. В свою очередь вредоносная программа включает инфицированное устройство в децентрализованный P2P-ботнет. Linux.Hajime способен заражать объекты с аппаратной архитектурой ARM, MIPS и MIPSEL.
Помимо вредоносного загрузчика для ARM-устройств в «дикой природе» уже более полугода распространяются аналогичные по своим функциям модули для устройств с архитектурой MIPS и MIPSEL. Первый из них получил наименование Linux.DownLoader.506, второй — Linux.DownLoader.356. На момент подготовки этой статьи они оба детектировались только продуктами Dr.Web. Кроме того, вирусные аналитики «Доктор Веб» установили, что помимо использования троянцев-загрузчиков злоумышленники осуществляют заражение и при помощи стандартных утилит, например, скачивают Linux.Hajime посредством wget. А начиная с 11 июля 2017 года киберпреступники стали загружать троянца на атакуемое устройство с помощью утилиты tftp.
Собранная специалистами «Доктор Веб» статистика показывает, что на первом месте среди стран, к которым относятся IP-адреса зараженных Linux.Hajime устройств, находится Мексика. Также в тройку входят Турция и Бразилия. Географическое распределение IP-адресов инфицированных объектов показано на следующей диаграмме:
На следующей диаграмме показано количество зафиксированных компанией «Доктор Веб» атак с целью распространения Linux.Hajime в августе 2017 года.
Компания «Доктор Веб» напоминает: одним из наиболее надежных способов предотвращения атак на Linux-устройства является своевременная смена установленных по умолчанию логина и пароля. Кроме того, рекомендуется ограничивать возможность подключения к устройству извне по протоколам Telnet и SSH и своевременно обновлять прошивку. Антивирус Dr.Web для Linux определяет и удаляет все упомянутые версии загрузчиков Linux.Hajime, а также позволяет выполнить дистанционное сканирование устройств.
|
|
Нового троянца создал «фанат» Кребса |
21 августа 2017 года
Троянцы-майнеры появляются с завидной регулярностью, при этом вирусные аналитики «Доктор Веб» отмечают любопытную тенденцию: создатели таких программ все чаще ориентируются на платформу Linux. В последнее время широкое распространение получили работающие под управлением Linux «умные» устройства, владельцы которых не меняют установленные по умолчанию настройки, прежде всего — логин и пароль администратора. Именно поэтому взлом таких устройств не представляет для киберпреступников большой проблемы.
Очередной троянец-майнер, предназначенный для работы под управлением ОС Linux, получил наименование Linux.BtcMine.26. Схема его распространения похожа на механизм заражения троянцем Linux.Mirai: злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нем программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троянец Linux.BtcMine.26.
Анализ загрузчика майнера показал забавную особенность этого приложения: в его коде несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. По всей видимости, автор троянца является его тайным поклонником.
Троянец предназначен для майнинга Monero (XMR) — криптовалюты, созданной в 2014 году. В настоящее время известны сборки Linux.BtcMine.26 для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. Наиболее надежным методом профилактики заражения подобными троянцами является своевременное изменение установленных по умолчанию логина и пароля на устройстве, при этом рекомендуется использовать сложные пароли, устойчивые к компрометации методом перебора по словарю. Также рекомендуется ограничить возможность дистанционного изменения настроек устройства при внешних подключениях к нему.
Сигнатура Linux.BtcMine.26 добавлена в базы Антивируса Dr.Web для Linux, так что этот троянец не представляет опасности для наших пользователей.
|
|
Нового троянца создал «фанат» Кребса |
21 августа 2017 года
Троянцы-майнеры появляются с завидной регулярностью, при этом вирусные аналитики «Доктор Веб» отмечают любопытную тенденцию: создатели таких программ все чаще ориентируются на платформу Linux. В последнее время широкое распространение получили работающие под управлением Linux «умные» устройства, владельцы которых не меняют установленные по умолчанию настройки, прежде всего — логин и пароль администратора. Именно поэтому взлом таких устройств не представляет для киберпреступников большой проблемы.
