25 ноября 2014 года

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев. На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, способной расшифровать такие файлы.

Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Запустившись на атакуемом компьютере, троянец копирует себя в одну из системных папок с именем ID.exe, где ID — серийный номер жесткого диска. Затем Trojan.Encoder.398 демонстрирует на экране сообщение о повреждении архива и запускает собственную копию, которая определяет и отправляет на принадлежащий злоумышленникам сервер серийный номер жесткого диска зараженной машины. В ответ троянец получает от удаленного узла конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, после чего начинается сама процедура шифрования.

В настоящий момент специалистам «Доктор Веб» известно несколько модификаций Trojan.Encoder.398, способных использовать до 18 различных алгоритмов шифрования. Троянец может зашифровывать файлы со следующими расширениями: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Для связи злоумышленники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com и некоторые другие.

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

Следует отметить, что в последнее время в Интернете появилось множество предложений о платной расшифровке пострадавших от действия шифровальщиков файлов, однако достоверно установлено, что большинство лиц, предлагающих подобного рода услуги, все равно обращается за помощью в службу технической поддержки компании «Доктор Веб». Обращаем ваше внимание на то, что компания «Доктор Веб» осуществляет расшифровку файлов бесплатно для пользователей своих лицензионных продуктов. Таким образом, сетевые мошенники фактически предлагают жертвам троянца приобрести услугу, которую можно получить на безвозмездной основе. По крайней мере, требуемая ими сумма вознаграждения значительно превышает стоимость лицензии на антивирусные продукты Dr.Web, приобретая которую, пользователь получает надежную защиту своих персональных компьютеров и мобильных устройств.

Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки поддержки компании «Доктор Веб» (эта услуга бесплатна);
• к тикету приложите зашифрованный троянцем .DOC-файл;
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Проделанная специалистами компании «Доктор Веб» работа открывает новые перспективы в борьбе с троянцами-шифровальщиками и позволяет надеяться, что в будущем все больше жертв подобных вредоносных программ получат возможность вернуть свои файлы, пострадавшие от действия энкодеров.

Чтобы троянец не испортил файлы, используйте защиту от потери данных

Только в Dr.Web Security Space версии 9 и 10

Подробнее о шифровальщиках

Что делать если..

Видео о настройке

Бесплатная расшифровка

http://news.drweb.ru/show/?i=7098&lng=ru&c=9

20 ноября 2014 года

Специалисты компании «Доктор Веб» исследовали опасного Linux-троянца, обладающего способностью заражать компьютеры и различные устройства, работающие под управлением ОС семейства Linux. Данная вредоносная программа, добавленная в базы под именем Linux.BackDoor.Fgt.1, предназначена для организации массовых DDoS-атак.

После своего запуска на инфицированном устройстве троянец Linux.BackDoor.Fgt.1 проверяет наличие подключения к Интернету, обращаясь к одному из серверов Google, и, если соединение удалось установить, определяет IP и MAC-адрес инфицированного устройства. Затем Linux.BackDoor.Fgt.1 пытается связаться с командным сервером, адрес которого «зашит» в теле самого троянца, отправляя ему сведения о версии вредоносной программы. В ответ Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команду для выполнения на инфицированном устройстве. Если от управляющего сервера пришла команда PING, троянец отправляет на управляющий сервер ответ PONG и продолжает функционировать на инфицированном устройстве. При получении команды DUP Linux.BackDoor.Fgt.1 завершает свою работу.

Троянец обладает специальной функцией, с использованием которой он в течение одного цикла осуществляет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, — такие адреса игнорируются. В случае неудачи при попытке установки соединения Linux.BackDoor.Fgt.1 отправляет информацию об этом на принадлежащий злоумышленникам управляющий сервер. Если же связь установлена, вредоносная программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина. Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха Linux.BackDoor.Fgt.1 отсылает на управляющий сервер IP-адрес, логин и пароль устройства, к которому удалось подобрать аутентификационные данные, а на атакуемый узел направляется команда загрузки специального скрипта. Тот, в свою очередь, скачивает из Интернета и запускает во взломанной системе исполняемый файл самого троянца Linux.BackDoor.Fgt.1. Примечательно, что на принадлежащем вирусописателям сервере имеется значительное количество исполняемых файлов Linux.BackDoor.Fgt.1, скомпилированных для разных версий и дистрибутивов Linux, в том числе для встраиваемых систем с архитектурой MIPS и SPARC-серверов. Таким образом, троянец может инфицировать не только подключенные к Интернету серверы и рабочие станции под управлением Linux, но и другие устройства, например, маршрутизаторы.

Linux.BackDoor.Fgt.1 способен выполнять целый ряд поступающих от злоумышленников команд, среди которых можно перечислить следующие:

• запрос IP-адреса инфицированного устройства;
• запуск или остановка цикла сканирования;
• атака на заданный узел типа DNS Amplification;
• атака на заданный узел типа UDP Flood;
• атака на заданный узел типа SYN Flood;
• прекращение DDoS-атаки;
• завершение работы троянца.

Запись для троянской программы Linux.BackDoor.Fgt.1, позволяющая выявлять и удалять данную угрозу, добавлена в вирусные базы Dr.Web, поэтому антивирусные продукты компании «Доктор Веб» для ОС Linux надежно защищают пользователей данной операционной системы от опасности заражения их устройств.

http://news.drweb.ru/show/?i=7092&lng=ru&c=9

19 ноября 2014 года

Компания «Доктор Веб» предупреждает пользователей о распространении нового троянца, заражающего мобильные Android-устройства и выполняющего на них различные действия по команде злоумышленников. Главная опасность этой вредоносной программы заключается в том, что она способна похищать деньги с банковских счетов пользователей, причем жертвами подобных атак могут стать клиенты сразу нескольких российских кредитных организаций.

Обнаруженная специалистами компании «Доктор Веб» Android-угроза, внесенная в вирусную базу как Android.BankBot.33.origin, представляет собой бота, способного выполнять различные команды злоумышленников. Этот троянец распространяется киберпреступниками под видом различных приложений и может быть установлен на смартфон или планшет только его владельцем (при этом в настройках операционной системы должна быть разрешена установка программ из сторонних источников).

Будучи запущенной, вредоносная программа пытается получить права администратора мобильного устройства, для чего настойчиво демонстрирует соответствующее системное уведомление и фактически не позволяет потенциальной жертве отказаться от выполнения запрошенного действия. После успешного получения системных привилегий Android.BankBot.33.origin, в зависимости от модификации, может вывести на экран сообщение об ошибке, либо отобразить интерфейс приложения, под прикрытием которого и распространялся троянец. В обоих случаях бот удаляет созданный им ранее ярлык, «прячась» таким образом от неопытных пользователей.

Затем троянец устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве. В частности, Android.BankBot.33.origin передает на сервер следующие данные:

• IMEI-идентификатор;
• IMSI-идентификатор;
• текущее время, установленное в системе;
• номер мобильного телефона;
• версия троянца;
• SID-идентификатор;
• версия ОС;
• модель устройства;
• производитель устройства;
• версия SDK системы;
• идентификатор троянца.

В ответ сервер отправляет боту список команд, которые тот должен исполнить. Android.BankBot.33.origin может выполнить следующие действия:

• установить время следующего соединения с командным центром;
• изменить адрес командного центра;
• занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя;
• занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер;
• убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя;
• убрать из конфигурационного файла список номеров, сообщения c которых будут пересылаться на управляющий сервер;
• отправить СМС-сообщение с заданным текстом на указанный в команде номер;
• загрузить и попытаться установить приложение (необходимо подтверждение пользователя);
• попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя);
• вывести в область уведомлений сообщение с заданным в команде текстом;
• открыть в браузере заданный в команде веб-адрес;
• отправить на управляющий сервер список контактов;
• отправить на управляющий сервер список установленных приложений.

Главная опасность этого вредоносного приложения заключается в том, что оно способно функционировать в качестве банковского троянца и выполнять незаконные операции с денежными средствами владельцев Android-устройств. Так, Android.BankBot.33.origin пытается получить информацию о текущем балансе банковского счета, либо списке подключенных к мобильному телефону пользователя банковских карт. Для этого бот отправляет соответствующий СМС-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем. Если троянец получит ответ, то при помощи специально сформированных СМС-команд он попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва может долгое время оставаться в неведении о произошедшей краже, т. к. Android.BankBot.33.origin способен перехватить и заблокировать СМС-уведомления о совершенных операциях.

Также вредоносная программа вполне может помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя, загрузив в браузере зараженного устройства имитирующий внешний вид настоящего интернет-портала банка мошеннический веб-сайт, где жертве будет предложено ввести конфиденциальные сведения для входа. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, что может стать причиной серьезных финансовых потерь.

Запись для детектирования этого троянца внесена в вирусную базу компании «Доктор Веб», поэтому для пользователей Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light он не представляет угрозы.

Защитите ваше Android-устройство с помощью Dr.Web

http://news.drweb.ru/show/?i=7091&lng=ru&c=9

11 ноября 2014 года

Массовая отправка содержащих ссылку на загрузку вредоносной программы СМС-сообщений становится все более популярным методом распространения современных Android-угроз. Подобный механизм доставки троянцев на мобильные устройства киберпреступники применяют не только при организации спам-рассылок, но и внедряют в создаваемые ими вредоносные приложения, наделяя их функционалом СМС-червей. Одна из таких вредоносных программ, обнаруженная специалистами компании «Доктор Веб» в начале ноября, представляет собой опасного бота, способного по команде злоумышленников отправлять СМС, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий.

Внесенная в вирусную базу Dr.Web под именем Android.Wormle.1.origin, новая Android-угроза представляет собой многофункционального бота, обладающего широкими возможностями. После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system.

Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

Данный троянец обладает чрезвычайно обширным функционалом. В частности, бот способен выполнить следующие действия:

• отправить СМС-сообщение с заданным текстом на один или несколько номеров, указанных в команде;
• разослать СМС-сообщение c заданным текстом по всем номерам из телефонной книги;
• занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него СМС-сообщения, а также звонки;
• выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой – это сделано для того, чтобы заблокировать получение пользователем ответных сообщений);
• переслать на управляющий сервер информацию обо всех полученных СМС-сообщениях, а также совершенных звонках;
• включить диктофонную запись, либо остановить ее, если запись уже ведется;
• получить информацию об учетных записях, привязанных к зараженному устройству;
• получить информацию обо всех установленных приложениях;
• получить информацию о списке контактов;
• получить информацию о мобильном операторе;
• получить информацию об установленной версии ОС;
• получить информацию о стране, в которой зарегистрирована SIM-карта;
• получить информацию о телефонном номере жертвы;
• удалить указанное в команде приложение (для этого троянец демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление);
• получить информацию о хранящихся на карте памяти файлах и каталогах;
• загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог;
• удалить заданный файл или каталог;
• удалить все хранящиеся на устройстве СМС-сообщения;
• выполнить DDoS-атаку на указанный в команде веб-ресурс;
• установить связь с управляющим сервером, используя специальные параметры;
• изменить адрес управляющего сервера;
• очистить черный список номеров.

Таким образом, Android.Wormle.1.origin позволяет киберпреступникам решать самые разные задачи, начиная с рассылки платных СМС-сообщений и кражи конфиденциальных данных и заканчивая организацией DDoS-атак на различные веб-сайты. Кроме того, функционал вредоносной программы позволяет злоумышленникам получить доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского троянца, что расширяет сферу его применения.

Android.Wormle.1.origin реализует функционал СМС-червя, распространяясь среди владельцев Android-устройств при помощи СМС-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Например, такие сообщения могут иметь следующий вид:

«Я тебя люблю http://[]app.ru/*number*», где «number» – номер получателя СМС.

Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств, значительно увеличив размер созданной киберпреступниками бот-сети. Полученная специалистами компании «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 000 Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число – 12 946 (или 91,49%) инфицированных троянцем мобильных устройств находится в России, далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%). Географическое распределение созданного Android.Wormle.1.origin «мобильного» ботнета представлено на следующей иллюстрации:

Специалисты компании «Доктор Веб» продолжают наблюдать за развитием ситуации. Запись для детектирования этой угрозы была оперативно внесена вирусную базу, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light надежно защищены от данного троянца.

Защитите ваше Android-устройство с помощью Dr.Web

http://news.drweb.ru/show/?i=7076&lng=ru&c=9

7 ноября 2014 года

Специалисты компании «Доктор Веб» обнаружили нового троянца, встроенного непосредственно в образ операционной системы целого ряда мобильных устройств под управлением Android. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров СМС-сообщения.

Данная вредоносная программа представляет собой комплексную угрозу, состоящую из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом Android.Becu.1.origin является apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя. Кроме того, расположение этого приложения непосредственно в прошивке мобильного устройства значительно затрудняет его удаление стандартными методами.

Троянец начинает свою вредоносную деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых СМС-сообщений. Как только наступает одно из этих событий, Android.Becu.1.origin в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге троянца и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим троянец запускает свой второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал данной Android-угрозы, а именно – возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера.

После успешной активации данных компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin. Если один или несколько модулей троянца будут удалены пользователем, основной файл вредоносного приложения восстановит их, повторив процесс инсталляции.

Помимо выполнения своего основного предназначения – незаметной работы с приложениями – троянец также может блокировать все поступающие с определенных номеров СМС-сообщения.

На данный момент специалистам компании «Доктор Веб» известно о присутствии данной угрозы на целом ряде моделей популярных Android-устройств бюджетного ценового сегмента. Среди них – UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и многие другие. Наиболее вероятным вектором заражения этих устройств троянцем Android.Becu.1.origin является распространение в Интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов операционной системы недобросовестными поставщиками смартфонов и планшетов, участвующими в преступной схеме.

Поскольку Android.Becu.1.origin расположен непосредственно внутри самой операционной системы, его полное удаление стандартными методами весьма проблематично, поэтому наиболее простым и безопасным способом борьбы с троянцем является его «заморозка» в меню управления приложениями. Для этого необходимо найти основной файл троянца в списке установленных программ (пакет com.cube.activity) и нажать на кнопку «Отключить». В результате вредоносное приложение станет неактивным и не сможет продолжить свою работу. После этого потребуется выполнить удаление вспомогательных компонентов троянца (пакеты com.system.outapi и com.zgs.ga.pack), которые могли быть установлены им ранее.