Очередной троянец-майнер, предназначенный для работы под управлением ОС Linux, получил наименование Linux.BtcMine.26. Схема его распространения похожа на механизм заражения троянцем Linux.Mirai: злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нем программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троянец Linux.BtcMine.26.
Анализ загрузчика майнера показал забавную особенность этого приложения: в его коде несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. По всей видимости, автор троянца является его тайным поклонником.
Троянец предназначен для майнинга Monero (XMR) — криптовалюты, созданной в 2014 году. В настоящее время известны сборки Linux.BtcMine.26 для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. Наиболее надежным методом профилактики заражения подобными троянцами является своевременное изменение установленных по умолчанию логина и пароля на устройстве, при этом рекомендуется использовать сложные пароли, устойчивые к компрометации методом перебора по словарю. Также рекомендуется ограничить возможность дистанционного изменения настроек устройства при внешних подключениях к нему.
Сигнатура Linux.BtcMine.26 добавлена в базы Антивируса Dr.Web для Linux, так что этот троянец не представляет опасности для наших пользователей.
|
|
«Доктор Веб»: обзор вирусной активности в июле 2017 года |
31 июля 2017 года
Как правило, в середине лета редко происходят значительные события в сфере информационной безопасности, однако нынешний июль стал исключением из этого правила. В начале месяца специалисты компании «Доктор Веб» обнаружили в приложении для организации электронного документооборота M.E.Doc полноценный бэкдор. Чуть позже вирусные аналитики установили источник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у фармацевтических компаний. В конце месяца был установлен факт компрометации портала государственных услуг Российской Федерации (gosuslugi.ru). Также в июле было выявлено несколько опасных вредоносных программ для мобильной платформы Android.
Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано компанией Intellect Service. В одном из компонентов этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.
Этот же ключ реестра использовал в своей работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики исследовали файл журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, и установили, что этот энкодер был запущен на пострадавшей машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:
Дальнейшее исследование программы показало, что в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, который может выполнять следующие функции:
Кроме того, модуль обновления M.E.Doc позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — именно так на инфицированных компьютерах и был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в опубликованной на нашем сайте статье.
В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение июля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 327 295 интернет-адресов.
| Июнь 2017 | Июль 2017 | Динамика |
|---|---|---|
| + 229 381 | + 327 295 | + 42,6% |
В середине июля потенциально опасным для пользователей неожиданно стал портал государственных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики компании «Доктор Веб» обнаружили потенциально вредоносный код. Этот код заставлял браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо, как минимум 5 из которых принадлежали нидерландским компаниям. В процессе динамической генерации страницы сайта, к которой обращается пользователь, в код разметки веб-страниц добавляется контейнер , позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. Все уязвимости сайта gosuslugi.ru были устранены администрацией ресурса спустя несколько часов после публикации новости об этом инциденте.
В 2011 году компания «Доктор Веб» сообщила о появлении троянца BackDoor.Dande, шпионящего за фармацевтическими компаниями и аптеками. Исследовав жесткий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».
Проведенный компанией «Доктор Веб» анализ показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica. Среди модулей троянца присутствует установщик бэкдора, а также компоненты для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C. Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Подробности проведенного специалистами «Доктор Веб» исследования ПО ePrica изложены в опубликованной на нашем сайте статье.
В начале месяца специалисты компании «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.558.origin в популярной игре BlazBlue, доступной в каталоге Google Play. Эта вредоносная программа могла незаметно скачивать и запускать непроверенные компоненты приложений. Позже вирусные аналитики исследовали опасного троянца Android.BankBot.211.origin. Он мог управлять зараженными мобильными устройствами, похищал конфиденциальную банковскую информацию и другие секретные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android и поместили в прошивку нескольких моделей мобильных устройств. Эта вредоносная программа внедрялась в процессы всех запускаемых программ и незаметно запускала троянские модули.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности в июле 2017 года |
31 июля 2017 года
Как правило, в середине лета редко происходят значительные события в сфере информационной безопасности, однако нынешний июль стал исключением из этого правила. В начале месяца специалисты компании «Доктор Веб» обнаружили в приложении для организации электронного документооборота M.E.Doc полноценный бэкдор. Чуть позже вирусные аналитики установили источник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у фармацевтических компаний. В конце месяца был установлен факт компрометации портала государственных услуг Российской Федерации (gosuslugi.ru). Также в июле было выявлено несколько опасных вредоносных программ для мобильной платформы Android.
Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано компанией Intellect Service. В одном из компонентов этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.
Этот же ключ реестра использовал в своей работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики исследовали файл журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, и установили, что этот энкодер был запущен на пострадавшей машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:
Дальнейшее исследование программы показало, что в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, который может выполнять следующие функции:
Кроме того, модуль обновления M.E.Doc позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — именно так на инфицированных компьютерах и был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в опубликованной на нашем сайте статье.
В июле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение июля 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 327 295 интернет-адресов.
| Июнь 2017 | Июль 2017 | Динамика |
|---|---|---|
| + 229 381 | + 327 295 | + 42,6% |
В середине июля потенциально опасным для пользователей неожиданно стал портал государственных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики компании «Доктор Веб» обнаружили потенциально вредоносный код. Этот код заставлял браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо, как минимум 5 из которых принадлежали нидерландским компаниям. В процессе динамической генерации страницы сайта, к которой обращается пользователь, в код разметки веб-страниц добавляется контейнер , позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. Все уязвимости сайта gosuslugi.ru были устранены администрацией ресурса спустя несколько часов после публикации новости об этом инциденте.
В 2011 году компания «Доктор Веб» сообщила о появлении троянца BackDoor.Dande, шпионящего за фармацевтическими компаниями и аптеками. Исследовав жесткий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».
Проведенный компанией «Доктор Веб» анализ показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica. Среди модулей троянца присутствует установщик бэкдора, а также компоненты для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C. Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Подробности проведенного специалистами «Доктор Веб» исследования ПО ePrica изложены в опубликованной на нашем сайте статье.
В начале месяца специалисты компании «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.558.origin в популярной игре BlazBlue, доступной в каталоге Google Play. Эта вредоносная программа могла незаметно скачивать и запускать непроверенные компоненты приложений. Позже вирусные аналитики исследовали опасного троянца Android.BankBot.211.origin. Он мог управлять зараженными мобильными устройствами, похищал конфиденциальную банковскую информацию и другие секретные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android и поместили в прошивку нескольких моделей мобильных устройств. Эта вредоносная программа внедрялась в процессы всех запускаемых программ и незаметно запускала троянские модули.
Наиболее заметные события, связанные с «мобильной» безопасностью в июле:
Более подробно о вирусной обстановке для мобильных устройств в июле читайте в нашем обзоре.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2017 года |
31 июля 2017 года
В июле специалисты компании «Доктор Веб» обнаружили на нескольких моделях Android-смартфонов предустановленного троянца, которого злоумышленники внедрили в системную библиотеку. Эта вредоносная программа проникала в процессы приложений и могла незаметно скачивать и запускать дополнительные модули. Кроме того, в каталоге Google Play была выявлена игра со встроенным в нее троянцем-загрузчиком. Также в июле вирусные аналитики исследовали опасного банковского троянца, получающего контроль над зараженными устройствами и крадущего конфиденциальные данные.
В июле вирусные аналитики компании «Доктор Веб» выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android. Эта вредоносная программа проникает в процессы всех работающих приложений и может незаметно скачивать и запускать дополнительные троянские модули. Троянец был обнаружен сразу на нескольких моделях Android-устройств.
Особенности Android.Triada.231:
Подробнее о троянце рассказано в публикации, размещенной на сайте компании «Доктор Веб».
В июле специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца Android.DownLoader.558.origin, встроенного в популярную игру BlazBlue. Эта вредоносная программа входит в состав программного модуля, предназначенного для оптимизации обновления ПО. Ее опасность заключается в том, что она способна незаметно скачивать и запускать непроверенные компоненты приложений. Подробная информация об Android.DownLoader.558.origin содержится в нашей новости.