Более радикальными способами противодействия Android.Becu.1.origin являются ручное удаление его основного компонента при наличии root-доступа, а также установка заведомо «чистого» образа операционной системы, которая повлечет за собой потерю всей сохраненной информации. Обе эти процедуры сопряжены с определенной опасностью повреждения работоспособности устройства, поэтому должны выполняться только опытными пользователями на свой страх и риск и сопровождаться созданием резервной копии важных данных.

Антивирусные продукты Dr.Web для Android и Dr.Web для Android Light успешно детектируют данную Android-угрозу, поэтому пользователям рекомендуется выполнить полную проверку своих мобильных устройств на наличие троянца Android.Becu.1.origin и его компонентов.

Подробные сведения об угрозе

Защитите ваше Android-устройство с помощью Dr.Web

http://news.drweb.ru/show/?i=7071&lng=ru&c=9

31 октября 2014 года

Осень 2014 года наверняка запомнится поклонникам многопользовательских компьютерных игр появлением значительного количества угроз, специально созданных злоумышленниками для похищения и последующей перепродажи различных игровых предметов, артефактов и инвентаря. «Под ударом» оказались пользователи таких игр, как Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Заметно активизировались и мошенники, промышляющие обманом сетевых игроков с использованием традиционных методов. Также в октябре специалисты компании «Доктор Веб» обнаружили значительное количество новых угроз как для ОС Microsoft Windows, так и для мобильной платформы Google Android.

Вирусная обстановка

Ситуация с вредоносными программами, детектируемыми на компьютерах пользователей с использованием лечащей утилиты Dr.Web CureIt!, по сравнению с предыдущими месяцами практически никак не изменилась: лидирующие позиции среди выявленных вредоносных программ по-прежнему занимают рекламные плагины для браузеров семейства Trojan.BPlug, а также установщик рекламных приложений Trojan.Packed.24524. В целом, как и прежде, рекламные троянцы оккупируют первые строки рейтинга среди прочих вредоносных программ, обнаруженных Dr.Web CureIt! в октябре.

Несколько иную картину демонстрируют серверы статистики Dr.Web: среди вредоносных программ в октябре, как и ранее, лидирует установщик рекламных приложений Trojan.Packed.24524 — количество обнаруженных экземпляров в текущем месяце снизилось по сравнению с предыдущим на 0,15%. Кроме того, в лидеры неожиданно пробился бэкдор BackDoor.Andromeda.404, количество обнаружений которого составляет 0.34% от общего числа выявленных в октябре вредоносных программ. Этот троянец способен выполнять поступающие на инфицированный компьютер команды и загружать с принадлежащих злоумышленникам серверов другие опасные приложения. Среди «популярных» троянцев октября также оказался Trojan.LoadMoney.336 — приложение-загрузчик, способное устанавливать на компьютер пользователя другие программы, в том числе различные нежелательные рекламные утилиты. А вот число обнаружений бэкдора BackDoor.IRC.NgrBot.42 осталось практически неизменным, уменьшившись по сравнению с сентябрьскими показателями всего лишь на 0,02%. Также в октябре компьютеры пользователей согласно данным сервера статистики Dr.Web нередко «навещали» рекламные троянцы Trojan.Zadved.4 и Trojan.Triosir.13.

В почтовом трафике в течение октября чаще всего обнаруживался бэкдор-загрузчик BackDoor.Andromeda.404 (2,22%), банковский троянец Trojan.PWS.Panda.5676 (0,97%) и еще одна модификация безусловного лидера этого своеобразного рейтинга — BackDoor.Andromeda.519 (0,88%). Следует отметить, что в октябре злоумышленники довольно часто использовали массовые почтовые рассылки для распространения банковских троянцев и вредоносных программ, предназначенных для хищения паролей, а также прочей конфиденциальной информации пользователей: помимо уже упомянутого выше Trojan.PWS.Panda.5676 в сообщениях электронной почты детектировались Trojan.PWS.Panda.655, Trojan.PWS.Stealer.13025 и Trojan.PWS.Stealer.13259, число обнаружений которых в совокупности достигло 2,04% от общего количества угроз, выявленных в почтовом трафике в октябре.

Что касается ботнетов, за деятельностью которых продолжают следить специалисты компании «Доктор Веб», то и здесь за минувший месяц также не произошло каких-либо кардинальных изменений. Так, в первой из двух отслеживаемых подсетей ботнета Win32.Rmnet.12 средняя ежесуточная активность в октябре составила 251 500 обращавшихся к управляющим серверам инфицированных ПК, во второй подсети этот показатель составляет 379 000. Средняя ежесуточная активность бот-сети, созданной злоумышленниками с использованием файлового вируса Win32.Sector, составляет порядка 57 000 зараженных узлов. Продолжает функционировать и ботнет BackDoor.Flashback.39 — в течение октября было зафиксировано в среднем 16 530 ежесуточных обращений к управляющим серверам зараженных этим троянцем Apple-совместимых компьютеров, работающих под управлением операционной системы Mac OS X.

Ранее компания «Доктор Веб» сообщила о распространении троянской программы для Linux, добавленного в вирусные базы под именем Linux.BackDoor.Gates. Согласно данным, полученным вирусными аналитиками компании «Доктор Веб», в октябре ботнет Linux.BackDoor.Gates продолжил свою деятельность — географическое распределение DDoS-атак, реализованных с использованием этого троянца, показано на следующей иллюстрации:

«Опасные игры» для пользователей Steam

Известно, что многие современные многопользовательские компьютерные игры — это самые настоящие виртуальные миры, которые приносят своим разработчикам миллионные доходы. В таких вселенных имеются свои традиции и законы, правила поведения и собственные экономические модели, позволяющие добывать, обменивать и даже продавать за вполне реальные деньги различные игровые предметы. В середине сентября 2014 года специалистами компании «Доктор Веб» был обнаружен и исследован троянец Trojan.SteamBurglar.1, воровавший с целью последующей перепродажи такие артефакты у пользователей Steam — игровой платформы, разработанной компанией Valve и позволяющей загружать из Интернета игровые приложения, активировать их, получать обновления и знакомиться с различными новостями игрового мира.

Однако одной лишь этой угрозой деятельность злоумышленников, решивших нажиться на поклонниках онлайн-игр, не ограничилась: в октябре вирусные аналитики «Доктор Веб» выявили нового троянца с почти аналогичным функционалом — Trojan.SteamLogger.1, который помимо воровства игровых предметов мог фиксировать и передавать злоумышленникам сведения о нажатиях клавиш на инфицированном компьютере, то есть, выполнял функции кейлоггера. Под угрозой оказались поклонники игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2.

Запустившись на зараженном компьютере, Trojan.SteamLogger.1 демонстрирует на экране атакованного компьютера изображение нескольких игровых предметов и в это же самое время развивает бурную вредоносную деятельность в инфицированной системе.

Передав злоумышленникам информацию о зараженной машине, троянец ожидает момента авторизации игрока в Steam, затем извлекает информацию об аккаунте пользователя (наличие SteamGuard, steam-id, security token) и также отправляет эти данные преступникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Если в настройках Steam отключена автоматическая авторизация, троянец запускает в отдельном потоке кейлоггер — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Для поиска инвентаря и ценных игровых предметов Trojan.SteamLogger.1 использует фильтры по ключевым словам "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". То есть, вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. При этом Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи. Для реализации похищенных ключей от сундуков из игры Dota 2 вирусописатели даже создали специальный интернет-магазин:

Более подробную информацию об этой вредоносной программе можно получить, ознакомившись с нашей обзорной статьей.

Но только лишь распространением вредоносных программ приемы злоумышленников, решивших хорошенько нажиться на поклонниках компьютерных игр, не ограничиваются: они используют множество иных методов. Официально торговля аккаунтами запрещена администрацией большинства игровых серверов, однако полностью остановить куплю-продажу учетных записей это не помогло. Приобретая аккаунт на игровом сервере, покупатель стремится получить не просто персонажа с максимальным количеством различных «навыков» и баллов опыта, но также игровую амуницию, доспехи, ездовых животных (иногда довольно редких), набор умений и профессий, доступных для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей.

Кибермошенники применяют различные способы обмана доверчивых игроков: например, известно, что выставленный ими на продажу игровой аккаунт может быть возвращен злоумышленникам по первому обращению в службу технической поддержки. Если же выяснится, что учетная запись в нарушение правил была продана, ее просто заблокируют.

Также мошенники с помощью системы личных сообщений могут рассылать от имени игрока фишинговые ссылки — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы.

Существуют и иные способы обмануть поклонников онлайн-игр, активно используемые киберпреступниками. Вы можете узнать о них, прочитав опубликованную на сайте компании «Доктор Веб» подробную статью.

Угрозы для Android

В прошедшем месяце пользователям мобильных устройств вновь угрожало большое количество вредоносных Android-приложений. Например, в начале октября был обнаружен троянец Android.Selfmite.1.origin, который распространялся злоумышленниками в модифицированном ими официальном приложении-клиенте социальной сети Google+ и применялся для незаконного заработка. В частности, эта вредоносная программа могла разместить на главном экране операционной системы несколько ярлыков, ведущих, в зависимости от географического расположения пользователей, на различные веб-сайты, задействованные в партнерских программах. Также троянец мог «рекламировать» те или иные приложения из каталога Google Play, открывая в нем соответствующие разделы. Кроме того, Android.Selfmite.1.origin был способен отправить СМС-сообщения по всем контактам, найденным в телефонной книге зараженного мобильного устройства. Эти СМС рассылались в неограниченном количестве и, в зависимости от поступившей от управляющего сервера команды, могли содержать ссылку, ведущую как на очередной рекламный сайт, так и на продвигаемые мошенниками приложения, в том числе и на копию самого троянца.