В прошедшем месяце был обнаружен опасный банковский троянец Android.BankBot.211.origin, который пытался получить доступ к специальным возможностям (Accessibility Service) в ОС Android. С их помощью он мог управлять зараженными устройствами и красть всю вводимую на клавиатуре информацию, в том числе пароли. Кроме того, Android.BankBot.211.origin показывал фишинговые формы для ввода конфиденциальных данных поверх запускаемых банковских программ, ПО для работы с платежными сервисами и других приложений. С особенностями работы этого троянца можно ознакомиться, прочитав соответствующий материал на нашем сайте.
Вирусописатели по-прежнему атакуют пользователей мобильных Android-устройств. Они постоянно расширяют функционал троянцев и стараются распространять их всеми доступными способами. Для защиты от вредоносных приложений владельцам смартфонов и планшетов рекомендуется установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в июле 2017 года |
31 июля 2017 года
В июле специалисты компании «Доктор Веб» обнаружили на нескольких моделях Android-смартфонов предустановленного троянца, которого злоумышленники внедрили в системную библиотеку. Эта вредоносная программа проникала в процессы приложений и могла незаметно скачивать и запускать дополнительные модули. Кроме того, в каталоге Google Play была выявлена игра со встроенным в нее троянцем-загрузчиком. Также в июле вирусные аналитики исследовали опасного банковского троянца, получающего контроль над зараженными устройствами и крадущего конфиденциальные данные.
В июле вирусные аналитики компании «Доктор Веб» выявили троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек ОС Android. Эта вредоносная программа проникает в процессы всех работающих приложений и может незаметно скачивать и запускать дополнительные троянские модули. Троянец был обнаружен сразу на нескольких моделях Android-устройств.
Особенности Android.Triada.231:
Подробнее о троянце рассказано в публикации, размещенной на сайте компании «Доктор Веб».
В июле специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца Android.DownLoader.558.origin, встроенного в популярную игру BlazBlue. Эта вредоносная программа входит в состав программного модуля, предназначенного для оптимизации обновления ПО. Ее опасность заключается в том, что она способна незаметно скачивать и запускать непроверенные компоненты приложений. Подробная информация об Android.DownLoader.558.origin содержится в нашей новости.
В прошедшем месяце был обнаружен опасный банковский троянец Android.BankBot.211.origin, который пытался получить доступ к специальным возможностям (Accessibility Service) в ОС Android. С их помощью он мог управлять зараженными устройствами и красть всю вводимую на клавиатуре информацию, в том числе пароли. Кроме того, Android.BankBot.211.origin показывал фишинговые формы для ввода конфиденциальных данных поверх запускаемых банковских программ, ПО для работы с платежными сервисами и других приложений. С особенностями работы этого троянца можно ознакомиться, прочитав соответствующий материал на нашем сайте.
Вирусописатели по-прежнему атакуют пользователей мобильных Android-устройств. Они постоянно расширяют функционал троянцев и стараются распространять их всеми доступными способами. Для защиты от вредоносных приложений владельцам смартфонов и планшетов рекомендуется установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: предустановленный на Android-устройствах троянец заражает процессы приложений и скачивает вредоносные модули |
27 июля 2017 года
Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.
В отличие от других представителей этого семейства, которые для выполнения вредоносных действий пытаются получить root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Ее модифицированная версия была найдена сразу на нескольких мобильных устройствах, среди которых Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми Android-приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.
Внедрение Android.Triada.231 в эту библиотеку было выполнено на уровне исходного кода. Можно предположить, что к распространению троянца причастны инсайдеры либо недобросовестные партнеры, которые участвовали в создании прошивок зараженных мобильных устройств.
Android.Triada.231 встроен в libandroid_runtime.so таким образом, что он получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск троянца происходит именно через нее.
После инициализации вредоносная программа выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении она работает. Если троянец функционирует в среде Dalvik, он перехватывает один из системных методов, что позволяет ему отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.