Продолжили появляться и новые троянцы-вымогатели. Одна из таких вредоносных программ, получившая по классификации компании «Доктор Веб» имя Android.Locker.54.origin, по своему основному вредоносному функционалу ничем не отличалась от многих других представителей подобных угроз: попадая на мобильное устройство, она обвиняла пользователя в просмотре незаконных порнографических материалов и блокировала экран, требуя оплатить выкуп. Главная особенность этого вымогателя заключается в том, что он способен рассылать всем контактам пользователя СМС-сообщения, содержащие ссылку на загрузку копии вредоносного приложения, что могло существенно увеличить масштабы распространения троянца.

Еще одной Android-угрозой, распространявшейся среди пользователей ОС Android в октябре, стала вредоносная программа Android.Dialer.7.origin, являющаяся представителем весьма редкого в настоящее время класса вредоносных программ-дозвонщиков. Попадая на мобильное устройство, этот троянец без ведома его владельца совершал звонок на заданный киберпреступниками платный номер, в результате чего со счета абонента списывалась определенная денежная сумма. Подробнее об этой угрозе рассказано в соответствующей публикации.

Вновь под ударом оказались и пользователи ОС Android из Южной Кореи: в октябре специалисты «Доктор Веб» зафиксировали более 160 спам-кампаний, направленных на распространение различных Android-троянцев при помощи нежелательных СМС. Одна из применявшихся киберпреступниками угроз, внесенная в вирусную базу под именем Android.BankBot.29.origin, являлась очередным представителем распространенных банковских троянцев, осуществляющих кражу конфиденциальных сведений клиентов южнокорейских кредитных организаций. Как и другие подобные вредоносные приложения, Android.BankBot.29.origin запрашивает доступ к функциям администратора мобильного устройства, чтобы затруднить свое удаление из системы. Однако реализация данного процесса у нового троянца выглядит весьма необычно, т. к. соответствующий системный диалог «прячется» под интерфейсом вредоносного приложения, в результате чего пользователи могут вовсе не заметить, что предоставили Android.BankBot.29.origin расширенные права.

В целом же в прошедшем месяце южнокорейские пользователи наиболее часто могли столкнуться с такими угрозами как Android.BankBot.27.origin, Android.MulDrop.36.origin, Android.SmsSpy.78.origin, Android.Spy.40.origin, Android.MulDrop.21.origin и Android.BankBot.29.origin.

Полезные ссылки

• Актуальная статистика по вирусным угрозам
• Пробные версии антивирусных программ Dr.Web
  • для дома
  • для бизнеса
• Наши новости
• Вирусная энциклопедия

Давайте дружить! Присоединяйтесь к нашим группам в социальных сетях:

http://news.drweb.ru/show/?i=7058&lng=ru&c=9

30 октября 2014 года

На протяжении последних 3 месяцев специалисты компании «Доктор Веб» продолжали фиксировать новые атаки злоумышленников, направленные на южнокорейских пользователей мобильных Android-устройств. Как и прежде, для заражения их смартфонов и планшетов киберпреступники широко применяли рассылку нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку вредоносного приложения, при этом главная цель вирусописателей – доступ к банковским счетам жертв – осталась неизменной.

Полученная в 3-м квартале 2014 года статистика свидетельствует о том, что южнокорейские пользователи ОС Android все еще остаются желанной целью для киберпреступников: с июля по сентябрь специалисты компании «Доктор Веб» зафиксировали 338 различных спам-кампаний, организованных с целью заражения мобильных Android-устройств жителей Южной Кореи.

Зафиксированные в 3 квартале 2014 года
случаи атак на южнокорейских пользователей Android с использованием СМС-спама

По сравнению со 2-м кварталом текущего года за последние 3 месяца количество подобных атак снизилось почти на 40%, однако это едва ли может стать радостной новостью для пользователей, т. к. большая часть обнаруженных вредоносных приложений, как и раньше, принадлежала к различным семействам банковских троянцев и троянцев-шпионов. Так, на долю вредоносных программ семейства Android.Banker пришлось 26,11%, Android.SmsBot – 21,07%, Android.BankBot – 18,69%, Android.SmsSpy – 8,61% и Android.Spy – 3,26% от всех зафиксированных угроз. Кроме того, существенный объем – 22,26% – составили троянцы-дропперы семейства Android.MulDrop, используемые киберпреступниками в качестве носителей для других вредоносных программ, которые в большинстве отмеченных случаев представляли собой все тех же банковских троянцев. Это свидетельствует о том, что основное внимание злоумышленников, которые при помощи СМС-спама распространяют Android-троянцев в Южной Корее, по-прежнему сфокусировано на краже конфиденциальной информации владельцев Android-устройств, получении доступа к их банковским счетам и проведении незаконных операций с денежными средствами.

Семейства Android-троянцев, распространяемых при помощи СМС-спама
среди южнокорейских пользователей в 3-м квартале 2014 года

Вместе с использованием вредоносных приложений в качестве контейнеров для доставки других троянцев на Android-устройства южнокорейских пользователей злоумышленники все чаще стали применять и другие приемы, которые мешают потенциальным жертвам распознать угрозу и снижают вероятность ее обнаружения антивирусными программами. Одной из таких методик, продолжающих набирать популярность в киберкриминальной среде, является защита троянцев специализированными упаковщиками, шифрующими их компоненты, а также использование различных вариантов обфускации, которая приводит к похожему результату, «запутывая» код вредоносных программ. Примерами использования подобной защиты для сокрытия вредоносного приложения от взора антивирусного ПО служат несколько новых модификаций троянца Android.SmsSpy.71.origin, известного специалистам компании «Доктор Веб» с января 2014 года. Эта вредоносная программа перехватывает СМС-сообщения, крадет информацию о контактах пользователя, способна блокировать звонки, а также по команде злоумышленников выполнить СМС-рассылку по выборочным или же всем имеющимся в телефонной книге номерам. Как и многие другие южнокорейские Android-угрозы, изначально эта вредоносная программа распространялась злоумышленниками без каких-либо технических ухищрений, однако со временем она становилась все более защищенной. Так, обнаруженные в сентябре новые модификации Android.SmsSpy.71.origin уже находились под защитой весьма сложного упаковщика и распространялись при помощи троянцев-дропперов, внесенных в вирусную базу под именами Android.MulDrop.6 и Android.MulDrop.7.

Однако подобными методами арсенал киберпреступников вовсе не ограничивается. В ответ на внедряемые в ОС Android новые защитные механизмы вирусописатели добавляют в свои разработки новый функционал, позволяющий обходить эти преграды. Например, обнаруженная в сентябре вредоносная программа Android.SmsBot.174.origin, которая является ботом, выполняющим команды злоумышленников, скрывает от пользователя поступающие звонки, а также СМС, используя интересный механизм для блокировки последних. В ОС Android, начиная с версии 4.4, полное управление короткими сообщениями одновременно доступно лишь для одного приложения. Если программа не является менеджером сообщений по умолчанию, она все еще может скрыть уведомление о поступившем СМС, однако само сообщение будет сохранено в списке входящих и доступно пользователю. Чтобы помешать этому, Android.SmsBot.174.origin пытается назначить себя в качестве стандартного менеджера сообщений, запрашивая у пользователя соответствующее разрешение. В случае успеха троянец получает возможность полноценно блокировать не только входящие звонки, но также и СМС, которые могут поступать, в том числе, и от кредитных организаций, при этом способность бота отправлять различные сообщения по команде злоумышленников в итоге делает троянца серьезной угрозой для пользователей.

В целом за последние 3 месяца злоумышленники использовали более 20 различных вредоносных приложений для атак на южнокорейских пользователей Android, при этом наиболее распространенными угрозами стали такие троянцы как Android.Banker.28.origin, Android.SmsBot.121.origin, Android.SmsSpy.78.origin, Android.MulDrop.20.origin и Android.BankBot.27.origin.

Вредоносные программы, распространявшиеся при помощи СМС-спама
среди южнокорейских пользователей в 3-м квартале 2014 года

Как уже отмечалось ранее, все эти троянцы распространялись среди южнокорейских владельцев Android-устройств при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносной программы. Чтобы заставить пользователей установить Android-угрозу на мобильное устройство, киберпреступники вновь активно применяли социальную инженерию – тематика большинства рассылаемых ими сообщений затрагивала те или иные «житейские» вопросы. Например, на поддельные уведомления о судьбе почтовых отправлений пришлось 36,09% мошеннических СМС, на сообщения от имени суда или полиции – 23,37%, на фиктивные уведомления о проведении мероприятий по гражданской обороне – 23,97%, а на ненастоящие приглашения на свадьбу – 12,13% СМС соответственно. Кроме того, кибермошенники эксплуатировали и другие «горячие» темы, например, рассылали поддельные сообщения от имени банков, популярных веб-сервисов и т. п., однако на долю таких сообщений в общей сложности пришлось мене 5% от всех зафиксированных в Южной Корее случаев спам-рассылок.

Тематика нежелательных СМС-сообщений, применявшихся при распространении
вредоносных программ в Южной Корее

Почти в 80% случаев указываемый в СМС-сообщениях адрес веб-сайта, с которого происходила загрузка вредоносного приложения, маскировался при помощи специализированных сервисов по созданию коротких ссылок. В общей сложности киберпреступники воспользовались услугами 41 онлайн-службы по сокращению веб-адресов, а самыми популярными среди них стали han.gl, cut.do, me2.do, ka.do, twr.kr и zcc.kr.