Основная функция Android.Triada.231 — незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты троянца. Для их запуска Android.Triada.231 проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троянец. Если Android.Triada.231 находит такой каталог, он ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает его в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же вредоносная программа не находит нужный объект, она ищет файл 36.jmd. Android.Triada.231 расшифровывает его, сохраняет под именем mms-core.jar, запускает при помощи класса DexClassLoader, после чего также удаляет созданную копию.
В результате Android.Triada.231 способен внедрять самые разнообразные троянские модули в процессы любых программ и влиять на их работу. Например, вирусописатели могут отдать троянцу команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальной информации из банковских приложений, модулей для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.
Кроме того, Android.Triada.231 может извлекать из библиотеки libandroid_runtime.so троянский модуль Android.Triada.194.origin, который хранится в ней в зашифрованном виде. Его основная функция — загрузка из Интернета дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.
Поскольку Android.Triada.231 встроен в одну из библиотек операционной системы и расположен в системном разделе, удаление его стандартными методами невозможно. Единственным надежным и безопасным способом борьбы с этим троянцем является установка заведомо чистой прошивки ОС Android. Специалисты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, поэтому пользователям рекомендуется установить все возможные обновления, которые будут выпущены для таких устройств.
|
|
«Доктор Веб»: предустановленный на Android-устройствах троянец заражает процессы приложений и скачивает вредоносные модули |
27 июля 2017 года
Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.
В отличие от других представителей этого семейства, которые для выполнения вредоносных действий пытаются получить root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Ее модифицированная версия была найдена сразу на нескольких мобильных устройствах, среди которых Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми Android-приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.
Внедрение Android.Triada.231 в эту библиотеку было выполнено на уровне исходного кода. Можно предположить, что к распространению троянца причастны инсайдеры либо недобросовестные партнеры, которые участвовали в создании прошивок зараженных мобильных устройств.
Android.Triada.231 встроен в libandroid_runtime.so таким образом, что он получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск троянца происходит именно через нее.
После инициализации вредоносная программа выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении она работает. Если троянец функционирует в среде Dalvik, он перехватывает один из системных методов, что позволяет ему отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.
Основная функция Android.Triada.231 — незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты троянца. Для их запуска Android.Triada.231 проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троянец. Если Android.Triada.231 находит такой каталог, он ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает его в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же вредоносная программа не находит нужный объект, она ищет файл 36.jmd. Android.Triada.231 расшифровывает его, сохраняет под именем mms-core.jar, запускает при помощи класса DexClassLoader, после чего также удаляет созданную копию.
В результате Android.Triada.231 способен внедрять самые разнообразные троянские модули в процессы любых программ и влиять на их работу. Например, вирусописатели могут отдать троянцу команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальной информации из банковских приложений, модулей для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.
Кроме того, Android.Triada.231 может извлекать из библиотеки libandroid_runtime.so троянский модуль Android.Triada.194.origin, который хранится в ней в зашифрованном виде. Его основная функция — загрузка из Интернета дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.
Поскольку Android.Triada.231 встроен в одну из библиотек операционной системы и расположен в системном разделе, удаление его стандартными методами невозможно. Единственным надежным и безопасным способом борьбы с этим троянцем является установка заведомо чистой прошивки ОС Android. Специалисты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, поэтому пользователям рекомендуется установить все возможные обновления, которые будут выпущены для таких устройств.
|
|
«Доктор Веб»: похищающий информацию о закупках медикаментов троянец BackDoor.Dande распространялся в инсталляторе ПО для фармацевтов ePrica |
24 июля 2017 года
Об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» впервые сообщила в 2011 году. Этот бэкдор похищал у пользователей систем электронного заказа информацию о закупках медикаментов. Такие программы применяются в фармацевтической отрасли, поэтому распространение вредоносного приложения носило узкоспециализированный характер. Наши специалисты уже на протяжении нескольких лет изучают этот бэкдор и его методы заражения компьютеров.
Недавние результаты исследования показали, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».
Дальнейший анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C.
Старт этих плагинов выполняет модуль runmod.exe, который при получении команды сервера расшифровывает и запускает их в памяти. После этого они копируют информацию из баз данных, которая затем передается на удаленный сервер. Указанный компонент приложения подписан сертификатом «Протек» — группы компаний, в которую входит разработчик ePrica «Спарго Технологии».
Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.
Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 года, в то время как некоторые файлы бэкдора в нем датированы еще далеким 2010 годом. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.
Более подробная информация об установщике ePrica с троянцем BackDoor.Dande доступна в нашей вирусной библиотеке.
|
|
«Доктор Веб»: похищающий информацию о закупках медикаментов троянец BackDoor.Dande распространялся в инсталляторе ПО для фармацевтов ePrica |
24 июля 2017 года
Об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» впервые сообщила в 2011 году. Этот бэкдор похищал у пользователей систем электронного заказа информацию о закупках медикаментов. Такие программы применяются в фармацевтической отрасли, поэтому распространение вредоносного приложения носило узкоспециализированный характер. Наши специалисты уже на протяжении нескольких лет изучают этот бэкдор и его методы заражения компьютеров.
Недавние результаты исследования показали, что троянца скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».
Дальнейший анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C.
Старт этих плагинов выполняет модуль runmod.exe, который при получении команды сервера расшифровывает и запускает их в памяти. После этого они копируют информацию из баз данных, которая затем передается на удаленный сервер. Указанный компонент приложения подписан сертификатом «Протек» — группы компаний, в которую входит разработчик ePrica «Спарго Технологии».
Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.
Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 года, в то время как некоторые файлы бэкдора в нем датированы еще далеким 2010 годом. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.
Более подробная информация об установщике ePrica с троянцем BackDoor.Dande доступна в нашей вирусной библиотеке.
|
|
«Доктор Веб»: опасный Android-банкер получает контроль над мобильными устройствами |
19 июля 2017 года
Android.BankBot.211.origin распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После того как пользователь устанавливает и запускает троянца, банкер пытается получить доступ к специальным возможностям (Accessibility Service). Для этого Android.BankBot.211.origin показывает окно с запросом, которое при каждом его закрытии появляется вновь и не дает работать с устройством.
Режим специальных возможностей упрощает работу с Android-смартфонами и планшетами и применяется в том числе для помощи пользователям с ограниченными возможностями. Он позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню. Вынудив пользователя предоставить троянцу эти полномочия, Android.BankBot.211.origin с их помощью самостоятельно добавляется в список администраторов устройства, устанавливает себя менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Все эти действия сопровождаются показом системных запросов, которые можно вовсе не заметить, т. к. вредоносная программа мгновенно подтверждает их. Если же владелец устройства в дальнейшем пытается отключить какую-либо из полученных Android.BankBot.211.origin функций, банкер не позволяет это сделать и возвращает пользователя в предыдущие системные меню.
После успешного заражения троянец подключается к управляющему серверу, регистрирует на нем мобильное устройство и ожидает дальнейших команд. Android.BankBot.211.origin способен выполнять следующие действия:
Кроме того, вредоносная программа отслеживает все входящие СМС и также передает их киберпреступникам.
Помимо стандартных команд, злоумышленники могут отправлять троянцу специальные директивы. В них в зашифрованном виде содержится информация о приложениях, которые банкеру необходимо атаковать. При получении таких команд Android.BankBot.211.origin может:
Android.BankBot.211.origin может атаковать пользователей любых приложений. Киберпреступникам достаточно лишь обновить конфигурационный файл со списком целевых программ, который банкер получает при соединении с управляющим сервером. Например, в начале наблюдения за троянцем вирусописателей интересовали только клиенты кредитных организаций Турции, однако позднее к ним добавились жители других стран, среди которых Германия, Австралия, Польша, Франция, Англия и США. На момент публикации этого материала в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и ДБО, а также другое ПО.
Ниже представлены примеры мошеннических окон, которые может показывать Android.BankBot.211.origin:
Троянец также собирает информацию обо всех запускаемых приложениях и действиях, которые пользователь в них выполняет. Например, он отслеживает доступные текстовые поля, такие как элементы меню, а также фиксирует нажатия на кнопки и другие компоненты пользовательского интерфейса.