Наиболее популярные онлайн-сервисы по сокращению ссылок,
использованные злоумышленниками в 3-м квартале 2014 года

Как и ранее, большинство распространяемых в Южной Корее Android-троянцев по-прежнему располагалось на серверах известных облачных сервисов хранения данных: подобный вариант хостинга злоумышленники выбирали в 89% случаев. В 3-м квартале текущего года наиболее востребованным среди киберпреступников стали такие площадки как Dropbox, Copy, CloudApp, Ge.tt, при этом сервис Dropbox вновь оказался самым популярным. Остальная же часть вредоносных приложений хранилась на собственных сайтах злоумышленников, созданных специально для заражения мобильных устройств южнокорейских пользователей.

Облачные сервисы хранения данных, на которых размещались троянцы,
распространяемые среди Android-пользователей Южной Кореи

Онлайн-площадки, выступающие в качестве хостинга
для распространяемых среди южнокорейских пользователей Android-угроз

Сохраняющийся повышенный интерес злоумышленников к получению доступа к конфиденциальной информации и банковским счетам южнокорейских пользователей свидетельствует о том, что в обозримом будущем киберпреступники продолжат совершать попытки заражения мобильных устройств жителей Южной Кореи. Постоянно совершенствуемые вредоносные программы и новые технические приемы вирусописателей могут быть со временем применены и против владельцев Android-устройств из других стран, поэтому для обеспечения безопасности пользователям следует соблюдать внимательность и осторожность, а также установить надежное антивирусное ПО.

Защитите ваше Android-устройство с помощью Dr.Web

http://news.drweb.ru/show/?i=7057&lng=ru&c=9

28 октября 2014 года

Осень 2014 года оказалась весьма богатой на вредоносные программы, угрожающие поклонникам компьютерных игр: в сентябре компания «Доктор Веб» уже сообщала о появлении троянца Trojan.SteamBurglar.1, воровавшего ценные игровые предметы у пользователей Dota 2. По всей видимости, злоумышленники решили не останавливаться на достигнутом — вирусные аналитики «Доктор Веб» исследовали образец новой вредоносной программы с очень похожими функциональными возможностями, получившей наименование Trojan.SteamLogger.1. Эта программа может нанести серьезный ущерб поклонникам сразу нескольких популярных многопользовательских игр.

Данный троянец предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Также он обладает функциями кейлоггера, то есть способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере. Можно предположить, что, как и его предшественник, Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.

Вредоносная программа состоит из трех функциональных модулей: первый из них — дроппер — расшифровывает хранящиеся внутри него основной и сервисный модули, при этом сервисный модуль он сохраняет во временную папку под именем Update.exe и запускает его на исполнение, а основной загружает в память зараженного компьютера с использованием одного из системных методов. Затем сервисный модуль скачивает с сайта злоумышленников и сохраняет во временную папку картинку, которую сразу же выводит на экран инфицированного ПК:

Сервисный модуль проверяет наличие подпапки Common Files\Steam\ в директории, используемой по умолчанию для установки программ в Windows, и создает таковую при ее отсутствии. Затем этот модуль копирует себя в данную папку под именем SteamService.exe, устанавливает для собственного приложения атрибуты «системный» и «скрытый», после чего прописывает путь к указанному файлу в ветви системного реестра, отвечающей за автозагрузку программ, и запускает его на исполнение. Вслед за этим сервисный модуль отправляет прямой запрос на сайт злоумышленников, а в случае неполучения ответной команды «ОК» пытается установить соединение с управляющим центром через один из прокси-серверов, список которых хранится в теле троянца. На командный сервер Trojan.SteamLogger.1 передает сведения об инфицированном компьютере, такие как версия операционной системы, ее разрядность, а также уникальный идентификатор вредоносной программы, вычисляемый на основе серийного номера жесткого диска, на котором располагается логический раздел С. Помимо этого Trojan.SteamLogger.1 может получить от злоумышленников команду на обновление сервисного модуля.

После того, как основной модуль троянца Trojan.SteamLogger.1 будет запущен и инициализирован, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Для поиска инвентаря и ценных игровых предметов Trojan.SteamLogger.1 использует фильтры по ключевым словам "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". То есть, вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. При этом Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.

Trojan.SteamLogger.1 угрожает, прежде всего, пользователям игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2, однако этот троянец легко может быть модифицирован для хищения артефактов и инструментария для других игр. Все похищенные виртуальные предметы он пересылает на один из игровых аккаунтов киберпреступников, сведения о которых получает с управляющего сервера. Затем злоумышленники пытаются реализовать самую дешевую часть похищенного — ключи от сундуков из игры Dota 2 — с использованием специально созданного ими для этих целей интернет-магазина. Как вирусописатели реализуют остальные игровые предметы, на данный момент остается не до конца ясным.

Сигнатура троянца Trojan.SteamLogger.1 добавлена в вирусные базы Dr.Web, поэтому пользователи антивирусных программ производства компании «Доктор Веб» надежно защищены от этой угрозы.

Подробности об угрозе

http://news.drweb.ru/show/?i=7047&lng=ru&c=9