Кроме того, Android.BankBot.211.origin способен похищать логины, пароли и другую аутентификационную информацию, которую пользователь вводит в любых программах и на любых сайтах при авторизации. Для кражи паролей троянец делает скриншот при каждом нажатии клавиатуры, в результате чего он получает необходимую последовательность символов до того, как они будут скрыты. После этого информация, которая указывается в видимых полях, и все сохраненные скриншоты передаются на управляющий сервер.
Так как Android.BankBot.211.origin препятствует собственному удалению, для борьбы с ним необходимо выполнить следующие действия:
Все известные модификации Android.BankBot.211.origin детектируются антивирусом Dr.Web, поэтому для наших пользователей этот банкер опасности не представляет.
|
|
«Доктор Веб»: опасный Android-банкер получает контроль над мобильными устройствами |
19 июля 2017 года
Android.BankBot.211.origin распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После того как пользователь устанавливает и запускает троянца, банкер пытается получить доступ к специальным возможностям (Accessibility Service). Для этого Android.BankBot.211.origin показывает окно с запросом, которое при каждом его закрытии появляется вновь и не дает работать с устройством.
Режим специальных возможностей упрощает работу с Android-смартфонами и планшетами и применяется в том числе для помощи пользователям с ограниченными возможностями. Он позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню. Вынудив пользователя предоставить троянцу эти полномочия, Android.BankBot.211.origin с их помощью самостоятельно добавляется в список администраторов устройства, устанавливает себя менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Все эти действия сопровождаются показом системных запросов, которые можно вовсе не заметить, т. к. вредоносная программа мгновенно подтверждает их. Если же владелец устройства в дальнейшем пытается отключить какую-либо из полученных Android.BankBot.211.origin функций, банкер не позволяет это сделать и возвращает пользователя в предыдущие системные меню.
После успешного заражения троянец подключается к управляющему серверу, регистрирует на нем мобильное устройство и ожидает дальнейших команд. Android.BankBot.211.origin способен выполнять следующие действия:
Кроме того, вредоносная программа отслеживает все входящие СМС и также передает их киберпреступникам.
Помимо стандартных команд, злоумышленники могут отправлять троянцу специальные директивы. В них в зашифрованном виде содержится информация о приложениях, которые банкеру необходимо атаковать. При получении таких команд Android.BankBot.211.origin может:
Android.BankBot.211.origin может атаковать пользователей любых приложений. Киберпреступникам достаточно лишь обновить конфигурационный файл со списком целевых программ, который банкер получает при соединении с управляющим сервером. Например, в начале наблюдения за троянцем вирусописателей интересовали только клиенты кредитных организаций Турции, однако позднее к ним добавились жители других стран, среди которых Германия, Австралия, Польша, Франция, Англия и США. На момент публикации этого материала в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и ДБО, а также другое ПО.
Ниже представлены примеры мошеннических окон, которые может показывать Android.BankBot.211.origin:
Троянец также собирает информацию обо всех запускаемых приложениях и действиях, которые пользователь в них выполняет. Например, он отслеживает доступные текстовые поля, такие как элементы меню, а также фиксирует нажатия на кнопки и другие компоненты пользовательского интерфейса.
Кроме того, Android.BankBot.211.origin способен похищать логины, пароли и другую аутентификационную информацию, которую пользователь вводит в любых программах и на любых сайтах при авторизации. Для кражи паролей троянец делает скриншот при каждом нажатии клавиатуры, в результате чего он получает необходимую последовательность символов до того, как они будут скрыты. После этого информация, которая указывается в видимых полях, и все сохраненные скриншоты передаются на управляющий сервер.
Так как Android.BankBot.211.origin препятствует собственному удалению, для борьбы с ним необходимо выполнить следующие действия:
Все известные модификации Android.BankBot.211.origin детектируются антивирусом Dr.Web, поэтому для наших пользователей этот банкер опасности не представляет.
|
|